LMi-MAG21 avril - Flipbook - Page 46
DOSSIER
Stockage
Des réglementations plus fortes
pour renforcer la cyberrésilience
L
es réglementations européennes seront de
plus en plus nombreuses et contraignantes
pour assurer la résilience des infrastructures
IT à l’image de celle de Dora, pour Digital
Operational Resilience Act. Cette dernière, une réglementation applicable dès janvier 2025, aura pour mission
de renforcer la résilience opérationnelle IT des acteurs
du secteur financier, les banques et les assurances
notamment, y compris les prestataires de services TIC
qui opèrent au sein de l’Union européenne dans ces services financiers. Au total, près de 22 000 organisations
seraient concernées. Initié par la Commission européenne en 2020, ce règlement Dora vise donc à garantir
le fonctionnement de l’entreprise même en cas d’attaque
ou d’incident cyber. Pour ce faire, les institutions financières concernées devront mettre en place une série de
mesures et les documenter. Les exigences de Dora se
portent surtout sur chaque aspect de la cybersécurité,
y compris la surveillance des cybermenaces et le signalement des cyberattaques, mais aussi sur les exigences
en matière de sauvegarde. De même, Dora exige que les
institutions financières tiennent un registre décrivant
les arrangements contractuels avec les fournisseurs
informatiques et qu’elles incluent des dispositions spécifiques dans les contrats avec ces derniers.
Vers un empilement de lois et règlements
A la loi Dora vient bien sûr s’ajouter la directive NIS 2,
qui vise à renforcer les mesures de résilience cyber
des acteurs nationaux jugés essentiels dans un grand
nombre de secteurs critiques définis (énergie, transport, santé, administration publique, etc.). Quant à la
directive RCE (résilience des entités critiques), très
similaire à NIS 2, elle met en avant la nécessité
d’une stratégie nationale visant à améliorer la
résilience des entités critiques fournissant
des services étatiques essentiels. S’ajoute
enfin la loi CRA (Cyber Resilience Act) qui
permet d’assurer une plus grande résilience des produits matériels et logiciels.
Cette loi va ainsi imposer des obligations
de sécurité aux fabricants mais aussi aux
importateurs et distributeurs pour com-
46 / mars / avril / mai 2024
mercialiser ces produits connectés. Pour résumer, la loi
demande déjà plus de security by design, c’est-à-dire
de prendre en compte la sécurité dès la conception
du produit et qu’aucune faille de sécurité connue soit
détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyberrisques doit être
plus rigoureuse. Enfin, il y aura une obligation de fournir pendant cinq ans des mises à jour du produit pour
corriger d’éventuelles failles. Et tout incident devra par
ailleurs être notifié à l’Enisa (European Union Agency for
Cybersecurity). Aujourd’hui, nous ne connaissons pas
encore le calendrier de la mise en œuvre de la loi CRA et
sa transposition dans chaque pays européen.
EHDS pour assurer plus de résilience
aux données de santé
Un autre secteur est soumis à plus de résilience, c’est
celui de la santé et le programme EHDS (Espace européen des données de santé) créé par l’UE en fait partie.
Rappelons que l’EHDS permet aux citoyens de contrôler et d’utiliser leurs données de santé dans leur pays
d’origine ou dans d’autres Etats membres. Cet espace de
partage offre un cadre cohérent et fiable pour exploiter
les données de santé à des fins de recherche, d’innovation, d’élaboration de politiques et de réglementation,
tout en garantissant le plein respect des normes élevées
de protection des données de l’UE. L’accès à ces données par des chercheurs, des entreprises ou des institutions nécessite l’autorisation d’un organisme d’accès
aux données de santé, qui est créé dans tous les Etats
membres. L’accès ne sera accordé que si les données
demandées sont utilisées à ces fins spécifiques, dans
des environnements fermés et sécurisés et
sans révéler l’identité de la personne.
A ce titre, l’EHDS s’appuie entre
autres sur le RGPD et la directive NIS. D’ailleurs, la confiance
est un élément important de
l’EHDS, en effet, des critères
de sécurité sont intégrés pour
que les fournisseurs assurent
l’interopérabilité et la sécurité
des systèmes de dossiers de santé.