Ce site web utilise des cookies

Nous utilisons des cookies fonctionnels et analytiques pour améliorer notre site Web. De plus, des tiers placent des cookies de suivi pour afficher des publicités personnalisées sur les réseaux sociaux. En cliquant sur Accepter, vous consentez au placement de ces cookies.

Conformité

Les règles de

cybersécurité en clair

La législation RGPD et la directive NIS sont en vigueur depuis trois ans. Comment les PME et les grandes entreprises s’y sont-elles adaptées? Et que nous réserve la croissance exponentielle de la cybercriminalité?
Cet article explique la réglementation dans un langage clair et propose une série d’outils prêts à l’emploi. 

Traitement des données par les villes et les communes

Plaintes relatives à la COVID-19

Marketing direct (principalement autour de la problématique des cookies) 

25% de signalements de fuites de données de plus qu’en 2019

4 fois plus de plaintes qu’en 2019

Top 3 des plaintes les plus fréquentes

En 2020, l’Autorité de protection des données a reçu

Le RGPD fête ses trois ans d’entrée en vigueur. Un délai suffisant pour assimiler les règles et se déclarer en conformité pourrait-on penser. La réalité s’inscrit plutôt dans une conscientisation croissante mais il reste des étapes à franchir. “Les entreprises se conforment lentement mais sûrement. Nous traversons également une ère de recours massif au numérique et de nouveaux types de données sont apparus. Un processus continu qui génère de nombreuses questions. Nous sommes là pour y répondre”, souligne Aurélie Waeterinckx, porte-parole de l’Autorité de protection des données (APD).

Lentement mais sûrement

L’APD accompagne les entreprises

Le code de conduite comme outil

Pour Aurélie Waeterinckx, il y a des outils existants à exploiter : “Trop peu d’organisations ont recours au code de conduite pour démontrer le respect des obligations RGPD. S’il ne garantit pas la conformité au règlement, il représente un atout dans l’évaluation de cette conformité. Ici aussi nous sommes là pour guider les entreprises.”

Aurélie Waeterinckx

est conseillère en communication et porte-parole de l’APD depuis le mois de mai 2019.

Le réflexe RGPD

Mais quelles sont les principales erreurs sur lesquelles les entreprises trébuchent encore aujourd’hui ? Selon Aurélie, la pole position est occupée par le marketing sans consentement et le manque de transparence en général. Les utilisateurs ne sont pas (ou peu) informés du traitement réservé à leurs données personnelles. “Nous relevons aussi le manque d’importance attribué au DPO dans l’entreprise ou encore le manque de réflexion préalable. Le réflexe RGPD doit naître avant le démarrage d’un projet.”

Votre PME conforme au RGPD

L’APD est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. Depuis le 25 mai 2018, l’APD est le successeur de la Commission de la protection de la vie privée.

Trois principales lacunes

Après consultation de plus de 250 PME, l’APD a détecté trois faiblesses majeures sur le terrain. La première concerne le principe (fondamental) de transparence. L’entreprise est consciente de son devoir d’information par rapport au traitement qu’elle réserve aux données, mais ne le communique pas, ou mal. “La lacune suivante concerne le principe d’analyse d’impact. Un outil obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La majorité des PME interrogées en ont la connaissance sans pour autant le mettre en place”, complète Aurélie Waeterinckx. Enfin, seuls 50% des répondants ont acquis les notions de ‘responsable du traitement’ et de ‘sous-traitant’ au sein de l’organisation.

Aurélie Waeterinckx
porte-parole de l’APD

“Les PME font partie de nos priorités et nous mettons dorénavant une vraie boîte à outils à leur disposition."

Une boîte à outils pour PME

Les PME ne restent pas inactives au regard du RGPD. Elles scannent le web à la recherche de conseils, elles consultent leur organisation sectorielle… Un constat que l’APD a décidé de transformer en opportunité. “Les PME font partie de nos priorités et nous mettons dorénavant une vraie boîte à outils à leur disposition. Je conseille deux publications de référence : le vade-mecum et le Plan d’action en 13 étapes. Des informations concrètes qui sont complétées par une brochure FAQ. Bref, un vrai tableau de bord pour les PME.”

BOOST comme support aux PME

Aider les micro-, petites et moyennes entreprises de tout secteur dans la mise en œuvre du RGPD. C’est l’objectif du projet BOOST réalisé par l’APD et financé par l’Union européenne. Cette grande action de sensibilisation est aussi une belle boîte à outils. “Nous mettons, entre autres, des modèles de lettres à disposition, nous vulgarisons l’information via des vidéos, nous publions une newsletter et nous organisons des webinaires. Le dernier a réuni 735 inscrits. Preuve du besoin sur le terrain et de la pertinence de nos actions”, explique la porte-parole de l’APD.

La loi NIS, issue de la directive européenne du même nom, est la première législation en matière de cybersécurité en Belgique. Trois ans après son entrée en vigueur, le Centre pour la Cybersécurité Belgique est globalement satisfait du respect des règles de la part des entreprises. "Mais il est encore trop tôt pour évaluer complètement la mise en œuvre des règles. Les premiers audits internes viennent d’être réalisés et les premiers audits externes seront réalisés en 2023", précise Valéry Vander Geeten, responsable juridique du Centre pour la Cybersécurité Belgique.

Déjà trois ans…

l’Europe élargit la réglementation NIS

Jusqu’ici, les règles s’appliquent aux secteurs du transport, de l’énergie, des finances, de la santé, de l’eau potable, des infrastructures numériques et des fournisseurs de services numériques. NIS 2, la nouvelle proposition de directive, prévoit d’élargir les types d’opérateurs dans certains des secteurs existants et d’ajouter de nouveaux secteurs : les opérateurs télécoms, les administrations publiques ou encore les entreprises de chimie en font partie. "Notons également que l’identification préalable par l’autorité sectorielle compétente ne serait plus nécessaire. Si vous tombez sous la définition, vous devez respecter la directive", souligne Valéry.

NIS 2 : plus de secteurs concernés

Valéry Vander Geeten

est le responsable juridique du Centre pour la Cybersécurité Belgique et délégué à la protection des données. Il est également en charge de la coordination de la transposition de la directive NIS en Belgique.

Cybersécurité à tous les étages

Une législation plus stricte est bénéfique à toute organisation, quelle que soit sa taille. Le secteur de l’énergie est évidemment crucial pour tous les autres secteurs et la sécurité de ses systèmes industriels est un enjeu important. Idem pour le secteur public dont les récents incidents en sont la preuve. "Dans la proposition NIS 2, les micro- ou petites entreprises seraient exclues, avec de nombreuses exceptions, notamment pour les entités qui pourraient avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique. Néanmoins, je pense que tout le monde est concerné. La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise."

Votre PME conforme au RGPD

"La cybersécurité n’est pas qu’une question d’IT,
c’est avant tout une culture d’entreprise.”

Portée élargie afin d’inclure davantage de secteurs et services, qu’il s’agisse d’entités importantes ou essentielles.

Fournisseurs de réseaux ou services de communications électroniques publics

Services numériques tels que des plateformes de services de réseaux sociaux et services de centres de données

Gestion des eaux usées et des déchets

Aérospatiale   

Fabrication de certains produits critiques (tels que produits pharmaceutiques, dispositifs médicaux, produits chimiques)

Services postaux et de courrier

Secteur alimentaire

Administration publique

NIS2

Actualiser les règles en matière de cybersécurité

En quoi consiste la nouvelle réglementation ?

NIS 2 : Proposition de directive concernant des mesures destinées à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union.

La première loi adoptée à l’échelle de l’UE en matière de cybersécurité, la Directive NIS, est entrée en vigueur en 2016 et a permis d’atteindre un niveau de sécurité des réseaux et systèmes d’information plus élevé et équilibré en UE. Cependant, au vu de la digitalisation sans précédent de ces dernières années, il est temps de la mettre à jour.

Les États membres de l’UE renforcent leurs capacités en matière de cybersécurité.

NIS

capacités

Une liste de sanctions administratives, incluant des amendes pour violation des obligations de gestion des risques et de notification, est établie.

Des mesures de surveillance et une application plus rigoureuses sont introduites.

NIS2

Partage d’informations et coopération accrus entre les autorités des États membres et rôle renforcé du groupe de coopération.

Institution d’un réseau européen pour la préparation et la gestion des cybercrises par les États membres (UE-CyCLONe) afin de contribuer à la gestion coordonnée des incidents et crises de grande ampleur en matière de cybersécurité.

NIS 2

Responsabilité des directions d’entreprises quant à leur respect des mesures de gestion des risques de cybersécurité.

Obligations rationalisées de notification des incidents, avec des dispositions relatives au processus, au contenu et aux délais de notification plus précises.

Renforcement de la cybersécurité de la chaîne d’approvisionnement des technologies clés d’information et de communication.

Exigences de sécurité renforcées avec une liste de mesures ciblées incluant une réponse aux incidents et une gestion de crise, la gestion et la divulgation des vulnérabilités, des tests de cybersécurité et un usage efficace du chiffrement.

NIS 2

Coopération accrue au niveau de l’UE.

NIS

Coopération 

Les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) doivent adopter les pratiques de gestion des risques et signaler les incidents significatifs à leurs autorités nationales.

NIS

cybersécurité - Gestion des risques

Secteurs concernés par la directive NIS

Soins de santé  

Transports

Banque et infrastructures des marchés financiers

Infrastructures numériques

Fourniture d’eau potable

Énergie

Fournisseurs de services digitaux

NIS

Brigitte Van Gerven

est diplômée de la faculté de polytechnique, option ingénieur électrotechnique, de la KU Leuven. Depuis 2017, elle occupe la fonction de project manager chez UBench International.

Une analyse objective

La certification est donc pratique pour refléter objectivement le niveau de protection des données d’une organisation. ISO 27001 est un certificat reconnu au niveau international pour la protection des données. “Il s’agit d’un cadre d’exigences auxquelles un système destiné à la protection des données doit répondre”, explique Bart Tollebeek, consultant en protection des données chez Proximus. “Plus simplement : l’organisation identifie pas à pas les risques potentiels. L’évaluation des risques en matière de sécurité mène ensuite à la mise en place de mesures proportionnelles.” Si l’organisation passe avec succès la vérification par un auditeur accrédité, elle obtient le certificat ISO 27001 pour une durée de trois ans. “Durant cette période, un contrôle annuel a lieu”, poursuit Bart. “Le certificat repose sur le principe d’amélioration constante.”

“La protection des données est essentielle pour nous”, explique Brigitte Van Gerven, responsable de projet. “Nous traitons un très grand nombre de données confidentielles sur notre plateforme.” Le volume de ces données a fortement augmenté depuis la création d’UBench International en 2003. “Pour en conserver une vue d’ensemble, une approche systématique et globale est nécessaire. En particulier quand vous visez, comme nous, une amélioration constante de la protection des données.” Une vision qui constitue de plus en plus un principe de base sur le marché. “La plupart des appels d’offres imposent des exigences strictes en matière de protection des données.”

UBench garantit la protection des données avec un certificat ISO

CASE

La législation RGPD et la directive NIS sont en vigueur depuis trois ans. Comment les PME et les grandes entreprises s’y sont-elles adaptées? Et que nous réserve la croissance exponentielle de la cybercriminalité?
Cet article explique la réglementation dans un langage clair et propose une série d’outils prêts à l’emploi. 

en clair

cybersecurity

Les règles de

Conformité

Respecter la réglementation européenne

Le RGPD fête ses trois ans d’entrée en vigueur. Un délai suffisant pour assimiler les règles et se déclarer en conformité pourrait-on penser. La réalité s’inscrit plutôt dans une conscientisation croissante mais il reste des étapes à franchir. “Les entreprises se conforment lentement mais sûrement. Nous traversons également une ère de recours massif au numérique et de nouveaux types de données sont apparus. Un processus continu qui génère de nombreuses questions. Nous sommes là pour y répondre”, souligne Aurélie Waeterinckx, porte-parole de l’Autorité de protection des données (APD).

Lentement mais sûrement

L’APD accompagne les entreprises

Le code de conduite comme outil

Pour Aurélie Waeterinckx, il y a des outils existants à exploiter : “Trop peu d’organisations ont recours au code de conduite pour démontrer le respect des obligations RGPD. S’il ne garantit pas la conformité au règlement, il représente un atout dans l’évaluation de cette conformité. Ici aussi nous sommes là pour guider les entreprises.”

Aurélie Waeterinckx

est conseillère en communication et porte-parole de l’APD depuis le mois de mai 2019.

Le réflexe RGPD

Mais quelles sont les principales erreurs sur lesquelles les entreprises trébuchent encore aujourd’hui ? Selon Aurélie, la pole position est occupée par le marketing sans consentement et le manque de transparence en général. Les utilisateurs ne sont pas (ou peu) informés du traitement réservé à leurs données personnelles. “Nous relevons aussi le manque d’importance attribué au DPO dans l’entreprise ou encore le manque de réflexion préalable. Le réflexe RGPD doit naître avant le démarrage d’un projet.”

Traitement des données par les villes et les communes

Plaintes relatives à la COVID-19

Marketing direct (principalement autour de la problématique des cookies) 

25% de signalements de fuites de données de plus qu’en 2019

4 fois plus de plaintes qu’en 2019

Top 3 des plaintes les plus fréquentes

En 2020, l’Autorité de protection des données a reçu

Uw kmo
GDPR-conform

Trois principales lacunes

Après consultation de plus de 250 PME, l’APD a détecté trois faiblesses majeures sur le terrain. La première concerne le principe (fondamental) de transparence. L’entreprise est consciente de son devoir d’information par rapport au traitement qu’elle réserve aux données, mais ne le communique pas, ou mal. “La lacune suivante concerne le principe d’analyse d’impact. Un outil obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La majorité des PME interrogées en ont la connaissance sans pour autant le mettre en place”, complète Aurélie Waeterinckx. Enfin, seuls 50% des répondants ont acquis les notions de ‘responsable du traitement’ et de ‘sous-traitant’ au sein de l’organisation.

Aurélie Waeterinckx
porte-parole de l’APD

“Les PME font partie de nos priorités et nous mettons dorénavant une vraie boîte à outils à leur disposition."

Une boîte à outils pour PME

Les PME ne restent pas inactives au regard du RGPD. Elles scannent le web à la recherche de conseils, elles consultent leur organisation sectorielle… Un constat que l’APD a décidé de transformer en opportunité. “Les PME font partie de nos priorités et nous mettons dorénavant une vraie boîte à outils à leur disposition. Je conseille deux publications de référence : le vade-mecum et le Plan d’action en 13 étapes. Des informations concrètes qui sont complétées par une brochure FAQ. Bref, un vrai tableau de bord pour les PME.”

BOOST comme support aux PME

Aider les micro-, petites et moyennes entreprises de tout secteur dans la mise en œuvre du RGPD. C’est l’objectif du projet BOOST réalisé par l’APD et financé par l’Union européenne. Cette grande action de sensibilisation est aussi une belle boîte à outils. “Nous mettons, entre autres, des modèles de lettres à disposition, nous vulgarisons l’information via des vidéos, nous publions une newsletter et nous organisons des webinaires. Le dernier a réuni 735 inscrits. Preuve du besoin sur le terrain et de la pertinence de nos actions”, explique la porte-parole de l’APD.

L’APD est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. Depuis le 25 mai 2018, l’APD est le successeur de la Commission de la protection de la vie privée.

Respecter la réglementation européenne

NIS 2 : Proposition de directive concernant des mesures destinées à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union.

La première loi adoptée à l’échelle de l’UE en matière de cybersécurité, la Directive NIS, est entrée en vigueur en 2016 et a permis d’atteindre un niveau de sécurité des réseaux et systèmes d’information plus élevé et équilibré en UE. Cependant, au vu de la digitalisation sans précédent de ces dernières années, il est temps de la mettre à jour.

La loi NIS, issue de la directive européenne du même nom, est la première législation en matière de cybersécurité en Belgique. Trois ans après son entrée en vigueur, le Centre pour la Cybersécurité Belgique est globalement satisfait du respect des règles de la part des entreprises. "Mais il est encore trop tôt pour évaluer complètement la mise en œuvre des règles. Les premiers audits internes viennent d’être réalisés et les premiers audits externes seront réalisés en 2023", précise Valéry Vander Geeten, responsable juridique du Centre pour la Cybersécurité Belgique.

Déjà trois ans…

l’Europe élargit la réglementation NIS

Cybersécurité à tous les étages

Une législation plus stricte est bénéfique à toute organisation, quelle que soit sa taille. Le secteur de l’énergie est évidemment crucial pour tous les autres secteurs et la sécurité de ses systèmes industriels est un enjeu important. Idem pour le secteur public dont les récents incidents en sont la preuve. "Dans la proposition NIS 2, les micro- ou petites entreprises seraient exclues, avec de nombreuses exceptions, notamment pour les entités qui pourraient avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique. Néanmoins, je pense que tout le monde est concerné. La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise."

Le Centre pour la Cybersécurité Belgique est une administration fédérale, sous l’autorité du Premier ministre, chargée de la coordination de la politique en matière de cybersécurité en Belgique.

Actualiser les règles en matière de cybersécurité

En quoi consiste la nouvelle réglementation ?

Une liste de sanctions administratives, incluant des amendes pour violation des obligations de gestion des risques et de notification, est établie.

Des mesures de surveillance et une application plus rigoureuses sont introduites.

NIS2

Secteurs concernés par la directive NIS

Valéry Vander Geeten

est le responsable juridique du Centre pour la Cybersécurité Belgique et délégué à la protection des données. Il est également en charge de la coordination de la transposition de la directive NIS en Belgique.

Jusqu’ici, les règles s’appliquent aux secteurs du transport, de l’énergie, des finances, de la santé, de l’eau potable, des infrastructures numériques et des fournisseurs de services numériques. NIS 2, la nouvelle proposition de directive, prévoit d’élargir les types d’opérateurs dans certains des secteurs existants et d’ajouter de nouveaux secteurs : les opérateurs télécoms, les administrations publiques ou encore les entreprises de chimie en font partie. "Notons également que l’identification préalable par l’autorité sectorielle compétente ne serait plus nécessaire. Si vous tombez sous la définition, vous devez respecter la directive", souligne Valéry.

NIS 2 : plus de secteurs concernés

"La cybersécurité n’est pas qu’une question d’IT,
c’est avant tout une culture d’entreprise.”

Fournisseurs de réseaux ou services de communications électroniques publics

Services numériques tels que des plateformes de services de réseaux sociaux et services de centres de données

Gestion des eaux usées et des déchets

Aérospatiale   

Fabrication de certains produits critiques (tels que produits pharmaceutiques, dispositifs médicaux, produits chimiques)

Services postaux et de courrier

Secteur alimentaire

Administration publique

Portée élargie afin d’inclure davantage de secteurs et services, qu’il s’agisse d’entités importantes ou essentielles.

NIS2

Soins de santé  

Transports

Banque et infrastructures des marchés financiers

Infrastructures numériques

Fourniture d’eau potable

Énergie

Fournisseurs de services digitaux

NIS

Exigences de sécurité renforcées avec une liste de mesures ciblées incluant une réponse aux incidents et une gestion de crise, la gestion et la divulgation des vulnérabilités, des tests de cybersécurité et un usage efficace du chiffrement.

Obligations rationalisées de notification des incidents, avec des dispositions relatives au processus, au contenu et aux délais de notification plus précises.

Responsabilité des directions d’entreprises quant à leur respect des mesures de gestion des risques de cybersécurité.

Renforcement de la cybersécurité de la chaîne d’approvisionnement des technologies clés d’information et de communication.

NIS 2

Les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) doivent adopter les pratiques de gestion des risques et signaler les incidents significatifs à leurs autorités nationales.

NIS

cybersécurité - Gestion des risques

Partage d’informations et coopération accrus entre les autorités des États membres et rôle renforcé du groupe de coopération.

Institution d’un réseau européen pour la préparation et la gestion des cybercrises par les États membres (UE-CyCLONe) afin de contribuer à la gestion coordonnée des incidents et crises de grande ampleur en matière de cybersécurité.

NIS 2

Coopération accrue au niveau de l’UE.

NIS

Coopération 

Les États membres de l’UE renforcent leurs capacités en matière de cybersécurité.

NIS

capacités

UBench International propose une plateforme cloud qui rassemble tous les acteurs du secteur automobile : sociétés de leasing, firmes de location, vendeurs de véhicules d’occasion, assureurs, services de dépannage et carrossiers. Avec son écosystème digital, l’entreprise située à Turnhout est aujourd’hui leader du marché belge. UBench International est également active dans de nombreux autres pays européens.

Respecter la réglementation européenne

Brigitte Van Gerven

est diplômée de la faculté de polytechnique, option ingénieur électrotechnique, de la KU Leuven. Depuis 2017, elle occupe la fonction de project manager chez UBench International.

La certification est donc pratique pour refléter objectivement le niveau de protection des données d’une organisation. ISO 27001 est un certificat reconnu au niveau international pour la protection des données. “Il s’agit d’un cadre d’exigences auxquelles un système destiné à la protection des données doit répondre”, explique Bart Tollebeek, consultant en protection des données chez Proximus. “Plus simplement : l’organisation identifie pas à pas les risques potentiels. L’évaluation des risques en matière de sécurité mène ensuite à la mise en place de mesures proportionnelles.” Si l’organisation passe avec succès la vérification par un auditeur accrédité, elle obtient le certificat ISO 27001 pour une durée de trois ans. “Durant cette période, un contrôle annuel a lieu”, poursuit Bart. “Le certificat repose sur le principe d’amélioration constante.”

Une analyse objective

“La protection des données est essentielle pour nous”, explique Brigitte Van Gerven, responsable de projet. “Nous traitons un très grand nombre de données confidentielles sur notre plateforme.” Le volume de ces données a fortement augmenté depuis la création d’UBench International en 2003. “Pour en conserver une vue d’ensemble, une approche systématique et globale est nécessaire. En particulier quand vous visez, comme nous, une amélioration constante de la protection des données.” Une vision qui constitue de plus en plus un principe de base sur le marché. “La plupart des appels d’offres imposent des exigences strictes en matière de protection des données.”

UBench garantit la protection des données avec un certificat ISO

CASE

One magazine

Les défis de la digitalisation sont à peu près les mêmes pour toutes les entreprises. C’est pourquoi nous unissons nos forces dans un magazine actualisé : One, qui traite de l’entrepreneuriat intelligent dans un monde digital.
Plein écran