Se connecter
Demander une démo
dropdown mega menu
Conformité finance

Cybersecurity Act : la loi européenne sur la cybersécurité

  • 4 min
cybersecurity act norme comptable trustpair

Dernière modification le 14 mai, 2023

La cybersécurité est un enjeu prioritaire de l’Union Européenne et des Etats membres, d’autant que la cybercriminalité a massivement augmenté avec l’épidémie de covid-19 et le recours aux intermédiaires numériques dans le cadre du télétravail. Face à la flambée du cybercrime, les autorités européennes ont tenu à se doter d’un arsenal législatif et opérationnel : le Cybersecurity Act.

Qu’est-ce que le Cybersecurity Act ?

Le Cybersecurity Act établit un cadre législatif et des standards uniques de cybersécurité pour l’espace européen. Il est préparé par l’Union Européenne et conjointement avec les agences nationales de cybersécurité, comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour la France.

Entré en vigueur le 27 juin 2019, ce règlement est obligatoire dans ses dispositions et s’applique donc à l’ensemble de l’Union Européenne.

La première partie du Cybersecurity Act officialise un mandat renforcé pour ENISA, l’European Union Agency for Cybersecurity. Cette agence de l’Union Européenne pour la cybersécurité dispose donc de pouvoirs et moyens renforcés, notamment en matière de :

  • Cohésion
  • Capacités opérationnelles
  • Sensibilisation

ENISA, la référence cybersécurité de l’Union Européenne

Cette institution officielle de l’Union Européenne est créée en 2014 et constitue le point de référence des capacités de cyberdéfense et cyber-résilience de l’Union et des pays membres.

Cette agence a 4 missions : d’expertise, d’accompagnement dans l’élaboration de politiques publiques, de développement des capacités et de renforcement de la coopération entre les Etats. Elle fournit donc un cadre impactant de nombreuses normes, comme les normes comptables

Un cadre européen unique de certification

La seconde partie du Cybersecurity Act introduit un cadre européen de certification de cybersécurité pour les produits, services et processus TIC (technologies de l’information et des communications). Cette certification vise à assurer leur résistance face aux risques cyber et est accordée après une évaluation menée par un tiers reconnu.

En termes de contraintes, il faut distinguer celles applicables aux États de celles applicables aux organisations. La mise en place de la certification est obligatoire pour les Etats, mais demeure volontaire pour les entreprises et autres organisations. Cependant, ce volontarisme est limité : les législations des pays membres peuvent imposer la certification et l’Union Européenne planifie une révision régulière du Cybersecurity Act avec, potentiellement, l’obligation de certification.

Au travers de ces deux dispositifs, le Cybersecurity Act vise à créer un cadre robuste de cybersécurité pour l’Union Européenne et à standardiser les normes et processus.

Quels sont les objectifs du Cybersecurity Act ?

Afin de (cyber) sécuriser l’espace européen, l’article 51 du Cybersecurity Act détaille les ambitions du texte :

  • Sécuriser les produits, services et processus dès la conception et tout au long de leur cycle de vie, via des mises à jour de sécurité ;
  • Construire des processus de sécurité robustes pour la collecte, le traitement et le stockage des données ;
  • Protéger les données contre la divulgation, la destruction, la perte, l’altération, l’inaccessibilité ;
  • Vérifier l’absence de vulnérabilités connues pour les produits, services et processus TIC ;
  • Garantir l’accessibilité aux accès restreints aux seuls ayants droits ;
  • Établir un historique de la donnée, avec une chronologie des services, fonctions et données consultés, utilisés ou traités, et par qui ;
  • Assurer une cyber résilience en rétablissant la disponibilité et l’accès aux données, services et fonctions en cas d’incident.

Afin d’atteindre ces objectifs, le Cybersecurity Act compte notamment sur la mise en place de son système de certification.

Data Management - Livre Blanc Trustpair x Altares

Comment fonctionne le Cybersecurity Act pour les entreprises ?

Le Cybersecurity Act promeut un marché de la cybersécurité plus lisible. Celui-ci est en effet en plein essor, car des normes de cybersécurité certifiées rassurent les régulateurs, les potentiels clients et toutes autres parties prenantes. Les solutions sont florissantes et il est possible d’adhérer à des systèmes de certification nationaux et internationaux, à l’instar de la norme ISO 27001. Toutefois, la profusion de solutions et de prestataires brouille la lisibilité des règles et des valeurs respectives des différentes certifications. Dans cette perspective, le Cybersecurity Act permet aux consommateurs de prendre des décisions plus éclairées et de contribuer à l’émergence d’un marché numérique unique.

Cybersecurity Act : un règlement en trois dimensions

Selon les données, les produits et les services, la certification du Cybersecurity Act définit 3 niveaux d’assurance :

  • « Elémentaire » (par exemple les technologies de l’information) : l’évaluation doit comprendre au minimum une analyse de la documentation technique
  • « Substantiel » (par ex. le cloud) : il faut établir l’absence de vulnérabilités connues et mener des tests de sécurité
  • « Elevé » (par ex. les voitures connectées) : en plus des actions précédentes, il faut mener des simulations d’attaque pour tester la robustesse du système

Le Cybersecurity Act intègre donc un dispositif complet et lisible, mais qui demeure volontaire pour les organisations. La certification est-elle, dès lors, dans leur intérêt ? Certes, elle est non-obligatoire, mais rappelons que la Commission européenne peut être amenée à réviser cette clause ; il peut ainsi s’agir pour l’entreprise d’anticiper les évolutions législatives. C’est, de plus, une question de sécurité, puisque l’organisation reçoit une certification pertinente pour les produits et / ou services vendus.

Plus largement, la cybersécurité est un enjeu majeur pour les entreprises, qui doivent l’envisager à la fois sur le plan des menaces technologiques et des tentatives de fraude. Arnaque au FOVI, fraude au faux fournisseur, fraude interne : autant de dangers dont l’entreprise peut cependant se protéger. Elle peut ainsi adopter une solution anti fraude comme Trustpair. Ce SaaS contrôle automatiquement et en continu la base tiers et alerte en cas de détection d’anomalies ou d’erreurs. L’entreprise peut ainsi se prémunir du risque de fraude.

Nouveau call-to-action

POINTS À RETENIR:

  • Le Cybersecurity Act établit un cadre législatif et des standards uniques de cybersécurité pour l’espace européen.
  • Ses objectifs principaux sont: la protection des données et la sécurisation des produits/services/processus.
  • Il est définit sous 3 niveaux d’assurance.
  • Il vise à standardiser les normes et processus à l’échelle européenne.

Gérer les risques liés à la Trésorerie d’entreprise.

Découvrir la solution

Suivez nos dernières actualités

Inscrivez-vous à la Newsletter Trustpair et recevez chaque semaine des conseils…
Merci ! Votre inscription à la newsletter Trustpair a bien été prise en compte.

        En cliquant sur « Je m’abonne », vous acceptez recevoir la newsletter Trustpair pour être informé(e) des nouveautés ou de toutes informations importantes sur nos services. En vous abonnant, vous acceptez notre Politique de confidentialité.

Articles liés

Le sujet vous intéresse ? Retrouvez l’ensemble des contenus autour de cette thématique.

Voir plus d'articles
Conformité finance
Due diligence : focus sur les enjeux et les outils
Lire l'article
  • 5 min
Conformité finance
Loi LME : quels impacts sur les délais de paiement ?
Lire l'article
  • 4 min
Conformité finance
Comment procéder à la vérification des IBAN ?
Lire l'article
  • 5 min
Conformité finance
Gestion et contrôle des tiers : le plan d’action pour être en conformité
Lire l'article
  • 4 min
Conformité finance
Le contrôle interne en entreprise : un rempart contre la fraude ?
Lire l'article
  • 9 min
Conformité finance
Norme ISO 20022 : quelles conséquences pour les entreprises ?
Lire l'article
  • 3 min
Conformité finance
Corruption active et passive : comprendre les différences
Lire l'article
  • 5 min
Conformité finance
Gérer le risque de non-conformité en entreprise
Lire l'article
  • 4 min
Conformité finance
Qu’est-ce que la certification SOC 2 et son rôle dans la sécurité des données ?
Lire l'article
  • 4 min
Conformité finance
Loi Sapin 2 : qui est concerné ?
Lire l'article
  • 4 min
Conformité finance
Quelles sont les sanctions prévues par la loi Sapin 2 ?
Lire l'article
  • 3 min
Conformité finance
La lutte contre le blanchiment d’argent : un enjeu crucial en entreprise
Lire l'article
  • 5 min
Conformité finance
Garantir la conformité bancaire dans son entreprise
Lire l'article
  • 6 min
Conformité finance
Le protocole EBICS : une solution de paiement sécurisée pour les grandes entreprises
Lire l'article
  • 5 min
Conformité finance
Loi anti-fraude et normes au service de la sécurité des entreprises
Lire l'article
  • 4 min
Conformité finance
Lutte contre la fraude : le rôle de la NEP 240
Lire l'article
  • 4 min
Conformité finance
ESG et Directions financières : une dimension à maîtriser d’urgence !
Lire l'article
  • 4 min
Conformité finance
Normes comptables : à quoi correspondent-elles et comment les respecter ?
Lire l'article
  • 7 min
Conformité finance
Directive NIS : un enjeu de cybersécurité ?
Lire l'article
  • 5 min
Conformité finance
Le SMSI : comment gérer la sécurité de l’information dans l’entreprise ?
Lire l'article
  • 5 min