Les avantages d’une stratégie proactive et comment la déployer

Loi sur la sécurité de l'information (LSI)

La loi sur la sécurité de l'information (LSI) est entrée en vigueur le 1er janvier 2024, elle vise à réglementer et à renforcer la cybersécurité de la Confédération et des autorités et organisations qui en relèvent. La LSI protège en premier lieu les informations pour lesquelles la Confédération est compétente. Outre les organisations étatiques de la Confédération et des cantons, cela concerne également les entreprises qui assistent les autorités fédérales et cantonales dans l'accomplissement de leurs obligations. Il apparaît toutefois que de nombreuses entreprises ne savent pas encore si elles sont concernées par cette réglementation.

Les entités concernées doivent notamment mettre en œuvre un système de management de la sécurité de l'information (SMSI) et introduire des processus de gestion des (cyber)risques leur permettant d'identifier, d'évaluer, de traiter et de contrôler régulièrement les risques. La loi les oblige en outre à veiller à ce qu'en fonction de leur besoin de protection, les informations ne soient accessibles qu'aux personnes autorisées. Elles doivent en outre s'assurer que les informations ne puissent pas être modifiées de manière non autorisée ou involontaire et qu'elles puissent être traitées de manière traçable. En cas de collaboration avec d'autres entreprises, elles doivent régler ces mesures de sécurité par contrat et garantir leur respect. 

Obligation de déclaration élargie

Avec la révision de la LSI, une obligation de notification des cyberattaques entrera probablement en vigueur au 1er janvier 2025. Celle-ci concerne les exploitants d'infrastructures critiques ainsi que les fournisseurs de systèmes utilisés dans ces infrastructures. L'obligation de signaler est plus large que pour les autorités et organisations au sens de la LSI et concerne des secteurs et domaines de services élargis (comme les hautes écoles, les organisations chargées de tâches publiques, les fournisseurs d'énergie, les établissements de santé, les banques et les assurances, les fournisseurs de services postaux et de télécommunications, etc.) Ils devront à l'avenir signaler les cyberattaques dans les 24 heures à l'Office fédéral de la cybersécurité (OFCS, anciennement NCSC) si elles ont des conséquences graves.

Directive NIS2 de l'UE

NIS2 est une directive contraignante de l'Union européenne pour les États membres, qui doivent la transposer dans leur droit national d'ici octobre 2024. Or, la directive NIS2 peut également avoir des répercussions sur les entreprises suisses. Cela vaut notamment pour les entreprises qui ont des succursales au sein de l'UE. Les prestataires de services IT suisses qui s'occupent des clients directement ou indirectement via leurs filiales au sein de l'UE sont également concernés. En cas de chaînes d'approvisionnement et de dépendance vis-à-vis d'entreprises partenaires, les entreprises suisses peuvent également être concernées par NIS2.

Aperçu de toutes les nouveautés légales

Pour aider les entreprises à respecter ces réglementations, Trend Micro vient de publier la nouvelle édition de son guide juridique « Cybersécurité et conformité informatique en entreprise ». Les responsables informatiques et les directions y trouveront les principales informations juridiques relatives à la cybersécurité, rassemblées par des avocats disposant d'une longue expérience dans le domaine du droit informatique. Le guide est disponible gratuitement en allemand et peut être téléchargé ici“

A propos de l’auteur

Nom : Udo Schneider
Fonction : Responsable Gouvernance, Risques & Conformité, Europe, chez Trend Micro

En sa qualité de Governance, Risk & Compliance Lead Europe , Udo Schneider est un expert de thèmes tels que NIS2 et DORA. Des sujets qu’il aborde dans le cadre de webinaires et d’événements pour la clientèle et les partenaires et en tant que porte-parole pour la presse. En outre, Udo Schneider épaule les commerciaux lors des rendez-vous avec les clients et crée des ressources détaillées, comme un livre blanc NIS2 publié récemment.

Dans sa fonction précédente de IoT Security Evangelist Europe, il s'est spécialisé dans des sujets tels que l'industrie 4.0, les systèmes (de production) en réseau et l'Internet des objets (IoT). Avant de se spécialiser, Udo Schneider a également été Security Evangelist sur les menaces de sécurité informatique générales, après avoir passé plusieurs années en tant que Solution Architect (EMEA) à développer des mesures appropriées contre ces menaces. 

Udo Schneider a plus de 20 ans d'expérience dans le domaine de la sécurité informatique, acquise auprès de Trend Micro et d'autres grands fournisseurs du secteur.