La sécurité du numérique est un enjeu majeur. Il s’agit de protéger les données, les clients et la continuité d’activité. Or la volonté de l’Union européenne (UE) est de promouvoir l’industrie du numérique et de défendre un modèle démocratique assurant la protection des droits fondamentaux.

Cette évolution de la régulation bouscule les pratiques des entreprises. Se conformer aux nouvelles règles signifie s’approprier la connaissance, gérer ce risque réglementaire, investir, mettre en application les principes, adapter voire bouleverser l’organisation.

Quelles sont les tendances majeures de cette réglementation ?

Responsabilisation renforcée

Un ensemble de textes récents obligent l’entreprise à mettre en action les principes de sécurité du numérique. Cette sécurité passe par une responsabilité renforcée. Les textes créent de nouvelles obligations pour les acteurs du numérique, notamment celle de notifier aux autorités de contrôle (ANSSI, CNIL, etc.) les incidents de sécurité.

Par ailleurs, l’obligation de sécuriser l’information est présente aussi dans la directive dite « Secret des affaires » [1], publiée en juin 2016. Elle vise à harmoniser la protection des informations ayant une valeur économique, à la condition que les entreprises en assurent la protection [2]. La transposition de cette directive en France doit intervenir avant le 9 mai 2018.

Plus largement, l'UE veut devenir plus résiliente face aux cyberattaques et adopter des mesures efficaces, en matière de cyberdissuasion et de répression par le droit pénal. C’est l’ambition du « Paquet Cyber » proposé par la Commission le 13 septembre dernier et en préparation à Bruxelles, pour lancer un ensemble de mesures visant à harmoniser et renforcer la cybersécurité européenne. Parmi ces mesures, un projet de directive [3] de lutte contre la fraude aux moyens de paiement autres que les espèces, la transformation de l’ENISA [4] en Agence européenne de cybersécurité, le développement de labels de sécurité et une amélioration des poursuites pénales des cybercriminels.

Quelle sécurité pour les nouveaux entrants ?

La Directive concernant les services de paiement (dite DSP2) [5] organise la création d’un cadre juridique et de contrôle des acteurs émergents du marché des paiements.

L’ordonnance [6] du 9 août 2017 portant transposition de cette directive crée, pour les prestataires de services de paiement, des obligations en matière de sécurité des services en ligne, l’authentification forte [7] du client devient obligatoire notamment [8].

Dans le cadre de l’ouverture du marché, quelles sont les exigences de sécurité des systèmes pour ces acteurs [9] ? La Commission a adopté, le 27 novembre 2017, des règles garantissant une plus grande sécurité des paiements électroniques (standards techniques ou RTS [10]). Elle a entendu les critiques de l’Autorité bancaire européenne (ABE) et de la Fédération bancaire européenne (EBF) qui voulaient interdire, pour des questions de sécurité, le recours au web scraping pour aspirer les données des clients. Le web scraping sera limité en cas d’indisponibilité des API [11] bancaires. Ces nouvelles règles permettront aux consommateurs d'utiliser les services innovants proposés par les FinTechs, tout en conservant des mesures strictes de protection et de sécurité des données.

Le Parlement européen et le Conseil disposent d’une période d’examen de trois mois depuis le 27 novembre avant leur publication. Banques et FinTechs disposeront alors de 18 mois pour mettre en place ces mesures de sécurité.

Protection datacentrique

L’incontournable RGPD [12] sera applicable d’ici quelques mois, le 25 mai 2018. Les établissements financiers traitent, souvent à grande échelle, les données de clients, salariés et fournisseurs.

Pour se conformer au RGPD, les évolutions sont majeures : renforcer la structure en charge des données personnelles, formaliser les accords avec les sous-traitants, recueillir les consentements des personnes et faciliter l’exercice de leurs droits. Parmi ces droits, la portabilité des données bancaires suscite encore des interrogations pratiques et nécessite des travaux de coordination.

Les responsables de traitement devront également notifier les violations de sécurité auprès de la CNIL, voire des personnes concernées. Le 3 octobre 2017, le G29 [13] a publié [14] ses recommandations sur les modalités de notification. Le RGPD s’accompagnera de sanctions administratives fortes [15].

Le futur règlement ePrivacy complétera le RGPD sur les métadonnées, afin d’harmoniser la législation des États membres en matière de confidentialité des communications électroniques. L’objectif de Bruxelles est que les règlements GDPR et ePrivacy soient applicables simultanément, mais ce calendrier semble ambitieux car le futur règlement doit encore être adopté par le Parlement européen.

La loi pour une République numérique [16] a déjà fait évoluer quelques principes de la protection des données personnelles en France.

Le projet de nouvelle loi de protection des données personnelles [17], publié le 13 décembre dernier, modifiera les pouvoirs de contrôle de la Commission. Ce texte remplace le système de contrôle a priori de la CNIL (régimes de déclaration et autorisation préalables) par un système de contrôle a posteriori, fondé sur l’appréciation des risques par le responsable de traitement. Les formalités préalables seront maintenues pour les données les plus sensibles (données biométriques ou génétiques, données de santé, données utilisant le numéro d’inscription au RNIPP [18]).

Ce projet de 24 articles est minimal, en attendant la réécriture de la réglementation pour compléter le RGPD, vraisemblablement par voie d’ordonnance.

Conformité et gestion des risques

La fonction de conformité, traditionnellement axée sur la gestion des risques financiers, voit son périmètre s’élargir. La direction des risques ne peut ignorer le risque lié à la sécurité de l’information. Quels que soient l’organigramme et le positionnement du CISO [19], la gestion du risque cyber est devenue une composante majeure du risque opérationnel [20]. L’ABE a publié [21] en mai 2017 des orientations sur les risques liés aux technologies de l’information et de la communication. Depuis le 1er janvier 2018, ces lignes directrices s’appliquent aux autorités nationales de supervision, dont l’ACPR, pour les inciter à la prise en compte de ces risques dans l’évaluation du risque opérationnel.

Un enjeu de souveraineté nationale

Au-delà du maintien de l’activité de l’entreprise, la cybersécurité est un enjeu de souveraineté nationale. Les systèmes d’information des acteurs majeurs sont complexes et interconnectés. Cela les rend vulnérables et le législateur renforce la coordination avec la puissance publique.

L’objectif est d’élever le niveau de sécurité collectivement. La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif de cybersécurité de ses infrastructures d’importance vitale. Depuis la Loi de programmation militaire (LPM) [22] de 2013 les acteurs financiers considérés comme opérateurs d’importance vitale (OIV) sont tenus de mettre en œuvre des systèmes de détection des événements. L’arrêté du 28 novembre 2016 [23] concernant le secteur Finances a formalisé la mise en place effective des dispositions réglementaires.

Au plan européen, la directive dite SRI ou NIS [24] du 6 juillet 2016 veut assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Elle prévoit le renforcement de la cybersécurité par chaque État membre, en créant le concept d’« opérateurs de services essentiels » (OSE). Ces opérateurs, plus nombreux que les OIV, devront se conformer à un niveau national de règles de cybersécurité, incluant l’obligation de notifier les incidents.

La directive SRI instaure aussi des règles communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne. Les États membres ont jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Et demain ?

Un ensemble de textes majeurs pour la sécurité du numérique s’appliquent dès 2018. Comment anticiper les évolutions réglementaires à venir ? Les développements technologiques et l’internationalisation de la menace de cybercriminalité font encore évoluer les règles juridiques nationales et internationales [25]. La réponse législative fait figurer en bonne place l’obligation croissante de sécurisation des données et la confrontation des souverainetés numériques.

Les opportunités de l’économie datacentrique et la mise en valeur de la donnée ne sont durables que si elles s’accompagnent de gestion des risques et de conformité aux règles.

Pour les établissements financiers, les obligations croissantes d’assurer la sécurité de l’information et le renforcement des sanctions représentent, au-delà des contraintes, des incitations à la prévention et à la security by design [26]. La sécurité du numérique représente surtout un avantage concurrentiel et un vecteur de confiance.