Un port d’attache sécurisé
pour toutes vos données

Nous contacter
logo

Législations

Légal, Standard, Données personnelles, Responsabilité

De plus en plus d’attaques sur les systèmes d’informations se produisent aujourd’hui. L’élément le plus remarquable est la professionnalisation de ces attaques.

Lors d’attaques par ransomwares, les victimes rapportent des discussions ou leurs agresseurs leur répondent qu’ils doivent voir avec leur service de communication avant de donner une réponse, ou de voir avec leur service financier s’ils ont bien reçu le paiement...

Les gouvernements s’adaptent à ces nouveaux risques avec de nouvelles lois. Notre société étant de plus en plus connectée, contrôler les bonnes pratiques de sécurité est un enjeu vital aujourd’hui.

image-02

Elles sont mises en place avant tout pour protéger les personnes et leurs données. La responsabilisation des entreprises est un enjeu extrêmement important dernièrement à cause de la professionnalisation des attaquants. Voici la liste des textes passés en France et en Europe qui ont le plus impacté la cyber sécurité :

image 2

ISO/CEI 27001
(Information
security
management
systems)

Standard créé le 15 octobre 2005 par l’organisme international de normalisation ISO et par la commission électrotechnique internationale CEI.

  • Définition de la politique et du périmètre d’application.
  • Identification et évaluation des risques pour élaborer une politique de sécurité.
  • Définition des quatre traitements possibles de chaque risque identifié.
  • Sélection des mesures de sécurité à mettre en place.
https://www.legifrance.gouv.fr/loda/id/
JORFTEXT000000636232/

Standard de sécurité

Ils sont le premier niveau de garantie et de sécurité que l’on peut remarquer auprès des fournisseurs de services numériques.

Avoir cette marque appliquée sur un site assure que l’entreprise prend au sérieux la sécurité, l’organisation et les problématiques liées aux systèmes d’informations.

Les autorités publiques

Tout d’abord, les autorités publiques ne comprennent pas les organismes attachés à la police, la gendarmerie ou l’armée.

Une stratégie nationale précise est déjà en place depuis cette ordonnance. Elle a été petit à petit modifié avec les législations suivantes précisant certaines règles.

img-FRANCE

RGS
(Référentiel
général de
sécurité)

Adoptée le 8 décembre 2005, Ordonnance n°2005-1516.

  • Définition des autorités administratives : Les collectivités territoriales, les administrations de l’état, les établissements publics à caractère administratif, les organismes gérants des régimes de protection sociale ou de gestion d’un service public administratif et certaines commissions autour du droit au logement.
  • Les règles aujourd’hui encore en place et non abrogées définissent la sécurisation des informations échangées par voie électronique et l’interopérabilité des services.
https://www.legifrance.gouv.fr/loda/id/
JORFTEXT000000636232/
img-EUROPE_3

RGPD
(Réglement général
sur la protection
des données)

Adoptée le 27 avril 2016. Réglement UE 2016-679.

  • Protection des droits fondamentaux et en particulier leur droit à la protection des données à caractère personnel.
  • Définition des données personnelles : Toutes information se rapportant à une personne physique identifiée ou identifiable.
  • Principes de mise en application : Collecter les données vraiment nécessaires, transparence, facilitation de l’exercice des droits des personnes, définition de la durée de conservation, sécurisation et identification des risques.
https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr

Les données personnelles

Ce n'est pas parce que l'on a rien à se reprocher que l'on doit perdre tout contrôle sur ces données personnelles.

L’objectif principale de ce règlement est d’encourager les entreprises à prendre conscience des données qui sont enregistrées dans leurs systèmes d’informations.

Cela permet de protéger les utilisateurs qui ne connaitraient pas bien les termes et problématiques techniques en informatique.

Résponsabilité

Cette réglementation va continuer le travail réalisé par la RGPD mais du point de vue de la responsabilité des entreprises : malgré toutes les précédentes législations, les entreprises ne savent pas forcément quoi faire pour garantir leur sécurité.

La première étape de la responsabilisation est l’encouragement. C’est pourquoi cette première étape délimite les exigences et la structure national et européenne pour lutter contre ces menaces.

img-EUROPE_3

NIS
(NETWORK AND
INFRASTRUCTURE
SECURITY)

Adoptée le 6 juillet 2016. Elle rentrera en vigueur progressivement pour tous les états membres. Règlement UE 2016-1148.

  • Obligation de définition d’une stratégie nationale commune entre tous les états membres en matière de sécurité des réseaux et des systèmes d’information.
  • Création d’un réseau des centres de réponses aux incidents de sécurité informatique (CSIRT) pour renforcer la confiance entre les états membres.
  • Liste les exigences en matière de sécurité et de notification pour les opérateurs de services essentiels et les fournisseurs de service numérique.
https://eur-lex.europa.eu/legal-content/FR/
TXT/?uri=celex%3A32016L1148
img-FRANCE

HDS
(HEBERGEMENT DE DONNéES DE SANTé
à caractère personnel)

Décret n°2018-137 du 26 février 2018.

  • Définitions des règles sur les données de santé. Il précise le champ des activités d’hébergement qui sont soumises à un agrément délivré par le ministre ou à une certification :
  • Toute personne morale à l’origine de la production ou du recueil de ces données doit recourir à un hébergeur certifié ou agréé lorsqu’il externalise la conservation des données dont il est responsable.
  • L’hébergeur doit assurer une protection et un maintien en condition opérationnelle des sites physiques.
https://www.legifrance.gouv.fr/jorf/id/
JORFTEXT000036650041/

Les données de santés

Le secret médical couvre toutes les informations que le professionnel de santé a sur vous : votre état de santé (diagnostic, traitement...), votre identité, ce que vous avez confié, ce que le professionnel a vu, entendu, compris...

L’objectif de cette loi est de rajouter un cadre technique supplémentaire de protection de ces données. Protection contre le vol ou la suppression.

Mise en application

Ce décret applique la réglementation européenne NIS à l’échelle Française. Le problème de sa mise en application est que peu d’entreprises sont finalement concernées.

Elle prépare néanmoins d’un point de vue national la structure pour avoir une stratégie globale de réponses aux attaques.

img-FRANCE

Décret NIS
(NETWORK AND
INFRASTRUCTURE
SECURITY)

Décret n°2018-384 du 23 mai 2018.

  • Définition de la liste des services essentiels. Ces entreprises doivent alors déclarer leurs réseaux et systèmes d’informations, respecter les règles de sécurité définit, déclarer les incidents et sont contrôlés par l’état.
  • Définition de la liste des fournisseurs de services numériques. Ces entreprises doivent définir des représentants sur le territoire national, respecter les règles de sécurité définit, déclarer les incidents et sont contrôlés par l’état.
https://www.legifrance.gouv.fr/jorf/id/
JORFTEXT000036939971
img-EUROPE_3

NIS2
(NETWORK AND
INFRASTRUCTURE
SECURITY 2)

Adoptée le 10 novembre 2022, elle rentrera en vigueur en juillet 2024 en France au plus tard. Règlement UE 2022-2555.

  • Obligation pour les entreprises des secteurs critiques de mettre en place une politique d’analyse des risques et de sécurité des systèmes d’information.
  • Obligation pour les entreprises des secteurs critiques de signaler tous les incidents importants dans les 24h aux équipes nationales de sécurité informatique après avoir pris connaissance de l’incident.
https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Résponsabilité des entreprises

Avec l’arrivée de cette législation, la responsabilité de l’attaque se retrouve pour la première fois partagée entre l’attaquant et le service victime de l’attaque. L’objectif est la responsabilisation des entreprises sur l’importance de sécuriser les données clients.

La liste des services essentiels et numérique est élargie pour intégrer plus d’entreprises. Toutes TPE, PME et grands groupes faisant parti des 18 secteurs cibles doivent s’y soumettre sous peine d’amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial (le chiffre le plus élevé étant retenu).

Le secteur banquaire

Cet accord est le plus récent et définit un cadre strict pour les entreprises du secteur bancaire. Le niveau de résilience demandé ici est très élevé.

Contrairement aux entreprises ou les services peuvent être déconnectés pendant quelques temps sans que cela impacte durablement la nation, le secteur bancaire comme celui de la sécurité ne peux pas être arrêté.

img-EUROPE_3

DORA
(DIGITAL
OPERATIONAL
RESILIENCE ACT)

Accord provisoire le 11 mai 2022, elle rentrera en vigueur au plus tard en janvier 2025 en France. Règlement UE 2020-0266

  • Obligation pour toutes les entités financières de veiller à pouvoir résister à tous les types de perturbations et de menaces liées aux technologies de l’information.
  • Obligation pour toutes les entités financières d’assurer un cadre très solide. Elles seront testées grâce à des tests de pénétrations réalisés par les états membres de l’UE.
https://eur-lex.europa.eu/procedure/EN/2020_266

Ce document présente les textes les plus importants dans le cadre de la cyber sécurité en France à ce jour. Cependant, les discussions ne s’arrêtent pas là et continueront pour améliorer la cyber sécurité nationale dans les années à venir.

En partenariat avec Marsh, n°1 mondial dans le courtage d’assurance, CLOUD HARBOR est un service dédié aux entreprises qui vous permet de répondre à toutes les législations en cybersécurité.

Concentré de technologies innovantes dédiées à la lutte contre les cyberattaques, CLOUD HARBOR propose des tarifs abordables permettant aux TPE-PME de se doter du meilleur niveau de sécurité.

logo-marsh
dfm-logo

Conditions Générales d’Utilisation Page d’administration

© 2023 - Cloud Harbor est un produit de DFM-Europe SAS