Ivana Butorac, oratrice à Cybersecurity Europe 2024, compare la conformité à une partie d’échec… Débutons-la ici ! Tout jeu commence par la connaissance de l’adversaire, dit-elle. En l’occurrence, le pouvoir législatif.

Juris non excusat ! L’ignorance de la loi n’excuse personne. Ainsi, une personne qui ne connaît pas la loi ne peut échapper à sa responsabilité en cas de violation de celle-ci. « Connaître vos obligations et vos droits tels que dictés par la loi influencera de manière significative votre prise de décision en matière d’entreprise et donc de conformité », prévient Ivana Butorac, Cybersecurity Compliance Manager, Sopra Steria.

Respecter ses obligations et ses droits permettra de plaider en assurant que les clients ont non seulement été protégé contre toute utilisation abusive, mais également que l’entreprise a été protégée contre les atteintes à la réputation et les dommages financiers pouvant résulter d’une non-conformité. 

L’exemple du GDPR est révélateur. Les sanctions pour non-respect sont lourdes -parfois des millions d’euros. « Par facilité, certaines entreprises préfèrent payer. Mais ce n’est pas une solution à long terme. Si vous n’êtes pas perçu comme un fournisseur fiable et digne de confiance, votre réputation sera ternie. Vos clients commenceront à chercher des alternatives. En d’autres termes, l’ignorance n’exclut personne. »

Connaissez votre loi !

Non, le droit n’est pas une matière aride ! Mieux vaut voir l’utilité des lois, estime Ivana Butorac. En particulier les lois relatives à la technologie. Elles nous livrent de précieux conseils sur la façon dont nous pouvons créer de meilleurs produits et développer de meilleurs services. « Tant le GDPR que DORA -pour ne citer que ces deux lois- nous aident non seulement à atteindre la conformité, mais également à commercialiser nos produits. Dans la tech, les lois sont si pratiques qu’elles nous disent ce que l’on a à faire ! »

L’experte en Data Protection chez Sopra Steria nous invite également à réfléchir à l’évolution du marché. Et donc d’investiguer ses perturbations. « Facebook et Cambridge Analytica ont ébranlé le paysage des lois sur la vie privée et la protection des données, et donc la société d’une manière générale. En tant que citoyens consommateurs, nous sommes sortis du silence ; nous avons commencé à poser des questions et à mettre nos droits au premier plan. La vie privée est l’un de nos droits fondamentaux. Le marché ne pouvait plus ignorer la demande de la société ! »

Hier, la question de la cybersécurité était taboue. Il était difficile d’en parler. Pour preuve, sa part négligeable dans les investissements. Et pour cause : peu d’organisations estimaient pouvoir être victimes de cyberattaques. « Le silence façonnait le jeu et créait un grand écart… » Quant aux lois, pour beaucoup elles existaient, mais elles étaient ignorées. Souvent, à tort, les professionnels considèrent le droit comme quelque chose de très restrictif dans le sens où ce n’est pas lui qui dirige l’entreprise. De fait. Mais la sécurité juridique et l’engagement sont les signes d’une attitude commerciale positive. « La loi construit la responsabilité ! »

On peut réfuter que le droit est souvent trop lent à s’adapter au paysage de la tech. Et que, parce que très large, il peut générer un conflit avec celle-ci. Or, on a tout intérêt à fusionner droit et tech. « Les gens ont du mal à mettre en œuvre les exigences légales d’une loi. L’exemple du GDPR est éloquent. Le texte introduit des principes tels que la minimisation des données, la limitation des finalités, la sécurité et la responsabilité… Vous devrez prendre certaines mesures, comme le cryptage par pseudonymisation. Et adopter une approche basée sur les risques. Réfléchir, aussi, à ce qui peut arriver. Ce n’est qu’à ce moment-là que vous pourrez commencer à élaborer une solution… »

Plus de lois, plus de prévention

Trop de lois, entend-t-on. Certes. A entendre Ivana Butorac, c’est très positif. Pour elle, il est important de renforcer la sécurité juridique. Ce sont autant de mesures concrètes pour créer des produits meilleurs et plus sûrs. « Cette évolution résulte de notre ambition de devenir plus avancé technologiquement. Si nous voulons être innovants, comment, concrètement, atteindre nos objectifs informatiques sans dépasser les limites de la société ? Comment pouvons-nous faire tout cela tout en restant protégés contre les attaques extérieures ? » La cybersécurité est devenue une priorité. Ce qui veut dire que l’accent est porté sur la prévention. On a compris que le droit n’est pas là pour restreindre, mais pour nous aider à réfléchir à la manière dont nous pouvons améliorer notre cybersécurité.

A ce propos, il est intéressant de constater que les législateurs et les régulateurs européens s’intéressent désormais également aux différents marchés et aux différents aspects du monde technologique. « En fait, nous avons commencé à segmenter la cybersécurité en différents domaines. Ainsi, avec DORA -la loi qui se concentre sur les marchés financiers. Partant que les banques traitent des données hautement confidentielles, elles peuvent vraiment souffrir des cyberattaques. »

Le volet juridique est un pilier de la résilience. Notamment pour rester compétitif. « Les lois changent, même si elles évoluent assez lentement. Si vous n’en tenez pas compte dès le début, il sera très difficile de revenir en arrière et de refaire vos processus et votre documentation. Connaître vos obligations, limites et possibilités juridiques contribuera à votre compétitivité sur le marché et à votre résilience d’un point de vue commercial ! »

Etablir une gestion et une gouvernance des données efficaces et solides est impérieux. « Il vous faut connaître la nature des données dont vous disposez. Savoir où vous les stockez. Idem pour leur classification. De manière générale, comprenez la sensibilité de celles-ci. Commencez par faire la différence entre les données personnelles et non-personnelles. Selon la loi, les données personnelles peuvent avoir différents niveaux de sensibilité. Différentes mesures de sécurité sont donc requises… Si vous classez correctement vos données, vous saurez quel type de mesures de sécurité vous devez mettre en œuvre pour rester conforme. Croyez-moi, cela vous évitera bien des soucis ! »

Conformité, trois piliers

Ivana Butorac conseille également d’adopter une approche des risques basée sur trois piliers -plus solide. Pour commencer, évaluer les risques qui pourraient avoir un effet négatif sur le système ou produit. Ensuite, s’intéresser à la tech. Un produit peut, en effet, reposer sur différentes technologies. Ainsi, l’IA. Quels sont les risques liés à l’intelligence artificielle ? Enfin, troisième pilier : une approche du risque fondée sur la société. Le consommateur peut être affecté par l’usage du produit. Ou impacté sur sa vie privée. Bref, on verra dans quelle mesure les droits fondamentaux sont touchés… ou pas. « Elargir votre approche sur ces trois piliers revient à réduire l’écart. Ce faisant, vous fermerez les portes aux vulnérabilités et aux non-conformités. »

Enfin, autre conseil : renforcer l’équipe de cybersécurité avec une personne qui a des connaissances très pointues en matière de conformité. « Votre équipe sera très efficace dans les pratiques de prévention, d’intervention et de détection. D’un point de vue technique, si vous disposez d’un expert en conformité, cela vous aidera à voir ce qui vous manque en dehors de la sécurité que vous devriez mettre en œuvre. Et cela vous permettra de clôturer cette approche à trois piliers. »