Europe – Les entreprises obligées de déclarer toute cyberattaque | La Monétique Bancaire

Temps de lecture estimé : 2 min

Les entreprises obligées de déclarer toute cyberattaque

La fréquence et les conséquences liées aux cyberattaques de données clients et financières alimentent le quotidien des médias qui s’en font le relais. Spectateurs et souvent victimes d’une politique de cybersécurité insuffisante de la part des entreprises que nous mettons en avant régulièrement sur Monéticien, une Loi vient de repositionner le curseur dans l’intérêt des particuliers et du consommateur. Oubliées trop souvent par les entreprises de la Vente à distance présentes sur le Web, elles devront dorénavant inclure dans leur budget une part conséquente de leurs investissements à la protection des données clients. A défaut, leur réputation sera mise à mal et la sanction du consommateur pourra avoir des effets immédiats sur leur activité commerciale, à l’instar de la série noire vécue par la « chaîne des magasins Target » qui a vu son chiffre d’affaires baisser de -40% au cours des trois derniers (cf notre article Target paye l’addition de la fraude par carte bancaire) à la suite d’une « fraude par carte bancaire« .

Nous sommes donc à un tournant décisif de l’histoire de la cybersécurité qui répond à une typologie de plus en plus complexe des attaques de hackers. Ce qui était auparavant le fait de quelques fraudeurs isolés prend une toute autre dimension aujourd’hui avec Internet où des communautés mettent en commun leurs connaissances en cybersécurité afin de cibler une entreprise et en exploiter les failles de leur site dans le but de dérober les données sensibles de clients qui y sont stockées et sources de phishing, voire de transferts d’argent depuis le compte bancaire du client. On estime à 360 millions, le nombre de clients concernés aujourd’hui par ces cyber-attaques à l’échelle mondiale et dont les hackers disposent de leurs coordonnées et identifiants/mot de passe. Une menace réelle pour le consommateur mais aussi pour l’entreprise.

Le Parlement Européen vient donc d’adopter une Loi dans le cadre de la Directive ‘Network & Information Security » qui oblige les entreprises, victimes de cyber-attaque, à déclarer toute intrusion dès lors qu’elles possèdent, exploitent et fournissent des infrastructures critiques. Parmi les secteurs d’activité concernés par la Loi, les entreprises qui offrent des « services financiers« , soit tous les acteurs ou presque de la monétique qui proposent de stocker ou de transporter les informations sensibles de la carte bancaire et des données du client. Par exemple, une entreprise qui offre un service clients de « Wallet » ou de « Cloud » devra obligatoirement, en cas de compromission de sa base de données, en faire la déclaration auprès des autorités de son pays.

Cette Loi qui doit d’abord être transposée dans le droit national du pays européen de résidence, laisse un peu de temps aux entreprises pour mettre en conformité leur politique de sécurité.

Si vous êtes déjà agréé PCI-DSS, n’oubliez pas de nous adresser votre certification et nous la diffuserons sur notre page d’accueil dédiée à cet effet et consultable depuis ce lien.

La Rédaction