1. Tous nos conseils pour protéger vos créations
  2. Protéger ses créations
  3. Cybersécurité : quels challenges pour les entreprises en 2022 ?

Cybersécurité : quels challenges pour les entreprises en 2022 ?

Consulter un avocat en droit des nouvelles technologies
Consulter un avocat en droit des nouvelles technologies
Maxime Wagner
Écrit par Maxime Wagner
Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

La cybersécurité est devenue ces derniers temps un risque majeur pour les entreprises. Les derniers ransomwares (blocage ou prise en otage de données en échange d’une rançon) ou désorganisations massives dont la presse s’est faite l’écho, ainsi que les menaces avérées sur de très petites, moyennes et grandes entreprises ont forcé à s'interroger sur la sécurité des réseaux informatiques dont aucune société ne peut se passer à notre époque. La législation, par défaut réservée à un territoire, a bien du mal à s’adapter à ces menaces qui par définition sont mondiales et ne sont pas contingentées à une zone géographique.

L’Union Européenne a tenté de réagir à la cybermenace avec notamment deux lois concernant la sécurité de l'information et la protection des données :

- La directive de « cybersécurité » SRI (Sécurité des Réseaux et de l'Information)

- Le RGPD (Règlement Général sur la Protection des Données).

Efficaces ou pas, ces lois, mises en place fin 2017, contraindront les entreprises à mettre en place de véritables politiques de sécurité mais aussi à signaler des fuites de données (ce qu’elles faisaient rarement jusqu’à présent pour ne pas risquer également une perte de crédibilité et de réputation).

 

 

La mise en place de nouvelles réglementations

 

L’objet de ces lois est de standardiser les règles de sécurité de l'information et de protection des données entre les États membres de l’UE afin de réhausser le niveau général de sécurité des réseaux et de gestion des données.La directive de « cyber-sécurité » SRI (Sécurité des Réseaux et de l'Information) signifie de nouvelles exigences de sécurité et de signalement d'incidents pour les entreprises. Particulièrement concernées, les entreprises de services publics, les transports et les entreprises de services financiers (opérateurs d'infrastructures critiques), doivent gérer de façon sérieuse les risques de sécurité et signaler les incidents graves à une autorité nationale.Le RGPD (Règlement Général sur la Protection des Données) a quant à lui pour but d’unifier dans une législation unique et dans toute l’Union Européenne, les règlementations de protection des données existantes. Concrètement, ce règlement, qui indique comment gérer des informations personnellement identifiables, sera applicable à toutes les entreprises ayant des activités en Europe, que les données personnellement identifiables soient stockées dans l'Union Européenne ou pas. La notion de « données personnelles » est élargie aussi aux adresses de courrier électronique, adresses IP et contenus postés sur des sites de réseaux sociaux.

Conséquences pour les entreprises

 

La grosse différence avec les mesures et lois qui existaient jusqu’à présent est que ces deux lois sont exécutoires et toute entreprise exerçant une activité au sein de l'UE, et traitant des données personnelles des sujets de l'UE, devra respecter les réglementations, au risque de subir des pénalités importantes, allant jusqu’à 2% du chiffre d'affaires annuel, dans une limite de 100 millions d'euros. Dans le RGPD, les données personnelles sont définies comme: « toute donnée concernant une personne physique identifiée ou identifiable (personne concernée) ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à une ou plusieurs caractéristiques spécifiques d'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne. » Les données concernées par cette large définition devront faire l’objet de toutes les attentions des sociétés. Ces dernières devront rassembler et traiter uniquement des données nécessaires à des fins légitimes pour leur « business ». Ces données seront obligatoirement protégées et stockées uniquement pour la durée nécessaire, et détruites définitivement ensuite.
 
En termes de sécurité, il y aura d’ailleurs aussi certainement une obligation de chiffrement des données et de présence de firewall, tandis qu'en matière de procédure, les entreprises seront obligées, en cas de fuites, d’informer les régulateurs de données et les individus touchés dans les 72 heures. La nouvelle législation impose aussi que tous les acteurs de la chaîne par laquelle transitent les données, des fournisseurs aux clients, soient conjointement responsables de la protection de celles-ci. Ceci amènera donc les hébergeurs ou les fournisseurs de solutions en ligne à exiger sans doute des assurances de traitement des données de la part de leurs clients et fournisseurs. Les pratiques d’externalisation de données vont donc connaître une révolution puisque chaque entreprise sera co-responsable.

La CNIL recommande à cet effet de s’assurer par contrat que le prestataire qui héberge ou traite les données :

- Informe sur les éventuelles autres sociétés qui auraient accès partiel ou total aux données

- Liste les pays où sont hébergés ses serveurs

- Prouve qu’il a une assurance de protection et de traitement de données pour ces pays tiers

- Assure son client qu’il l’informera en cas de demande ou requête judiciaire dans l’un des pays tiers

- A mis en place un système de traçabilité des données qu’il héberge ou traite

- A mis en place un système de continuité de service, sauvegarde, intégrité des données qu’il héberge ou traite.

Reste à savoir si vérification et garantie feront simplement l’objet d’assurances ou de véritables actions. Il se peut aussi que suite à la promulgation de ces lois, un responsable de la protection des données soit nécessaire dans chaque entreprise. Si le but de ces lois est évident, leurs conséquences ne sont donc pas évidentes. Il est quasiment impossible techniquement de savoir à l’heure actuelle où sont stockées les données que l'on manipule et quelles sociétés techniques y ont accès.

Si les entreprises respectent la loi, les coûts de traitement et d’hébergement des données exploseront: les petites sociétés seront-elles en mesure de respecter ces lois sans mettre en péril leur activité du fait des contraintes techniques et juridiques ?

Par ailleurs, du fait des ces lois, les domaines économiques qui utilisent beaucoup de données connaitront nécessairement un frein à leur développement. Enfin, l’obligation de déclarer des fuites de données risque d’avoir l’effet inverse de celui recherché. En effet, la publicité faite autour d’une fuite de données risque de renforcer le pouvoir des cybercriminels (car par exemple le moindre ransomware, même facile à neutraliser, sera de fait une menace) et de développer aussi des chantages aux fausses fuites.

Si la cybercriminalité pose un réel défi pour tous les acteurs économiques dans les prochaines années, la directive SRI et le RGPD peuvent représenter des contraintes supplémentaires pour les entreprises, notamment les TPE-PME.

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Différences entre contrat de licence logiciel et contrat SaaS

Les logiciels SaaS sont de plus en plus présents dans les entreprises. Pourtant les différences entre contrat SaaS et licence sont souvent mal appréhendées

5 min
Copyright © : définition, explications, fonctionnement

Copyright © ou droit d’auteur ? Quelles différences ? Le copyright n'a pas de valeur juridique en France. Quelles conséquences pour la protection des oeuvres ?

5 min
Liquidation judiciaire de l'EURL et biens personnels

Lors d'une liquidation judicaire d'EURL, il est important de protéger ses biens personnels. Découvrez le fonctionnement de la responsabilité limitée.

5 min
Les différences entre un avocat et un juriste

Les professions d’avocat et de juriste d’entreprise sont souvent confondues. Pourtant il existe des différences importantes entre ces deux métiers.

5 min
5 minutes pour tout savoir sur la cession de droits

Quelle est la procédure pour céder ses droits d'auteurs, dessins, modèles ...? Quelle rémunération pour l'auteur ? Nos conseils et astuces pour céder ses droits.

5 min
Changement d'adresse d'une entreprise : comment faire ?

Découvrez comment changer l'adresse de votre entreprise facilement : on vous explique toute la procédure pour transférer votre siège social.

5 min
La responsabilité civile professionnelle de l'avocat : 3 points essentiels à retenir

Les obligations de l'avocat ne se limite pas à rédiger vos actes juridiques ou vous conseiller. Ce faisant, il engage sa responsabilité civile professionnelle (RCP) en cas de manquements ou d'erreurs.

5 min
Qu’est-ce que la cession de propriété intellectuelle ?

Tout dirigeant est confronté à un moment ou un autre à des problématiques de cession de propriété intellectuelle. Mais que recouvre la propriété intellectuelle concrètement ? Et comment gérer les cessions ? Me Kouhana vous accompagne

5 min
Les 4 logiciels de paie les plus simples et les pratiques pour les PME

La gestion de la paie des salariés peut s'avérer extrêmement lourde pour les entreprises, au regard du nombre de formalités et de déclarations obligatoires. Les logiciels de paie permettent de s'en décharger facilement. Il en existe aujourd'hui beaucoup, comment s'en sortir en les distinguant ?

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier