LSI et NIS2 : la cybersécurité n’est pas une option, mais une nécessité stratégique.

En automne dernier déjà, la Loi sur la protection des données (LPD), totalement révisée, et les dispositions d’exécution inscrites dans la nouvelle Ordonnance sur la protection des données (OPDo) sont entrées en vigueur en Suisse[i]. La révision de la Loi sur la protection des données introduit des dispositions et des exigences de conformité supplémentaires pour les entreprises, par exemple la tenue d’un registre des activités de traitement des données et l’exécution d’analyses d’impact relatives à la protection des données personnelles en cas de traitement de données à risque. Le tout est largement inspiré par le Règlement général sur la protection des données (RGPD) de l’UE[ii].

Les nouvelles dispositions renforcent les exigences en matière de surveillance de la cybersécurité et de reporting que les entreprises suisses et européennes doivent respecter. En Suisse, le Centre national pour la cybersécurité (NCSC) a été transformé en Office fédéral de la cybersécurité (OFCS). L’OFCS est le centre de compétences de la Confédération en matière de cybersécurité et, par conséquent, le premier interlocuteur des milieux économiques, de l’administration, des établissements d’enseignement et de la population pour toutes les questions au sujet de la cybersécurité[iii]. Il est chargé d’assurer la mise en œuvre coordonnée de la cyberstratégie nationale (CSN) et se concentre notamment sur la protection des infrastructures critiques. 

Atténuer les risques et assurer la continuité

La LSI consolide le cadre juridique dans le domaine de la sécurisation des informations[iv]. Elle exige des autorités suisses, des administrations publiques, des organisations de la Confédération, des tribunaux fédéraux, de la Banque nationale et d’autres organismes, ainsi que des tiers qui collaborent avec eux (c’est-à-dire aussi des entreprises privées sous certaines conditions) de réduire les risques potentiels à un minimum, d’évaluer en permanence la stabilité des systèmes et d’assurer la continuité de leurs activités. Ils sont tous tenus d’appliquer et d’évaluer des mesures de sécurité complètes et proactives et de prendre des mesures appropriées pour protéger les données et les valeurs numériques contre les cyberincidents. La LSI impose également la mise en place d’un système de management de la sécurité de l’information (SMSI) qui sert à assurer l’évaluation des risques, la classification des données et le respect des normes de sécurité. En plus de cela, une obligation de signaler les cyberattaques contre les infrastructures critiques[v] a été instituée et devrait entrer en vigueur au début de l’année prochaine[vi].

Exigences plus strictes pour les secteurs d’importance systémique dans l’UE

Dans l’UE, la directive européenne NIS2 introduit de nouvelles obligations en matière de cybersécurité pour de nombreuses entreprises actives dans des secteurs d’importance systémique[vii]. Dans 18 secteurs, les entreprises avec plus de 50 employés et un chiffre d’affaires de 10 millions d’euros doivent désormais mettre en place une gestion spéciale de la cybersécurité. La directive étend le champ d’application et les exigences impératives en introduisant des obligations strictes en termes de signalement des incidents, ainsi que des mesures supplémentaires pour la gestion des cyberrisques. En cas de non-respect de la directive NIS2, les autorités nationales peuvent imposer des amendes considérables, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global pour les secteurs vitaux et jusqu’à 7 millions d’euros ou 1.4 % du chiffre d’affaires pour les secteurs clés. 

Quels sont les principaux effets et la nécessité d’agir pour les entreprises concernées ? 
Dans le cadre de leur gestion des incidents informatiques, elles doivent prendre des mesures de prévention, de détection, d’identification, d’endiguement, de réduction des dommages et de réaction. Il est également important d’assurer la continuité des activités, la gestion de crise, ainsi que la sécurité de la chaîne d’approvisionnement, des réseaux et des systèmes d’information au moyen d’analyses de vulnérabilité et de tests de pénétration. Par ailleurs, il est obligatoire d’implémenter de solides pratiques de sécurité conformes aux exigences légales. La LSI impose le signalement immédiat des cyberincidents.

Nécessité d’une approche proactive

Le nouveau paysage de la cybersécurité exige une approche proactive. Les entreprises doivent accorder la priorité à la surveillance, à la détection et au reporting. Des check-lists servant à assurer le respect des dispositions et des instructions d’experts sont des ressources inestimables. 

La cybersécurité n’est pas une option, mais une nécessité stratégique, car seules des mesures organisationnelles et techniques équilibrées protègent votre entreprise de manière efficace et globale, tout en assurant votre conformité avec les règles les plus récentes. Il faut introduire de nouvelles dimensions de sécurité afin de compléter la prévention classique (protection du réseau et du périmètre)[viii]. En font partie, d’une part, la capacité de détecter un attaquant le plus tôt possible et, d’autre part, la possibilité de prendre au plus vite des contre-mesures. UMB est la bonne adresse en matière de cybersécurité proactive et de conformité lors de l’évolution des exigences légales. Contactez-nous pour de plus amples informations.

[i] Nouveau droit de la protection des données à partir du 1^er septembre 2023

[ii] Europäische Datenschutz-Grundverordnung

[iii] Office fédéral de la cybersécurité

[iv] Le Conseil fédéral fixe l’entrée en vigueur de la loi sur la sécurité de l’information

[v] Autorités et organisations assujetties à l’obligation de signaler

[vi] Obligation de signaler les cyberattaques contre les infrastructures critiques – calendrier

[vii] Directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS2) 

[viii] UMB Cyber Security : la nouvelle dimension de la sécurité