Que dit la loi sur la cybersécurité ?

Loi Godfrain du 5 janvier 1988

Première loi française punissant les actes de cybercriminalité et de piratage, la loi Godfrain du 5 janvier 1988 constitue l’un des fondements du droit des nouvelles technologies de l’information et de la communication (NTIC). On la retrouve dans le Code Pénal (Livre III, titre II, chap. III). Elle englobe ainsi toutes les infractions liées à la fraude informatique et les « atteintes aux systèmes de traitement automatisé de données ».

Cybersecurity Act

L’adoption du Cybersecurity Act constitue une avancée dans la stratégie européenne de la lutte contre la cybercriminalité. Adopté par le Parlement Européen, le Cybersecurity Act permet de renforcer la sécurité du marché en encourageant le recours à la certification de cybersécurité d’un produit et valide le rôle de l’ENISA (l’Agence européenne pour la cybersécurité) dans les échanges entre les Etats. Le traité permet également de définir un cadre de certification de sécurité informatique pour harmoniser les méthodes.

RGPD

Le RGPD (Règlement Général sur la Protection des Données) répond à l’un des principaux objectifs déployés par l’Union Européenne en matière de cybersécurité. Les utilisateurs sont de plus en plus méfiants face à l’avancée des nouvelles technologies, leur soif de données personnelles et exigent donc un gage de confiance. Le RGPD permet donc de renforcer et d’unifier la protection de données des individus et de réguler leur utilisation, au sein de l’Union Européenne.

Norme ISO/CEI 27001

La norme ISO/CEI 27001 s’adresse à tous les types d’organismes (comme les ONG, les entreprises, les administrations). Elle définit les objectifs à remplir lors de la mise en place d’un système de management de la sécurité de l’information. Autrement dit, cette norme s’assure de la protection des fonctions et des informations en cas de perte, vol ou dégradation en énumérant un ensemble de points à respecter. L’organisme peut ainsi être certifié, ce qui permet de gagner la confiance des parties prenantes. Pour établir les mesures de la norme, il faut d’abord définir la politique de sécurité en évaluant les risques liés à la sécurité et le périmètre de son champ d’application avant de choisir un mode de traitement du risque identifié. Enfin, cette politique de sécurité devra être régulièrement mise à jour, dans le but de l’améliorer.

La mise en pratique de ces normes et leur bonne application peut être effectuée par un soutien extérieur, comme une entreprise de sécurité.