SlideShare une entreprise Scribd logo
1  sur  37
Télécharger pour lire hors ligne
ALL OVER THE WORLD
Cybersécurité:
quels défis pour
votre entreprise ?
24 novembre 2023
Alexandre CASSART
Léa QUERTEMONT
Antoine LANGE
Quatre questions
1. Quels sont les secteurs et les organisations
concernées par la directive NIS 2?
2. Quelles sont les exigences en matière de sécurité que
les organisations doivent mettre en œuvre?
3. Quels sont les mécanismes de reporting et de
documentation sont imposés aux organisations et
comment peuvent-elles assurer le respect de ces
obligations
4. Quelles sont les sanctions potentielles en cas de non-
conformité à la directive NIS 2 ?
Historique
• Départ de la réflexion
est la lutte contre la
cybercriminalité
• Affaire Bistel, 1989
• Convention de
Budapest sur la
cybercriminalité
23/11/2001
• Loi du 28/11/2000
relative à la criminalité
informatique
• Insère les infractions
de hacking dans le
Code pénal belge
Historique
• Déplacement du
focus vers la
cybersécurité
• Règlement 460/2004
créant ENISA
(Agence européenne
pour la cybersécurité)
• Fondation du CCB en
2015 (AR 10/10/2014)
• [Directive 2013/40
(harmonise le droit
penal)]
• Règlement 2019/881
Cybersecurity Act
• NIS 1 (et 2)
Historique
• Demain vers la cyber
résilience ?
• “Cyber Resilience Act”
• Projet de la
Commission dévoilé le
15/09/2022
• Position commune du
Conseil le 19/07/2023
• Visera les obligations
de sécurité des
produits connectés
Contexte
• Directive 2016/1148 concernant des mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et
des systèmes d'information dans l'Union ➔ Directive Network
& Information Security (NIS) 1
• Transposée en droit belge dans la loi du 7 avril 2019
• Etude de l’efficacité de la Directive NIS-1 par la Commission
➔ Directive (UE) 2022/2555 du 14 décembre 2022 concernant
des mesures destinées à assurer un niveau élevé commun
de cybersécurité dans l’ensemble de l’Union ➔ NIS – 2
➔ Enquête publique en cours sur le projet de loi transposant la
directive (site web du CCB)
Grandes différences entre les 2 directives
NIS 1 NIS 2
Champ
d'application
6 secteurs
Moins de 100 opérateurs
de services essentiels
18 secteurs
Plus de 2000 entités
concernées
Mesures de
sécurité
Exigences générales en
matière de Sécurité
Exigences plus
spécifiques et
explicites
Notification
d'incident
- Pour les OSE: pas de
seuil européen ou
national
- Pour les Services
Numériques : seuil
européen
Deadlines spécifiques
Possibilité
d'implémentation de
seuils nationaux
Harmonisation Quasiment absente
+ présente pour les
mesures et amendes
administratives
Quels sont les
secteurs et les
entités concernées
par la directive NIS
2?
1.1. Quels secteurs et organisations
sont concernés ?
Directive NIS 1
Directive NIS 2
1.2. Quels secteurs et organisations
sont concernés ?
De toutes tailles
Grandes comme
petites
- Réseaux de communications
- Prestataires de services de
confiance
- et registres de noms de domaine
Seul prestataire d'un service essentiel
au maintien d'activités sociétales ou
économiques critiques.
En raison de son
importance
- pour le secteur
- Pour le type de
service
Perturbation peut impacter
sécurité , sûreté ou santé publique
Entité de
l’administration publique
1.3. Quels secteurs et organisations
sont concernés ?
Des
pouvoirs
centraux
régional si impact
critiques potentiel
sur
activités au niveau
sociétal /
économique
Les entités non concernées en
Belgique
- Entités d’administrations publiques actives dans la
sécurité nationale, la sécurité publique, la défense et
la Justice
- Administrations locales et institutions de l'éducation
- Infrastructures du nucléaire
- Entités dans la banque et infrastructures des marchés
financiers tombant sous l'égide du règlement DORA
1.4. Quels secteurs et organisations
sont concernés ?
Quelles exigences en
matière de sécurité
mon organisation
doit-elle mettre en
œuvre ?
Quels sont les délais
pour leur mise en
application ?
Rôle des organes de direction - art. 20
Approuver les mesures de gestion des risques en matière
de cybersécurité
Superviser la mise en œuvre des mesures
Peuvent être tenus responsables de la violation des
exigences en matière de cybersécurité (art. 21)
Membres des organes doivent suivre une formation –
acquisition de connaissances suffisantes pour déterminer et évaluer les
risques et leur impact
Encourager les membres du personnel à suivre des
formations similaires
2.1. Quelles exigences mettre en œuvre ?
2.2. Quelles exigences mettre en œuvre ?
Adopter des mesures de gestion des risques de sécurité –
art. 21
OBJECTIFS
1° Gérer les risques qui menacent la sécurité
des réseaux et systèmes d’information
2° Eliminer ou réduire les conséquences des
incidents
Des mesures de gestion des risques …
Techniques
- Pares-feux;
- Antivirus;
- Chiffrement;
- Contrôle d’accès;
- Détection
d’intrusion
Opérationnelles
- Formation du
personnel;
- Gestion des mots de
passe;
- Sauvegarde régulière
des données;
- Surveillance continue
Organisationnelles
- Rôles et
responsabilités;
- Procédures en cas de
violation;
- Intervention
d’urgence;
- Audits réguliers
2.3. Quelles exigences mettre en œuvre ?
Des mesures de gestion des risques …
Permettant un niveau de sécurité adapté au risque existant, en tenant
compte :
Ransom
ware
Malware
Ingénierie
sociale
Menaces
contre
données
Déni
de
service
Chaine
d’approvisi
onnement
De l’état des connaissances
Du coût de mise en œuvre
Des normes européennes et internationales applicables
o ISO/CEI 27000
o ENISA THREAT LANDSCAPE (octobre 2023)
2.4. Quelles exigences mettre en œuvre ?
Proportionnelles
Des mesures de gestion des risques …
Degré d’exposition aux
risques
Conséquences
économiques et
sociales des incidents
Taille de l’entité
Probabilité de
survenance d’incidents
et gravité
Authentification à plusieurs facteurs ou continue, systèmes de
communications (y compris) d’urgence sécurisés
Utilisation de la cryptographie et, le cas échéant, du
chiffrement
Sécurité d’acquisition, développement et maintenance des RSI, y
compris le traitement et la divulgation des vulnérabilités
Pratiques de base en cyberhygiène et formation
Sécurité des chaines d’approvisionnement
Gestion des incidents
Continuité des activités
Evaluation de l’efficacité des mesures
Sécurité des ressources humaines, contrôles d’accès et
gestion des actifs
Politiques relatives à l’analyse des risques et à la sécurité
2.5. Quelles exigences mettre en œuvre ?
Exigences minimales,
fondées sur une
approche « tous
risques »
Quelques particularités …
➢ Exigences techniques et méthodologiques définies par la
Commission européenne pour des fournisseurs et
prestataires spécifiques (au plus tard le17 octobre 2024) :
o Services DNS
o Services Cloud
o Centres de données
o Réseaux de diffusion de contenu
o Places de marché en ligne
o Moteurs de recherche
o Plateformes de réseaux sociaux
o Prestataires de services de confiance
(signature électronique, …)
NB : CE peut adopter des exigences supplémentaires
pour d’autres secteurs si l’estime nécessaire
Caractère
transfrontalier
➢ Mesures de gestion indépendantes de l’externalisation de la
maintenance des réseaux et systèmes d’information
2.6. Quels délais pour leur application ?
Conseil des ministres (10/11/2023) : approbation d’un
avant-projet de Loi transposant la Directive 2022/2555
et d’un projet d’Arrêté Royal d’exécution
16
janvier
2023
Entrée en
vigueur
de NIS2
17
octobre
2024
Etats
Membres
transposent
NIS2
17
avril
2025
Etats Membres
établissent la
liste des entités
essentielles et
importantes
17
octobre
2027
Révision de
NIS2
Quels mécanismes
de reporting et de
documentation sont
imposés ?
Comment s’assurer
de respecter les
obligations de
transparence et de
suivi?
3.1 Quels mécanismes de reporting sont imposés ?
Obligation d'information pour les
incidents importants
➢ Cause
▪ Une perturbation opérationnelle grave
des services
▪ Pertes financières pour l'entité
➢ Affecte
▪ d'autres personnes physiques ou
morale
▪ en causant des dommages
matériels, corporels ou moraux
considérables
3.2. Quels mécanismes de reporting sont imposés ?
Quel timing pour informer ?
24 Heures
Alerte Précoce
Seulement les infos nécessaires
Doit déjà indiquer si soupçon d'acte
malveillant ou illicite
72 Heures
Notification d'incident
• Mettre à jour les infos de l'alerte précoce
• Evaluation initiale de l'incident :
• Gravité
• Impact
• Indicateurs de compromissions si dispo
À la demande du
CSIRT/Autorité
compétente
Rapport intermédiaire
Update de la situation
Dans le mois de
la notification
Rapport final
Description détaillée de l'incident
Type de menace/cause
Mesures d'atténuation
Impact transfrontière, s'il y en a
3.3. Quels mécanismes de reporting sont imposés ?
Demande d'informations ou de conseils
Information des
moyens de porter
l'incident aux
autorités répressives.
Réponse du
CCB/ autorité
compétente
À la demande
de l’entité
Conseils & orientation
sur la mise en œuvre
de mesures
d'atténuations
Si suspicion
d’une menace
d’origine criminelle
24 heures après
l’incident
Comment s'assurer de respecter les obligations de
transparence et de suivi ?
Le rôle d'un superviseur est conseillé
Superviseur
Afin de :
• Surveiller le respect de la directive
• Communiquer avec
• les autorités compétentes
• Les parties prenantes
• Rendre compte au top management
Peut-être :
- une personne physique ou
morale,
- interne ou externe
Doit avoir compétences, ressources et
indépendance nécessaire pour
exercer ses fonctions
Comment démontrer que mon entité respecte les règles ?
Pas d'obligation de certification
MAIS
être capable de prouver qu'on répond aux exigences
Plusieurs certifications sont possibles dont:
• ISO 27001 : Système de gestion de la sécurité de
l'information – exigence de l'ancienne Directive,
toujours acceptable pour NIS 2
• ISO 27002 : Répond totalement aux exigences de
NIS2
• Cyber Fundamentals : initiative belge par le CCB
Fournit des recommendations, outils et exemples
pour chaques besoins
Présomption de conformité pour les Cyber
Fundamentals et ISO 27002
Certification
Comment démontrer que mon entité respecte ces règles ?
Cyberfundamentals
Accroître la
Cyber-
résilience
Réduire le risque
de cyber-attaques
Protéger les
données
Identifier
Protéger
Détecter
Répondre
Rétablir
Quelles sont les
sanctions
potentielles en
cas de non-
conformité ?
4.1. Mesures de supervision – Pouvoirs des
autorités compétentes (art. 32 et 33 dir. NIS2)
❑ Inspections sur place et
contrôles à distance
❑ Scans de sécurité
Demandes:
❑ informations nécessaires à
évaluation des mesures de
gestion des risques
❑ accès aux données
❑ preuves de mise en œuvre des
politiques de cybersécurité
❑ Audits de sécurité réguliers par
organisme indépendant ou
autorité compétente
❑ Audits ad hoc, justifiés par
incident important ou violation
4.2 Quelles sanctions ?
❑ Avertissements
❑ Instructions contraignantes
❑ Mettre un terme au comportement qui viole la directive
❑ Garantir la conformité des mesures de gestion
❑ Informer les personnes physiques ou morales
❑ Mettre en œuvre recommandations formulées à la suite
d’un audit de sécurité
❑ Désigner pour une période déterminée, un responsable
du contrôle du respect des articles 21 et 23 (pas pour les
entités importantes)
❑ Ordonner de rendre publics les aspects de la violation de
la directive
❑ Amendes administratives
Mesures administratives ordonnées par l’Autorité compétente
(art. 32 et 33 dir. NIS2)
4.2. Quelles sanctions ?
Amendes administratives
Entités essentielles Entités importantes
10 000 000 EUR
ou
2% du chiffre d’affaires
annuel mondial total de
l’exercice précédent
7 000 000 EUR
ou
1,4% du chiffre d’affaires
annuel mondial total de
l’exercice précédent
• Montant le + élevé retenu
• Possibilités d’astreintes
4.2. Quelles sanctions ?
Appréciation de la sanction - critères :
Gravité de la violation
Durée de la violation
Violation antérieure pertinente
Dommages causés, pertes économiques,
nombre d’utilisateurs touchés
Violation délibérée ou par négligence
Mesures prises pour prévenir ou atténuer les
dommages
Application de codes de conduite ou
mécanismes de certification approuvés
Degré de coopération avec les autorités
compétentes
o Violations répétées;
o Absence de notification des incidents importants;
o Ne pas pallier les insuffisances malgré les instructions contraignantes;
o Entraver les audits et les activités de contrôle;
o Fournir des informations fausses ou manifestement inexactes
En tout dernier recours …
Suspension temporaire d’une
certification ou d’une
autorisation concernant tout
ou partie des services fournis
et activités menées par
l’entité
Interdiction temporaire de
toute personne physique
exerçant des responsabilités
dirigeantes à un niveau de
directeur général ou de
représentant légal d’exercer
ces responsabilités
4.2. Quelles sanctions ?
Stratégie globale
• Lien avec d’autres obligations de conformité et autres
mécanismes sont assez évidents
• Similarité avec le RGPD par exemple
• Stratégie de conformité globale par rapport à ces
« nouvelles » obligations doit être envisagée vu les liens
• Procédure de notification de violation de DACP
• Politique de divulgation coordonnée des vulnérabilités
• Canal de signalement interne
• …
Hacking éthique
Infraction pénale
Mais cause de justification SI :
1.Information immédiate :
• au Centre for Cybersecurity Belgium,
• à l’organisation propriétaire du système
vulnérable.
2.Confidentialité : ne peut pas divulguer
les informations à quiconque d’autre.
3.Intervention limitée à ce qui
est nécessaire et proportionné, sans action
frauduleuse ou dessein de nuire.
4.But désintéressé
PREVENTION → Adopter une politique de
divulgation coordonnée des vulnérabilités
Etablir un canal de signalement interne
pour signaler des irrégularités
17/02/2023 : Obligatoire pour les entreprises de plus de 50
travailleurs
Loi du 28 novembre 2022 sur la
protection des personnes qui
signalent des violations au droit
de l'Union ou au droit national
constatées au sein d'une entité
juridique du secteur privé.
notamment concernant :
• la protection des données à
caractère personnel,
• la sécurité des réseaux et des
systèmes d’information.
Merci
pour votre attention !
Des questions ?
Notre prochaine formation
earlegal :
→ 26 janvier :
Nouveau droit de la
distribution et
coopération entre
entreprises
→ Inscription sur notre
site internet :
lexing.be

Contenu connexe

Tendances

ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
KSA PDPL - Personal Data Protection Law.pdf
KSA PDPL - Personal Data Protection Law.pdfKSA PDPL - Personal Data Protection Law.pdf
KSA PDPL - Personal Data Protection Law.pdfDaviesParker
 
お客様の声.pdf
お客様の声.pdfお客様の声.pdf
お客様の声.pdfssuser54cfa3
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Eryk Budi Pratama
 
How to Evaluate, Rollout, and Operationalize Your SD-WAN Projects
How to Evaluate, Rollout, and Operationalize Your SD-WAN ProjectsHow to Evaluate, Rollout, and Operationalize Your SD-WAN Projects
How to Evaluate, Rollout, and Operationalize Your SD-WAN ProjectsThousandEyes
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Cissp- Security and Risk Management
Cissp- Security and Risk ManagementCissp- Security and Risk Management
Cissp- Security and Risk ManagementHamed Moghaddam
 
사물인터넷 보안 사례 및 대응 방안 2016.11.09
사물인터넷 보안 사례 및 대응 방안   2016.11.09사물인터넷 보안 사례 및 대응 방안   2016.11.09
사물인터넷 보안 사례 및 대응 방안 2016.11.09Hakyong Kim
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxMdMofijulHaque
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Sirius
 
CASE3- 2 追加情報一覧.pdf
CASE3- 2 追加情報一覧.pdfCASE3- 2 追加情報一覧.pdf
CASE3- 2 追加情報一覧.pdfssuser54cfa3
 
GDPR Are you ready for auditing privacy ?
GDPR Are you ready for auditing privacy ?GDPR Are you ready for auditing privacy ?
GDPR Are you ready for auditing privacy ?Patrick Soenen
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESSILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESRiad ARADJI
 
IBM InfoSphere Guardium overview
IBM InfoSphere Guardium overviewIBM InfoSphere Guardium overview
IBM InfoSphere Guardium overviewnazeer325
 

Tendances (20)

ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 
KSA PDPL - Personal Data Protection Law.pdf
KSA PDPL - Personal Data Protection Law.pdfKSA PDPL - Personal Data Protection Law.pdf
KSA PDPL - Personal Data Protection Law.pdf
 
お客様の声.pdf
お客様の声.pdfお客様の声.pdf
お客様の声.pdf
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
 
How to Evaluate, Rollout, and Operationalize Your SD-WAN Projects
How to Evaluate, Rollout, and Operationalize Your SD-WAN ProjectsHow to Evaluate, Rollout, and Operationalize Your SD-WAN Projects
How to Evaluate, Rollout, and Operationalize Your SD-WAN Projects
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
 
Cissp- Security and Risk Management
Cissp- Security and Risk ManagementCissp- Security and Risk Management
Cissp- Security and Risk Management
 
사물인터넷 보안 사례 및 대응 방안 2016.11.09
사물인터넷 보안 사례 및 대응 방안   2016.11.09사물인터넷 보안 사례 및 대응 방안   2016.11.09
사물인터넷 보안 사례 및 대응 방안 2016.11.09
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptx
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
 
CASE3- 2 追加情報一覧.pdf
CASE3- 2 追加情報一覧.pdfCASE3- 2 追加情報一覧.pdf
CASE3- 2 追加情報一覧.pdf
 
GDPR Are you ready for auditing privacy ?
GDPR Are you ready for auditing privacy ?GDPR Are you ready for auditing privacy ?
GDPR Are you ready for auditing privacy ?
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESSILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
 
CASE1.pdf
CASE1.pdfCASE1.pdf
CASE1.pdf
 
ISO 22301, The first ever ISO for BCM - Presented at BCI Qatar Forum
ISO 22301, The first ever ISO for BCM - Presented at BCI Qatar ForumISO 22301, The first ever ISO for BCM - Presented at BCI Qatar Forum
ISO 22301, The first ever ISO for BCM - Presented at BCI Qatar Forum
 
IBM InfoSphere Guardium overview
IBM InfoSphere Guardium overviewIBM InfoSphere Guardium overview
IBM InfoSphere Guardium overview
 

Similaire à Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !SecludIT
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 

Similaire à Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ? (20)

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 

Plus de Lexing - Belgium

earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?Lexing - Belgium
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...Lexing - Belgium
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesLexing - Belgium
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?Lexing - Belgium
 
earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !Lexing - Belgium
 
earlegal #9 - Comment limiter les risques avec un sous-traitant ?
earlegal #9 - Comment limiter les risques avec un sous-traitant ?earlegal #9 - Comment limiter les risques avec un sous-traitant ?
earlegal #9 - Comment limiter les risques avec un sous-traitant ?Lexing - Belgium
 
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?Lexing - Belgium
 
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!Lexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
 
earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !earlegal #9 - e-réputation - préservez votre image sur le net !
earlegal #9 - e-réputation - préservez votre image sur le net !
 
earlegal #9 - Comment limiter les risques avec un sous-traitant ?
earlegal #9 - Comment limiter les risques avec un sous-traitant ?earlegal #9 - Comment limiter les risques avec un sous-traitant ?
earlegal #9 - Comment limiter les risques avec un sous-traitant ?
 
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
 
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!
earlegal #9 - Franchiseurs(és), mettez (enfin !) de l’ordre dans vos affaires!
 

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?

  • 1. ALL OVER THE WORLD Cybersécurité: quels défis pour votre entreprise ? 24 novembre 2023 Alexandre CASSART Léa QUERTEMONT Antoine LANGE
  • 2. Quatre questions 1. Quels sont les secteurs et les organisations concernées par la directive NIS 2? 2. Quelles sont les exigences en matière de sécurité que les organisations doivent mettre en œuvre? 3. Quels sont les mécanismes de reporting et de documentation sont imposés aux organisations et comment peuvent-elles assurer le respect de ces obligations 4. Quelles sont les sanctions potentielles en cas de non- conformité à la directive NIS 2 ?
  • 3. Historique • Départ de la réflexion est la lutte contre la cybercriminalité • Affaire Bistel, 1989 • Convention de Budapest sur la cybercriminalité 23/11/2001 • Loi du 28/11/2000 relative à la criminalité informatique • Insère les infractions de hacking dans le Code pénal belge
  • 4. Historique • Déplacement du focus vers la cybersécurité • Règlement 460/2004 créant ENISA (Agence européenne pour la cybersécurité) • Fondation du CCB en 2015 (AR 10/10/2014) • [Directive 2013/40 (harmonise le droit penal)] • Règlement 2019/881 Cybersecurity Act • NIS 1 (et 2)
  • 5. Historique • Demain vers la cyber résilience ? • “Cyber Resilience Act” • Projet de la Commission dévoilé le 15/09/2022 • Position commune du Conseil le 19/07/2023 • Visera les obligations de sécurité des produits connectés
  • 6. Contexte • Directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ➔ Directive Network & Information Security (NIS) 1 • Transposée en droit belge dans la loi du 7 avril 2019 • Etude de l’efficacité de la Directive NIS-1 par la Commission ➔ Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ➔ NIS – 2 ➔ Enquête publique en cours sur le projet de loi transposant la directive (site web du CCB)
  • 7. Grandes différences entre les 2 directives NIS 1 NIS 2 Champ d'application 6 secteurs Moins de 100 opérateurs de services essentiels 18 secteurs Plus de 2000 entités concernées Mesures de sécurité Exigences générales en matière de Sécurité Exigences plus spécifiques et explicites Notification d'incident - Pour les OSE: pas de seuil européen ou national - Pour les Services Numériques : seuil européen Deadlines spécifiques Possibilité d'implémentation de seuils nationaux Harmonisation Quasiment absente + présente pour les mesures et amendes administratives
  • 8. Quels sont les secteurs et les entités concernées par la directive NIS 2?
  • 9. 1.1. Quels secteurs et organisations sont concernés ? Directive NIS 1 Directive NIS 2
  • 10. 1.2. Quels secteurs et organisations sont concernés ?
  • 11. De toutes tailles Grandes comme petites - Réseaux de communications - Prestataires de services de confiance - et registres de noms de domaine Seul prestataire d'un service essentiel au maintien d'activités sociétales ou économiques critiques. En raison de son importance - pour le secteur - Pour le type de service Perturbation peut impacter sécurité , sûreté ou santé publique Entité de l’administration publique 1.3. Quels secteurs et organisations sont concernés ? Des pouvoirs centraux régional si impact critiques potentiel sur activités au niveau sociétal / économique
  • 12. Les entités non concernées en Belgique - Entités d’administrations publiques actives dans la sécurité nationale, la sécurité publique, la défense et la Justice - Administrations locales et institutions de l'éducation - Infrastructures du nucléaire - Entités dans la banque et infrastructures des marchés financiers tombant sous l'égide du règlement DORA 1.4. Quels secteurs et organisations sont concernés ?
  • 13. Quelles exigences en matière de sécurité mon organisation doit-elle mettre en œuvre ? Quels sont les délais pour leur mise en application ?
  • 14. Rôle des organes de direction - art. 20 Approuver les mesures de gestion des risques en matière de cybersécurité Superviser la mise en œuvre des mesures Peuvent être tenus responsables de la violation des exigences en matière de cybersécurité (art. 21) Membres des organes doivent suivre une formation – acquisition de connaissances suffisantes pour déterminer et évaluer les risques et leur impact Encourager les membres du personnel à suivre des formations similaires 2.1. Quelles exigences mettre en œuvre ?
  • 15. 2.2. Quelles exigences mettre en œuvre ? Adopter des mesures de gestion des risques de sécurité – art. 21 OBJECTIFS 1° Gérer les risques qui menacent la sécurité des réseaux et systèmes d’information 2° Eliminer ou réduire les conséquences des incidents Des mesures de gestion des risques … Techniques - Pares-feux; - Antivirus; - Chiffrement; - Contrôle d’accès; - Détection d’intrusion Opérationnelles - Formation du personnel; - Gestion des mots de passe; - Sauvegarde régulière des données; - Surveillance continue Organisationnelles - Rôles et responsabilités; - Procédures en cas de violation; - Intervention d’urgence; - Audits réguliers
  • 16. 2.3. Quelles exigences mettre en œuvre ? Des mesures de gestion des risques … Permettant un niveau de sécurité adapté au risque existant, en tenant compte : Ransom ware Malware Ingénierie sociale Menaces contre données Déni de service Chaine d’approvisi onnement De l’état des connaissances Du coût de mise en œuvre Des normes européennes et internationales applicables o ISO/CEI 27000 o ENISA THREAT LANDSCAPE (octobre 2023)
  • 17. 2.4. Quelles exigences mettre en œuvre ? Proportionnelles Des mesures de gestion des risques … Degré d’exposition aux risques Conséquences économiques et sociales des incidents Taille de l’entité Probabilité de survenance d’incidents et gravité
  • 18. Authentification à plusieurs facteurs ou continue, systèmes de communications (y compris) d’urgence sécurisés Utilisation de la cryptographie et, le cas échéant, du chiffrement Sécurité d’acquisition, développement et maintenance des RSI, y compris le traitement et la divulgation des vulnérabilités Pratiques de base en cyberhygiène et formation Sécurité des chaines d’approvisionnement Gestion des incidents Continuité des activités Evaluation de l’efficacité des mesures Sécurité des ressources humaines, contrôles d’accès et gestion des actifs Politiques relatives à l’analyse des risques et à la sécurité 2.5. Quelles exigences mettre en œuvre ? Exigences minimales, fondées sur une approche « tous risques »
  • 19. Quelques particularités … ➢ Exigences techniques et méthodologiques définies par la Commission européenne pour des fournisseurs et prestataires spécifiques (au plus tard le17 octobre 2024) : o Services DNS o Services Cloud o Centres de données o Réseaux de diffusion de contenu o Places de marché en ligne o Moteurs de recherche o Plateformes de réseaux sociaux o Prestataires de services de confiance (signature électronique, …) NB : CE peut adopter des exigences supplémentaires pour d’autres secteurs si l’estime nécessaire Caractère transfrontalier ➢ Mesures de gestion indépendantes de l’externalisation de la maintenance des réseaux et systèmes d’information
  • 20. 2.6. Quels délais pour leur application ? Conseil des ministres (10/11/2023) : approbation d’un avant-projet de Loi transposant la Directive 2022/2555 et d’un projet d’Arrêté Royal d’exécution 16 janvier 2023 Entrée en vigueur de NIS2 17 octobre 2024 Etats Membres transposent NIS2 17 avril 2025 Etats Membres établissent la liste des entités essentielles et importantes 17 octobre 2027 Révision de NIS2
  • 21. Quels mécanismes de reporting et de documentation sont imposés ? Comment s’assurer de respecter les obligations de transparence et de suivi?
  • 22. 3.1 Quels mécanismes de reporting sont imposés ? Obligation d'information pour les incidents importants ➢ Cause ▪ Une perturbation opérationnelle grave des services ▪ Pertes financières pour l'entité ➢ Affecte ▪ d'autres personnes physiques ou morale ▪ en causant des dommages matériels, corporels ou moraux considérables
  • 23. 3.2. Quels mécanismes de reporting sont imposés ? Quel timing pour informer ? 24 Heures Alerte Précoce Seulement les infos nécessaires Doit déjà indiquer si soupçon d'acte malveillant ou illicite 72 Heures Notification d'incident • Mettre à jour les infos de l'alerte précoce • Evaluation initiale de l'incident : • Gravité • Impact • Indicateurs de compromissions si dispo À la demande du CSIRT/Autorité compétente Rapport intermédiaire Update de la situation Dans le mois de la notification Rapport final Description détaillée de l'incident Type de menace/cause Mesures d'atténuation Impact transfrontière, s'il y en a
  • 24. 3.3. Quels mécanismes de reporting sont imposés ? Demande d'informations ou de conseils Information des moyens de porter l'incident aux autorités répressives. Réponse du CCB/ autorité compétente À la demande de l’entité Conseils & orientation sur la mise en œuvre de mesures d'atténuations Si suspicion d’une menace d’origine criminelle 24 heures après l’incident
  • 25. Comment s'assurer de respecter les obligations de transparence et de suivi ? Le rôle d'un superviseur est conseillé Superviseur Afin de : • Surveiller le respect de la directive • Communiquer avec • les autorités compétentes • Les parties prenantes • Rendre compte au top management Peut-être : - une personne physique ou morale, - interne ou externe Doit avoir compétences, ressources et indépendance nécessaire pour exercer ses fonctions
  • 26. Comment démontrer que mon entité respecte les règles ? Pas d'obligation de certification MAIS être capable de prouver qu'on répond aux exigences Plusieurs certifications sont possibles dont: • ISO 27001 : Système de gestion de la sécurité de l'information – exigence de l'ancienne Directive, toujours acceptable pour NIS 2 • ISO 27002 : Répond totalement aux exigences de NIS2 • Cyber Fundamentals : initiative belge par le CCB Fournit des recommendations, outils et exemples pour chaques besoins Présomption de conformité pour les Cyber Fundamentals et ISO 27002 Certification
  • 27. Comment démontrer que mon entité respecte ces règles ? Cyberfundamentals Accroître la Cyber- résilience Réduire le risque de cyber-attaques Protéger les données Identifier Protéger Détecter Répondre Rétablir
  • 28. Quelles sont les sanctions potentielles en cas de non- conformité ?
  • 29. 4.1. Mesures de supervision – Pouvoirs des autorités compétentes (art. 32 et 33 dir. NIS2) ❑ Inspections sur place et contrôles à distance ❑ Scans de sécurité Demandes: ❑ informations nécessaires à évaluation des mesures de gestion des risques ❑ accès aux données ❑ preuves de mise en œuvre des politiques de cybersécurité ❑ Audits de sécurité réguliers par organisme indépendant ou autorité compétente ❑ Audits ad hoc, justifiés par incident important ou violation
  • 30. 4.2 Quelles sanctions ? ❑ Avertissements ❑ Instructions contraignantes ❑ Mettre un terme au comportement qui viole la directive ❑ Garantir la conformité des mesures de gestion ❑ Informer les personnes physiques ou morales ❑ Mettre en œuvre recommandations formulées à la suite d’un audit de sécurité ❑ Désigner pour une période déterminée, un responsable du contrôle du respect des articles 21 et 23 (pas pour les entités importantes) ❑ Ordonner de rendre publics les aspects de la violation de la directive ❑ Amendes administratives Mesures administratives ordonnées par l’Autorité compétente (art. 32 et 33 dir. NIS2)
  • 31. 4.2. Quelles sanctions ? Amendes administratives Entités essentielles Entités importantes 10 000 000 EUR ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent 7 000 000 EUR ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent • Montant le + élevé retenu • Possibilités d’astreintes
  • 32. 4.2. Quelles sanctions ? Appréciation de la sanction - critères : Gravité de la violation Durée de la violation Violation antérieure pertinente Dommages causés, pertes économiques, nombre d’utilisateurs touchés Violation délibérée ou par négligence Mesures prises pour prévenir ou atténuer les dommages Application de codes de conduite ou mécanismes de certification approuvés Degré de coopération avec les autorités compétentes o Violations répétées; o Absence de notification des incidents importants; o Ne pas pallier les insuffisances malgré les instructions contraignantes; o Entraver les audits et les activités de contrôle; o Fournir des informations fausses ou manifestement inexactes
  • 33. En tout dernier recours … Suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services fournis et activités menées par l’entité Interdiction temporaire de toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal d’exercer ces responsabilités 4.2. Quelles sanctions ?
  • 34. Stratégie globale • Lien avec d’autres obligations de conformité et autres mécanismes sont assez évidents • Similarité avec le RGPD par exemple • Stratégie de conformité globale par rapport à ces « nouvelles » obligations doit être envisagée vu les liens • Procédure de notification de violation de DACP • Politique de divulgation coordonnée des vulnérabilités • Canal de signalement interne • …
  • 35. Hacking éthique Infraction pénale Mais cause de justification SI : 1.Information immédiate : • au Centre for Cybersecurity Belgium, • à l’organisation propriétaire du système vulnérable. 2.Confidentialité : ne peut pas divulguer les informations à quiconque d’autre. 3.Intervention limitée à ce qui est nécessaire et proportionné, sans action frauduleuse ou dessein de nuire. 4.But désintéressé PREVENTION → Adopter une politique de divulgation coordonnée des vulnérabilités
  • 36. Etablir un canal de signalement interne pour signaler des irrégularités 17/02/2023 : Obligatoire pour les entreprises de plus de 50 travailleurs Loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé. notamment concernant : • la protection des données à caractère personnel, • la sécurité des réseaux et des systèmes d’information.
  • 37. Merci pour votre attention ! Des questions ? Notre prochaine formation earlegal : → 26 janvier : Nouveau droit de la distribution et coopération entre entreprises → Inscription sur notre site internet : lexing.be