Lois, réglementations, normes et standards : la différence!

Tout au long de votre vie en tant que professionnel dans la cybersécurité, vous serez confronté à des challenges de conformité, que ce soit avec des lois, des réglementations, normes ou standards; vous devriez alors bien faire la différence entre ces notions et bien assimiler les conséquences en cas de non conformité.

Le risque de conformité est à prendre au sérieux, et devrait faire partie des préoccupations majeures des entreprises pour éviter les sanctions et poursuites judiciaires qui en découleraient, et qui pourraient être très lourdes parfois, et même menacer l’existence et la continuité de l’entreprise.

Les lois :

Les lois sont promulguées par les organes législatifs des pays pour adresser une problématique donnée au niveau national, et ce, en proposant des dispositions et des règles afin de maintenir l’ordre et garantir les droits, la sécurité et la santé des citoyens. Une loi est proposée, discutée et adoptée par les organes législatifs, dans le but d’être appliquée et respectée par tous.

Les lois sont souvent accompagnées de sanctions en cas de non respect ou de manquement aux règles en vigueur, que ce soit des sanctions de réclusion ou des amendes.

Dans le domaine de la cybersécurité il existe des lois qui permettent de protéger contre les actes malveillants touchant les individus et les organisations, citons par exemple :

  • Loi Godfrain du 5 janvier 1988 : C’est une loi qui a vu le jour pour combattre les actes de cybercriminalité et de piratage.
  • Cybersecurity Act : Loi européenne visant à renforcer la sécurité du marché en encourageant le recours à la certification de cybersécurité des produits.
  • Loi n° 2013-1168 : Elle a vu le jour le 18 décembre 2013 et est relative à la programmation militaire qui instaure diverses dispositions concernant la défense et la sécurité nationale.

Toute entreprise doit être consciente des lois en vigueur et veiller à mettre en place toutes les mesures nécessaires afin de les respecter, vu que le risque d’enfreindre une loi peut coûter très cher.

Les réglementations:

Le rôle de la réglementation est de faire exécuter une loi en édictant des règles sur la manière dont la loi sera mise en œuvre. en d’autres termes la réglementation vise à rendre les choses plus concrètes.

Le meilleur exemple d’une réglementation est le RGPD (Règlement général sur la protection des données) dont le but est la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Les réglementations, comme les lois d’ailleurs, exigent des sanctions en cas de non respect des règles édictées, et toute entreprise concernée par ces réglementations devrait veiller à les respecter en mettant en place les mesures nécessaires, faute de quoi, elle s’expose à des sanctions.

Les normes :

Contrairement aux lois et réglementations, les normes sont produites par des organismes (souvent privés) de normalisation mandaté (e.g. ISO), et ce, en édictant des des règles de conformité ou de fonctionnement.

Selon l’ISO une norme est un ensemble de règles fonctionnelles ou de prescriptions techniques relatives à des produits, à des activités ou à leurs résultats, établies par consensus de spécialistes et consignées dans un document produit par un organisme, national ou international, reconnu dans le domaine de la normalisation

Se conformer à une norme n’est pas obligatoire en soi pour les entreprises, mais c’est une des façon de prouver que le système d’information répond à l’ensemble des règles d’une norme reconnue et respectée, ce qui donne un niveau de confiance et de garantie plus marquant au public. Il est même possible de certifier un organisme contre une norme.

Les meilleurs exemples de normes dans le domaine de la cybersécurité sont les normes ISO 2700x, et parmi les plus utilisés on trouve :

  • ISO 27001 : Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information –
  • ISO 22301 : Sécurité et résilience – Systèmes de management de la continuité d’activité –
  • ISO 27005 : Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information

Si vous ne respectez pas une norme, vous n’encourez pas de sanctions, mais vous risquez de perdre une part du marché, la confiance de vos clients, voire les partenariats que vous aviez conclut avec des tiers.

Les standards :

Bien que très similaire à la notion de norme, un standard se distingue par le fait qu’il est défini par des groupes qui n’ont pas de mandats officiels des gouvernements. Les standards fournissent un ensemble de règles à respecter par toute entité faisant partie d’un groupe dans un domaine précis.

Comme pour les normes une organisation n’est pas mandaté à adopter un standard, cependant, et selon la nature de votre activité, vous pourriez perdre une part du marché si vous ne les suivez pas.

Le meilleur exemple d’un standard dans le monde de la cybersécurité, est la PCI-DSS (Payment Card Industry Data Security Standard), c’est un standard de sécurité des données qui s’applique aux différents acteurs de la chaîne monétique; il a été élaboré par les cinq principaux producteurs des cartes bancaires au monde (Visa, MasterCard, American Express, Discover Card et JCB).

Si votre organisme est une banque qui traite les données des titulaires de cartes bancaires, il a fortement intérêt à se conformer à ce standard pour éviter la responsabilité dans le cas d’une fraude par exemple; à ce jour, seuls VISA et MasterCard obligent les organismes concernés par le traitement des données de titulaires de cartes bancaires à ce conformer au standard, ce qui veut dire que même si votre banque n’est pas conforme à PCI-DSS elle peut toujours utiliser les services d’autres fournisseurs qui ne l’exigent pas comme American Express par exemple.

(Visited 13 times, 1 visits today)

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *