Comment les entreprises peuvent-elles faire face à l'augmentation des réglementations technologiques de l'UE ?

Le nombre d'entreprises soumises aux exigences réglementaires a considérablement augmenté sous l'effet des législations existantes et nouvelles, telles que le Règlement général sur la protection des données (RGPD) de l'UE, les réglementations sur la sécurité des réseaux et des systèmes d'information (NIS1 et NIS2)[i], et le Règlement européen sur la résilience opérationnelle numérique (DORA)[ii].

La semaine dernière, Mario Draghi a mis en garde contre le fait que ces législations européennes  "tuent nos entreprises"[iii]. Par ailleurs, les risques cyber ajoutent une complexité supplémentaire pour les propriétaires d'entreprises, les investisseurs et les financiers, nécessitant une due diligence plus approfondie concernant la stack technologique d'une entreprise. Les organismes de supervision seront confrontés à des défis majeurs en raison de la pénurie de talents et de connaissances, ainsi que de méthodes de travail obsolètes. Les déclarations proactives de maîtrise (in-control statements) transfèrent la charge de la preuve de l'assurance numérique vers les entreprises plutôt que vers les organismes de supervision. Je m'attends à ce que cela soulage considérablement à la fois les entrepreneurs et les autorités de régulation.

Une réglementation excessive dans les domaines technologiques et de l'IA pourrait étouffer le progrès des entreprises européennes. Draghi a écrit : " Nous tuons nos entreprises "avec des réglementations complexes et incohérentes.

Quel est le problème, et qui est concerné ?

Les exigences réglementaires et sectorielles liées à la cybersécurité explosent. Elles incluent les normes imposées par :

De Nederlandsche Bank (DNB), DORA, le Règlement européen sur la cybersécurité (Cyber Resilience Act)[i], NIS2[ii], le Programme de sécurité des clients SWIFT (CSP)[iii], le Federal Risk and Authorization Management Program (FedRAMP) américain[iv], la norme ISO 27001 de l'Organisation internationale de normalisation (ISO), les Contrôles de sécurité critiques du Center for Internet Security (CIS)[v],  la loi américaine Federal Information Security Management Act (FISMA)[vi], la publication spéciale NIST SP 800-53 du National Institute of Standards and Technology (NIST)[vii], le Cloud Security Alliance Capability Assessment Model (CSA CMM)[viii], les critères de confiance des services (TSC) de l'American Institute of Certified Public Accountants (AICPA)[ix], les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS)[x], etc.

Gérer l'ensemble de ces réglementations est un processus complexe pour les entreprises et les régulateurs, qui doivent superviser leur mise en œuvre correcte. Le nombre d'entreprises concernées dans l'Union européenne se compte en millions (Figure 1)[xi].

Figure 1 – Nombre d'entreprises européennes concernées par les réglementations

Comme le démontre le RGPD de l'UE, les documents administratifs nécessaires pour prouver une « conformité sur le papier » peuvent être établis. Cependant, la difficulté réside dans la mise en œuvre des bonnes technologies, des processus suffisants, des capacités (personnes et compétences) et des structures permettant de surveiller et de rendre compte efficacement du bien-être d'une entreprise.

Une start-up ou une scale-up technologique souhaitant exercer ses activités en Europe et aux États-Unis est généralement soumise à trois réglementations différentes ou plus. Et si elles comparent le fardeau réglementaire européen au « marché américain plus ouvert et moins réglementé », le choix est clair : une entreprise européenne sur trois (unicorn) quitte l'UE pour les États-Unis pour cette raison[i].

La bureaucratie affecte tous les secteurs,

et particulièrement les petites entreprises.

-Sources : Financial Times, Berlaymonster

Les amendes réglementaires, comme en cas de violation ou de fuite de données, sont souvent le coût le plus significatif lorsqu'un problème survient. Elles peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise en infraction. Selon Kuijper (2020)[i], " Les autorités de protection des données (APD) sanctionnent principalement les symptômes visibles de non-conformité au RGPD (les risques matérialisés) plutôt que les causes profondes sous-jacentes de ces symptômes de non-conformité, comme, par exemple, l'échec à analyser les risques de traitement des données, un manque de gouvernance ou de contrôles, etc."[ii].

Les recherches de Kuijper ont révélé que la plupart des violations du RGPD dans l'UE concernent la mise en œuvre des mesures techniques et organisationnelles requises pour garantir la sécurité de l'information (Article 32). La mise en place de contrôles de sécurité de l'information est ardue pour de nombreuses entreprises en raison de ressources limitées et de capacités insuffisantes. Une recherche récente de l'Antwerp Management School (AMS) a confirmé cela par une analyse approfondie des causes profondes des violations du RGPD[iii].

Les réglementations à venir ne pourront être durables qu'en exigeant une soumission proactive obligatoire de déclarations de maîtrise (in-control statements). Compte tenu du nombre d'entreprises réglementées et de la charge associée, nous prévoyons l'inversion de la charge de la preuve comme seule voie possible : les entreprises doivent pouvoir prouver qu'elles se conforment[iv].

Solutions pour les régulateurs et les propriétaires d'entreprises

L'utilisation de déclarations de maîtrise (in-control statements) est recommandée pour démontrer que vous maîtrisez votre environnement technologique. Ces déclarations fournissent un aperçu rapide de l'état des contrôles dans un système de gestion de la vie privée et de la sécurité. Dans des environnements hautement réglementés, comme le secteur financier, les déclarations de maîtrise sont déjà courantes.

Elles permettent de vérifier et de démontrer à une autorité de supervision qu'une entreprise a tenu sa comptabilité de manière honnête et légale. Les déclarations de maîtrise sont des outils utiles car elles font gagner du temps, des ressources et de l'argent aux autorités de supervision. Ces déclarations peuvent être vérifiées automatiquement via des technologies d'IA, de manière similaire aux procédures de déclaration fiscale, et signaler les anomalies ou déficiences. Périodiquement, un audit manuel évalue si une entreprise a fourni des informations véridiques, et les personnes responsables doivent valider les résultats.

Chaque cadre réglementaire n'a pas besoin de sa propre déclaration de maîtrise. Il existe souvent un certain chevauchement dans les contrôles qu'ils proposent. Ce chevauchement peut être cartographié pour comprendre où les cadres coïncident. Par exemple, un cadre parent peut correspondre à plusieurs cadres enfants et à leurs contrôles. Le fait de tester un contrôle dans le cadre parent garantit la conformité avec de nombreux autres contrôles sous-jacents – c'est le principe"  tester une fois, se conformer à plusieurs"  (Figure 2). Cette cartographie, réalisée par des entités telles que Secure Controls Frameworks, est déjà intégrée dans des technologies comme Anove et est mise à jour à chaque modification du cadre[v]. Cela permet aux entreprises de soumettre une seule déclaration de maîtrise attestant de leur conformité à de nombreux cadres.

Figure 2 – Exemple de « Tester une fois, se conformer à plusieurs » pour les contrôles d'identification et d'authentification (modèle conceptuel, intégré dans la technologie Anove)

Les entreprises de cryptomonnaies quittent ou cessent leurs activités en raison d'une supervision exigeante de l'AFM

Bonne gouvernance

Se conformer à toutes les réglementations applicables tout en mettant en œuvre une gestion adéquate de la sécurité est un défi. Une façon de naviguer dans cette complexité est d'utiliser un cadre existant comme base pour gérer la cybersécurité, que ce soit au sein d'un pays spécifique ou d'une industrie particulière.

Par exemple, lorsque les États-Unis ont subi une cyberattaque majeure sur le Colonial Pipeline[i], l'utilisation de NIST 800-53 et des stratégies zero-trust (NIST 800-207) est devenue obligatoire après un décret présidentiel.

L'Europe suit la même direction, adoptant une approche descendante similaire en matière de sécurité numérique. Cela est comparable à ce qui s'est passé après les scandales comptables MCI WorldCom[ii] et Enron[iii], qui ont conduit à l'adoption de la loi Sarbanes-Oxley (SOX)[iv] aux États-Unis pour améliorer les exigences d'audit et de divulgation publique. Dans les deux cas, le chaos a conduit à des mandats clairs pour la mise en œuvre de contrôles et de processus, ainsi qu'à une standardisation des rapports.

En essence, traiter la gestion de la cybersécurité de la même manière que les normes de reporting financier garantit une approche structurée et globale qui permet une surveillance capable de détecter les écarts ou dysfonctionnements. Cela encourage également une bonne gestion parmi les propriétaires.

Surveiller et rendre compte de l'état de l'ensemble de la stack technologique est crucial pour toute entreprise et ses parties prenantes, y compris les investisseurs, actionnaires, organismes de supervision et acheteurs potentiels. Ainsi, la sécurité numérique relève des décisions de plus haut niveau exécutif.

La question reste : qui prendra les devants pour mettre en œuvre une approche descendante visant à diriger un cadre fondamental, ou devons-nous attendre qu'un incident comme l'attaque par ransomware du Colonial Pipeline se produise avant d'agir ?

Perspectives d'avenir

Je prévois un changement transformationnel vers des réglementations strictes obligeant les entreprises à divulguer leurs efforts en matière de cybersécurité, de protection de la vie privée et de sécurité des données avec une transparence sans précédent dans leurs rapports annuels ou trimestriels, à l'image de la réforme réglementaire post-Enron et post-MCI WorldCom.

Je recommande aux entreprises de prendre des mesures proactives pour :

-Identifier et se conformer aux exigences réglementaires spécifiques (Quoi) qu'elles doivent suivre, y compris des plans clairs sur la manière de le faire (Comment), désigner des responsables (Qui), mettre en œuvre ces plans et évaluer leur efficacité de manière périodique (Quand).

-Adopter une approche « Tester une fois, se conformer à plusieurs » avec un cadre commun de contrôles, pour éviter les travaux redondants ou chevauchants.

-Établir un modèle opérationnel qui promouvoit et renforce la responsabilité par le biais de planifications régulières, de mises en œuvre et d'évaluations, avec des rapports périodiques sur les performances. Cela doit être imposé de haut en bas.

Avec cette approche proactive de  tester une fois, se conformer à plusieurs  et de déclarations de maîtrise,


les entreprises européennes et leurs organismes de régulation peuvent éviter d'être submergées par un déluge de règles et de bureaucratie, compromettant ainsi le rôle pionnier de l'Europe dans le paysage économique mondial.

Références :

[1] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier : https://eur-lex.europa.eu/eli/reg/2022/2554/oj

[2] PricewaterhouseCoopers, « DORA : Pourquoi est-ce pertinent pour vous », https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html

[3] « The future of European competitiveness: Report by Mario Draghi », Commission européenne, https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en

[4] Commission européenne, « Renforcer la cybersécurité et la résilience à l'échelle de l'UE – Accord provisoire du Conseil et du Parlement européen », Union européenne, https://www.nis-2-directive.com ; Commission européenne, « Cyber Resilience Act », Union européenne, https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act


[5] https://eur-lex.europa.eu/eli/dir/2022/2555

[6] SWIFT, « Programme de sécurité des clients », https://www.swift.com/myswift/customer-security-programme-csp

[7] « The Federal Risk and Authorization Management Program (FedRAMP®) », https://www.fedramp.gov/

[8] « CIS Critical Security Controls », https://www.cisecurity.org/controls

[9] Congrès des États-Unis, « FISMA, U.S. Congress, Federal Information Security Management Act of 2002 », mars 2002, États-Unis, https://www.congress.gov/bill/107th-congress/house-bill/3844

[10] « Security and Privacy Controls for Federal Information Systems and Organizations », NIST, https://csrc.nist.gov/pubs/sp/800/53/r4/upd3/final

[11] « The CSA Cloud Controls Matrix (CCM) », Cloud Security Alliance, https://cloudsecurityalliance.org/research/cloud-controls-matrix

[12] « AICPA Trust Service Criteria », https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022

[13] « Payment Card Industry Data Security Standards », PCI Security Standards Council, https://www.pcisecuritystandards.org/document_library/?document=pci_dss

[14] BBP Media, « La NIS2 arrive – et le secteur de la distribution n'est pas prêt », 26 octobre 2022, https://www.bbpmedia.co.uk/business-insights/retail/nis2-is-coming-and-the-retail-industry-is-not-prepared.html ; CBS, « Entreprises ; Taille de l'entreprise et forme juridique », 2023, https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table ; Eurostat, « Aperçu sectoriel », 2021, https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html ; Kors, S. ; « Que signifie la NIS2 pour les organisations néerlandaises ? », 7 décembre 2022, https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html


[15] « En 2008 et 2021, près de 30 % des « licornes » fondées en Europe – des startups valorisées à plus d'1 milliard de dollars – ont déplacé leur siège social à l'étranger, la grande majorité aux États-Unis », Commission européenne, https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf

[16] N. Kuijper, « Translation of GDPR article 32 into effective privacy governance and management practices. A view on GDPR ambiguity, non-compliancy risks and effectiveness of ISO 27701:2019 as Privacy Management System », 12 juin 2020. [En ligne]. Disponible : https://zenodo.org/records/3891540.

[17] Conijn, F. ; Smit, R. ; « L'acheteur prend le pouvoir dans les rachats d'entreprises », Het Financieele Dagblad, 16 octobre 2023, https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames

[18] G. Heiremans, « Naviguer sur une ligne fine : Atteindre la conformité RGPD tout en optimisant les investissements IT. Une investigation sur la manière dont les entreprises peuvent évaluer l'adéquation des mesures techniques et organisationnelles à la lumière des articles 5, 25 et 32 du RGPD », Antwerp Management School (AMS), Anvers, 2024.

[19] Y. Bobbert, « Réglementations technologiques : Comment soulager la charge des organismes de supervision et réduire les risques pour les investisseurs », ISACA, https://www.isaca.org/resources/isaca-journal/issues/2024/volume-3/how-to-relieve-the-burden-of-supervisory-bodies-and-reduce-risk-for-investors, 2024.

[20] « In-Control Statements Made Easy », Anove, https://www.anove.ai/blog-posts/in-control-statements-made-easy


[21] « Attack on Colonial Pipeline: What We’ve Learned and What We’ve Done Over the Past Two Years », CISA, https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years

[22] « The WorldCom Scandal », University of South Carolina, https://sc.edu/about/offices_and_divisions/audit_and_advisory_services/about/news/2021/worldcom_scandal.php

[23] « Le scandale Enron est probablement la plus grande, la plus complexe et la plus notoire fraude comptable de tous les temps », Corporate Finance Institute, https://corporatefinanceinstitute.com/resources/esg/enron-scandal/

[24] « 107th US Congress, H. R. 3763 Sarbanes-Oxley Act of 2002 », États-Unis, 30 juillet 2002, https://www.congress.gov/bill/107th-congress/house-bill/3763/text.