« La Troisième Guerre mondiale a-t-elle déjà commencé ? » C’était le titre d’un article rédigé le mois dernier par le correspondant en chef des affaires étrangères pour le Wall Street Journal, qui rapportait comment la Russie devient « de plus en plus efficace à l’utilisation de nouveaux outils, comme les cyberattaques et les ransomwares, pour perturber nos sociétés. »

La Chine également. Il y a un an, le directeur du FBI avait averti que la Chine intensifiait une vaste opération de piratage visant à paralyser le réseau électrique, les pipelines pétroliers et les systèmes d’eau des États-Unis. Puis, en avril 2024, le directeur a réaffirmé cela lors du sommet Modern Conflicts and Emerging Threats à Nashville :

« La RPC [République populaire de Chine] a clairement indiqué qu’elle considère chaque secteur qui fait fonctionner notre société comme une cible légitime dans sa quête de domination sur la scène mondiale, et que son plan consiste à asséner des coups bas à l’infrastructure civile pour tenter d’induire la panique et de briser la volonté des États-Unis de résister. »

Malgré les signaux d’alarme, il était choquant d’apprendre en octobre 2024 que la Chine avait piraté plusieurs entreprises de télécommunications et volé d’énormes quantités de données sensibles et d’informations confidentielles. Pire encore, il reste flou de savoir l’ampleur exacte du vol commis par la Chine et combien de temps les intrus ont été à l’intérieur des réseaux des entreprises.

Face à ces scénarios de menaces complexes, il n’est pas surprenant que l’année 2025 soit attendue comme une année clé pour les lois et réglementations en matière de cybersécurité. Le 27 décembre, un porte-parole de la Maison-Blanche, faisant le point sur les conséquences de la campagne de piratage de la Chine contre l’industrie des télécommunications, a suggéré que les pratiques de cybersécurité volontaires étaient insuffisantes.

Ce qui était volontaire pourrait devenir obligatoire

En parlant de volontariat, en 2020, alors que le monde était aux prises avec la pandémie et que des acteurs malveillants profitaient des nouvelles vulnérabilités liées au travail à distance, le Bureau des droits civils du Département de la Santé et des Services sociaux (HHS OCR) a fourni des directives importantes concernant les analyses de risques obligatoires requises par la loi HIPAA sur la portabilité et la responsabilité des assurances maladie.

Notant que les enquêtes de l’OCR découvrent souvent que les organisations manquent de compréhension concernant l’emplacement de leurs informations sensibles et personnelles (c’est-à-dire les données réglementées), l’OCR a déclaré que la création et la maintenance d’une liste à jour des actifs informatiques « pourraient être un outil utile » pour aider à la conformité aux analyses de risques.

L’OCR a ensuite décrit en détail ce que comprend l’inventaire, y compris les solutions de gestion des actifs informatiques (ITAM). L’OCR a également fait référence aux éléments du cadre NIST en cybersécurité, un ensemble fiable de lignes directrices et pratiques que les organisations peuvent adapter à leurs besoins et que certains États ont intégrés dans leurs lois sur la cybersécurité.

Il est instructif de noter que l’OCR a expliqué que comprendre son environnement—en particulier comment les informations personnelles et sensibles sont créées et entrent dans une organisation, circulent à travers celle-ci et en sortent—est essentiel pour comprendre les risques auxquels ces informations sont exposées à travers l’organisation.

Lors de la création d’un inventaire des actifs informatiques, l’OCR a encouragé les organisations à inclure, en résumé, les éléments suivants :

  • Les actifs matériels, y compris les appareils électroniques et les supports, qui composent les réseaux et systèmes d’une organisation.
  • Les actifs logiciels qui fonctionnent sur les dispositifs électroniques d’une organisation tels que les outils anti-malware, les systèmes d’exploitation, les bases de données, les systèmes de courriel, et les systèmes d’administration et de records financiers.
  • Les actifs de données que crée, reçoit, conserve ou transmet une organisation sur son réseau, ses appareils électroniques et ses supports.

Récemment, d’autres agences ont recommandé ou exigé des mesures similaires. Par exemple, il y a quelques semaines, la Commission fédérale du commerce a finalisé un ordre avec Marriott International, Inc. En plus des exigences standard, Marriott doit également « établir, mettre en œuvre et maintenir des outils de scan ou équivalents pour inventorier et classer régulièrement les actifs informatiques de Marriott contenant des informations personnelles, y compris le matériel, les logiciels et l’emplacement de ces actifs informatiques. »

De même, l’Agence de la cybersécurité des infrastructures recommande comme « ligne de base de la plus haute priorité » que les entités couvertes de toute taille maintiennent un inventaire régulièrement mis à jour de tous les actifs organisationnels, y compris la technologie opérationnelle (et non seulement informatique) de manière récurrente, mais au moins sur une base mensuelle.

Il y a quelques semaines, l’OCR a publié un avis de proposition de règlement (NPRM) pour modifier la règle de sécurité HIPAA, dans le cadre de son soutien à la stratégie nationale de cybersécurité Biden-Harris, qui est une extension de ce que l’administration Trump précédente a dévoilé. La dernière modification de la règle de sécurité date de 2013.

Notamment, selon une fiche d’information de l’OCR également diffusée le 27 décembre, les révisions proposées à la règle de sécurité pourraient exiger :

  • Le développement et la révision d’un inventaire des actifs technologiques et d’une carte du réseau au moins tous les 12 mois.
  • Une analyse obligatoire de l’inventaire des actifs technologiques et de la carte du réseau, dans le cadre de l’exigence d’analyse des risques de la règle de sécurité.
  • Une analyse de la criticité relative des systèmes d’information électroniques et des actifs technologiques pertinents pour déterminer leur priorité de restauration lors d’un incident, en tant que partie du processus d’analyse des risques imposé par la règle de sécurité.

Les commentaires du public sur le NPRM doivent être soumis dans les 60 jours suivant sa publication dans le registre fédéral, prévue pour le 6 janvier 2025.

Appel à l’action

Nous avons souligné à de nombreuses reprises que le développement et la mise en œuvre d’un plan de réponse aux incidents, la réalisation d’analyses de risques périodiques et la possession d’un programme écrit de sécurité de l’information à jour sont des éléments cruciaux pour une conformité efficace en matière de cybersécurité. Cela est parfois plus facile à dire qu’à faire, en particulier à mesure que les environnements des organisations évoluent et s’étendent.

Les organisations devraient envisager si leurs politiques, procédures et plans leur permettent de répondre aux exigences en matière de cybersécurité en réalisant régulièrement l’inventaire de leurs actifs technologiques—pour d’abord connaître leurs actifs—et notamment en relation avec les données et informations qu’elles gèrent. Les sources citées fournissent des orientations. N’hésitez pas à contacter les auteurs si vous avez besoin de conseils juridiques connexes.

Bon à savoir

  • Les cybermenaces évoluent rapidement, incitant les gouvernements à adapter leurs lois.
  • Une bonne gestion des actifs informatiques peut prévenir des violations de sécurité coûteuses.
  • La conformité est un processus continu, nécessitant une mise à jour régulière des pratiques et des politiques.

Ce contexte soulève des questions cruciales sur les défis futurs en matière de cybersécurité et sur la manière dont les organisations peuvent se préparer à des menaces potentielles. Comment les entreprises vont-elles intégrer ces nouvelles exigences dans leurs opérations quotidiennes tout en se concentrant sur leur croissance et leur efficacité ? Cette dynamique mérite une réflexion approfondie.



  • Source image(s) : natlawreview.com
  • Source : https://natlawreview.com/article/cybersecurity-compliance-2025-know-your-technology-assets


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *