Les réglementations exigent une plus grande résilience opérationnelle
Dans l'UE, la loi sur la résilience opérationnelle numérique (DORA) est entrée en vigueur en janvier 2025, obligeant le secteur financier à renforcer la sécurité informatique, la résilience opérationnelle et la gestion des risques tiers. Les institutions financières sont particulièrement vulnérables à la cyberattaque, étant donné les données sensibles qu'ils détiennent et leur dépendance croissante envers les technologies numériques pour fournir des services. La législation existante de la cybersécurité NIS dans l'UE sera également renforcée en juin, lorsque la directive NIS 2 sera mise en œuvre. Cela impose des mesures de sécurité plus strictes, une gestion des risques et des rapports d'incident.
Au Royaume-Uni, le prochain projet de loi sur la cybersécurité et la résilience vise à améliorer les cyber-concurrents et à protéger les services publics essentiels. Il élargira la réglementation pour protéger davantage de services numériques et de chaînes d'approvisionnement, renforcera les pouvoirs des régulateurs pour garantir la mise en œuvre des mesures de cybersécurité et obligeant les rapports accrus des incidents.
Besoin de démontrer la préparation des incidents
Ces réglementations renforcées se concentrent dans l'esprit de nombreux chefs d'entreprise sur la nécessité d'une plus grande résilience opérationnelle, y compris une plus grande préparation à se remettre rapidement d'une violation de données. Chez Experian, nous avons vu un intérêt croissant pour notre Services de crise-réponse pré-abri des institutions financières et des organisations multinationales, ainsi que des assureurs et des cabinets d'avocats conseillant les clients sur la conformité et la cybersécurité.
La nécessité d'avoir des mesures de pré-abri en place a conduit de nombreuses grandes entreprises à s'inscrire aux services qui les équiper pour traiter efficacement toute violation de données et la réponse ultérieure des consommateurs. Experian propose une suite de ces services, à partir de la réponse d'entrée de gamme, qui est libre de s'inscrire et d'offre un contrat préalable et des tarifs fixes pour les services post-abri, jusqu'à la protection de la réponse qui comprend la modélisation des ressources, la planification des scénarios et les exercices de simulation.
Les grandes entreprises prévoient une réponse de crise efficace
Nous avons constaté que de nombreuses grandes entreprises optant pour le service d'entrée de gamme pour se conformer aux exigences réglementaires, mais aussi parce qu'elles reconnaissent les limites de leurs propres processus de déconnexion internes. Dans de nombreuses grandes entreprises, les contrats peuvent prendre jusqu'à dix jours pour obtenir l'approbation. En cas de violation de données, les entreprises ne peuvent pas se permettre d'attendre qu'un contrat de crise-réponse soit approuvé, car tout retard de lutte contre la violation exacerbera les dommages financiers, de réputation et opérationnels. Le service de rendez-vous sur la réponse expérimente donne à ces entreprises un contrat de crise-réponse pré-signé qui est organisé immédiatement après une violation de données, sans d'autres retards de déconnexion.
Il est juridique de notifier l'ICO dans les 72 heures si les données personnelles ont été compromises. Les organisations qui n'indiquent pas les clients rapidement et montent un processus de récupération efficace, font face à de nouvelles amendes et le manque de préparation n'est pas examiné favorablement par les régulateurs. Les consommateurs veulent également savoir rapidement si leurs données personnelles ont été violées et notre propre Recherche de réponse en crise ont constaté que 53% des consommateurs déposeraient une plainte si une organisation gère mal une crise et 42% déplaceraient leur coutume ailleurs.
En plus d'atteindre la conformité réglementaire et d'assurer les parties prenantes de leur préparation à faire face à une violation de données, la mise en place d'un accord de pré-engagement peut également aider à réduire les primes d'assurance. Les plus grandes réclamations suivant toute cyberattaque concernent généralement l'interruption des entreprises. Tout ce qu'une entreprise peut faire pour réduire les perturbations de leur entreprise à la suite d'un cyber-incident est donc susceptible d'être considéré favorablement par les assureurs.
Évaluer la préparation aux consommateurs
Avec l'arrivée de Dora et des réglementations similaires, les avocats, les assureurs et autres conseillers commerciaux enseignent maintenant aux clients que le fait d'avoir un accord de pré-abri en place est une bonne première étape – pour renforcer la résilience et s'assurer qu'ils sont prêts à répondre si le pire se produit.
Au-delà de cela, de nombreuses entreprises sont invités à effectuer des exercices de scénario de bureau afin d'évaluer comment ils offriraient un programme de notification des consommateurs après un incident. Ces exercices de bureau peuvent aider les entreprises à comprendre leur niveau de préparation à une réponse des consommateurs. Il est déjà courant de réaliser de tels scénarios pour la résilience et la récupération des catastrophes. La réalisation d'un scénario de bureau à réponse grand public peut aider les entreprises à évaluer le soutien supplémentaire dont ils peuvent avoir besoin et s'ils disposent des ressources disponibles pour monter une réponse efficace.
Les réglementations visent à protéger les consommateurs et les données
L'objectif ultime de toutes les réglementations de cybersécurité dans le monde est de protéger les droits et les données des consommateurs. Les entreprises peuvent renforcer leur conformité en protégeant les données des consommateurs et en veillant à ce qu'elle ne soit pas exposée aux risques. Si les données sont violées, les entreprises doivent être en mesure de démontrer qu'elles ont des mécanismes efficaces en place pour soutenir ceux qui sont touchés, répondre efficacement et restaurer rapidement les données.
Des pressions réglementaires récentes ont mis en évidence la valeur des services de pré-réponse à la crise pré-abri, aidant les entreprises à introduire des mesures préventives pour protéger et rassurer les clients et les parties prenantes – et satisfaire les régulateurs.
