Ces dernières années, l'UE a mis l'accent sur la cybersécurité en créant et en coordonnant de nouveaux règlements et directives. Leur objectif est d'accroître les capacités de cybersécurité et la coopération entre les organisations et les pays, et'introduire un ensemble de normes que chaque État membre de l'UE devra appliquer pour commercer en toute sécurité au sein du marché numérique unique , grâce à une authentification de confiance transfrontalière.
Ce blog passe en revue l'ensemble du cadre réglementaire et résume certaines des principales réglementations en matière de cybersécurité qui affectent les institutions et les organisations, en particulier dans le secteur financier de l'UE. Qui doit être au courant de ces réglementations ? Tout acteur des secteurs de l'investissement, de la comptabilité, de l'assurance, de la banque, des paiements en ligne, des FinTech ou toute entité qui doit traiter les données de cartes de crédit des citoyens de l'UE.
La rigueur accrue autour de la protection et de l'intégrité des données, exigée par la Commission européenne, vise à améliorer le partage des données et la communication numérique à travers les frontières de l'UE afin que moins d'entreprises soient impactées par des violations de données et des cyberattaques. En contrepartie, les données des titulaires de cartes restent en sécurité. En fait, l'entreprise et le consommateur bénéficient tous deux de cette réglementation.
Pour les départements informatiques et de cybersécurité, la conformité à ces réglementations est essentielle. La meilleure façon de commencer est d'analyser clairement le paysage réglementaire actuel et de comprendre quelles normes s'appliquent à votre entreprise, ainsi que les délais d'adoption.
Jetons un coup d'œil rapide aux principales directives qui devraient être sur votre radar.
Identification électronique, authentification et services de confiance (eIDAS)
Destinée à toutes les organisations fournissant des services numériques publics dans un État membre de l'UE, la directive eIDAS a été établie par le règlement européen 910/2014 en juillet 2014 et définit une norme pour l'identification électronique et les services de confiance dans le marché unique européen. Il est entré en vigueur en juillet 2016.
Les thèmes clés comprennent :
- Interopérabilité - Les États membres sont tenus de créer un cadre commun pour reconnaître les eIDAS des autres États membres. Cela permet de garantir l'authenticité et la sécurité, notamment lors de la conduite d'affaires transfrontalières.
- Transparence - eIDAS fournit une liste claire et accessible des services de confiance qui peuvent être utilisés dans le cadre de la signature centralisée. Cela permet aux acteurs de la sécurité d'engager un dialogue sur les meilleures technologies et les meilleurs outils pour la cybersécurité.
Au total, neuf services de confiance sont couverts par le système de certification eIDAS :
1. La fourniture d'un certificat qualifié pour la signature électronique ;
2. La fourniture d'un certificat qualifié pour un sceau électronique ;
3. La fourniture d'un certificat qualifié pour l'authentification du site web ;
4. Le service de validation qualifiée pour les signatures électroniques qualifiées ;
5. Service de validation qualifié pour les sceaux électroniques qualifiés ;
6. Service de conservation qualifié pour les signatures électroniques qualifiées ;
7. Service de conservation qualifiée pour les sceaux électroniques qualifiés ; 8 ;
8. Service d'horodatage électronique qualifié et
9. Service de livraison recommandée électronique qualifiée.
Pour devenir un prestataire de services de confiance qualifié (QTSP) dans le cadre d'eIDAS (comme GlobalSign), une organisation doit subir des audits spécifiques et répondre à un ensemble de critères. Tous les certificats qualifiés vendus dans le cadre d'eIDAS doivent également être fournis sur un dispositif de création de signature qualifié (QSCD) qui sera lui-même audité afin de s'assurer qu'il répond aux exigences suivantes :
- Les données de création, générées par la de signature, sont gérées par un fournisseur de services de confiance qualifié (QTSP).
- Seul le signataire a le contrôle de sa clé privée.
- Les données de création de signature sont uniques, confidentielles et protégées contre la falsification.
Vous pouvez télécharger notre Guide eIDAS gratuit pour une explication plus détaillée de la réglementation eIDAS.
Directive sur les services de paiement II (DSP2) et normes techniques réglementaires pour l'authentification sécurisée du client (RTS SCA)
Cette réglementation s'adresse aux établissements de crédit, de paiement et de monnaie électronique.
Le 23 décembre 2015, la directive 2015/2366 sur les services de paiement (DSP2) a été publiée au Journal officiel de l'UE. La DSP2 remplace la DSP, en place depuis 2007. L'objectif de la DSP2 est de favoriser l'innovation et la concurrence dans le secteur des services financiers et d'introduire des normes de sécurité plus élevées pour les paiements en ligne.
Les principaux thèmes abordés sont les suivants :
- La création d'une interface sécurisée pour permettre aux prestataires tiers d'accéder aux informations sur les comptes de paiement du client de la banque.
- Assurer la conformité avec les nouvelles règles d'authentification du client
- Aider les fournisseurs tiers à utiliser la nouvelle interface API d'accès aux comptes (XS2A) avant le deuxième trimestre 2019.
Les normes techniques réglementaires (RTS) mettent l'accent sur la communication commune et sécurisée (CSC) entre toutes les parties concernées. Toutes les transactions entre les prestataires de services de paiement et les institutions financières doivent se dérouler sur des canaux sécurisés et garantir l'authenticité et l'intégrité des données.
Le règlement aborde également ce qui constitue une authentification forte du client (SCA), y compris les exigences auxquelles les mesures de sécurité doivent se conformer afin de protéger la confidentialité et l'intégrité des justificatifs de sécurité personnalisés des utilisateurs de services de paiement.
En mars 2019, la DSP2 a été mise à jour pour inclure des informations à l'intention des prestataires de services de paiement de gestion de compte (ASPSP), qui devront mettre les spécifications techniques de leurs interfaces d'accès (qu'elles soient dédiées ou tournées vers l'utilisateur) à la disposition des prestataires tiers et leur fournir également une installation d'essai pour réaliser des essais sécurisés de logiciels et d'autres applications tournées vers l'utilisateur.
Pour faciliter cette démarche, la Commission européenne a proposé la création d'un groupe d'évaluation des interfaces de programmation d'applications (API EG) chargé de créer et d'évaluer des spécifications API normalisées.
Vous cherchez une référence PSD2 imprimable et partageable ? Téléchargez notre e-Guide gratuit.
Vous pouvez également consulter nos blogs Tout ce que vous devez savoir sur la DSP2 et Termes et acronymes de la DSP2 (car il y a beaucoup à assimiler !).
La directive sur la sécurité des réseaux et des systèmes d'information (directive NIS)
Cette directive s'applique aux entreprises des secteurs suivants :
- énergie
- transport
- banque (établissements de crédit)
- infrastructures des marchés financiers
- santé
- eau
- infrastructures numériques
En juillet 2016, la directive (UE) 2016/1148 du Parlement européen et du Conseil a été publiée, proposant des exigences pour un niveau commun élevé de sécurité des systèmes de réseau et d'information dans toute l'Union européenne.
La directive européenne sur la sécurité des systèmes de réseaux et d'information (directive NIS) définit les exigences de sécurité et les règles de notification des incidents pour les fournisseurs de services numériques et les opérateurs de services essentiels dans l'ensemble des États membres de l'UE. Les États membres avaient jusqu'à mai 2018 pour la transposer en droit national. Le gouvernement britannique a publié un document de consultation publique en août 2017, qui présente l'approche proposée par le gouvernement pour la mise en œuvre de la directive et apporte des éclaircissements sur ce qui est attendu des opérateurs de services essentiels et des fournisseurs de services numériques.
Les principaux thèmes abordés sont les suivants :
- l'adoption d'une stratégie nationale sur la sécurité des réseaux et des systèmes d'information.
- la désignation d'"une ou plusieurs autorités nationales compétentes" chargées de superviser la mise en œuvre et le respect des dispositions de la directive
- la désignation d'un "point de contact unique" chargé d'assurer la liaison avec les autres États membres
- la création d'une ou plusieurs équipes de réponse aux incidents de sécurité informatique (CSIRT).
Directive sur la facturation électronique
Elle vise à réduire la complexité et l'incertitude juridique entourant la facturation électronique et à fournir certaines protections autour des factures qui sont livrées par voie électronique, ouvrant ainsi la porte à la cyberfraude et à d'autres cyberrisques graves.
La nécessité de garantir "l'authenticité de l'origine" (c'est-à-dire l'identité de l'émetteur de la facture) et "l'intégrité du contenu" (c'est-à-dire que le contenu de la facture n'a pas été modifié depuis le moment de son émission) pour les factures électroniques a été établie dans la directive européenne 2006/112/CE relative à la taxe sur la valeur ajoutée (TVA). Toutes les entités enregistrées à la TVA doivent satisfaire à cette exigence afin de rester en conformité.
La "directive TVA" précise que les signatures électroniques avancées constituent une méthode pour y parvenir.
Les dernières mises à jour de la directive sur la facturation électronique s'appuient sur les dispositions de la directive TVA, notamment la possibilité d'utiliser des signatures électroniques avancées pour garantir l'authenticité et l'intégrité des factures, et précisent que tous les expéditeurs de factures électroniques, et pas seulement les entités assujetties à la TVA, doivent être en mesure de le garantir.
Les signatures électroniques avancées garantissent l'authenticité de l'origine et l'intégrité du contenu en :
- Identifiant de manière unique l'expéditeur de la facture
- créant un sceau d'inviolabilité sur le contenu de la facture, de sorte que toute modification apportée au document
Téléchargez notre livre électronique sur la facturation électronique pour plus d'informations sur les principaux avantages de la directive sur la facturation électronique et son fonctionnement.
Intégrité, confidentialité, non-répudiation : Principes fondamentaux des services financiers
Il s'agit de trois mots à la mode qui englobent les réglementations dont nous avons parlé dans l'article de blog ci-dessus. L'Union européenne s'efforce de créer une nouvelle infrastructure pour soutenir les institutions financières en instaurant une plus grande transparence et une cybersécurité renforcée, ce qui aura pour effet d'améliorer la protection des données et la stabilité économique.
Mais comment prouver que vos données sont exactes, les mettre à l'abri des regards indiscrets d'un tiers indésirable ou les empêcher d'être modifiées de quelque façon que ce soit ?
L'infrastructure à clé publique (ICP) est la réponse. L'utilisation de certificats numériques vous permet de chiffrer et de signer des documents, des courriers électroniques et des données.
Nous devrions pouvoir dire que les données financières hautement sensibles ont :
- L’intégrité - elle ne peut pas être modifiée par un tiers indésirable
- Confidentialité - il ne peut pas être vu par un tiers indésirable
- Non-répudiation - il ne peut pas être falsifié par un tiers.
Les certificats numériques peuvent offrir toutes ces garanties. Que vous soyez une FinTech, un fournisseur de paiement, un service de comparaison ou une banque, la cybersécurité sera une préoccupation majeure lors du partage et de l'échange de données. C'est formidable de fournir un service dont les consommateurs ont besoin et qu'ils veulent, mais si vous ne pouvez pas le faire en toute sécurité, vous faites plus de tort que de bien.
Afin de s'aligner sur le paysage réglementaire actuel de l'UE et sur le cadre de l'Open Banking, GlobalSign dispose des solutions et de l'accréditation nécessaires pour vous aider à respecter presque toutes les réglementations de sécurité de l'UE. Nous sommes considérés comme un fournisseur officiel de services de confiance dans le cadre d'eIDAS et de PSD2, ce qui signifie que nous pouvons fournir des certificats qualifiés pour les signatures électroniques, des certificats qualifiés pour les sceaux électroniques, et des QWAC et QSealC pour PSD2.
Tout cela s'ajoute à nos services Managed PKI existants, qui ont été développés pour répondre à un large éventail de cas d'utilisation et de scénarios, notamment la sécurité des e-mails et l'authentification mobile, pour n'en citer que deux.
Si vous souhaitez en savoir plus sur la manière dont ces réglementations s'appliquent à vous et sur les mesures que vous pouvez prendre pour vous mettre en conformité, les experts de GlobalSign seront heureux de vous aider.
