Comment les entreprises peuvent faire face à l'augmentation des réglementations technologiques de l'UE

Logo LinesWave
Comment les entreprises peuvent faire face à l'augmentation des réglementations technologiques de l'UE

Le nombre d'entreprises soumises à des exigences réglementaires a augmenté de manière significative dans le cadre de la législation existante et nouvelle, telle que le règlement général de l'UE sur la protection des données (RGPD), les réglementations sur la sécurité des réseaux et des systèmes d'information (NIS) NIS1 et NIS2,[i] et la loi européenne sur la résilience opérationnelle numérique (DORA).[ii] La semaine dernière, Mario Draghi a mis en garde contre ces législations européennes qui « tuent nos entreprises »[iii] De même, les cyberrisques ajoutent de la complexité aux propriétaires d'entreprises, aux investisseurs et aux financiers, ce qui nécessite une diligence raisonnable plus approfondie en ce qui concerne la pile technologique de l'entreprise. Les organes de surveillance seront confrontés à des défis importants en raison de la pénurie de talents et de connaissances et d'une méthode de travail désuète. Les déclarations de contrôle proactives font peser la charge de la preuve numérique sur l'entreprise plutôt que sur les organes de surveillance. Je pense que cela soulagera considérablement à la fois les entrepreneurs et les organes de surveillance.

Une réglementation stricte de la technologie et de l'IA pourrait freiner les progrès des entreprises européennes. Draghi a écrit : »Nous sommes en train de tuer nos entreprises. » avec une réglementation complexe et incohérente.

Quel est le problème et qui est concerné ?

Les exigences réglementaires et industrielles liées à la cybersécurité montent en flèche. Il s'agit notamment des normes imposées par la De Nederlandsche Bank (DNB), la DORA, la loi de l'Union européenne (UE) sur la cyberrésilience,[i] NIS2[ii], le programme de sécurité des clients SWIFT (CSP),[iii] Programme fédéral américain de gestion des risques et des autorisations (FedRAMP)[iv], la norme ISO 27001 de l'Organisation internationale de normalisation (ISO), les contrôles de sécurité critiques du Center for Internet Security (CIS)[v], la loi fédérale américaine sur la gestion de la sécurité de l'information (FISMA),[vi] la publication spéciale (SP) 800-53 de l'Institut national des normes et de la technologie (NIST)[vii], modèle d'évaluation des capacités de la Cloud Security Alliance (CSA CMM)[viii], Trust Service Criteria (TSC) de l'American Institute of Certified Public Accountants (AICPA)[ix] et les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS)[x] etc.

La gestion de toutes ces réglementations est un processus complexe pour les entreprises et les régulateurs qui doivent superviser leur mise en œuvre correcte. Rien que dans l'Union européenne, le nombre d'entreprises touchées se chiffre en millions (Figure 1).[xi]

Figure 1 — Nombre d'entreprises de l'UE concernées par la réglementation

Comme le montre le RGPD de l'UE, les formalités administratives nécessaires pour démontrer la « conformité sur papier » peuvent être effectuées. Néanmoins, la difficulté réside dans la mise en œuvre de la bonne technologie et de processus, de capacités (personnes et compétences) et de structures suffisants pour suivre de manière adéquate le bien-être d'une entreprise et en rendre compte.

Une start-up ou une entreprise technologique en expansion qui souhaite exercer ses activités en Europe et aux États-Unis est soumise à au moins trois réglementations différentes dans la plupart des cas. Et s'ils évaluent la charge réglementaire européenne par rapport au « marché américain ouvert avec moins de réglementations », le choix est clair. C'est pour cette raison qu'une licorne européenne sur trois quitte l'UE pour les États-Unis[i]

La bureaucratie est un problème pour tous les secteurs, en particulier pour les petites entreprises.

L'énorme quantité de formalités administratives requises pour opérer en Europe a un effet démesuré sur les petites entreprises.

- Les sources : Financial Times, monstre de Berlay

Les amendes réglementaires, telles qu'une violation ou une fuite, constituent souvent le coût le plus important en cas de problème. Ils peuvent atteindre 4 % du chiffre d'affaires mondial annuel de l'entreprise contrevenante. Selon Kuijper (2020)[i], « Les autorités chargées de la protection des données (DPA) détectent principalement les symptômes visibles de la non-conformité au RGPD (les risques matérialisés) plutôt que d'identifier et de décrire la ou les causes profondes sous-jacentes de ces symptômes de non-conformité, comme par exemple l'absence d'analyse des risques liés au traitement des données, un manque de gouvernance ou de contrôles, etc. » [ii]

Les recherches de Kuijpers ont révélé que la plupart des violations du RGPD de l'UE concernent la mise en œuvre des mesures techniques et organisationnelles requises pour garantir la sécurité des informations (article 32). La mise en œuvre de contrôles de sécurité de l'information est fastidieuse pour de nombreuses entreprises en raison de la rareté des ressources et des capacités. Un chercheur de l'Antwerp Management School (AMS) l'a récemment confirmé par une analyse approfondie des causes profondes des violations du RGPD[iii].

Les réglementations à venir ne peuvent être maintenues qu'en exigeant la soumission proactive obligatoire de ce que l'on appelle des « déclarations de contrôle ». Compte tenu du nombre d'entreprises réglementées et de la charge associée, nous prévoyons une charge de la preuve inverse comme seule solution : les entreprises doivent être en mesure de prouver qu'elles se conforment[iv].

Solutions pour les régulateurs et les propriétaires d'entreprises

Il est recommandé d'utiliser ce que l'on appelle des déclarations de contrôle pour démontrer que vous contrôlez votre environnement technologique. Ces déclarations fournissent un aperçu rapide de l'état des contrôles dans un système de gestion de la confidentialité et de la sécurité. Dans les environnements hautement réglementés tels que la finance, les états de contrôle sont déjà familiers.

Ils peuvent vérifier et démontrer à une autorité de surveillance que la comptabilité d'une entreprise a été effectuée de manière honnête et légale. Les déclarations de contrôle sont des outils utiles car elles permettent aux autorités de surveillance d'économiser du temps, des ressources et de l'argent. Ces relevés peuvent être vérifiés automatiquement via des technologies d'IA, similaires aux procédures de déclaration fiscale, et signaler les valeurs aberrantes ou les lacunes. Périodiquement, un audit manuel évalue si une entreprise a fourni des informations véridiques, et les personnes responsables doivent approuver les résultats.

Chaque framework n'a pas besoin de disposer de sa propre instruction In-Control. Il y a souvent un certain chevauchement dans les contrôles qu'ils proposent. Ce chevauchement peut être cartographié pour comprendre où les cadres coïncident. Par exemple, un framework parent peut correspondre à plusieurs frameworks enfants et à leurs contrôles. T

tester les contrôles dans le framework parent garantit la conformité à de nombreux autres contrôles sous-jacents, selon le principe « tester une fois, respecter plusieurs » (Figure 2). Ce mappage, effectué par des entités telles que Secure Controls Frameworks, est déjà présent dans des technologies telles que Amove et est mis à jour chaque fois qu'il y a un changement dans le framework[v]. Cela permet aux entreprises de soumettre une seule déclaration de contrôle attestant de leur adhésion à de nombreux cadres.

Les entreprises de cryptographie partent ou arrêtez en raison d'une supervision AFM exigeante

Figure 2 — Exemple de « Test Once, Comply Many » pour les contrôles d'identification et d'authentification (modèle conceptuel, conçu à l'aide de la technologie Anove)

Bonne gouvernance

Le respect de toutes les réglementations applicables tout en mettant en œuvre une gestion de la sécurité appropriée constitue un défi. L'un des moyens de surmonter cette complexité consiste à utiliser un cadre existant comme base pour gérer la cybersécurité, que ce soit dans un pays spécifique ou dans un secteur spécifique. Par exemple, lorsque les États-Unis ont subi une attaque majeure contre le Colonial Pipeline[i], utilisant le NIST 800-053 et les stratégies de confiance zéro (NIST 800-207) sont devenus obligatoires après un décret présidentiel. L'Europe évolue dans la même direction, en adoptant une approche descendante similaire en matière de sécurité numérique. Cela est comparable à ce qui s'est passé après le MCI WorldCom[ii]et Enron[iii] les scandales comptables, qui ont conduit à la directive de la loi Sarbanes-Oxley (SOX)[iv] aux États-Unis pour améliorer les exigences en matière d'audit et de divulgation publique. Dans les deux cas, le chaos a donné lieu à des mandats clairs pour la mise en œuvre de contrôles et de processus et à la standardisation des rapports.

En substance, traiter la gestion de la cybersécurité de la même manière que les normes d'information financière garantit une approche structurée et complète qui fournit une surveillance capable de détecter les écarts ou les dysfonctionnements. Il encourage également les propriétaires à faire preuve de bonne gestion.

Le suivi et la publication de l'état de l'ensemble de la technologie sont essentiels pour toute entreprise et ses parties prenantes, y compris les investisseurs, les actionnaires, les organes de surveillance et les acheteurs potentiels. Par conséquent, la sécurité numérique est une question qui relève de la plus haute direction.

La question demeure : est-ce que quelqu'un prendra l'initiative de mettre en œuvre une approche descendante pour diriger un cadre fondamental, ou est-ce qu'un incident tel que l'attaque par rançongiciel contre le Colonial Pipeline devra se produire avant que des mesures ne soient prises ?

Perspectives d'avenir

Je prévois un changement radical vers des réglementations strictes obligeant les entreprises à rendre compte de leurs efforts en matière de cybersécurité, de confidentialité et de sécurité des données avec une transparence sans précédent dans leurs rapports annuels ou trimestriels, reflétant ainsi la refonte réglementaire qui a suivi l'ère Enron et MCIWorldcom.

Je recommande aux entreprises de prendre des mesures proactives pour :

- Identifier et respecter les exigences réglementaires spécifiques (quoi) qu'ils doivent suivre, y compris des plans clairs sur la manière de le faire (comment), attribuer les propriétaires (qui), mettre en œuvre ces plans et évaluer leur efficacité sur une base périodique (quand).

- Adoptez une approche « Test Once Comply Many » avec un cadre de contrôles commun, afin d'éviter les tâches redondantes ou les chevauchements.

- Établir un modèle opérationnel qui favorise et fait respecter la responsabilisation grâce à une planification, une mise en œuvre et des évaluations régulières, avec des rapports périodiques sur les performances. Cela devrait être appliqué du haut vers le bas.

Grâce à cette approche proactive de testez une fois, complétez plusieurs et déclarations de contrôle, les entreprises européennes et leurs organismes de régulation peuvent éviter d'être submergés par un déluge de règles et de formalités administratives, mettant ainsi en péril le rôle de pionnier de l'Europe dans le paysage économique mondial.

Références :

[1] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique pour le secteur financier : https://eur-lex.europa.eu/eli/reg/2022/2554/oj

[2] PricewaterhouseCoopers, « DORA : pourquoi est-ce pertinent pour vous », https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html

[3] L'avenir de la compétitivité européenne : rapport de Mario Draghi

https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en

[4] Commission européenne, « Renforcer la cybersécurité et la résilience à l'échelle de l'UE — Accord provisoire entre le Conseil et le Parlement européen », Union européenne, https://www.nis-2-directive.com; Commission européenne, « Loi sur la cyberrésilience », Union européenne, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

[5] https://eur-lex.europa.eu/eli/dir/2022/2555

[6] SWIFT, « Programme de sécurité pour les clients », https://www.swift.com/myswift/customer-security-programme-csp

[7] Le programme fédéral de gestion des risques et des autorisations (FedRAMP®) https://www.fedramp.gov/

[8] https://www.cisecurity.org/controls

[9] Congrès américain, « FISMA, Congrès américain, Loi fédérale de 2002 sur la gestion de la sécurité de l'information », mars 2002, États-Unis, https://www.congress.gov/bill/107th-congress/house-bill/3844

[10] Contrôles de sécurité et de confidentialité pour les systèmes d'information fédéraux et les organisations : https://csrc.nist.gov/pubs/sp/800/53/r4/upd3/final#:~:text=This%20publication%20provides%20a%20catalog,other%20organizations%2C%20and%20the%20Nation

[11] La matrice de contrôles cloud (CCM) de la CSA est un cadre de contrôle de cybersécurité pour le cloud computing.

https://cloudsecurityalliance.org/research/cloud-controls-matrix

[12] https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022

[13] Conseil des normes de sécurité de l'industrie des cartes de paiement, « Normes de sécurité des données de l'industrie des cartes de paiement », https://www.pcisecuritystandards.org/document_library/?document=pci_dss

[14] BBP Media, « NIS2 arrive et le secteur de la vente au détail n'est pas préparé », 26 octobre 2022, https://www.bbpmedia.co.uk/business-insights/retail/nis2-is-coming-and-the-retail-industry-is-not-prepared.html; CBS, « Entreprises ; taille de l'entreprise et forme juridique », 2023, https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table; Eurostat, « Aperçu sectoriel », 2021, https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html; Kors, S. ; « Que signifie NIS2 pour les organisations néerlandaises ? », 7 décembre 2022, https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html; l

[15] En 2008 et 2021, près de 30 % des « licornes » créées en Europe, c'est-à-dire des startups valorisées à plus d'un milliard de dollars, ont déménagé leur siège social à l'étranger, la grande majorité ayant déménagé aux États-Unis. : https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf

[16] N. Kuijper, « Traduction de l'article 32 du RGPD en pratiques efficaces de gouvernance et de gestion de la confidentialité. Un point de vue sur l'ambiguïté du RGPD, les risques de non-conformité et l'efficacité de la norme ISO 27701:2019 en tant que système de gestion de la confidentialité », 12 juin 2020. [En ligne]. Disponible à l'adresse suivante : https://zenodo.org/records/3891540.

[17] Conijn, F. ; Smit, R. ; « Un acheteur prend le pouvoir en rachetant des entreprises », Het Financieele Dagblad, 16 octobre 2023, https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames

[18] G. Heiremans, « Navigating the Fine Line : Atteindre la conformité au RGPD tout en optimisant les investissements informatiques Une enquête sur la manière dont les entreprises peuvent évaluer la pertinence des mesures techniques et organisationnelles à la lumière des articles 5, 25 et 32 du RGPD », Antwerp Management School (AMS), Anvers, 2024.

[19] Y. Bobbert, « Réglementations technologiques : comment alléger le fardeau des organes de surveillance et réduire les risques pour les investisseurs », ISACA, https://www.isaca.org/resources/isaca-journal/issues/2024/volume-3/how-to-relieve-the-burden-of-supervisory-bodies-and-reduce-risk-for-investors, 2024.

[20] https://www.anove.ai/blog-posts/in-control-statements-made-easy

[21] https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years

[22] https://sc.edu/about/offices_and_divisions/audit_and_advisory_services/about/news/2021/worldcom_scandal.php

[23] Le scandale Enron est probablement le scandale comptable le plus important, le plus complexe et le plus notoire de tous les temps https://corporatefinanceinstitute.com/resources/esg/enron-scandal/

[24] 107th Congrès américain, H. R. 3763 Loi Sarbanes-Oxley de 2002, États-Unis, 30 juillet 2002, https://www.congress.gov/bill/107th-congress/house-bill/3763/text.