Qu’est-ce que la loi sur la sécurité des infrastructures critiques ?
Le 25 novembre 2024, le projet de loi de 2024 portant amendement de la loi sur la sécurité des infrastructures critiques et autres législations (amélioration de la réponse et de la prévention) (SOCI Act), qui faisait partie du paquet législatif sur la cyber-sécurité, a été adopté. Le SOCI Act confère au gouvernement des pouvoirs plus étendus pour mettre en œuvre l’axe 4 de la stratégie de cyber-sécurité 2023-2030 (protection des infrastructures critiques) et pour combler les lacunes et résoudre les problèmes liés à l’évolution du paysage de la cybermenace.
- Les systèmes de stockage de données qui contiennent des données critiques pour l’entreprise seraient réglementés en tant qu’actifs d’infrastructure critique en vertu des amendements.
- De nouveaux pouvoirs du gouvernement en matière de gestion des conséquences en vertu desquels le gouvernement peut ordonner à une entité de prendre des mesures pour répondre à des incidents plus larges que les seuls cyberincidents.
- Nouvelle définition des « informations protégées » comprenant une évaluation des préjudices potentiels et une liste non exhaustive d’informations pertinentes, ainsi que des précisions sur les cas où les informations protégées peuvent être partagées ou utilisées à d’autres fins.
- Nouveau pouvoir pour l’autorité de régulation de donner des instructions à une entité responsable pour qu’elle remédie à toute déficience grave identifiée dans un programme de gestion des risques liés aux infrastructures critiques.
Systèmes de stockage de données contenant des données critiques pour l’entreprise
- #16 : « …renforcer la protection des systèmes de stockage de données et des données critiques pour l’entreprise. »
- #19 : « L’annexe ne vise pas à saisir tous les systèmes non opérationnels contenant des données critiques pour l’entreprise, mais seulement ceux dont les vulnérabilités pourraient avoir un impact important sur les infrastructures critiques. Voici quelques exemples de systèmes qui pourraient être concernés : les systèmes de stockage de données contenant des données critiques pour l’entreprise, lorsque la séparation des réseaux entre les systèmes de technologie de l’information et de technologie opérationnelle est inadéquate, ou les systèmes de stockage de données contenant des données opérationnelles telles que des plans de réseau, des clés de chiffrement, des algorithmes, des codes de systèmes opérationnels, ainsi que des tactiques, techniques et procédures. »
- #20 : « …Lorsque l’entité responsable sous-traite à un tiers, ce dernier devient responsable du système de stockage des données. »
- #31 : les différents critères proposés indiquent clairement que tous les systèmes non opérationnels contenant des données critiques pour l’entreprise ne doivent pas être pris en compte, mais seulement ceux dont les vulnérabilités pourraient avoir un impact important sur les infrastructures critiques. Ils précisent également que l’entité responsable du principal bien d’infrastructure critique est responsable des systèmes de stockage de données qu’elle possède ou exploite.
NOTE DE CONFORMITÉ
Assurer la conformité à la loi australienne SOCI Act
Découvrez comment Thales aide les entreprises à se conformer à la loi australienne SOCI Act en sécurisant les infrastructures critiques, en protégeant les données et en gérant les clés de chiffrement.
Comment Thales contribue à la conformité au SOCI Act (amendements)
Les solutions de Thales peuvent aider les entreprises à se conformer au SOCI Act en simplifiant la conformité et en automatisant la sécurité, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Nous fournissons des solutions complètes de cyber-sécurité dans trois domaines clés : la sécurité des applications, la sécurité des données et la gestion des identités et des accès.
Solutions de conformité au SOCI Act
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre suite de produits leader sur le marché comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API, un réseau de diffusion de contenu (CDN) sécurisé et l’autoprotection des applications en cours d’exécution (RASP).
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Répondre aux exigences du SOCI Act (amendements) – ANNEXE 1
Comment Thales vous aide :
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
- Identifiez les données sensibles structurées et non structurées à risque, sur site et dans le cloud.
- Identifiez l’état actuel de la conformité, documentez les lacunes et fournissez une voie vers une conformité totale.
Solutions :
Sécurité des applications
Sécurité des données
Découverte et classification des données
Comment Thales vous aide :
- Surveillez l’activité des données structurées et non structurées dans les systèmes cloud et sur site.
- Produisez une piste d’audit et des rapports de tous les événements d’accès à tous les systèmes et transmettez les journaux aux systèmes SIEM externes.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Gestion des identités et des accès
Comment Thales vous aide :
- Chiffrez les données au repos sur site, dans le cloud et dans des environnements de Big Data et de conteneurs.
- Protégez les données en transit grâce à un chiffrement haut débit.
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
Comment Thales vous aide :
- Limitez l’accès des utilisateurs internes et externes aux systèmes et aux données en fonction de leurs rôles et du contexte, à l’aide de politiques.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Exploitez les cartes à puce pour mettre en œuvre l’accès physique aux installations sensibles des infrastructures critiques.
Solutions :
Sécurité des données
Analyse des risques liés aux données
Gestion des identités et des accès
Comment Thales vous aide :
- Concevez et déployez des politiques d’authentification adaptatives en fonction de la sensibilité des données/applications.
- Protégez-vous contre l’hameçonnage et les attaques de l’homme du milieu.
Comment Thales vous aide :
- Protégez les clés cryptographiques dans un environnement FIPS 140-2 niveau 3.
- Rationalisez la gestion de clé dans les environnements cloud et sur site.
- Gérez et protégez tous les secrets et les identifiants sensibles.
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.