Accueil Cybercriminalité Cybersécurité : les entreprises sont-elles prêtes pour la nouvelle directive européenne ?

Cybersécurité : les entreprises sont-elles prêtes pour la nouvelle directive européenne ?

Robert Griffin
Robert Griffin RSA

Un projet de directive européenne dévoilé au début du mois d’août souhaite que les entreprises dans le domaine des nouvelles technologies reportent aux autorités compétentes toute faille de sécurité survenue au sein de leurs systèmes informatiques – à l’instar de ce qui est déjà fait pour les entreprises dans les secteurs de la santé, des finances ou encore des transports.

Robert Griffin, Chief Security Architect chez RSA, division sécurité d’EMC, spécialiste mondial de la gestion de données, partage son point de vue suite à cette annonce.

 

Alors que de nouvelles règles en matière de sécurité informatique sont actuellement en cours de discussions au sein de l’Union Européenne, il est essentiel que ces débats prennent en considération l’équilibre requis autour du signalement des failles de sécurité.

D’un côté, nous avons l’importance de partager les informations sur les failles afin de réduire le risque pour les autres entreprises d’être attaquées, ainsi que de soutenir la recherche commune autour des cibles, stratégies et outils des pirates informatiques. D’un autre côté, il y a d’autres risques, cette fois-ci provenant de la divulgation de ces failles avant d’avoir compris ce qu’il s’était passé et l’impact qu’elles ont eu.

En vue des changements à venir en matière de régulations européennes liées à la confidentialité, il est important pour les entreprises d’aller au-delà de la simple mise en conformité avec ces règles. Il s’agit de réfléchir à l’impact concret sur leur productivité. Dans cette optique, ces dernières doivent élaborer une stratégie cohérente pour tous les services internes – en gardant à l’esprit que la sécurité est une affaire concernant toute l’entreprise, et pas uniquement le service informatique.

Etablir un équilibre en matière de signalement doit prendre en compte trois aspects essentiels : les besoins de l’entreprise en matière de rétention d’information, l’impact sur l’entreprise de cette divulgation d’informations, ainsi que l’approche stratégique plus générale adoptée par l’entreprise en matière de sécurité.

.