« 30 % des RSSI des entreprises du CAC 40 sont d’ores et déjà convaincus des risques posés par les fournisseurs étrangers de solutions » selon l’Institut Choiseul*.
Problématique peu connue des entreprises jusqu’à présent, les failles de sécurité engendrées par les solutions de cybersécurité non-européennes deviennent une réalité pour de nombreuses entreprises. Face à cette menace, l’Europe durcit le ton. Les nouvelles réglementations européennes s’enchaînent et la souveraineté européenne en matière de cybersécurité devient un enjeu prioritaire. Le but est clair : renforcer la résilience européenne, des infrastructures critiques notamment, et protéger les données des citoyens européens.
Les aspirations de souveraineté européenne peuvent, de prime abord, sembler bien loin des préoccupations au jour le jour de votre entreprise. Pourtant, elles vous impactent au quotidien et mitiger les risques liés aux solutions étrangères de cybersécurité est d’ores et déjà un enjeu réel pour vous entreprise.
*La cybersécurité, préalable à toute souveraineté économique, Juin 2022
RGPD, NIS2… Les entreprises face aux exigences de conformité européenne
Respecter les obligations légales et s’assurer de répondre à toutes les exigences de conformité est devenu un enjeu majeur pour chaque entreprise et organisation. Et pour renforcer la souveraineté européenne en matière de cybersécurité, l’Union Européenne sort de nombreuses nouvelles réglementations : NIS2, DORA, le Cyber Solidarity Act, le Cyber Resilience Act… Le Règlement général sur la protection des données (RGPD) reste le texte qui impacte le plus votre entreprise, mais l’arrivée de la directive NIS2 au niveau national (au plus tard en septembre 2024) amènera de nouvelles obligations, plus lourdes encore. Il existe pourtant un moyen pour alléger les contraintes de conformité qui pèsent sur les entreprises.
Le Règlement général sur la protection des données (RGPD) de l’Union Européenne s’applique directement en matière de cybersécurité. Toutes les entreprises qui traitent des données personnelles de citoyens de l’UE y sont soumises. Dans ce cadre, il exige que les entreprises protègent les données personnelles contre de possibles violations de données et cyberattaques en adoptant des mesures de sécurité appropriées. L’obligation européenne d’adopter des mesures de cybersécurité pour se conformer aux exigences du RGPD est très lourde pour les entreprises, puisqu’en cas de non-respect de ses dispositions, des sanctions financières allant jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros sont prévues.
A côté de cela, le monde de la cyber et les entreprises localisées en Europe doivent se préparer à respecter la directive NIS2. Transposable dans chaque législation nationale d’ici septembre 2024, NIS2 a pour but de garantir la sécurité des réseaux et des systèmes d’information. Plus sévère que sa prédécesseur, la directive NIS de 2016, elle s’applique à un plus large éventail de secteurs et d’entreprises. S’y conformer est devenu une urgence pour la majeure partie des entreprises. NIS2 impose des exigences de sécurité élevées, en demandant notamment la création d’une liste de mesure de gestion des risques et en mettant en place une obligation de signalement des incidents importants dans les 24h par les entreprises.
Avec NIS2, les entreprises seront obligées de passer au niveau supérieur en matière de cybersécurité pour respecter les exigences de conformité. Il existe des solutions pour ne pas se laisser déborder par les normes européennes. La plupart des outils de cybersécurité européens vous conduisent vers la conformité à ISO/IEC 27001, RGPD et NIS2, alors que les acteurs de la cybersécurité hors Europe ne l’incluent pas de facto. Les solutions les plus avancées sont quant à elles déjà en conformité avec NIS2.
La protection des données : le véritable enjeu de votre entreprise
La conformité RGPD et la protection des données des utilisateurs peut a priori être vue uniquement comme une contrainte de conformité supplémentaire pour les entreprises. Pourtant, la problématique de la protection des données va plus loin. La collecte des données, sans accord préalable, touche aussi directement les entreprises et est un enjeu qui passe souvent inaperçu.
La question de la souveraineté européenne en matière de cybersécurité est étroitement liée à la souveraineté des données. Son but est que vos données et leur utilisation ne soient pas soumises à une loi étrangère. La conformité de votre entreprise aux réglementations dépend de sa localisation et cela est tout particulièrement le cas pour les données de votre entreprise. Différentes lois s’appliquent selon votre localisation, selon l’endroit où sont stockées vos données et selon l’endroit où elles sont transférées. Les lois de plusieurs pays peuvent donc s’appliquer à vos données. Et toutes les législations ne vont malheureusement pas dans le sens de la protection des données…
La loi extraterritoriale la plus connue en matière de cybersécurité est le controversé Cloud Act (Clarifying Lawful Overseas Use of Data Act) adopté en 2018. Avec le Cloud Act, les autorités américaines peuvent accéder à des données stockées à l’étranger par des entreprises américaines, sans autorisation par le pays où sont stockées ces données. Grâce au Cloud Act, les autorités américaines ont légalement accès à toutes les données récoltées par les entreprises américaines, du moment que ces données soient stockées dans un cloud de l’entreprise américaine. En conséquence, même si votre entreprise est localisée en Europe, où vos données sont légalement protégées, une solution de cybersécurité américaine pourra donner accès à vos données aux autorités américaines, si ces données sont stockées dans leur cloud.
L’espionnage industriel par le biais de solutions de sécurité étrangères devient un risque réel pour les entreprises. Ce risque s’applique aussi si votre solution a choisi un hébergeur US : les hébergeurs les plus communs, tels qu’AWS ou Azure, sont donc concernés. C’est là que la souveraineté européenne prend toute son importance et protège l’avenir de votre entreprise. Choisir des solutions de cybersécurité soumises à des législations qui ne vont pas en votre faveur, revient de nos jours à faire courir un risque direct à votre entreprise. Grâce à la souveraineté européenne et aux solutions de cybersécurité européennes hébergées hors US, vos données restent en Europe et votre entreprise est protégée.