SRI2 et DORA : Ce que les entreprises technologiques doivent savoir

La Directive sur la sécurité des réseaux et des systèmes d’information (SRI2, également connu sous le nom de NIS2) et le Règlement sur la résilience opérationnelle numérique (DORA) – qui doivent tous deux être mis en œuvre par certaines entreprises de l’UE cette année – sont appelés à remodeler le paysage de la cybersécurité sur le continent. 
 

Bien que cette législation puisse ne pas s’appliquer directement à certaines sociétés informatiques et de logiciels, leurs clients peuvent choisir d’évaluer la cybersécurité et la résilience opérationnelle de leurs fournisseurs tiers critiques afin de s’assurer du respect de celle-ci. À ce titre, il est essentiel que les entreprises technologiques soient conscientes des nouvelles exigences et des risques potentiels associés, afin de mettre en œuvre les stratégies d’atténuation des risques qui s’imposent.
 

Cet article suggère diverses façons dont les sociétés informatiques et de logiciels peuvent minimiser leur exposition au risque et à la responsabilité, au regard de cette nouvelle législation. 

Transparence et communication, vos pierres angulaires

Politique de divulgation des vulnérabilités logicielles (PDV) : Encourager une culture de signalement des vulnérabilités responsable en établissant une PDV bien définie. Les clients doivent être incités à signaler les vulnérabilités à leur fournisseur informatique ou de logiciels. La PDV doit décrire clairement comment signaler les vulnérabilités, le processus de coordination des correctifs, et assurer aux auteurs de l’alerte l’anonymat et la protection contre les représailles.
 

Gestion des correctifs : Mettre en place un système permettant de traiter rapidement les vulnérabilités identifiées par des tests internes ou des rapports de clients. Lorsque des vulnérabilités sont détectées, les entreprises informatiques doivent clairement communiquer à leurs clients la nature du problème, l’impact potentiel et la disponibilité d’un correctif ou d’une mise à jour. 
 

Utiliser un langage clair : Éviter le jargon ou une langue trop technique lorsque vous communiquez des problèmes de sécurité ou des mises à jour aux clients. Un langage clair et concis facilitera la compréhension des communications pour leurs clients. 
 

Tout documenter : Les sociétés informatiques doivent créer des processus bien définis pour documenter toutes les interactions avec les clients, y compris les conseils donnés et les éventuels accords conclus. En cas de désaccord avec un client, ou lorsque leur responsabilité risque d’être engagée, le fait de disposer d’une documentation détaillée peut les aider à justifier leur position.    
 

Confiance des clients : L’obtention de certifications ou de rapports d’audit SOC2 peut garantir aux clients que l’environnement de contrôle de la sécurité de leur fournisseur informatique est sécurisé et d’un niveau élevé. Se tenir prêt à partager les preuves des tests de contrôle dans des circonstances déterminées avec les clients et les organismes de réglementation. ~
 

Tests d’intrusion fondés sur les menaces : Lorsque les clients l’exigent, les entreprises informatiques doivent prévoir de participer à des exercices de tests d’intrusion fondés sur les menaces, y compris des tests groupés.

Tirer parti du pouvoir des contrats

Clauses de non-responsabilité claires : Pour les fournisseurs de logiciels, inclure des clauses de non-responsabilité dans les contrats de licence qui décrivent les limites des capacités de sécurité du logiciel, afin de définir des attentes claires. Mettre en évidence ce que le logiciel est conçu pour faire et les mesures de sécurité qui ont été mises en œuvre au sein de ses fonctionnalités.
 

Périmètre des services : Un contrat et/ou un accord de niveau de service (SLA) bien définis décrivent les services spécifiques fournis par l’entreprise technologique et ses obligations. Ils permettent d’établir exactement de quoi l’entreprise technologique est responsable. Il est également utile d’indiquer ce que le fournisseur informatique ne fera pas, afin d’éviter toute ambiguïté. 
 

Obligations du client : Le contrat doit décrire clairement les responsabilités du client en matière de sécurité, la plus importante étant la notification des incidents. Les responsabilités peuvent également inclure des mises à jour logicielles en temps opportun, des contrôles d’accès appropriés des utilisateurs et le respect des meilleures pratiques en matière de sécurité. Lorsque l’on travaille avec de grandes organisations qui ont leurs propres services informatiques internes, il est encore plus crucial de formuler de manière claire et détaillée les obligations de chaque partie. 
 

Garanties limitées : Envisager d’inclure des garanties limitées dans les accords entre le fournisseur informatique et le client qui excluent toute responsabilité pour les dommages indirects ou consécutifs résultant de cyberattaques, et s’assurer que la responsabilité est toujours limitée à un montant raisonnable. Ces limites peuvent aider à gérer l’exposition potentielle à la responsabilité.
 

Clauses d’indemnisation : Dans certains cas, les sociétés informatiques et de logiciels peuvent envisager d’intégrer des clauses d’indemnisation dans leurs contrats. Elles peuvent également souhaiter y inclure des clauses de force majeure, telles que la définition d’une cyberattaque comme cas de force majeure. Ces clauses peuvent transférer une partie de la responsabilité au client, mais elles sont complexes et ne sont pas nécessairement applicables dans toutes les juridictions. Il est essentiel de consulter un conseiller juridique. 

Éduquer et responsabiliser les clients

Documentation de sécurité : Une documentation complète sur la sécurité informatique peut permettre aux clients d’utiliser leur logiciel en toute sécurité. Cette documentation doit idéalement décrire les meilleures pratiques pour la configuration et le déploiement sécurisés des logiciels et les aider à tirer le meilleur parti de ses fonctionnalités de sécurité. Comme mentionné ci-dessus, la langue de cette documentation doit être précise et facile à comprendre. 
 

Information des clients : Les sociétés informatiques et de logiciels doivent faire en sorte d’informer les clients si leur niveau de sécurité informatique actuel ou proposé est insuffisant. Par exemple, s’ils n’utilisent pas l’authentification multifactorielle (MFA) ou s’ils ont une faible capacité de pare-feu. Chaque fois que les clients sont informés de ces faiblesses, elles doivent être clairement documentées.  
 

Formation de sensibilisation à la sécurité : Les entreprises technologiques doivent envisager de dispenser une formation de sensibilisation à la cybersécurité à leurs clients. Cette formation peut leur apprendre à utiliser leurs systèmes informatiques de manière sécurisée et à identifier les menaces potentielles. Il est tout aussi important pour les entreprises informatiques de veiller à dispenser des formations similaires en interne. 

Synthèse

Il s’agit de recommandations générales, et les processus spécifiques mis en œuvre dépendront de la nature des opérations et des produits de l’entreprise technologique concernée, de son marché cible et de l’environnement juridique dans lequel elle évolue. La consultation d’un conseiller juridique et d’un assureur est essentielle pour s’assurer que l’approche adoptée est conforme aux réglementations et bonnes pratiques en vigueur. Toutefois, les principes généraux décrits ici peuvent aider les sociétés informatiques et de logiciels à construire un cadre plus solide et plus résilient, afin d’atténuer les risques et la responsabilité.  
 

De la responsabilité civile générale au cyber, en passant par les dommages aux biens et l’assurance erreurs et omissions, la Practice sectorielle Technologies de Chubb fournit des solutions d’assurance aux entreprises technologiques de toutes tailles dans un large éventail de secteurs.