Compliance: la conformité réglementaire
Mon entreprise traite des données à caractère personnel
Si votre entreprise traite des données à caractère personnel, elle doit être conforme au Règlement général pour la protection des données ou RGPD. Ce règlement établit un cadre juridique en matière de protection des données personnelles pour tous les pays de l’UE.
Dans le cadre de son accompagnement à la mise en conformité au RGPD, Orange Cyberdefense propose notamment :
un inventaire des traitements existants et une analyse des écarts ;
la création d’une feuille de route ;
un accompagnement sur les questions de gouvernance des données personnelles et de cybersécurité ;
un accompagnement dans le choix et l’intégration de solutions de chiffrement, de contrôle et d’accès aux données et de leur intégrité ;
des audits techniques et organisationnels réguliers (pour les sous-traitants également) ;
des services de détection et de réponses à incidents ;
des formations.
Mon entreprise évolue dans un secteur sensible
Si votre entreprise fait partie des secteurs d’activité suivant, elle est soumise à la loi de programmation militaire ou LPM de 2014-2019 :
Energie
Transport
Gestion de l’eau
Industrie
Finance
Communications
Santé
Activité militaire
Activité civile de l’Etat
Activité judiciaire
Alimentation
Espace et recherche
Près de 250 entreprises françaises sont concernées par la LPM et désignées légalement comme opérateurs d’importance vitale (OIV). Ces OIV sont tenus à un certains nombres d’obligations concernant la cybersécurité. Ils doivent notamment répondre à 20 règles sur la gouvernance, la maîtrise des risques, la maîtrise des SI, la gestion des incidents de sécurité et la protection des systèmes.
OIV et PDIS
Il est obligatoire pour les OIV qu’une partie de leur SI réponde aux exigences de sécurité de la LPM. Les OIV doivent ainsi disposer d’un SOC (Security Operation Center). Ils peuvent monter le leur ou faire appel à un fournisseur de cybersécurité. Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (prestataires de détection des incidents de sécurité).
Etes-vous concerné par la nouvelle directive NIS 2 ?
La directive NIS2 est en passe de devenir un élément clé de la réglementation européenne en matière de cybersécurité. Depuis son vote au Parlement européen en décembre 2022, elle est en cours de transposition dans chaque État membre et sera effective dans les mois à venir selon l'ANSSI. Nos équipes sont attentives à ces évolutions réglementaires et sont à votre disposition pour vous apporter tous les éclairages nécessaires. Dans ce contexte évolutif, n'hésitez pas à nous contacter pour obtenir des informations plus détaillées sur l'impact de cette nouvelle législation sur votre secteur d'activité et les mesures que vous devrez prendre pour vous y conformer.
Mon entreprise fournit des biens et services à des grandes entreprises
Non obligatoire légalement, la norme ISO 27001 est pour autant demandée par les grandes entreprises à leurs sous-traitants. Elle atteste de la mise en place d’un système de management de la sécurité de l’information.
Orange Cyberdefense accompagne les entreprises désireuses d’obtenir cette certification via des audits et des prestations de conseil. Nos auditeurs sont certifiés Lead Auditor et/ou Lead Impleter.