Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité et données : L’Administration Biden ouvre-t-elle la voie de la responsabilité des entreprises ?

mars 2023 par Jean-Pierre Boushira, Vice President South EMEA, Benelux & Nordics de Veritas

L’administration Biden a publié les contours de sa nouvelle stratégie de cybersécurité qui aborde notamment le rôle que devront jouer les grandes entreprises technologiques dans la prévention des cyberattaques menées à l’encontre des citoyens, des entreprises et du gouvernement. Le document officiel appelle à « rééquilibrer la responsabilité de la défense du cyberespace », en déchargeant les particuliers, les petites entreprises et les collectivités locales de la responsabilité d’attaques notamment par ransomware.

Même si, pour le moment, le plan proposé par le Président Joe Biden établit des objectifs plutôt que de règles effectivement applicables, il donne néanmoins de la visibilité sur ce que pourraient être les prochaines évolutions législatives du pays dans ce domaine : élargir les exigences en matière de cybersécurité pour les entreprises qui gèrent des infrastructures numériques que le gouvernement fédéral du pays juge critiques. Bien entendu, les fournisseurs de services cloud qui sous-tendent une bonne partie des infrastructures sont largement concernés et seraient alors contraints de respecter des normes de sécurité minimales sous peine de voir leur responsabilité juridique engagée.

La présentation de ce plan ouvre le débat aux États-Unis sur la manière dont les secteurs public et privé peuvent collaborer pour résoudre certains des défis liés à la résilience des données. C’est aussi un aveu brutal de la prise en considération des menaces auxquelles les citoyens et les entreprises du pays sont confrontés. Trois points essentiels sont à retenir.

Les bonnes pratiques en matière de résilience vont s’imposer aux entreprises américaines, qu’elles le veuillent ou non.

Si la volonté manifestée par l’administration Biden s’inscrit dans la loi, il ne sera plus possible pour les entreprises de compenser de potentielles faiblesses en matière de cybersécurité faible par une assurance forte. Il explique clairement que les régulateurs, nouveaux et existants, doivent être mis à contribution pour garantir le respect des meilleures pratiques. Comme pour toute nouvelle réglementation, ceux qui s’y mettent tôt seront sans doute ceux qui en profiteront le mieux. Ceux qui restent à la traîne risquent de faire face à une augmentation des coûts - à travers notamment des amendes, et à une pénurie de compétences nécessaires pour rester en conformité.

Une nouvelle ère commence en termes de responsabilité des entreprises

Le gouvernement américain cherche à rendre les entreprises qui gèrent des données responsables de leur protection. En cas d’échec des mécanismes de protection, elles seraient alors obligées de le signaler. Le texte suggère également de faire peser une charge plus lourde sur les développeurs de logiciels, qui seraient contraints de veiller à ce que les logiciels ne soient pas livrés alors qu’ils présentent des vulnérabilités. De plus, le gouvernement envisage de légiférer pour faire respecter cette obligation même s’il ne s’agit pas pour autant de décharger les entreprises de leurs responsabilités. Il s’agit d’un partage de la charge de conformité.

Un règlement sur les données personnelles pourrait se profiler à l’horizon

Le document stratégique indique clairement que l’administration soutient les efforts législatifs visant à imposer des limites à la capacité de collecter, d’utiliser, de transférer et de conserver des données personnelles. Après de nombreuses années de débat sur la question de savoir si les États-Unis ont besoin d’une réglementation nationale de type RGPD, il s’agit là d’un signal d’intention clair de la part de l’administration Biden. Il est aujourd’hui conseillé à l’ensemble des entreprises de déterminer quelles sont les données personnellement identifiables (DPI) dont elles disposent. Plus elles attendront, plus alles auront de données à gérer, et plus le processus sera difficile.

Les États-Unis occupent une place importante sur la scène internationale, à bien des égards. Les volontés inscrites dans ce texte stratégique envoient un signal fort à la communauté internationale et pourraient, si les législations suivent, avoir un impact fort sur la manière dont les entreprises abordent la protection des données, aux bénéfices de tous.


Voir les articles précédents

    

Voir les articles suivants