Perfectionner les principes de base

La réglementation

En 2020, les entreprises ont eu de la difficulté à déterminer si elle devait investir, à quel moment et sous quelle forme elle devait le faire afin de respecter les règles de conformité. Les mesures prises variaient beaucoup selon les secteurs et les segments de revenu.

Les changements rapides imposés par la COVID-19 n’ont servi qu’à élargir les lacunes préexistantes en matière de conformité, et possiblement à en créer de nouvelles. Un exemple fictif, mais tout à fait réaliste, pourrait être celui d’une organisation de soins de santé qui aurait lancé rapidement un système de télémédecine pour sauver des vies, et ce faisant, aurait négligé certains éléments de la conformité à la HIPAA. Un autre exemple pourrait être celui d’un détaillant qui aurait signé une dizaine de contrats avec des tiers pour agrandir rapidement une boutique numérique, sans faire preuve de diligence raisonnable en matière de cybersécurité. Il est maintenant temps de corriger les erreurs du passé et d’améliorer les éléments de base pour assurer le succès futur.

Le changement est en cours à compter de 2021. Poussé par la faille SolarWinds, le président des États-Unis, Joe Biden, a proposé un financement de 9 milliards de dollars américains pour soutenir le travail de la Cyber Security and Information Security Agency (CISA) du pays. L’article 230 de la US Communications Decency Act aux États-Unis sera probablement réexaminé, car les personnes des deux côtés de la ligne de démarcation politique veulent avoir la certitude que les entreprises technologiques répondront de leurs actes.

De plus, le respect du Règlement général sur la protection des données (RGPD) de l’Union européenne doit être au cœur de tout plan de cybersécurité. Des règlements sur la protection de la confidentialité des données qui reflètent le RGPD continueront d’émerger, et en mai 2020, nous avons vu l’entrée en vigueur de la Loi sur la protection des données personnelles en Thaïlande (Thailand’s Personal Data Protection Act, PDPA). De même, la US California Privacy Rights Act (CPRA) est entrée en vigueur à la fin de 2020, élargissant et modifiant la California Consumer Privacy Act (CCPA) initiale pour devenir la loi sur la protection des données la plus restrictive aux États-Unis.

Au fur et à mesure que se recouperont l’évolution numérique et la médecine, le secteur des soins de santé sera soumis à davantage de demandes réglementaires. L’application du nouveau règlement relatif aux dispositifs médicaux (RDM) de l’Union européenne est obligatoire et exige que les fabricants tiennent compte des principes de la gestion des risques, y compris la sécurité de l’information, ainsi que de la protection contre l’accès non autorisé.

Au mieux, la situation reste compliquée, et les organisations qui gèrent le risque lié à la réglementation doivent en être conscientes. La conformité n’est pas synonyme de sécurité; les normes servent simplement de référence. Les pratiques exemplaires en matière de sécurité exigeront des solutions sur mesure en fonction des besoins et des activités particuliers des organisations, et pourraient surpasser les normes en vigueur.


Les organisations n’ont pas encore perfectionné les principes de base de la gestion des défis actuels et futurs en matière de réglementation.

Explorez les principaux risques liés à la conformité, reliez-les aux principaux contrôles de cybersécurité et déterminez les mesures que votre organisation peut prendre pour combler ses lacunes en matière de cybersécurité.


Pour en savoir plus, cliquez sur les domaines de sécurité

*Le cyberquotient (CyQu) d’Aon est une évaluation complète des cyberrisques permettant d’évaluer le cyberrisque dans neuf domaines critiques, répartis en 35 points de contrôle essentiels.

Perspectives par secteur