Nous poursuivons notre couverture de l’événement Cyberevolution, en explorant les enjeux réglementaires majeurs tels que le DORA, la directive NIS2 et la loi sur l’IA de l’UE, tout en examinant des solutions innovantes comme la Security 3.0, Cyberfantastic, et l’Identity Fabric.
Si vous avez manqué la première partie, qui portait sur les principales menaces cybernétiques en 2024 : ransomware, ingénierie sociale et manipulation de l’information, vous pouvez la lire ici.
Réglementations impactantes pour la cybersécurité
La cybersécurité est devenue une priorité essentielle pour les dirigeants d’entreprise, non seulement en raison de la nécessité de protéger les activités, mais aussi des obligations réglementaires croissantes. Au cours d’une table ronde, Martina Gruber, membre du conseil d’administration de Clearstream Banking, et Hinrich Völcker, CISO de Deutsche Börse, ont souligné l’importance des réglementations clés telles que le Digital Operational Resilience Act (DORA), la directive NIS2 et le Cyber Resilience Act (CRA).
DORA est une réglementation contraignante de l’UE conçue pour établir un cadre de gestion des risques TIC complet pour le secteur financier. Elle impose aux entités financières et à leurs prestataires tiers critiques de respecter des normes techniques spécifiques d’ici le 17 janvier 2025.
NIS2, version mise à jour de la directive européenne sur la cybersécurité introduite en 2016, est entrée en vigueur en 2023, élargissant les mesures légales pour renforcer la cybersécurité.
Le Cyber Resilience Act (CRA), qui est entré en vigueur le 10 décembre 2024, représente une législation majeure exigeant des normes obligatoires de cybersécurité pour les produits dotés de composants numériques. Il complète NIS2 et reflète la stratégie plus large de l’UE visant à renforcer la cybersécurité au sein d’un écosystème numérique connecté.
Martina Gruber a noté que Clearstream Banking, en tant que banque et infrastructure financière systématiquement importante, fonctionne sous des régimes réglementaires stricts depuis des années. Cependant, elle a souligné que DORA présente de nouveaux défis en raison de ses exigences très détaillées, qui diffèrent des réglementations typiques permettant plus de flexibilité dans leur mise en œuvre. « Avec DORA, on ne nous donne pas seulement des orientations générales—nous recevons des instructions précises, ce qui peut sembler inhabituel », a-t-elle déclaré, ajoutant que bien que cette approche garantisse une rigueur, elle accroît également la complexité.
Un autre défi réside dans le maintien d’une conformité à 100 % à travers tous les niveaux de sécurité, compte tenu de la nature dynamique de la technologie. « Les régulateurs se concentrent souvent en profondeur sur les contrôles individuels lors des audits, ce qui peut parfois négliger la vue d’ensemble sur la protection globale », a-t-elle expliqué. Malgré ces difficultés, elle a plaisanté en disant que sa responsabilité personnelle et une supervision plus stricte n’ont pas perturbé son sommeil.
L’utilisation croissante de l’IA, ainsi que des investissements significatifs et de la recherche dans ces outils, a retenu l’attention des régulateurs. La loi sur l’IA de l’UE est devenue un point focal en tant que réglementation clé pour la gestion de l’intelligence artificielle en Europe. Cependant, le Prof. Dr. Dennis-Kenji Kipker de cyberintelligence.institute soutient que la loi sur l’IA de l’UE, à elle seule, est insuffisante et ne deviendra pas la norme mondiale. Il appartient aux industries, et non seulement aux législateurs, de décider comment et avec qui elles s’engagent dans des collaborations stratégiques liées à l’IA.
La loi sur l’IA de l’UE, entrée en vigueur le 1er août 2024, vise à réglementer le développement et le déploiement de l’IA au sein de l’UE. Elle établit un cadre qui catégorise les systèmes d’IA par niveaux de risque, imposant des exigences plus strictes pour les applications à haut risque afin de protéger les individus tout en favorisant l’innovation. Cette réglementation aborde les risques, notamment dans des secteurs comme la banque et les services financiers, où l’IA est largement utilisée. Les banques déployant de l’IA doivent se conformer aux dispositions de gouvernance en vertu du droit des services financiers de l’UE et réaliser des évaluations d’impact sur les droits fondamentaux lors de l’évaluation de la solvabilité. Cette réglementation contribue à atténuer les risques, mais ne les élimine pas totalement.
Le rôle de l’IA dans la cybersécurité a également été largement discuté. Les technologies d’IA peuvent renforcer la défense contre la cybercriminalité grâce à leurs capacités d’apprentissage autonome, de détection d’anomalies et d’évolutivité des mécanismes de défense. Elles permettent également des mesures proactives, telles que l’isolement des systèmes informatiques lors de violations de sécurité, et réduisent les temps de réponse aux incidents de cybersécurité. À mesure que l’IA continue d’évoluer, elle peut améliorer significativement la détection et la réponse aux menaces en cybersécurité, mais elle doit être mise en œuvre de manière responsable. Des experts comme Martin Kuppinger de KuppingerCole ont exhorté les CISO à établir une gouvernance solide de l’IA et des directives éthiques pour assurer une utilisation sécurisée de l’IA en cybersécurité. Il a recommandé aux entreprises de tester l’IA générative pour la modélisation des menaces, en mettant l’accent sur la qualité de l’IA et son utilisation éthique.
En conclusion, le Dr. Kipker a averti que l’IA présente des risques significatifs et doit être contrée par des contre-mesures techniques et organisationnelles de pointe.
Élever la cybersécurité au niveau du conseil d’administration
Les conseils d’administration modernes considèrent désormais la cybersécurité comme un élément stratégique crucial, et non plus comme un mal nécessaire. La sensibilisation à la cybersécurité au niveau des conseils a progressé au cours de la dernière décennie, entraînant davantage d’investissements dans les outils de sécurité et les capacités de réponse. Une communication quotidienne des incidents au conseil garantit que les membres restent informés et prêts à réagir efficacement.
Martina Gruber de Clearstream Banking a suggéré que la cybersécurité n’est pas seulement un sujet technologique, mais qu’elle concerne fondamentalement la culture de l’entreprise. Elle doit être adoptée et comprise à tous les niveaux, dès la direction. Au-delà de la gestion de la technologie, les organisations font face à des risques opérationnels, financiers et réputationnels importants. Pour que la cybersécurité prospère, les conseils doivent s’approprier ce sujet en établissant des cadres clairs, en allouant des ressources et des budgets, et, surtout, en favorisant une culture de confiance. Les employés doivent se sentir encouragés à partager ouvertement les risques et les menaces, sans crainte de conséquences négatives.
La communication joue également un rôle essentiel. Chacun—de la direction au personnel de première ligne—doit comprendre la gravité de la cybersécurité et son potentiel de préjudice, voire de destruction pour une organisation. Hinrich a en outre souligné que communiquer les problèmes de cybersécurité au conseil est un art. Traduire des vulnérabilités techniques complexes en informations significatives qui résonnent avec les dirigeants d’entreprise nécessite un équilibre et une clarté. Bien que des écarts entre les équipes techniques et les dirigeants d’entreprise puissent persister, Hinrich a noté une volonté croissante du côté commercial de combler ces fossés. En favorisant une compréhension mutuelle et en alignant les priorités, les organisations peuvent réussir à intégrer la cybersécurité dans leur stratégie globale.
Construire la résilience et répondre aux incidents
Pour maintenir la sécurité et la sûreté dans un paysage de menaces en constante évolution, plusieurs outils et approches avancés sont adoptés. Le Zero Trust gagne en popularité, notamment pour sécuriser les effectifs distribués et les environnements cloud, en mettant l’accent sur la vérification continue. L’architecture Zero Trust est une stratégie de conception et de mise en œuvre des systèmes informatiques basée sur le principe de « ne jamais faire confiance, toujours vérifier ». Elle suppose que les utilisateurs et les dispositifs ne doivent pas être fiables par défaut, même s’ils sont connectés à un réseau sécurisé comme un LAN d’entreprise ou ont été vérifiés par le passé. Les actions clés pour le Zero Trust incluent la réalisation d’une évaluation de préparation, la mise en œuvre de mécanismes de vérification d’identité, et l’utilisation de la micro-segmentation pour une sécurité accrue.
L’Identity Fabric joue également un rôle essentiel dans le renforcement de la sécurité identitaire en intégrant divers services d’identité dans un système cohérent, ce qui est clé pour atteindre le Zero Trust et assurer la conformité.
De plus, Security 3.0 émerge comme une stratégie globale pour la cybersécurité. Max Imbiel, CISO de BitPanda, s’est inspiré de la médecine moderne, en particulier du concept de longévité, pour proposer une approche préventive et basée sur des preuves pour la cybersécurité. Cela inclut de donner la priorité à la résilience, à l’hygiène cybernétique et à la prévention plutôt qu’à la détection et à la réponse. La Security 3.0 se concentre sur la détection précoce des menaces et utilise le big data, l’IA et l’apprentissage automatique pour l’analyse prédictive des menaces. Cette stratégie met l’accent sur l’amélioration continue, des réponses adaptatives aux nouveaux défis, et la collaboration entre experts technologiques, entreprises et utilisateurs pour des défenses renforcées. De plus, la Security 3.0 aborde des questions critiques telles que la protection de la vie privée des utilisateurs, la protection des données et l’utilisation éthique de l’IA.
Enfin, Cyber-Fantastic, une stratégie suggérée par Matthias Muhlert, CISO de Oetker, encourage à tirer parti des menaces pour croître, transformant les défis de sécurité potentiels en opportunités d’innovation et de résilience.
Ces stratégies en évolution mettent l’accent sur des approches proactives, basées sur les données et collaboratives, assurant ainsi une sécurité durable dans un monde de plus en plus numérique et interconnecté.
Explorer l’avenir
Se préparer à l’avenir de la cybersécurité nécessite des stratégies proactives qui s’alignent sur les objectifs commerciaux et se concentrent sur la résilience, l’efficacité, et les technologies émergentes. Alors que les menaces cybernétiques évoluent rapidement, les CISO doivent anticiper en intégrant la sécurité aux objectifs plus larges de l’entreprise. Un domaine clé d’attention concerne également la préparation face aux menaces quantiques. L’informatique quantique pose un risque significatif pour les méthodes de cryptage actuelles, nécessitant l’adoption d’un chiffrement résistant aux quantiques (QSE) pour garantir la protection des données.
Les actions clés pour se préparer aux menaces quantiques incluent l’évaluation des vulnérabilités cryptographiques, le début de l’adoption progressive du QSE, et la surveillance des nouvelles normes résistantes aux quantiques.
De plus, la gestion des identités non humaines et les identités décentralisées attirent l’attention comme des tendances critiques. Ces innovations offrent de nouvelles solutions pour une gestion des identités sécurisée et centrée sur l’utilisateur, renforçant ainsi le paysage global de la sécurité à mesure que la technologie continue d’évoluer.
En conclusion…
Le paysage de la cybersécurité est en constante évolution, exigeant un engagement et une préparation continus de la part des organisations. Les CISO jouent un rôle crucial dans la promotion de la résilience et l’influence sur le développement de réglementations qui façonneront l’avenir de la cybersécurité. Bien que l’IA présente à la fois des risques et des opportunités dans ce domaine, elle nécessite une gestion prudente pour maximiser son potentiel. La collaboration et la transparence restent essentielles pour renforcer l’ensemble des systèmes de défense. De plus, l’intégration de la santé mentale et d’approches holistiques peut considérablement améliorer l’efficacité des mesures de sécurité.
Nous remercions KuppingerCole d’avoir invité Lesnews à assister à Cyberevolution, et félicitations pour une édition exceptionnelle ! Nous attendons avec impatience la prochaine.
Article original rédigé par : Mirela Ciobanu
Bon à savoir
- Le DORA impose des normes strictes pour améliorer la résilience opérationnelle dans le secteur financier.
- La directive NIS2 étend les obligations de cybersécurité à un plus grand nombre d’entités et renforce la surveillance.
- Le développement de l’IA suscite des débats sur son utilisation éthique et la nécessité de régulations adaptées.
- Le modèle Zero Trust devient essentiel pour faire face à la décentralisation des environnements de travail.
- Les stratégies de cybersécurité doivent évoluer pour intégrer la mentalité proactive et collaborative.