Le 11 mars dernier, le Sénat a examiné le projet de loi, initialement déposé courant octobre 2024, portant sur la résilience des infrastructures critiques et au renforcement de la cybersécurité. Dès le lendemain, il a été adopté puis déposé le 13 mars à l’Assemblée Nationale (en attente de calendrier).
Ce projet de loi résulte directement du besoin urgent de ces dernières années d’assurer la continuité des entreprises face aux cyberattaques de plus en plus agressives et efficaces. Dans ce contexte, il prévoit donc concrètement la transposition de trois Directives européennes adoptées en matière de cybersécurité des entreprises :
L’ACPR frappe de nouveau sur la sécurité des systèmes d’information ! En effet, elle vient de publier ce jeudi 12 février une nouvelle synthèse de son enquête sur la gestion de la sécurité des systèmes d’information des organismes d’assurance.
Elle y constate que, suite aux enquêtes précédentes auprès du secteur, celui-ci a pris une certaine conscience des enjeux et des risques impliquant une gestion spécifique par la fonction SSI ; fonction qui reste néanmoins encore peu incluse dans les décisions stratégiques.
L’année 2024 a été une année riche en documentation pour permettre aux organismes de se mettre en conformité par rapport à la réglementation DORA et anticiper la mise en place opérationnelle en 2025.
Entre textes européens et textes nationaux, entre impératifs et conseils des autorités, il est facile de se sentir rapidement perdu. Nous pouvons dès lors nous demander quelles sont les prochaines échéances, étapes, mais surtout quoi transmettre, comment, où et à qui.
Nous vous proposons donc de faire un petit point d’étape pour vous aider à y voir un peu plus clair sur l’année 2025 :
En 2024, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a mené une enquête auprès de 224 organismes d’assurance pour évaluer la gestion des données alimentant les calculs prudentiels. Les résultats montrent des avancées notables en matière de gouvernance des données, tout en mettant en évidence des axes d’amélioration essentiels.
Sur la gouvernance des données, l’enquête constate en effet de véritables progrès notamment sur la mise en œuvre de politiques spécifiques. Ainsi, les organismes ont renforcé leurs structures, notamment par la mise en place de comités dédiés et l’adoption de politiques spécifiques à la qualité des données (QDD). Par ailleurs, un responsable dédié au pilotage de la QDD est désormais présent dans de nombreuses entités.
A l’occasion de l’entrée en application de DORA le 17 janvier 2025, l’ACPR a publié deux documents permettant aux entités assujetties de mieux s’y retrouver dans leurs obligations à court et moyen terme. L’autorité a en effet publié le formulaire de déclaration d’externalisation de notification des incidents TIC majeurs, mais surtout son premier paquet de questions/réponses à la FAQ DORA qui apporte de précieux renseignements sur ce qu’il faut renseigner, comment le renseigner et quand le renseigner.
Les éléments les plus marquants sont les suivants :
Une consultation publique est ouverte jusqu’au 28 février 2025, à l’initiative de la CNIL, pour permettre à cette dernière de mettre à jour sa recommandation relative à la sécurité des systèmes de vote par correspondance électronique (SVE).
Cette recommandation de la CNIL a en effet été mise à jour pour la dernière fois le 25 avril 2019. Or, du fait des avancées technologiques, et surtout de la hausse et du perfectionnement des cyberattaques, il était aujourd’hui nécessaire de s’adapter au nouveau contexte.
Ainsi, dans le respect des principes de la protection des données personnelles et des grands principes généraux du droit électoral, l’objectif de ce projet est donc dans un premier temps de fixer de nouveaux attendus en matière de sécurité des dispositifs de vote par correspondance électronique grâce à une revalorisation de niveaux de sécurité ; puis de redéfinir des moyens concrets pour les responsables de traitements afin mettre en place des solutions adaptés aux scrutins.
La CNIL propose ainsi la création de 3 niveaux de risques et, en fonction de la classification du scrutin et du type d’organisme dans un niveau de risque, celui-ci devra se conformer à certaines prérogatives.
