Publicité
Publicité

Une cybersécurité défaillante coûtera cher aux entreprises

La brasserie Duvel Moortgat a été victime d'un piratage informatique le mois dernier. Une nouvelle directive européenne plus stricte vise à contraindre les entreprises à mieux résister aux cyberattaques. ©Dieter Telemans

Les dirigeants et managers d'entreprise seront désormais tenus personnellement responsables en cas de hacking.

Quelque 2.000 entreprises et institutions belges, selon les estimations, devront bientôt se conformer à des règles plus strictes en matière de cybersécurité. Cette semaine, le Parlement fédéral a transposé dans la loi la réglementation européenne en la matière. Toute organisation prise en défaut à cet égard s'expose à de lourdes sanctions. Et leurs administrateurs et managers seront également tenus responsables personnellement des défaillances révélées à l'occasion d'un hacking.

50
employés
Toutes les entreprises et institutions employant plus de 50 personnes et dont le chiffre d'affaires annuel est supérieur à 10 millions d'euros sont visées par la directive SRI2.
Publicité

Les entreprises considérées comme essentielles à l'économie et à la sécurité nationale, au nombre d'une centaine, doivent déjà se conformer à un certain nombre de règles en matière de cybersécurité. Elles sont actives dans les secteurs de l'énergie, des transports, de la finance, des soins de santé, de l'eau potable et de l'infrastructure numérique. Elles sont également tenues de signaler tout incident de sécurité ou cyberattaque.

Mais la nouvelle directive européenne élargit considérablement le nombre d'entreprises qui doivent s'y conformer. Selon la fédération patronale FEB, quelque 2.000 entreprises sont concernées dans notre pays.

Le CCB est habilité à procéder à des audits et analyses de sécurité inopinés pour vérifier le respect des règles.

Au cours des deux prochaines années, toutes les entreprises et institutions employant plus de 50 personnes et dont le chiffre d'affaires annuel est supérieur à 10 millions d'euros devront s'adapter à la nouvelle directive européenne sur la sécurité des réseaux et des systèmes d'information (SRI2). En outre, le nombre de secteurs considérés comme essentiels passera de six à douze, en y intégrant notamment les entreprises publiques, les services postaux et de messagerie, les entreprises alimentaires, les instituts de recherche et les acteurs de l'industrie chimique. Les fournisseurs de ces entreprises pourraient également être concernés.

Interdiction professionnelle temporaire

Le Centre pour la cybersécurité Belgique (CCB), l'organisme fédéral en charge de cette question, est habilité à procéder à des audits et analyses de sécurité inopinés pour vérifier le respect des règles et formuler des recommandations.

Les organisations auditées qui ne suivent pas ces recommandations risquent de lourdes amendes. Pour les grandes entreprises employant au moins 250 personnes ou réalisant un chiffre d'affaires annuel d'au moins 50 millions d'euros, l'amende est d'au moins 2% du chiffre d'affaires annuel global, avec un maximum de 10 millions d'euros. Pour les entreprises plus petites, l'amende porte sur au moins 1,4% du chiffre d'affaires annuel, avec un maximum de 7 millions d'euros.

La nouvelle loi entend également responsabiliser les dirigeants et administrateurs des entreprises visées par la SRI2. Ainsi, ils doivent suivre une formation pour évaluer les cyberrisques et adopter toutes les mesures nécessaires pour mieux protéger l'entreprise contre les attaques et la rendre plus résiliente.

À défaut, ils peuvent en être tenus personnellement responsables et payer, de leur poche, l'indemnisation pour les dommages subis. Ils risquent même une interdiction professionnelle temporaire.

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Messages sponsorisés
Tijd Connect
Echo Connect offre aux organisations l'accès au réseau de L'Echo. Les partenaires impliqués sont responsables du contenu.
Partnercontent
Partner Content offre aux organisations l'accès au réseau de L'Echo. Les partenaires impliqués sont responsables du contenu.