Réglementations technologiques : Comment alléger la charge des organismes de supervision**

Les réglementations technologiques : Comment soulager la charge des organismes de supervision

Avec les nouvelles législations technologiques, l'importance croissante de la cybersécurité et les diligences raisonnables simultanées lors des fusions et acquisitions, les investisseurs et les organismes de supervision font face à des demandes croissantes en termes de temps et de ressources. Le nombre d'entreprises soumises aux exigences réglementaires augmente considérablement avec les législations existantes et nouvelles, telles que le RGPD, NIS1, et récemment NIS2 et le Digital Operational Resilience Act (DORA). Parfois, l'Autorité Nationale Compétente (NCA) n'a pas encore été identifiée. De même, la cybersécurité ajoute une complexité supplémentaire pour les investisseurs, les financiers et les acheteurs sur le marché des acquisitions, nécessitant une diligence raisonnable plus approfondie concernant la pile technologique des entreprises. Cet article propose deux solutions possibles : une liste de contrôle de « Diligence Numérique » et des « déclarations de maîtrise proactive » pour atténuer ces deux fardeaux.

Quel est le problème et qui est concerné ?

Les exigences réglementaires et sectorielles en matière de cybersécurité explosent. Elles incluent la DNB [1], DORA [2], le Cyber Resilience Act [3] [4], NIS2 [5], le SWIFT Customer Security Programme (CSP) [6], FedRAMP, ISO 27001, les Contrôles de Sécurité Critiques CIS, FISMA [7], NIST SP 800-53 et PCI DSS [8]. Gérer toutes ces réglementations est complexe pour les entreprises et, bien sûr, pour les régulateurs, qui doivent superviser correctement leur mise en œuvre. Le nombre d'entreprises concernées dans l'Union européenne seule se compte déjà en millions, comme le montre la figure ci-dessous.

Figure 1 : Nombre d'entreprises concernées par la réglementation [9] [10] [11] [12] [13]

Nous avons appris du RGPD que les formalités administratives nécessaires seront accomplies. Cependant, la difficulté réside dans la technologie et la mise en œuvre de processus, de capacités (personnes et leurs compétences) et de structures suffisantes pour surveiller et rendre compte adéquatement du bien-être d'une entreprise.

Selon Kuijper (2020), " les autorités de protection des données (APD) sanctionnent principalement les symptômes visibles de non-conformité au RGPD (les risques matérialisés) plutôt que de sanctionner et de décrire les causes profondes sous-jacentes de ces symptômes de non-conformité, comme par exemple l'échec à analyser les risques de traitement des données, un manque de gouvernance ou de contrôles, etc".

 Les amendes réglementaires sont le coût le plus significatif en cas de problème ; elles peuvent parfois atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise en infraction [14].

Dans des recherches récentes, nous avons observé que la plupart des violations du RGPD concernent la mise en œuvre des mesures techniques et organisationnelles requises pour garantir la sécurité de l'information (art. 32). La mise en œuvre de contrôles de sécurité de l'information est fastidieuse pour de nombreuses organisations en raison de ressources et de capacités limitées.

Les réglementations à venir ne seront durables qu'en exigeant une soumission proactive obligatoire de ce que l'on appelle des « déclarations de maîtrise ». Celles-ci représentent une inversion de la charge de la preuve : les entreprises doivent être en mesure de prouver qu'elles se conforment.

Complexité supplémentaire sur le marché des acquisitions

Dans les fusions et acquisitions, les acheteurs imposent des conditions plus strictes aux entrepreneurs cherchant à vendre leurs entreprises, y compris des exigences concernant les données et la vie privée [14]. Le contrôle accru de la cybersécurité souligne le besoin crucial d'une diligence raisonnable numérique minutieuse liée aux actifs numériques et d'évaluations complètes des risques. Dans les fusions et acquisitions, une seule erreur peut avoir des conséquences profondes, entraînant des pertes financières substantielles et des dommages à la réputation.

Heureusement, de plus en plus de diligences raisonnables sont également effectuées pour les départements technologiques d'une entreprise. Cela n'est pas surprenant, car la technologie est un facteur de plus en plus important dans les processus et les moteurs de valeur des entreprises. De plus, des exemples notoires tels que les acquisitions de DigiNotar par Vasco, de Verizon par Yahoo et de Marriott International par Starwood Hotels and Resorts Worldwide ont montré les conséquences de longue portée d'une diligence raisonnable insuffisante.

Dans l'incident de Yahoo, des attaquants ont réussi à exécuter une attaque de harponnage, ciblant un employé de Yahoo. Grâce à ses identifiants, les attaquants ont obtenu l'accès aux données sauvegardées. Cet exemple montre l'importance du principe du moindre privilège, car des droits utilisateur surdimensionnés simplifient considérablement la tâche des cybercriminels pour pénétrer et, par « saut de système », explorer l'ensemble du réseau, car il n'y avait pas de segmentation du réseau. Les violations comme celle subie par Yahoo peuvent avoir de graves conséquences. Combinée à une autre violation subie par Yahoo, cela a conduit à une réduction de 350 millions de dollars dans l'accord avec Verizon [15].

On peut soutenir que tous les processus métiers dépendent, à des degrés divers, de la technologie et des processus numériques. La vie professionnelle et privée sont étroitement intégrées, tout comme les données, y compris la propriété intellectuelle ou les données confidentielles qui sont valorisées comme goodwill dans tout processus d'acquisition. Ces données peuvent se trouver n'importe où, y compris sur des appareils domestiques ou dans le stockage des smartphones comme iCloud.

Dans ce contexte, une diligence raisonnable numérique minutieuse n'est pas seulement une bonne pratique, mais une nécessité absolue. À mesure que les entreprises évoluent à l'ère numérique, la capacité à évaluer et à gérer efficacement les risques potentiels de cybersécurité est devenue fondamentale pour garantir le succès, l'intégrité et la durabilité des fusions, acquisitions et opérations en cours.

Éviter de financer un chat dans un sac

Dans notre monde numérique, il existe diverses raisons de réaliser une évaluation de diligence raisonnable. Au cœur de celle-ci, la diligence raisonnable est conçue pour découvrir les risques de sécurité potentiels, servant de base à différentes considérations essentielles, telles que l'évaluation de l'entreprise et l'identification des moteurs de valeur. Cela inclut la propriété intellectuelle, la technologie logicielle, les capacités d'automatisation, les abonnements, les propositions de marché uniques et les menaces potentielles pour ces moteurs de valeur.

Figure 2. La diligence raisonnable devrait viser à évaluer toutes les couches de la pile technologique

Ainsi, une diligence raisonnable approfondie sur la technologie, les processus et les capacités humaines est essentielle pour établir la confiance et maintenir une bonne réputation. Une acquisition implique des actifs, des opérations et de grandes quantités de données clients et employeurs. En identifiant à l'avance les risques de sécurité potentiels et les violations réglementaires, les dommages à la réputation peuvent être évités. Cela inclut également l'évaluation des relations avec les fournisseurs, car ces connexions tierces peuvent souvent être un maillon faible de la chaîne d'approvisionnement.

Étant donné que les moteurs de valeur des entreprises (actifs créateurs de valeur) sont actuellement davantage orientés vers la technologie logicielle utilisée, il est nécessaire d'évaluer les principes de « Sécurité Logicielle par Conception » ou l'utilisation de bonnes pratiques telles qu'une Liste des Matériaux Logiciels (SBOM). Le logiciel doit être soigneusement vérifié pour éviter d'acheter une dette technique ou une pile technologique logicielle inférieure. De plus, la diligence raisonnable numérique englobe les aspects technologiques et inclut l'évaluation de la culture de cybersécurité de l'entreprise, des processus et du niveau de sensibilisation parmi ses employés. Cela s'est avéré vrai dans le cas de Marriott International, où les attaquants ont probablement obtenu un accès non autorisé à la base de données de réservation des clients de Starwood via un e-mail de phishing [16]. La violation a eu lieu en 2014, deux ans avant que Marriott n'acquière Starwood, mais n'a été découverte qu'après la finalisation de l'acquisition.

De plus, la diligence raisonnable numérique est cruciale pour protéger la propriété intellectuelle (PI). En particulier dans les acquisitions conçues pour acquérir des technologies spécifiques, la valeur de ces actifs principaux est d'une grande importance. Un exemple édifiant est le cas de DigiNotar, où les principaux actifs de l'entreprise, ses certificats, ont été illégalement répliqués, conduisant finalement l'entreprise à la faillite et laissant l'acquéreur, Vasco, les mains vides, ayant acheté un « chat dans un sac ». Des efforts de diligence raisonnable numérique complets sont cruciaux pour établir que la PI est légalement et techniquement protégée et conserve encore une valeur substantielle. La sensibilisation et la connaissance approfondie de l'état technologique et de sécurité de l'entreprise, des principaux fournisseurs et de l'identification exacte des actifs créateurs de valeur à acquérir peuvent améliorer considérablement la période de transition.

Comment réaliser une Diligence Numérique (DDD)

Les parties vendeuses et acheteuses peuvent contribuer à simplifier et accélérer le processus d'acquisition. L'entreprise vendeuse pourrait montrer son statut de sécurité basé sur un cadre (par exemple, CIS8, ISO27001, ISO27701, etc.) sous la forme de déclarations périodiques attestant qu'elle maîtrise sa sécurité numérique, ses risques, sa vie privée et ses audits via une méthode structurée de tests de contrôle. Et suivre adéquatement les résultats des audits. C'est une bonne pratique en général, pas seulement avant une acquisition.

La partie acheteuse peut évaluer les déclarations de maîtrise pour effectuer la diligence raisonnable numérique. La première étape de ce processus consiste à établir l'objectif exact derrière l'acquisition. Une entreprise souhaite-t-elle augmenter sa part de marché, éliminer la concurrence ou acquérir une technologie spécifique ? L'étape suivante consiste à déterminer quels systèmes, logiciels, données et autres actifs technologiques sont nécessaires pour atteindre ses objectifs. Ensuite, ils peuvent enregistrer tous ces actifs de grande valeur et leurs propriétaires dans une application, par exemple, dans Anove.

Après cela, il est temps d'évaluer collectivement les risques auxquels ces actifs sont vulnérables. La dernière étape consiste à évaluer les contrôles mis en œuvre dans l'organisation sur la base d'un cadre tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), ISO27001, le cadre de cybersécurité du NIST (CSF), NIST 800-53 ou d'autres familles. Les financiers peuvent exiger cette évaluation approfondie pour examiner la valeur et la dette technologique potentielle d'une entreprise.

Solutions pour les régulateurs et les financiers

Pour la Diligence Numérique mentionnée ci-dessus, nous pouvons utiliser la bonne pratique des « déclarations de maîtrise ». Ces déclarations fournissent un aperçu rapide montrant l'état des contrôles dans un système de gestion de la vie privée et de la sécurité. Dans des environnements hautement réglementés comme la finance, les déclarations de maîtrise sont déjà utilisées. C'est un moyen de vérifier et de démontrer à une autorité de supervision qu'une organisation a tenu sa comptabilité de manière honnête et légale. Les déclarations de maîtrise sont des outils utiles car elles font gagner du temps, des ressources et de l'argent aux autorités de supervision. Les déclarations peuvent être vérifiées automatiquement, de manière similaire à la procédure des déclarations fiscales. Périodiquement, un audit serait mené pour évaluer si une entreprise a effectivement fourni des informations véridiques et est signée par des personnes responsables.

Il n'est pas nécessaire que chaque cadre ait sa propre déclaration de maîtrise. Les cadres ont souvent un certain degré de chevauchement concernant les contrôles qu'ils proposent. Ce chevauchement peut être cartographié pour comprendre où les cadres coïncident. Un cadre « parent » est suggéré, qui peut correspondre à plusieurs cadres « enfants » et leurs contrôles. Vous n'avez besoin de tester ce contrôle que dans le cadre parent pour vous conformer à plusieurs autres contrôles sous-jacents, comme le montre la figure 2. Cette cartographie, qui est réalisée par des communautés telles que SecureControlsFrameworks, est déjà présente dans des technologies comme Anove et est mise à jour chaque fois qu'il y a un changement dans le cadre. Cela permet aux entreprises d'envoyer une seule déclaration de maîtrise qui s'applique à l'adhésion à une multitude de cadres.

Figure 3. Un exemple de contrôle « testez une fois, conformez-vous à plusieurs » pour le contrôle d'identification et d'authentification.

Conclusion

La combinaison de toutes les réglementations à venir et des entreprises luttant pour mettre en œuvre une gestion de la sécurité appropriée rend difficile pour les régulateurs ainsi que pour les entreprises de se conformer. Pour naviguer dans cette complexité, une voie potentielle consiste à utiliser un cadre existant comme base, par exemple, au sein de l'UE ou dans des secteurs spécifiques. En établissant des parallèles avec les États-Unis, où, après une attaque majeure sur le Colonial Pipeline, l'utilisation des stratégies NIST et Zero Trust est devenue obligatoire pour les gouvernements après un décret présidentiel, une approche similaire de haut en bas pousse la sécurité numérique dans cette direction en Europe. Cela est comparable à ce que nous avons connu après les scandales MCI WorldCom et Enron en adhérant mondialement aux réglementations Sarbanes Oxley (SOX).

En essence, traiter la gestion de la cybersécurité de la même manière que les normes de reporting financier garantit une approche structurée et complète, tout comme les soumissions de reporting comptable (par exemple, les déclarations de TVA) fournissent une surveillance qui peut détecter les écarts ou les dysfonctionnements. Cela encourage également une bonne gestion parmi les propriétaires d'entreprises.

La surveillance et le reporting de l'état de la technologie sur l'ensemble de la pile sont cruciaux pour toute entreprise, ainsi que pour ses parties prenantes telles que les investisseurs, les actionnaires, les organismes de supervision et les acheteurs. Par conséquent, la sécurité numérique est une question de décision au plus haut niveau exécutif.

La combinaison de la Diligence Numérique, du principe « testez une fois, conformez-vous à plusieurs » et des déclarations de maîtrise proactives pourrait devenir intégrale à l'évaluation de l'état de sécurité numérique d'une entreprise. La question reste de savoir qui prendra les devants pour une approche descendante visant à diriger un cadre fondamental, ou devons-nous d'abord avoir un incident comme l'attaque du Colonial Pipeline ?

À propos des auteurs

Yuri Bobbert PhD est professeur à l'Antwerp Management School (AMS) et PDG d'Anove International (Anove.io). Il était auparavant responsable mondial de la sécurité informatique, des risques et de la conformité au sein du groupe NN NV, où il a dirigé le processus de diligence raisonnable numérique et d'intégration pour l'acquisition du groupe NN de DeltaLloyd. L'accord de 2,5 milliards d'euros a créé la plus grande compagnie d'assurance-vie des Pays-Bas et a été autorisé par la Banque Centrale (DNB).

Iris van Holsteijn MSc est une jeune professionnelle de la cybersécurité chez Anove International. Iris est titulaire d'un MSc en criminologie mondiale et d'un BSc en études de développement international.

Références

[1]

De Nederlandsche Bank, Good Practice Informatiebeveiliging 2019/2020, 2019.

[2]
Commission Européenne, "The Digital Operational Resilience Act (DORA)", [En ligne]. Disponible : https://www.digital-operational-resilience-act.com. [Consulté le 2 janvier 2023].

[3]

Commission Européenne, "Renforcer la cybersécurité et la résilience dans toute l'UE - accord provisoire du Conseil et du Parlement européen", [En ligne]. Disponible : https://www.nis-2-directive.com.

[4]

Commission Européenne, "Cyber Resilience Act", [En ligne]. Disponible : https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act. [Consulté le 2 janvier 2023].

[5]

Commission Européenne, "Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS 2)", [En ligne]. Disponible : https://www.nis-2-directive.com. [Consulté le 1er décembre 2023].

[6]

SWIFT, "Customer Security Programme", [En ligne]. Disponible : https://www.swift.com/myswift/customer-security-programme-csp. [Consulté le 2 janvier 2023].

[7]

Congrès des États-Unis, "FISMA, U.S. Congress, Federal Information Security Management Act of 2002", mars 2002. [En ligne]. Disponible : https://www.congress.gov/bill/107th-congress/house-bill/3844.

[8]

PCI Security Standards Council, "Payment Card Industry Security Standards Council", [En ligne]. Disponible : https://www.pcisecuritystandards.org/document_library/?document=pci_dss. [Consulté le 2 janvier 2023].

[9]

BBP Media, "NIS2 is Coming - And the Retail Industry is Not Prepared".

[10]

CBS, "Bedrijven; bedrijfsgrootte en rechtsvorm", https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table, 2023.

[11]

Eurostat, "Aperçu sectoriel", https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html, 2021.

[12]

M. Kors, "Wat betekent NIS2 voor Nederlandse organisaties?", https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html.

[13]

PricewaterhouseCoopers, "DORA: Pourquoi est-ce pertinent pour vous", https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html.

[14]

F. Conijn et R. Smit, "Koper grijpt de macht bij bedrijfsovernames", Het Financieele Dagblad, https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames, 2023, 16 octobre.

[15]

A. Athavaley et D. Shepardson, "Verizon, Yahoo agree to lowered $4.48 billion deal following cyber-attacks", Reuters, www.reuters.com/article/us-yahoo-m-a-verizon-idUSKBN1601EK, 2017.

[16]

J. Fruhlinger, "Marriott data breach FAQ: How did it happen and what was the impact?", CSO Online, https://www.csoonline.com/article/567795/marriott-data-breach-faq-how-did-it-happen-and-what-was-the-impact.html, 2020, 12 février.