[ad_1]
L’adoption du cloud computing et le passage à la transformation numérique devraient être une histoire généralement positive. Pourtant, il est de plus en plus courant aujourd’hui de se réveiller avec des gros titres montrant que des entreprises ayant commis des infractions exposent des milliards d’enregistrements de données personnelles. La nouvelle inquiétante est que ces attaques visent souvent des organisations de premier plan qui respectaient la législation gouvernementale, de British Airways aux hôtels Marriott : leur statut exige la conformité.
Et dans le monde de la GDPR, on pourrait penser que de tels événements sont en voie d’extinction : après tout, les lourdes amendes et la perte de confiance des clients devraient être des facteurs de motivation suffisamment importants pour que les marques fassent de la protection de leurs données et de leurs actifs une priorité et aillent au-delà de la simple conformité.
S’il peut être tentant de penser qu’il suffit de suivre la lettre de la loi pour protéger une organisation contre les menaces extérieures et les acteurs malveillants, ce n’est pas le cas en pratique. Se concentrer uniquement sur les normes réglementaires de base peut présenter de graves lacunes : la conformité ne représente que le niveau minimum de cybersécurité acceptable. Le fait d’y parvenir ne sécurise pas une entreprise.
Dans la lutte contre la cybercriminalité, les organisations du monde entier doivent aller au-delà de la simple conformité en s’imposant des normes de cybersécurité plus élevées. Elles doivent tenir compte des personnes, des processus et des systèmes dans leurs environnements complexes.
La conformité n’est pas la panacée
Traiter la conformité comme une finalité de sécurité est une position dangereuse pour les entreprises, principalement parce qu’elle ne couvre pas tout. La plupart des industries et des secteurs auront leurs propres formes de conformité, ce qui signifie que les niveaux de protection peuvent varier considérablement selon l’industrie. Par conséquent, un commerce de détail conforme ne sera probablement pas aussi sûr qu’une entreprise de soins de santé conforme.
La conformité peut également conduire à la complaisance. Une entreprise conforme peut être prompte à penser que tous ses problèmes de sécurité sont résolus et que l’entreprise est protégée, sans tenir compte du fait que la loi est souvent plus lente à réagir, par rapport aux pirates qui développent de nouvelles attaques. La loi est plus réactive que proactive, ce qui signifie qu’elle sera toujours à un pas derrière les pirates informatiques – donc, si une entreprise est conforme, cela ne signifie pas qu’elle est sécurisée.
Certains ont même fait valoir que le problème réside dans le respect des règles elles-mêmes : en traitant les règlements comme une liste de contrôle, on ne répond pas à leur objectif de protection efficace. Les réglementations étant considérées comme une attente réaliste de ce que les entreprises peuvent et doivent faire pour protéger les données de leurs clients et leurs propres activités, elles ne sont pas aussi strictes que nécessaire – les gouvernements ne peuvent pas en demander trop ou risquent de se heurter à une résistance. Par conséquent, les réglementations peuvent devenir moins efficaces à mesure que le paysage des menaces évolue.
La conformité comme ligne de base
Aller au-delà de la conformité du point de vue de la sécurité, c’est faire plus que ce que dit la réglementation. La législation et la réglementation jouent un rôle essentiel dans la cybersécurité, mais elles doivent être considérées comme la ligne de base et le strict minimum que les entreprises doivent respecter.
Les entreprises doivent aller au-delà si elles veulent être “sécurisées par la conception” et fournir un environnement opérationnel qui établit une culture de la sécurité au sein de l’organisation. À l’heure actuelle, on estime que 90 % des violations de données sont causées par des erreurs humaines, ce qui signifie que presque tous les employés peuvent exposer l’entreprise à des pertes de données et à des amendes exorbitantes en cas d’infraction à des règlements tels que le GDPR
De la perte d’un ordinateur portable au clic accidentel sur des courriels de phishing, les employés sont souvent considérés comme le maillon faible d’une entreprise en matière de sécurité. Pour y remédier, il est impératif que nous modifiions notre approche pour aider nos équipes à comprendre les comportements de sécurité que nous exigeons d’elles et que tous les protocoles soient documentés et conformes au droit des sociétés. Pour bien faire cela, il faut repenser l’approche traditionnelle “montrer et dire” de la formation à la cybersécurité.
Pérenniser votre stratégie de cybersécurité
Bien qu’il soit rare que des textes législatifs d’une telle portée, tels que le GDPR, soient créés, le rythme de l’évolution du monde numérique signifie qu’ils seront de plus en plus fréquents. Par exemple, de nombreux pays adoptent le GDPR comme modèle pour modifier leur propre approche de la sécurité des données, et le nouveau règlement sur la vie privée en ligne sera bientôt là. Pour dire les choses simplement, il deviendra bientôt un casse-tête pour les entreprises qui réagissent constamment à ces lois, au lieu de les anticiper et de se surpasser de manière proactive dans tous les aspects de la cybersécurité.
En mettant en œuvre des stratégies de cybersécurité qui vont plus loin que les exigences standard de conformité aux règlements, les entreprises continueront non seulement à répondre de front à la législation à venir, mais elles auront aussi une longueur d’avance en matière de sécurisation des données de leurs clients et de leurs propres opérations.
[ad_2]
