Naviguer dans les réglementations de cybersécurité les plus importantes d'aujourd'hui

L'importance de la conformité dans les réglementations sur la cybersécurité

Dans le monde connecté d'aujourd'hui, la sécurité des données et la sécurité des réseaux ne sont plus seulement des préoccupations techniques, ce sont des impératifs juridiques et de réputation. À mesure que les menaces évoluent et que l'infrastructure numérique se développe, les cadres réglementaires conçus pour assurer la sécurité des systèmes doivent suivre le mouvement. Mais pour se conformer à ces réglementations, il ne suffit pas d'éviter les amendes ou de cocher des cases. Il s'agit d'intégrer la sécurité à chaque étape du développement des produits et de l'intégration des systèmes.

Dans les deux premiers blogs de cette série, nous avons exploré l'aspect humain de la cybersécurité - pourquoi la sensibilisation est importante et comment gérer les vulnérabilités de manière responsable. Aujourd'hui, nous nous intéressons aux réglementations en matière de cybersécurité qui définissent la norme minimale pour les systèmes sécurisés.

Pour les gestionnaires de biens, les promoteurs immobiliers et les intégrateurs de systèmes, la question est simple : feriez-vous confiance à un dispositif qui ne répond pas aux dernières normes de cybersécurité ? En effet, lorsqu'un fabricant néglige les réglementations obligatoires en matière de cybersécurité, cela soulève une question bien plus importante : que peut-il négliger d'autre ?

Réglementations obligatoires : Ce que vous devez faire

Directive sur la sécurité des réseaux et de l'information 2 (NIS2) : renforcer la sensibilisation à la cybersécurité dans l'UE

Qu'est-ce que la NIS2 ?

Adoptée par l'UE en 2022, la directive sur la sécurité des réseaux et de l'information 2 (NIS2) étend les exigences obligatoires en matière de cybersécurité à un plus large éventail de secteurs, notamment les infrastructures critiques, les services numériques, les fabricants d'appareils connectés, les services postaux/de messagerie, la science, la recherche et l'éducation. En vertu de la NIS2, les entreprises doivent :

• Adopter des mesures de sécurité fondées sur les risques pour leurs réseaux et systèmes d'information.

• Signaler les incidents de sécurité graves dans les 24 heures suivant leur détection.

• Mettre en œuvre des exigences de sécurité plus strictes pour la chaîne d'approvisionnement, en veillant à ce que l'ensemble de l'écosystème, y compris les fabricants, les intégrateurs et les prestataires de services, adhère à des pratiques de sécurité robustes.

NIS2 joue un rôle crucial dans la protection des services essentiels dans toute l'Union européenne, en renforçant les mesures de cybersécurité et la sensibilisation à la protection des infrastructures critiques, notamment les réseaux électriques, les systèmes d'approvisionnement en eau et les systèmes de santé. De cette manière, il garantit que les services essentiels de la vie quotidienne, tels que l'électricité, l'eau potable et les services médicaux, restent résistants aux cybermenaces, préservant ainsi à la fois la stabilité de la société et la sécurité publique.

Pour en savoir plus, consultez notre article de blog : La voie de la sécurité numérique : un aperçu de la directive NIS2 de l'UE.

La directive RED (Radio Equipment Directive) : exigences de cybersécurité pour les appareils sans fil

Qu'est-ce que la directive RED ?

La directive RED (Radio Equipment Directive), mise en œuvre par l'Union européenne, évolue pour introduire des exigences de cybersécurité obligatoires pour tous les appareils sans fil et connectés par radio. Cela inclut les interphones et les systèmes de contrôle d'accès basés sur IP, car ces systèmes utilisent souvent des technologies radio pour le contrôle d'accès, telles que les lecteurs de cartes RFID ou les lecteurs Bluetooth. En cas de non-conformité avec la directive RED, un appareil pourrait rencontrer des perturbations opérationnelles ou même être interdit de vente dans l'UE. Parmi les équipements concernés, on trouve :

• Assurer la résilience du réseau pour empêcher tout accès non autorisé.

• Protéger les données personnelles et la vie privée en exigeant des fabricants qu'ils mettent en œuvre un cryptage et une authentification plus puissants.

• Prévenir la fraude en veillant à ce que les dispositifs ne puissent pas être exploités par le biais de configurations de sécurité faibles.

Suivez l'actualité grâce à notre blog : Prêt pour RED ? Se conformer à la directive relative aux équipements hertziens.

Sécurité des produits et infrastructure de télécommunications (PSTI) : exigences minimales en matière de sécurité

Qu'est-ce que la PSTI ?

L'un des changements réglementaires les plus importants récemment intervenus est la loi britannique sur la sécurité des produits et les infrastructures de télécommunications (PSTI), qui oblige les fabricants d'appareils connectés à fournir des informations claires sur leurs politiques de mise à jour des logiciels. Cela signifie que les entreprises ne peuvent plus interrompre les mises à jour de sécurité sans préavis, ce qui rend les systèmes vulnérables. En outre, elles doivent :

• Déclarer combien de temps les mises à jour logicielles seront disponibles avant la fin de vie du produit.

• Désactiver l'utilisation de produits avec des mots de passe par défaut, en s'assurant que les appareils imposent la configuration de mots de passe uniques.

• Fournir publiquement des moyens aux utilisateurs et aux chercheurs pour rester conscients de la cybersécurité et signaler les failles potentielles.

Normes industrielles : aller au-delà de la conformité

Alors que les réglementations obligatoires fixent les exigences minimales en matière de cybersécurité, les certifications sectorielles témoignent d'un engagement en faveur de normes de sécurité plus strictes. Bien que ces certifications ne soient pas légalement obligatoires, elles constituent de puissants indicateurs montrant qu'une entreprise prend au sérieux la cybersécurité et a mis en place des processus structurés et reproductibles pour gérer les risques. Les principaux fournisseurs suivent des cadres tels que :

• ISO 27001 - La norme internationale pour la gestion de la sécurité de l'information
  
• Une certification mondialement reconnue qui garantit qu'une entreprise suit des politiques de cybersécurité et des stratégies de gestion des risques structurées.
  
• EN 303 645 – Norme de sécurité pour les appareils IoT
• Norme européenne décrivant les meilleures pratiques en matière de sécurité pour les appareils connectés, notamment les mises à jour logicielles sécurisées, les politiques de mots de passe, les exigences en matière de protection des données, etc.
• Conformité à la NDAA – Garantir la confiance sur le marché américain et au-delà
• La loi américaine sur l'autorisation de la défense nationale (NDAA) restreint l'utilisation des équipements de télécommunications et de sécurité de certains fabricants considérés comme présentant un risque pour la cybersécurité. Les intégrateurs travaillant sur des projets gouvernementaux ou d'infrastructures critiques doivent s'assurer que tous les dispositifs, tels que les caméras IP, les interphones et les lecteurs d'accès, répondent aux exigences de conformité de la NDAA. Cependant, cette obligation ne concerne pas uniquement le gouvernement américain ; de nombreuses organisations à travers le monde choisissent volontairement d'adopter les mêmes normes de sécurité. En excluant les marques non fiables, elles renforcent la résilience de leurs systèmes et garantissent une cybersécurité durable.

La conformité n'est qu'un début - le leadership en matière de cybersécurité va au-delà

Bien qu'il soit essentiel de respecter des normes telles que RED, NIS2 ou PSTI, la conformité ne suffit pas à faire d'une entreprise un leader de la cybersécurité. La conformité réglementaire est l'exigence minimale : c'est en allant au-delà et en saisissant la complexité de la cybersécurité que se distinguent les marques sécurisées et innovantes.

De nombreuses entreprises considèrent encore la sensibilisation à la cybersécurité comme une nécessité dictée par la conformité plutôt que comme un avantage stratégique. Cependant, des incidents réels ont montré qu'investir dans des mesures de sécurité robustes ne sert pas seulement à éviter les amendes, mais aussi à protéger la continuité des activités, la confiance des clients et même des vies.

Pour les intégrateurs de systèmes et les gestionnaires immobiliers, il est essentiel de choisir les bons fournisseurs. Avant de prendre une décision, posez-vous les questions suivantes :

• Le fabricant fournit-il une assistance logicielle à long terme et des mises à jour de sécurité ?

• Fournissent-ils des informations transparentes sur les vulnérabilités et les correctifs ?

• Dépassent-ils les exigences légales en adhérant aux meilleures pratiques, telles que les normes ISO 27001 et EN 303 645 ?

Si la réponse est non, il est peut-être temps de reconsidérer vos options. Les cybermenaces n'attendent pas, pourquoi le feriez-vous ?