Une cybersécurité solide n’a jamais été aussi importante, car les cyberattaques ne cessent de se multiplier. En fait, les violations de données ont augmenté de 72 % en 2023, établissant un nouveau record historique, car les acteurs malveillants ont profité des vulnérabilités exposées par le télétravail. Poussés par le potentiel de gain financier ou de perturbation généralisée, les cybercriminels peuvent être des adversaires hautement motivés.
Heureusement, les entreprises ne sont pas laissées à elles-mêmes sans conseils. Les gouvernements souhaitent réduire les risques pour les entreprises et les données clients en mettant en œuvre des réglementations qui aident à standardiser les défenses contre les attaques. Le non-respect peut entraîner des amendes importantes pour l’entreprise en cas de violation de données.
Cela met les fabricants de produits dans une situation délicate, car ils doivent comprendre les réglementations auxquelles les clients seront soumis et s’assurer que leurs produits sont conformes. Cela nécessite une surveillance et une vigilance continues, car les réglementations peuvent changer, apparaître, ou des réglementations différentes peuvent être adoptées par différentes régions. Les fabricants mondiaux doivent garder une longueur d’avance sur la courbe réglementaire pour éviter les problèmes futurs liés aux mises à niveau requises pour maintenir la conformité.
Gouvernance et conformité
Du point de vue du client, le respect des réglementations ne représente que le point de départ pour protéger les données critiques ; les organisations doivent se concentrer à la fois sur la gouvernance et la conformité. Ces termes peuvent parfois être confondus, car ils sont étroitement liés. La gouvernance désigne les politiques internes que les organisations mettent en place elles-mêmes. Ces politiques vont généralement au-delà des réglementations gouvernementales et sont adaptées à leur profil de risque individuel et au paysage des menaces de l’industrie.
D’autre part, la conformité représente les mesures mises en place pour assurer le respect de ces politiques et réglementations internes. Il est essentiel que ces mesures équilibrent la sécurité et l’expérience utilisateur, sans créer de frictions inutiles dans les processus. Ces mesures peuvent être auditées par une tierce partie et doivent résister à un examen approfondi.
La gouvernance et la conformité sont évaluées en permanence à mesure que de nouvelles menaces émergent et que des vulnérabilités sont identifiées. Ainsi, les fabricants doivent non seulement disposer de produits et de services conformes aux réglementations, mais aussi répondre aux exigences de gouvernance de tous les clients.
Penser la réglementation à l’échelle mondiale
Malheureusement, les réglementations ne sont pas standardisées dans toutes les régions. Les fabricants mondiaux de technologies de vidéo-surveillance sont confrontés aux différences de réglementations entre les régions.
Par exemple, la Commission européenne a introduit la directive sur la sécurité des réseaux et de l’information (NIS2), une extension de la précédente directive NIS. Cette directive vise à renforcer l’obligation faite aux fournisseurs d’infrastructures critiques et de services essentiels de mettre en œuvre des mesures de sécurité et de prévention des incidents suffisantes. Le non-respect peut avoir des conséquences financières et juridiques importantes.
Comparons cela avec les États-Unis, où le décret 14028 sur l’amélioration de la cybersécurité des nations a été publié en 2021. Cela charge les agences fédérales, mais aussi les entreprises privées qui fournissent des produits et des services, de se conformer aux réglementations renforcées.
D’autres pays et régions du monde ont leurs propres approches spécifiques, créant un paysage réglementaire complexe. C’est particulièrement vrai si une entreprise est basée dans un pays, comme les États-Unis, et opère à l’échelle mondiale. Elle doit respecter les normes locales des pays avec lesquels elle fait des affaires, sous peine de ne pas être conforme.
Pour naviguer avec succès dans les différentes réglementations en matière de protection des données et de cybersécurité d’une région à l’autre, il faut d’abord avoir une connaissance et une compréhension approfondies de ces réglementations, ainsi que des meilleures pratiques pour protéger les données sensibles contre les cyberattaques. Cela permettra de déterminer le type de protection de la cybersécurité à intégrer dans les produits pour soutenir les mesures de conformité des clients.
Maintenir une gestion solide du cycle de vie des produits
Même s’ils ont une connaissance approfondie des réglementations, les fabricants ne peuvent pas perdre de vue l’évolution constante du paysage des menaces. Le firmware des produits doit être mis à jour périodiquement et en fonction des nouvelles vulnérabilités. Des problèmes peuvent survenir lorsque des produits existants sont encore utilisés et ne peuvent parfois plus être mis à jour.
C’est pourquoi la cybersécurité doit être envisagée dans le cadre de la gestion du cycle de vie des produits. Si les produits ont dépassé un certain âge, ils peuvent ne plus être cybersécurisés. Cette situation est compliquée par l’évolution de la réglementation, qui peut également signifier que l’appareil n’est plus conforme. Pour remédier à cette situation, le fabricant peut être amené à revoir les logiciels et les firmware datant de plus de cinq ans, ce qui peut s’avérer très difficile.
Au-delà des quatre murs du fabricant, la chaîne d’approvisionnement est un autre domaine auquel il faut prêter attention. La cybersécurité étant une priorité absolue, les organisations de la chaîne d’approvisionnement du fabricant doivent être en mesure de démontrer leur approche de la cybersécurité et de la protection des données. Il s’agit notamment de savoir comment elles se conforment à la réglementation et pourquoi il est « sûr » de faire des affaires avec elles. Forts de ces connaissances, les fabricants peuvent être sûrs qu’ils n’introduisent pas par inadvertance des risques dans leurs produits.
Alors que les clients prennent de plus en plus de mesures pour s’assurer que les produits qu’ils achètent sont plus conformes dans des domaines tels que l’approvisionnement en composants, la fabrication de produits, la durabilité de l’organisation et la cybersécurité, il est plus important que jamais pour les organisations d’être transparentes.
Être ouvert sur les vulnérabilités, fournir une liste des composants requis dans les logiciels de produits sous la forme d’une nomenclature logicielle (SBOM) et mettre à jour les logiciels, pour n’en citer que quelques-uns, renforce la confiance, ce qui dans le paysage mondial d’aujourd’hui est une commodité importante.
Garder à l’esprit les intérêts du client
En matière de cybersécurité, il est essentiel pour les entreprises de comprendre les menaces auxquelles elles sont confrontées et leurs propres risques et vulnérabilités, en plus des réglementations auxquelles leurs clients doivent se conformer.
En tant que fabricants d’appareils utilisés par les clients dans le cadre de leurs opérations de sécurité, une approche globale des mesures de cybersécurité portera ses fruits. Elle place les besoins des clients au premier plan en s’assurant que les produits respectent les réglementations les plus strictes des différents marchés. De plus, si des réglementations existantes sont adoptées sur de nouveaux marchés, les produits sont déjà conformes, ce qui élimine la nécessité de mettre à jour le firmware. De cette manière, les fabricants agissent dans le meilleur intérêt du client et le soutiennent dans ses objectifs de protection et de sécurité de ses données.
