De la sécurité à la conformité ? Le rôle du RSSI face à la cyber-réglementation grandit
30 mai 2024 • Paris, France • The Westin Paris - Vendôme
L’UE est à la pointe du monde en matière de réglementation intelligente de la cybersécurité. Mais qu’est-ce que cela signifie pour les professionnels de la sécurité?
Construire de véritables protections dans le cyberespace
Aujourd’hui, une grande partie du battage médiatique autour de la cybersécurité se concentre sur l’IA et ses implications tant pour les attaquants que pour les défenseurs. Et oui, l’IA réduit les barrières à l’entrée pour les attaquants et leur permet d’économiser du temps et de l’argent dans la conception des attaques, puis dans le « traitement » des réponses des défenseurs.
Mais il s’agit surtout d’un problème de volume : il y aura davantage d’attaques, tout comme cela s’est produit avec l’industrialisation numérique de la fraude. Et oui, l’IA peut créer de nouveaux types d’attaques, comme les deepfakes, qui représentent bien plus qu’un simple problème de volume.
Mais le changement le plus important en matière de cybersécurité réside en réalité dans la réponse réglementaire qui se dessine. Aux États-Unis, cela s’est fait via la SEC, qui considère la cybersécurité comme un problème important pour les parties prenantes et cherche donc à imposer des normes via la protection des investisseurs.
L'UE a adopté une approche plus globale et plus sensée qui consiste essentiellement à reconnaître que le cyberespace est une entité réelle dans laquelle les citoyens, les entreprises et l'État opèrent, tout comme ils le font dans le monde physique, et qu'il a donc besoin des mêmes protections que ce monde physique.
Cela signifie que nous avons besoin des législateurs, des régulateurs et des forces de l’ordre pour créer le type de cadres que nous tenons pour acquis dans le monde physique.
DORA, NIS2, le Cybersecurity Act, le Cyber Resilience Act et, à venir, le EU AI Act, sont des tentatives de premier plan visant à placer la cybersécurité sur des bases modernes, à la mesure de la menace qu’elle représente pour les économies, les infrastructures et la stabilité politique.
C'est un énorme changement pour les professionnels de la cybersécurité !
Cela signifie, bien sûr, que la haute direction sera obligée de budgétiser pour se conformer à ces nouvelles réglementations. Mais cela améliorera-t-il réellement la sécurité ? Cela va-t-il aspirer des ressources dans les fonctions de conformité des cases à cocher ? L’accent sera-t-il davantage mis sur la résilience (que se passe-t-il après une violation) que sur la sécurité, car l’hypothèse est que la violation est inévitable ? Et puisque les réglementations sont nécessairement obsolètes dès leur publication, vont-elles orienter la sécurité vers la protection contre les types de menaces antérieurs plutôt que vers la prévention de l’inattendu ?
Tout cela nécessitera de nouvelles approches et de nouvelles compétences de la part des RSSI. Ils doivent comprendre les réglementations et savoir comment y adapter leurs efforts de sécurité. Ils doivent développer ou travailler avec une surveillance de la conformité.
Ils doivent être capables de travailler avec l'entreprise pour expliquer les coûts et les avantages de la conformité réglementaire. Et ils doivent pouvoir adhérer à des normes externes fixes, alors qu’auparavant ils se sentaient peut-être capables de fonctionner de manière autonome.
Le congrès e-Crime & Cybersécurité France examinera l'écosystème croissant de la réglementation mondiale pour déterminer ce sur quoi les RSSI devraient mettre la priorité, où se situent les plus grands défis et comment s'y conformer de manière abordable et sécurisée.
Et bien sûr, nous aborderons également les sujets que vous nous avez demandés : les ransomwares, la sécurité et la culture de sécurité centrées sur l'humain, l'IA, la sécurité des tiers et tout le reste.
Le Congrès e-Crime et Cybersécurité France se penchera sur la réglementation, l'IA et le problème de l'abordabilité alors que les menaces et les risques se multiplient.
