SlideShare une entreprise Scribd logo

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?

Lexing - Belgium
Lexing - Belgium

- Quels sont les critères de classification des secteurs concernés par cette directive ? Où mon organisation se situe-t-elle ? - Quelles sont les exigences spécifiques en matière de sécurité que mon organisation doit mettre en œuvre et quels sont les délais pour leur mise en application ? - Quels sont les mécanismes de reporting et de documentation imposée et comment mon organisation peut-elle s’assurer de respecter ces obligations en matière de transparence et de suivi ? - Quelles sont les sanctions potentielles en cas de non-conformité et comment pouvons-nous mettre en place des stratégies de mitigation pour réduire ces risques ? par Alexandre CASSART, Antoine LANGE et Léa QUERTEMONT.

Droit
1  sur  37
Télécharger pour lire hors ligne
ALL OVER THE WORLD Cybersécurité: quels défis pour votre entreprise ? 24 novembre 2023 Alexandre CASSART Léa QUERTEMONT Antoine LANGE
Quatre questions 1. Quels sont les secteurs et les organisations concernées par la directive NIS 2? 2. Quelles sont les exigences en matière de sécurité que les organisations doivent mettre en œuvre? 3. Quels sont les mécanismes de reporting et de documentation sont imposés aux organisations et comment peuvent-elles assurer le respect de ces obligations 4. Quelles sont les sanctions potentielles en cas de non- conformité à la directive NIS 2 ?
Historique • Départ de la réflexion est la lutte contre la cybercriminalité • Affaire Bistel, 1989 • Convention de Budapest sur la cybercriminalité 23/11/2001 • Loi du 28/11/2000 relative à la criminalité informatique • Insère les infractions de hacking dans le Code pénal belge
Historique • Déplacement du focus vers la cybersécurité • Règlement 460/2004 créant ENISA (Agence européenne pour la cybersécurité) • Fondation du CCB en 2015 (AR 10/10/2014) • [Directive 2013/40 (harmonise le droit penal)] • Règlement 2019/881 Cybersecurity Act • NIS 1 (et 2)
Historique • Demain vers la cyber résilience ? • “Cyber Resilience Act” • Projet de la Commission dévoilé le 15/09/2022 • Position commune du Conseil le 19/07/2023 • Visera les obligations de sécurité des produits connectés
Contexte • Directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ➔ Directive Network & Information Security (NIS) 1 • Transposée en droit belge dans la loi du 7 avril 2019 • Etude de l’efficacité de la Directive NIS-1 par la Commission ➔ Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ➔ NIS – 2 ➔ Enquête publique en cours sur le projet de loi transposant la directive (site web du CCB)
Grandes différences entre les 2 directives NIS 1 NIS 2 Champ d'application 6 secteurs Moins de 100 opérateurs de services essentiels 18 secteurs Plus de 2000 entités concernées Mesures de sécurité Exigences générales en matière de Sécurité Exigences plus spécifiques et explicites Notification d'incident - Pour les OSE: pas de seuil européen ou national - Pour les Services Numériques : seuil européen Deadlines spécifiques Possibilité d'implémentation de seuils nationaux Harmonisation Quasiment absente + présente pour les mesures et amendes administratives
Quels sont les secteurs et les entités concernées par la directive NIS 2?
1.1. Quels secteurs et organisations sont concernés ? Directive NIS 1 Directive NIS 2
1.2. Quels secteurs et organisations sont concernés ?
De toutes tailles Grandes comme petites - Réseaux de communications - Prestataires de services de confiance - et registres de noms de domaine Seul prestataire d'un service essentiel au maintien d'activités sociétales ou économiques critiques. En raison de son importance - pour le secteur - Pour le type de service Perturbation peut impacter sécurité , sûreté ou santé publique Entité de l’administration publique 1.3. Quels secteurs et organisations sont concernés ? Des pouvoirs centraux régional si impact critiques potentiel sur activités au niveau sociétal / économique
Les entités non concernées en Belgique - Entités d’administrations publiques actives dans la sécurité nationale, la sécurité publique, la défense et la Justice - Administrations locales et institutions de l'éducation - Infrastructures du nucléaire - Entités dans la banque et infrastructures des marchés financiers tombant sous l'égide du règlement DORA 1.4. Quels secteurs et organisations sont concernés ?
Quelles exigences en matière de sécurité mon organisation doit-elle mettre en œuvre ? Quels sont les délais pour leur mise en application ?
Rôle des organes de direction - art. 20 Approuver les mesures de gestion des risques en matière de cybersécurité Superviser la mise en œuvre des mesures Peuvent être tenus responsables de la violation des exigences en matière de cybersécurité (art. 21) Membres des organes doivent suivre une formation – acquisition de connaissances suffisantes pour déterminer et évaluer les risques et leur impact Encourager les membres du personnel à suivre des formations similaires 2.1. Quelles exigences mettre en œuvre ?
2.2. Quelles exigences mettre en œuvre ? Adopter des mesures de gestion des risques de sécurité – art. 21 OBJECTIFS 1° Gérer les risques qui menacent la sécurité des réseaux et systèmes d’information 2° Eliminer ou réduire les conséquences des incidents Des mesures de gestion des risques … Techniques - Pares-feux; - Antivirus; - Chiffrement; - Contrôle d’accès; - Détection d’intrusion Opérationnelles - Formation du personnel; - Gestion des mots de passe; - Sauvegarde régulière des données; - Surveillance continue Organisationnelles - Rôles et responsabilités; - Procédures en cas de violation; - Intervention d’urgence; - Audits réguliers
2.3. Quelles exigences mettre en œuvre ? Des mesures de gestion des risques … Permettant un niveau de sécurité adapté au risque existant, en tenant compte : Ransom ware Malware Ingénierie sociale Menaces contre données Déni de service Chaine d’approvisi onnement De l’état des connaissances Du coût de mise en œuvre Des normes européennes et internationales applicables o ISO/CEI 27000 o ENISA THREAT LANDSCAPE (octobre 2023)
2.4. Quelles exigences mettre en œuvre ? Proportionnelles Des mesures de gestion des risques … Degré d’exposition aux risques Conséquences économiques et sociales des incidents Taille de l’entité Probabilité de survenance d’incidents et gravité
Authentification à plusieurs facteurs ou continue, systèmes de communications (y compris) d’urgence sécurisés Utilisation de la cryptographie et, le cas échéant, du chiffrement Sécurité d’acquisition, développement et maintenance des RSI, y compris le traitement et la divulgation des vulnérabilités Pratiques de base en cyberhygiène et formation Sécurité des chaines d’approvisionnement Gestion des incidents Continuité des activités Evaluation de l’efficacité des mesures Sécurité des ressources humaines, contrôles d’accès et gestion des actifs Politiques relatives à l’analyse des risques et à la sécurité 2.5. Quelles exigences mettre en œuvre ? Exigences minimales, fondées sur une approche « tous risques »
Quelques particularités … ➢ Exigences techniques et méthodologiques définies par la Commission européenne pour des fournisseurs et prestataires spécifiques (au plus tard le17 octobre 2024) : o Services DNS o Services Cloud o Centres de données o Réseaux de diffusion de contenu o Places de marché en ligne o Moteurs de recherche o Plateformes de réseaux sociaux o Prestataires de services de confiance (signature électronique, …) NB : CE peut adopter des exigences supplémentaires pour d’autres secteurs si l’estime nécessaire Caractère transfrontalier ➢ Mesures de gestion indépendantes de l’externalisation de la maintenance des réseaux et systèmes d’information
2.6. Quels délais pour leur application ? Conseil des ministres (10/11/2023) : approbation d’un avant-projet de Loi transposant la Directive 2022/2555 et d’un projet d’Arrêté Royal d’exécution 16 janvier 2023 Entrée en vigueur de NIS2 17 octobre 2024 Etats Membres transposent NIS2 17 avril 2025 Etats Membres établissent la liste des entités essentielles et importantes 17 octobre 2027 Révision de NIS2
Quels mécanismes de reporting et de documentation sont imposés ? Comment s’assurer de respecter les obligations de transparence et de suivi?
3.1 Quels mécanismes de reporting sont imposés ? Obligation d'information pour les incidents importants ➢ Cause ▪ Une perturbation opérationnelle grave des services ▪ Pertes financières pour l'entité ➢ Affecte ▪ d'autres personnes physiques ou morale ▪ en causant des dommages matériels, corporels ou moraux considérables
3.2. Quels mécanismes de reporting sont imposés ? Quel timing pour informer ? 24 Heures Alerte Précoce Seulement les infos nécessaires Doit déjà indiquer si soupçon d'acte malveillant ou illicite 72 Heures Notification d'incident • Mettre à jour les infos de l'alerte précoce • Evaluation initiale de l'incident : • Gravité • Impact • Indicateurs de compromissions si dispo À la demande du CSIRT/Autorité compétente Rapport intermédiaire Update de la situation Dans le mois de la notification Rapport final Description détaillée de l'incident Type de menace/cause Mesures d'atténuation Impact transfrontière, s'il y en a
3.3. Quels mécanismes de reporting sont imposés ? Demande d'informations ou de conseils Information des moyens de porter l'incident aux autorités répressives. Réponse du CCB/ autorité compétente À la demande de l’entité Conseils & orientation sur la mise en œuvre de mesures d'atténuations Si suspicion d’une menace d’origine criminelle 24 heures après l’incident
Comment s'assurer de respecter les obligations de transparence et de suivi ? Le rôle d'un superviseur est conseillé Superviseur Afin de : • Surveiller le respect de la directive • Communiquer avec • les autorités compétentes • Les parties prenantes • Rendre compte au top management Peut-être : - une personne physique ou morale, - interne ou externe Doit avoir compétences, ressources et indépendance nécessaire pour exercer ses fonctions
Comment démontrer que mon entité respecte les règles ? Pas d'obligation de certification MAIS être capable de prouver qu'on répond aux exigences Plusieurs certifications sont possibles dont: • ISO 27001 : Système de gestion de la sécurité de l'information – exigence de l'ancienne Directive, toujours acceptable pour NIS 2 • ISO 27002 : Répond totalement aux exigences de NIS2 • Cyber Fundamentals : initiative belge par le CCB Fournit des recommendations, outils et exemples pour chaques besoins Présomption de conformité pour les Cyber Fundamentals et ISO 27002 Certification
Comment démontrer que mon entité respecte ces règles ? Cyberfundamentals Accroître la Cyber- résilience Réduire le risque de cyber-attaques Protéger les données Identifier Protéger Détecter Répondre Rétablir
Quelles sont les sanctions potentielles en cas de non- conformité ?
4.1. Mesures de supervision – Pouvoirs des autorités compétentes (art. 32 et 33 dir. NIS2) ❑ Inspections sur place et contrôles à distance ❑ Scans de sécurité Demandes: ❑ informations nécessaires à évaluation des mesures de gestion des risques ❑ accès aux données ❑ preuves de mise en œuvre des politiques de cybersécurité ❑ Audits de sécurité réguliers par organisme indépendant ou autorité compétente ❑ Audits ad hoc, justifiés par incident important ou violation
4.2 Quelles sanctions ? ❑ Avertissements ❑ Instructions contraignantes ❑ Mettre un terme au comportement qui viole la directive ❑ Garantir la conformité des mesures de gestion ❑ Informer les personnes physiques ou morales ❑ Mettre en œuvre recommandations formulées à la suite d’un audit de sécurité ❑ Désigner pour une période déterminée, un responsable du contrôle du respect des articles 21 et 23 (pas pour les entités importantes) ❑ Ordonner de rendre publics les aspects de la violation de la directive ❑ Amendes administratives Mesures administratives ordonnées par l’Autorité compétente (art. 32 et 33 dir. NIS2)
4.2. Quelles sanctions ? Amendes administratives Entités essentielles Entités importantes 10 000 000 EUR ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent 7 000 000 EUR ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent • Montant le + élevé retenu • Possibilités d’astreintes
4.2. Quelles sanctions ? Appréciation de la sanction - critères : Gravité de la violation Durée de la violation Violation antérieure pertinente Dommages causés, pertes économiques, nombre d’utilisateurs touchés Violation délibérée ou par négligence Mesures prises pour prévenir ou atténuer les dommages Application de codes de conduite ou mécanismes de certification approuvés Degré de coopération avec les autorités compétentes o Violations répétées; o Absence de notification des incidents importants; o Ne pas pallier les insuffisances malgré les instructions contraignantes; o Entraver les audits et les activités de contrôle; o Fournir des informations fausses ou manifestement inexactes
En tout dernier recours … Suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services fournis et activités menées par l’entité Interdiction temporaire de toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal d’exercer ces responsabilités 4.2. Quelles sanctions ?
Stratégie globale • Lien avec d’autres obligations de conformité et autres mécanismes sont assez évidents • Similarité avec le RGPD par exemple • Stratégie de conformité globale par rapport à ces « nouvelles » obligations doit être envisagée vu les liens • Procédure de notification de violation de DACP • Politique de divulgation coordonnée des vulnérabilités • Canal de signalement interne • …
Hacking éthique Infraction pénale Mais cause de justification SI : 1.Information immédiate : • au Centre for Cybersecurity Belgium, • à l’organisation propriétaire du système vulnérable. 2.Confidentialité : ne peut pas divulguer les informations à quiconque d’autre. 3.Intervention limitée à ce qui est nécessaire et proportionné, sans action frauduleuse ou dessein de nuire. 4.But désintéressé PREVENTION → Adopter une politique de divulgation coordonnée des vulnérabilités
Etablir un canal de signalement interne pour signaler des irrégularités 17/02/2023 : Obligatoire pour les entreprises de plus de 50 travailleurs Loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé. notamment concernant : • la protection des données à caractère personnel, • la sécurité des réseaux et des systèmes d’information.
Merci pour votre attention ! Des questions ? Notre prochaine formation earlegal : → 26 janvier : Nouveau droit de la distribution et coopération entre entreprises → Inscription sur notre site internet : lexing.be

Recommandé

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Cybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxCybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxsanap6
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
Zero Trust Model
Zero Trust ModelZero Trust Model
Zero Trust ModelKen Tulegenov
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
Firewall
FirewallFirewall
FirewallYadh Krandel
 

Recommandé

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Cybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxCybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxsanap6
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
Zero Trust Model
Zero Trust ModelZero Trust Model
Zero Trust ModelKen Tulegenov
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
Firewall
FirewallFirewall
FirewallYadh Krandel
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021Adam Shostack
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
 
Threat Intelligence Workshop
Threat Intelligence WorkshopThreat Intelligence Workshop
Threat Intelligence WorkshopPriyanka Aash
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Swift-cyber-attacks.pptx
Swift-cyber-attacks.pptxSwift-cyber-attacks.pptx
Swift-cyber-attacks.pptxAmineRached2
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Security v. Privacy: the great debate
Security v. Privacy: the great debateSecurity v. Privacy: the great debate
Security v. Privacy: the great debateDavid Strom
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesmarysesalles
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
GDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIsGDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIsBim Akinfenwa
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity ContextMiguel A. Amutio
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
phishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptxphishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptxamby3
 
Le chiffrement
Le chiffrementLe chiffrement
Le chiffrementHanen Gazel
 
Social Media Forensics
Social Media ForensicsSocial Media Forensics
Social Media ForensicsJohn J. Carney, Esq.
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 

Contenu connexe

Tendances

Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021Adam Shostack
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
 
Threat Intelligence Workshop
Threat Intelligence WorkshopThreat Intelligence Workshop
Threat Intelligence WorkshopPriyanka Aash
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Swift-cyber-attacks.pptx
Swift-cyber-attacks.pptxSwift-cyber-attacks.pptx
Swift-cyber-attacks.pptxAmineRached2
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Security v. Privacy: the great debate
Security v. Privacy: the great debateSecurity v. Privacy: the great debate
Security v. Privacy: the great debateDavid Strom
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesmarysesalles
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
GDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIsGDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIsBim Akinfenwa
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity ContextMiguel A. Amutio
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
phishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptxphishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptxamby3
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 

Tendances (20)

Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
 
Threat Intelligence Workshop
Threat Intelligence WorkshopThreat Intelligence Workshop
Threat Intelligence Workshop
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Swift-cyber-attacks.pptx
Swift-cyber-attacks.pptxSwift-cyber-attacks.pptx
Swift-cyber-attacks.pptx
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Security v. Privacy: the great debate
Security v. Privacy: the great debateSecurity v. Privacy: the great debate
Security v. Privacy: the great debate
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
GDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIsGDPR Compliance KPIs and KRIs
GDPR Compliance KPIs and KRIs
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
phishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptxphishing-awareness-powerpoint.pptx
phishing-awareness-powerpoint.pptx
 
Le chiffrement
Le chiffrementLe chiffrement
Le chiffrement
 
Social Media Forensics
Social Media ForensicsSocial Media Forensics
Social Media Forensics
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber Resilience
 

Similaire à Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !SecludIT
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 

Similaire à Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ? (20)

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 

Plus de Lexing - Belgium

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeLexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...Lexing - Belgium
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesLexing - Belgium
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?Lexing - Belgium
 
earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !Lexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
 
earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !
 

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?

  • 1. ALL OVER THE WORLD Cybersécurité: quels défis pour votre entreprise ? 24 novembre 2023 Alexandre CASSART Léa QUERTEMONT Antoine LANGE
  • 2. Quatre questions 1. Quels sont les secteurs et les organisations concernées par la directive NIS 2? 2. Quelles sont les exigences en matière de sécurité que les organisations doivent mettre en œuvre? 3. Quels sont les mécanismes de reporting et de documentation sont imposés aux organisations et comment peuvent-elles assurer le respect de ces obligations 4. Quelles sont les sanctions potentielles en cas de non- conformité à la directive NIS 2 ?
  • 3. Historique • Départ de la réflexion est la lutte contre la cybercriminalité • Affaire Bistel, 1989 • Convention de Budapest sur la cybercriminalité 23/11/2001 • Loi du 28/11/2000 relative à la criminalité informatique • Insère les infractions de hacking dans le Code pénal belge
  • 4. Historique • Déplacement du focus vers la cybersécurité • Règlement 460/2004 créant ENISA (Agence européenne pour la cybersécurité) • Fondation du CCB en 2015 (AR 10/10/2014) • [Directive 2013/40 (harmonise le droit penal)] • Règlement 2019/881 Cybersecurity Act • NIS 1 (et 2)
  • 5. Historique • Demain vers la cyber résilience ? • “Cyber Resilience Act” • Projet de la Commission dévoilé le 15/09/2022 • Position commune du Conseil le 19/07/2023 • Visera les obligations de sécurité des produits connectés
  • 6. Contexte • Directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ➔ Directive Network & Information Security (NIS) 1 • Transposée en droit belge dans la loi du 7 avril 2019 • Etude de l’efficacité de la Directive NIS-1 par la Commission ➔ Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ➔ NIS – 2 ➔ Enquête publique en cours sur le projet de loi transposant la directive (site web du CCB)
  • 7. Grandes différences entre les 2 directives NIS 1 NIS 2 Champ d'application 6 secteurs Moins de 100 opérateurs de services essentiels 18 secteurs Plus de 2000 entités concernées Mesures de sécurité Exigences générales en matière de Sécurité Exigences plus spécifiques et explicites Notification d'incident - Pour les OSE: pas de seuil européen ou national - Pour les Services Numériques : seuil européen Deadlines spécifiques Possibilité d'implémentation de seuils nationaux Harmonisation Quasiment absente + présente pour les mesures et amendes administratives
  • 8. Quels sont les secteurs et les entités concernées par la directive NIS 2?
  • 9. 1.1. Quels secteurs et organisations sont concernés ? Directive NIS 1 Directive NIS 2
  • 10. 1.2. Quels secteurs et organisations sont concernés ?
  • 11. De toutes tailles Grandes comme petites - Réseaux de communications - Prestataires de services de confiance - et registres de noms de domaine Seul prestataire d'un service essentiel au maintien d'activités sociétales ou économiques critiques. En raison de son importance - pour le secteur - Pour le type de service Perturbation peut impacter sécurité , sûreté ou santé publique Entité de l’administration publique 1.3. Quels secteurs et organisations sont concernés ? Des pouvoirs centraux régional si impact critiques potentiel sur activités au niveau sociétal / économique
  • 12. Les entités non concernées en Belgique - Entités d’administrations publiques actives dans la sécurité nationale, la sécurité publique, la défense et la Justice - Administrations locales et institutions de l'éducation - Infrastructures du nucléaire - Entités dans la banque et infrastructures des marchés financiers tombant sous l'égide du règlement DORA 1.4. Quels secteurs et organisations sont concernés ?
  • 13. Quelles exigences en matière de sécurité mon organisation doit-elle mettre en œuvre ? Quels sont les délais pour leur mise en application ?
  • 14. Rôle des organes de direction - art. 20 Approuver les mesures de gestion des risques en matière de cybersécurité Superviser la mise en œuvre des mesures Peuvent être tenus responsables de la violation des exigences en matière de cybersécurité (art. 21) Membres des organes doivent suivre une formation – acquisition de connaissances suffisantes pour déterminer et évaluer les risques et leur impact Encourager les membres du personnel à suivre des formations similaires 2.1. Quelles exigences mettre en œuvre ?
  • 15. 2.2. Quelles exigences mettre en œuvre ? Adopter des mesures de gestion des risques de sécurité – art. 21 OBJECTIFS 1° Gérer les risques qui menacent la sécurité des réseaux et systèmes d’information 2° Eliminer ou réduire les conséquences des incidents Des mesures de gestion des risques … Techniques - Pares-feux; - Antivirus; - Chiffrement; - Contrôle d’accès; - Détection d’intrusion Opérationnelles - Formation du personnel; - Gestion des mots de passe; - Sauvegarde régulière des données; - Surveillance continue Organisationnelles - Rôles et responsabilités; - Procédures en cas de violation; - Intervention d’urgence; - Audits réguliers
  • 16. 2.3. Quelles exigences mettre en œuvre ? Des mesures de gestion des risques … Permettant un niveau de sécurité adapté au risque existant, en tenant compte : Ransom ware Malware Ingénierie sociale Menaces contre données Déni de service Chaine d’approvisi onnement De l’état des connaissances Du coût de mise en œuvre Des normes européennes et internationales applicables o ISO/CEI 27000 o ENISA THREAT LANDSCAPE (octobre 2023)
  • 17. 2.4. Quelles exigences mettre en œuvre ? Proportionnelles Des mesures de gestion des risques … Degré d’exposition aux risques Conséquences économiques et sociales des incidents Taille de l’entité Probabilité de survenance d’incidents et gravité
  • 18. Authentification à plusieurs facteurs ou continue, systèmes de communications (y compris) d’urgence sécurisés Utilisation de la cryptographie et, le cas échéant, du chiffrement Sécurité d’acquisition, développement et maintenance des RSI, y compris le traitement et la divulgation des vulnérabilités Pratiques de base en cyberhygiène et formation Sécurité des chaines d’approvisionnement Gestion des incidents Continuité des activités Evaluation de l’efficacité des mesures Sécurité des ressources humaines, contrôles d’accès et gestion des actifs Politiques relatives à l’analyse des risques et à la sécurité 2.5. Quelles exigences mettre en œuvre ? Exigences minimales, fondées sur une approche « tous risques »
  • 19. Quelques particularités … ➢ Exigences techniques et méthodologiques définies par la Commission européenne pour des fournisseurs et prestataires spécifiques (au plus tard le17 octobre 2024) : o Services DNS o Services Cloud o Centres de données o Réseaux de diffusion de contenu o Places de marché en ligne o Moteurs de recherche o Plateformes de réseaux sociaux o Prestataires de services de confiance (signature électronique, …) NB : CE peut adopter des exigences supplémentaires pour d’autres secteurs si l’estime nécessaire Caractère transfrontalier ➢ Mesures de gestion indépendantes de l’externalisation de la maintenance des réseaux et systèmes d’information
  • 20. 2.6. Quels délais pour leur application ? Conseil des ministres (10/11/2023) : approbation d’un avant-projet de Loi transposant la Directive 2022/2555 et d’un projet d’Arrêté Royal d’exécution 16 janvier 2023 Entrée en vigueur de NIS2 17 octobre 2024 Etats Membres transposent NIS2 17 avril 2025 Etats Membres établissent la liste des entités essentielles et importantes 17 octobre 2027 Révision de NIS2
  • 21. Quels mécanismes de reporting et de documentation sont imposés ? Comment s’assurer de respecter les obligations de transparence et de suivi?
  • 22. 3.1 Quels mécanismes de reporting sont imposés ? Obligation d'information pour les incidents importants ➢ Cause ▪ Une perturbation opérationnelle grave des services ▪ Pertes financières pour l'entité ➢ Affecte ▪ d'autres personnes physiques ou morale ▪ en causant des dommages matériels, corporels ou moraux considérables
  • 23. 3.2. Quels mécanismes de reporting sont imposés ? Quel timing pour informer ? 24 Heures Alerte Précoce Seulement les infos nécessaires Doit déjà indiquer si soupçon d'acte malveillant ou illicite 72 Heures Notification d'incident • Mettre à jour les infos de l'alerte précoce • Evaluation initiale de l'incident : • Gravité • Impact • Indicateurs de compromissions si dispo À la demande du CSIRT/Autorité compétente Rapport intermédiaire Update de la situation Dans le mois de la notification Rapport final Description détaillée de l'incident Type de menace/cause Mesures d'atténuation Impact transfrontière, s'il y en a
  • 24. 3.3. Quels mécanismes de reporting sont imposés ? Demande d'informations ou de conseils Information des moyens de porter l'incident aux autorités répressives. Réponse du CCB/ autorité compétente À la demande de l’entité Conseils & orientation sur la mise en œuvre de mesures d'atténuations Si suspicion d’une menace d’origine criminelle 24 heures après l’incident
  • 25. Comment s'assurer de respecter les obligations de transparence et de suivi ? Le rôle d'un superviseur est conseillé Superviseur Afin de : • Surveiller le respect de la directive • Communiquer avec • les autorités compétentes • Les parties prenantes • Rendre compte au top management Peut-être : - une personne physique ou morale, - interne ou externe Doit avoir compétences, ressources et indépendance nécessaire pour exercer ses fonctions
  • 26. Comment démontrer que mon entité respecte les règles ? Pas d'obligation de certification MAIS être capable de prouver qu'on répond aux exigences Plusieurs certifications sont possibles dont: • ISO 27001 : Système de gestion de la sécurité de l'information – exigence de l'ancienne Directive, toujours acceptable pour NIS 2 • ISO 27002 : Répond totalement aux exigences de NIS2 • Cyber Fundamentals : initiative belge par le CCB Fournit des recommendations, outils et exemples pour chaques besoins Présomption de conformité pour les Cyber Fundamentals et ISO 27002 Certification
  • 27. Comment démontrer que mon entité respecte ces règles ? Cyberfundamentals Accroître la Cyber- résilience Réduire le risque de cyber-attaques Protéger les données Identifier Protéger Détecter Répondre Rétablir
  • 28. Quelles sont les sanctions potentielles en cas de non- conformité ?
  • 29. 4.1. Mesures de supervision – Pouvoirs des autorités compétentes (art. 32 et 33 dir. NIS2) ❑ Inspections sur place et contrôles à distance ❑ Scans de sécurité Demandes: ❑ informations nécessaires à évaluation des mesures de gestion des risques ❑ accès aux données ❑ preuves de mise en œuvre des politiques de cybersécurité ❑ Audits de sécurité réguliers par organisme indépendant ou autorité compétente ❑ Audits ad hoc, justifiés par incident important ou violation
  • 30. 4.2 Quelles sanctions ? ❑ Avertissements ❑ Instructions contraignantes ❑ Mettre un terme au comportement qui viole la directive ❑ Garantir la conformité des mesures de gestion ❑ Informer les personnes physiques ou morales ❑ Mettre en œuvre recommandations formulées à la suite d’un audit de sécurité ❑ Désigner pour une période déterminée, un responsable du contrôle du respect des articles 21 et 23 (pas pour les entités importantes) ❑ Ordonner de rendre publics les aspects de la violation de la directive ❑ Amendes administratives Mesures administratives ordonnées par l’Autorité compétente (art. 32 et 33 dir. NIS2)
  • 31. 4.2. Quelles sanctions ? Amendes administratives Entités essentielles Entités importantes 10 000 000 EUR ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent 7 000 000 EUR ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent • Montant le + élevé retenu • Possibilités d’astreintes
  • 32. 4.2. Quelles sanctions ? Appréciation de la sanction - critères : Gravité de la violation Durée de la violation Violation antérieure pertinente Dommages causés, pertes économiques, nombre d’utilisateurs touchés Violation délibérée ou par négligence Mesures prises pour prévenir ou atténuer les dommages Application de codes de conduite ou mécanismes de certification approuvés Degré de coopération avec les autorités compétentes o Violations répétées; o Absence de notification des incidents importants; o Ne pas pallier les insuffisances malgré les instructions contraignantes; o Entraver les audits et les activités de contrôle; o Fournir des informations fausses ou manifestement inexactes
  • 33. En tout dernier recours … Suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services fournis et activités menées par l’entité Interdiction temporaire de toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal d’exercer ces responsabilités 4.2. Quelles sanctions ?
  • 34. Stratégie globale • Lien avec d’autres obligations de conformité et autres mécanismes sont assez évidents • Similarité avec le RGPD par exemple • Stratégie de conformité globale par rapport à ces « nouvelles » obligations doit être envisagée vu les liens • Procédure de notification de violation de DACP • Politique de divulgation coordonnée des vulnérabilités • Canal de signalement interne • …
  • 35. Hacking éthique Infraction pénale Mais cause de justification SI : 1.Information immédiate : • au Centre for Cybersecurity Belgium, • à l’organisation propriétaire du système vulnérable. 2.Confidentialité : ne peut pas divulguer les informations à quiconque d’autre. 3.Intervention limitée à ce qui est nécessaire et proportionné, sans action frauduleuse ou dessein de nuire. 4.But désintéressé PREVENTION → Adopter une politique de divulgation coordonnée des vulnérabilités
  • 36. Etablir un canal de signalement interne pour signaler des irrégularités 17/02/2023 : Obligatoire pour les entreprises de plus de 50 travailleurs Loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé. notamment concernant : • la protection des données à caractère personnel, • la sécurité des réseaux et des systèmes d’information.
  • 37. Merci pour votre attention ! Des questions ? Notre prochaine formation earlegal : → 26 janvier : Nouveau droit de la distribution et coopération entre entreprises → Inscription sur notre site internet : lexing.be