Felix Pergande - Fotolia
GDPR, NIS, LPM, OIV : plus contraignante, la règlementation pousse à davantage de rigueur
De nombreux textes imposent de notifier les brèches de confidentialité et d'autres incidents de sécurité. De quoi pousser à une surveillance plus rigoureuse des systèmes d’information.
Règlement général de protection des données (RGPD, ou GDPR pour les anglophones), directive NIS sur la sécurité de l’information et des réseaux, loi de programmation militaire de 2013 (LPM), qui sert de cadre aux obligations spécifiques des opérateurs d’importance vitale (OIV)… ce ne sont là finalement que la partie visible de l’iceberg.
Gérôme Billois, directeur de la practice cybersécurité de Wavestone, souligne l’existence de nombreux autres textes exigeant d’acteurs de secteurs spécifiques des notifications pour certains incidents. Et cela vaut notamment pour le monde de la santé qui devra, dès l’automne 2017, signaler « sans délai » les incidents dits « graves » de sécurité informatique : « il y a de nombreux textes qui poussent à cela ».
Mais cela ne va pas sans difficulté : « certains textes ne sont pas forcément en accord les uns avec les autres sur, par exemple, des délais, des raisons ou des modalités pratiques de notification, comme le niveau de détail attendu ».
Une industrialisation limitée de la détection
Dès lors, les entreprises françaises apparaissent tiraillées entre deux approches. La première consiste à essayer de suivre au plus près les textes qui les concernent. La seconde est plus attentiste et, dans certains cas, consiste tout bonnement à ne pas investir… « parce que moins on va détecter d’incidents, moins il y en aura à signaler », lance Gérôme Billois. Selon lui, cette approche reste isolée. Mais la logique est bien présente dans certains esprits : « l’exigence de notification peut être perçue comme pénalisante après les efforts consentis pour mieux détecter ».
Pour autant, difficile d’imaginer que les évolutions réglementaires ne contribuent pas à tirer tout un tissu économique vers le haut en matière de cybersécurité : « aujourd’hui, l’industrialisation de la détection des incidents est au mieux parcellaire, au pire inexistante ». Mais partir de loin signifie investir beaucoup. Gérôme Billois évoque des projets à plusieurs centaines de milliers d’euros, voire dépassant le million, pour simplement « booster la capacité technique de détection ».
De nouveaux chantiers à anticiper
Et cela ne s’arrête pas là : « cela ouvre la voie à des projets en lien avec les services juridiques – car il n’apparaît pas dans le rôle du RSSI de gérer seul des notifications qui relèvent du juridique – mais aussi de la relation clients ». Et c’est peut-être là que la fracture est la plus grande, entre des secteurs où la gestion de crise est déjà bien rodée, et d’autres pour qui notifier des incidents à des clients est nouveau. Et là, « avoir les moyens nécessaires, en envoi de courrier, d’e-mails, en création de call center, peut être très difficile si cela n’a pas été bien anticipé. Statistiquement, aux Etats-Unis en particulier, les clients rappellent beaucoup et cela tend à saturer les canaux de relation clients habituels ». D’où un double risque de perte de chiffre d’affaires : par la perte de la confiance des clients, mais aussi par « rebond », lié à la désorganisation des cycles de vente.
Une inévitable professionnalisation
Une chose est sûre : l’ensemble impose une lourde professionnalisation de nombreuses activités. « Avant, la gestion des incidents n’était qu’une problématique de la DSI, qui communiquait un peu comme elle le voulait aux métiers et à la direction. Maintenant, on passe à une question juridique, avec des capacités d’enquête du régulateur à posteriori », voire à une découverte de l’incident par un tiers, extérieur à l’organisation concernée… Pour Gérôme Billois, c’est bien simple : « on change complètement de dimension ».