La cybersécurité en Australie – lexologie ◄ mutuelle santé entreprise

Quels éléments jouent sur le tarif d’une espoir prostituée ?
Plusieurs critères vont avoir un impact sur le coût d’une confiance professionnelle, parmi quoi le risque potentiel que vous représentez pour l’assureur. Ainsi vont être pris en compte a l’intérieur du tarif :

la taille de l’entreprise et sa forme juridique. Ainsi, une entreprise unipersonnelle ou bien un auto-entrepreneur bénéficieront d’un tarif réduit, car les risques à couvrir sont moindres.
le chiffre d’affaires de l’entreprise. En effet, un chiffre d’affaires important représente un risque supplémentaire que la compagnie d’assurance voltampère renvoyer sur ses tarifs
le secteur d’activité de l’entreprise. Une entreprise travaillant a l’intérieur du domaine des services est par contre exposée à des risques moins décisifs qu’une société du secteur du bâtiment et pourquoi pas de la chimie
le nombre de garanties et leur étendue. Plus elles seront nombreuses et couvrantes et plus le tarif existera important.
Combien paiera un auto-entrepreneur pour son persuasion pro ?
Le coût de l’assurance pro pour un auto-entrepreneur varie en fonction du chiffre d’affaires, du secteur d’activité. Mais attention ! Selon métiers, certaines garanties sont obligatoires tel que le cas de la garantie décennale bâtiment pour les sociétés du BTP.

Ainsi un auto-entrepreneur pourra souscrire garanties suivantes (montant minimal) :

responsabilité civile : 100 euros par an
protection juridique : 100 euros chez an
complémentaire santé : 200 euros en an
persuasion perte d’exploitation : 300 euros pendant an
multirisque professionnelle : 400 euros en an
garantie décennale bâtiment : 600 euros selon an

Quid du cours de l’assurance pour d’autres exercice ?
Voici quelques fourchettes de prix pour des foi professionnelles rares :

Pour une société individuelle, le chiffre d’affaires moyen, le secteur d’activité et le taux le montant le pourcentage de garanties souscrites vont avoir un impact sur le prix de l’assurance professionnelle. Ainsi les prix peuvent aller de 100 à 1000 euros pendant an
Pour une conviction profession libérale, en plus de l’activité exercée et les garanties choisies, le taux le montant le pourcentage de collaborateurs et l’occupation d’un local professionnel pourront également jouer sur les cotisations. Les prix moyens vont de 90 à 500 euros annuels
Pour une toupet agricole, la taille de l’exploitation sera également prise en compte. Le coût moyen d’une aplomb couvrant tant l’exploitation que le matos s’élève à approximativement 2000 euros en an

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

La principale mesure de prévention des cyberattaques en Australie est la Convention de 1995. Loi sur le code pénal (loi C), telle que modifiée par la loi de 2001. Loi sur la cybercriminalité (Cth). La loi sur le code pénal prévoit expressément l'accès non autorisé ou la modification des données stockées sur un ordinateur ou toute interférence non autorisée avec les communications électroniques avec ou depuis un ordinateur. Les autres infractions à la Loi sur le Code criminel comprennent:

  • modification non autorisée de données stockées sur un ordinateur lorsque la personne a des doutes quant à savoir si le changement pourrait compromettre ou entraver l'accès à ces données ou à d'autres données, ou la fiabilité, la sécurité ou les performances de ces données;
  • causer sciemment toute interférence non autorisée avec les communications électroniques avec ou depuis un ordinateur;
  • modifier intentionnellement un accès non autorisé à des données ou à des données restreintes par un système de contrôle d'accès lié à une fonction informatique, lorsqu'un tel comportement est connu pour être illégal;
  • causant intentionnellement une détérioration non autorisée de la fiabilité, de la sécurité ou des performances d'un disque d'ordinateur, d'une carte de crédit ou d'un autre appareil utilisé pour stocker des données par voie électronique, lorsque cette conduite est réputée non autorisée;
  • possession ou possession de données dans l'intention d'utiliser ou de permettre leur utilisation dans le but de commettre un crime; et
  • la préparation, la fourniture ou la réception de données en vue de commettre un délit.

Pour 1979 Une personne visée par la loi sur les télécommunications (interception et accès) (Cth) est accusée de délit ou d’accès à des télécommunications privées à l’insu des personnes impliquées.

La Privacy Act (Cth) (1988) (Australian Privacy Act) et les Australian Privacy Principles (APP) sont également fondamentaux pour déterminer comment les données contenant des informations personnelles sont stockées, diffusées et stockées. L'APP et la loi sur la protection des renseignements personnels obligent les organisations du secteur privé et les agences gouvernementales du Commonwealth, sauf autorisation contraire, à prendre des mesures pour protéger les informations personnelles contre tout accès, modification ou divulgation non autorisés. Il existe des règles équivalentes pour les agences gouvernementales des États et des territoires en vertu des lois des États et des territoires.

Ces réglementations et directives spécifiques à l'industrie s'appliquent également à la cybercriminalité et à la protection des données.

  • L'Australian Prudential Regulation Authority (APRA) administre les normes prudentielles pour les institutions de dépôt agréées et le guide de pratique connexe pour la gestion des données (Prudential Practice Guide CPG 235 Data Risk Management for Australian Financial Institutions and Insurers). De plus, en 2019. Juillet La norme prudentielle CPS 234 sur la sécurité de l'information est entrée en vigueur. Il s'agit d'une norme minimale de sécurité de l'information juridiquement contraignante exigeant des entités contrôlées qu'elles:
    • définir les rôles et responsabilités du conseil d'administration, de la haute direction, des organes directeurs et des individus en matière de sécurité de l'information;
    • mettre en œuvre et maintenir une capacité de sécurité de l'information à la mesure de l'ampleur et de la gravité des menaces et examiner et garantir systématiquement l'efficacité de ces contrôles;
    • maintenir un cadre de politique de sécurité de l'information à la mesure de sa vulnérabilité et de ses menaces;
    • classer leurs ressources d'information (y compris celles qui sont gérées par des parties liées et des tiers) en fonction de leur criticité et de leur sensibilité;
    • disposer de contrôles de sécurité de l'information pour protéger leurs ressources d'information (y compris celles gérées par des parties liées et des tiers) proportionnées aux vulnérabilités et aux menaces pesant sur les ressources d'information, à la criticité et à la sensibilité des ressources d'information, au cycle de vie des ressources d'information, et
    • disposer de mécanismes solides pour détecter les incidents de sécurité de l'information et y répondre en temps opportun et pour vérifier l'efficacité des programmes de filtrage systématique; et
    • signaler à l'APRA les événements importants liés à la sécurité de l'information.
  • L'Australian Corporate Regulatory Authority, l'Australian Securities and Investment Commission (ASIC), évalue les entités agréées en vertu de l'Australian Financial Services Act 2001. Corporations Act (Cth) sur leurs systèmes de gestion informatique (ASIC Regulatory Manual 104: Licensing: Compliance with General Obligations).
  • Le secteur des télécommunications est également soumis à des règles spécifiques de protection des données, notamment le Protocole de 1997. La Loi sur les télécommunications (Cth), qui fixe des restrictions sur l'utilisation et la divulgation des données de télécommunications et de communications.
  • 2012 La loi MyHealth Records Act (Cth) établit des règles spéciales pour la gestion des dossiers de santé.
  • En règle générale, il est recommandé à toutes les organisations de suivre les systèmes de gestion de la sécurité de l'information ISO / IEC 27001; cependant, la conformité n'est requise par aucune loi générale ou de l'industrie.
  • 1992 La loi sur les services de radiodiffusion (Cth) réglemente l'hébergement de contenu en ligne offensant et illégal interdit en Australie.

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

Les secteurs des télécommunications, de la finance et de la santé sont fortement influencés par les réglementations et directives de l'industrie établies en Australie. Compte tenu de la nature et de l'étendue des informations recueillies et échangées au sein de ces industries, il s'agit souvent de cyberattaques. Basé sur 2017 Rapport sur les menaces du Australian Cybersecurity Center, au cours de l'exercice 2016-2017, le secteur des télécommunications et des services financiers s'est principalement concentré sur les cyberattaques, juste derrière les industries "non conventionnelles" telles que les secteurs de l'hébergement, de l'automobile et de l'hôtellerie. . Au cours de l'exercice 2016-2017, les attaques contre l'industrie non traditionnelle ont augmenté de 11%. En 2017, en réponse à la stratégie de cybersécurité du gouvernement australien, plus de 100 entreprises sur les marchés financiers australiens ont participé à une enquête sur la cybersécurité pour le rapport de dépistage de la cybersanté ASX 100. L'ASIC a également publié un rapport sur la cyber-résilience de ces entreprises (rapport 555), qui a également noté que la cyber-résilience est d'une importance particulière pour le secteur des marchés financiers.

Dans l'ensemble, selon notre expérience, le secteur des services financiers est le plus avancé en termes de cyber-préparation, compte tenu des règles supplémentaires qui s'appliquent aux titulaires de licences de services financiers et du fait que le secteur des services financiers est au cœur de la société dans son ensemble. Cependant, en raison de l'interaction étroite entre les secteurs du commerce de détail et des services financiers (et de l'obligation pour les prestataires de services financiers de fixer des normes telles que la conformité PCI-DSS pour le commerce de détail), le secteur du commerce de détail se développe également.

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

Il n'y a pas de normes internationales sur la cybersécurité qui seraient obligatoires.

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

Selon 2001 En vertu du droit des sociétés et du droit général, les administrateurs ont des responsabilités communes, y compris la prudence et la diligence, et adoptent des stratégies de gestion des risques appropriées pour protéger la société et ses actionnaires. Cependant, les tribunaux appliquent généralement un niveau élevé de surveillance en ce qui concerne les fonctions d'un administrateur, ce qui exige que les administrateurs soient tenus à jour sur les questions de toute menace importante pour l'entreprise, y compris la cybercriminalité et la protection nécessaire. Il s'agit d'un domaine de concentration et de développement croissant pour les administrateurs et les régulateurs d'entreprise ASIC. Le rapport ASIC 555 a également déclaré qu'il avait l'intention de sensibiliser davantage au cyber-risque dans le secteur des marchés financiers en fournissant des conseils sur les meilleures pratiques et des questions clés aux conseils d'administration. À cette fin, ASIC a publié un guide des meilleures pratiques en matière de cyber-résilience qui met l'accent sur les responsabilités du conseil d'administration, la réactivité et l'agilité en matière de cybersécurité.

L'ASIC a le pouvoir de poursuivre les administrateurs et dirigeants qui n'exercent pas ces fonctions. Des poursuites civiles peuvent également être engagées contre les administrateurs par les actionnaires ou les liquidateurs ou administrateurs de la société.

En plus des obligations ci-dessus, la société de services financiers (à travers les actions de ses administrateurs) devrait prendre en compte ses cyber-vulnérabilités et mettre à jour ses processus de gestion des risques pour gérer ces vulnérabilités. Les administrateurs des sociétés de services financiers sont également soumis à des obligations annuelles de divulgation des rapports des administrateurs, qui exigeraient la divulgation des problèmes liés à un incident de cybersécurité.

L'ASIC a suggéré que les administrateurs envisagent:

  • comment les cyberrisques peuvent affecter leurs responsabilités et leurs obligations de divulgation dans le rapport annuel du directeur;
  • s'ils disposent d'une surveillance appropriée au niveau du conseil d'administration sur les cyberrisques et la cyberrésilience;
  • si le cyber-risque a été intégré dans leurs pratiques de gestion et de gestion des risques; et
  • contrôles et mesures de l'entreprise pour gérer ces risques.

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

Il n'y a pas de définitions dans les lois ou la jurisprudence en matière de cybersécurité ou de cybercriminalité. Cependant, la cybercriminalité est définie par l'Australian Cyber ​​Security Center (ACSC), qui dirige le gouvernement australien dans le domaine de la cybersécurité nationale, comme suit:

(C) Restrictions sur l'informatique ou d'autres TIC, telles que l'accès non autorisé, la modification ou la violation des communications électroniques ou des données. Cela n'inclut pas les délits liés à la technologie dans lesquels les ordinateurs ou les TIC font partie intégrante du délit, tels que la fraude en ligne, le vol d'identité et le matériel pédopornographique.

Le concept d '"accès non autorisé" est au cœur du Protocole de 1995. Le Code pénal (C) fait partie de la majorité de la cybercriminalité couverte par cette loi. L'accès non autorisé est défini comme l'accès, la modification ou la falsification de données auxquelles la personne n'a pas droit. Par conséquent, en Australie, la "cybercriminalité" peut être considérée comme toute action impliquant des données, des ordinateurs ou Internet qu'une personne n'a pas le droit de prendre, et la "cybersécurité" est tout ce qui protège ou tente de se protéger contre cette activité illégale.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

APP établit des normes juridiques pour les actions à entreprendre par les entreprises et les agences gouvernementales soumises à cette loi afin de protéger les informations personnelles. Le paragraphe 1.2 (a) de l'APP oblige les organisations concernées à adopter des circonstances raisonnables dans les circonstances, à mettre en œuvre des pratiques, procédures et systèmes liés aux fonctions ou activités de l'entité qui garantissent la conformité de l'entité avec l'APP. L'APP 11.1 exige qu'une entité prenne des mesures raisonnables dans certaines circonstances pour protéger les informations contre (i) les abus, les interférences et les pertes, et (ii) contre l'accès, la modification ou la divulgation non autorisés. Une entité est soumise à des obligations légales supplémentaires si elle partage des informations personnelles en dehors de l'Australie.

Il n'y a pas de mesures spécifiques à mettre en œuvre par l'entité dans le cadre de l'APP ou autrement. Cependant, les directives que les entreprises sont recommandées de suivre fournissent souvent des garanties. Par exemple, l'Australian Signal Directorate (ASD) (le gouvernement signale l'Agence de renseignement et de sécurité, qui est également responsable de l'ACSC), a publié "Cyber ​​Security Incident Mitigation Strategies". Les agences gouvernementales recommandent aux entreprises du secteur privé d'adopter ces stratégies. Reconnaissant qu'aucune stratégie de cyberattaque n'est en place, ASD estime dans cette publication qu'au moins 85% des approches négatives peuvent être atténuées par:

  • Utilisation de la liste blanche des programmes pour empêcher l'exécution de logiciels malveillants et de programmes non autorisés;
  • Correction des applications telles que Flash, navigateurs Web, vues Microsoft Office, Java et PDF;
  • Réparer les systèmes d'exploitation; et
  • limiter les privilèges administratifs des systèmes d'exploitation et des applications en fonction des responsabilités des utilisateurs.

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

Il n'existe aucune loi ou réglementation australienne traitant spécifiquement des cybermenaces contre la propriété intellectuelle. Avec l'approche du gouvernement consistant à encourager les entreprises à assumer la responsabilité de leur propre cybersécurité, ce n'est pas une surprise. L'ACSC reconnaît que les sondages électroniques ouvrent la voie aux entreprises australiennes et comprennent le vol de propriété intellectuelle, les stratégies de négociation d'entreprise, les plans d'affaires et d'autres informations commercialement sensibles. Dans la première enquête ACSC sur la cybersécurité (2016), 76%. Les organisations ont indiqué que l'une des trois principales raisons pour lesquelles elles investissent dans la cybersécurité est de protéger les données appartenant à l'entreprise, avec 25% des données protégées. Les organisations ont signalé qu'il s'agit de leur protection intellectuelle. propriété.

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

Réforme du secteur de la sécurité en 2017 La loi portant modification des lois sur les télécommunications et autres lois vise à introduire des mesures plus formelles et plus complètes pour réduire le risque d'espionnage national, de sabotage et d'ingérence. La réforme est entrée en vigueur en 2018. 18 septembre La réforme s'applique aux transporteurs, aux transporteurs et aux intermédiaires. Les éléments clés des réformes sont:

  • une exigence de «faire le meilleur du transporteur ou du fournisseur» pour: (i) protéger les réseaux et les équipements contre les accès non autorisés et les interférences; (ii) garantir la confidentialité et empêcher tout accès non autorisé aux communications sur leurs réseaux; et (iii) la sauvegarde et le maintien de l'intégrité du réseau et des installations;
  • l'obligation de maintenir une supervision compétente et un contrôle efficace des réseaux et équipements de télécommunications exploités ou exploités par un transporteur, un prestataire de services de transport ou un agent de services de transport;
  • l'obligation d'aviser le gouvernement des changements prévus à leurs réseaux et services qui pourraient compromettre leur capacité de respecter leurs obligations en matière de sécurité;
  • autoriser le ministre de l'intérieur à obtenir des informations et des documents auprès des transporteurs, des prestataires de services de transport et des agents des services de transport pour contrôler et enquêter sur leur respect des obligations en matière de sécurité; et
  • Fournir des instructions détaillées au ministre de l'Intérieur pour obliger le transporteur, le prestataire de services de transport ou l'agent de services de transport à faire ou à ne pas faire la chose spécifiée qui est raisonnablement nécessaire pour protéger les réseaux et les installations contre les menaces à la sécurité nationale.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

1979 La loi sur les télécommunications (interception et accès) réglemente l'accès au contenu et aux données des télécommunications en Australie. En vertu de cette loi, une personne ne peut pas intercepter ou utiliser légalement des télécommunications privées à l'insu des personnes dans cette communication. En outre, cette loi oblige les fournisseurs de services de télécommunications à conserver pendant deux ans certaines métadonnées liées aux activités des utilisateurs du réseau. Ces informations doivent être cryptées et accessibles uniquement sur demande à partir d'une liste limitée d'entités (telles que les organismes chargés de l'application des lois).

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

Voir aussi: Voir la section "Législation" de ce chapitre.

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

La migration des données vers le cloud offre aux entreprises un large éventail d'avantages et d'efficacité, tels que des coûts fixes réduits et une plus grande flexibilité. Cependant, les entreprises doivent apprécier ces avantages par rapport à la sécurité intrinsèque des données et à la sécurité des données cloud. Le marché suppose généralement que les centres de données seront plus sûrs que les propres serveurs de l'organisation, mais il existe toujours un risque que le centre de données soit compromis. L'environnement d'hébergement cloud crée d'énormes enregistreurs de données centralisés qui attirent naturellement les pirates.

Le gouvernement reconnaît à la fois les opportunités et les risques du cloud computing. Ce dernier est une perte de contrôle des données et des problèmes de récupération des données. Agence de transformation numérique du gouvernement australien 2017 La stratégie de cloud sécurisé annoncée a été conçue pour aider les agences gouvernementales à se préparer aux environnements d’hébergement cloud et à y migrer, et pour coordonner l’approche des agences gouvernementales à cet égard. Cette stratégie tient compte, entre autres, de la position du gouvernement australien en matière de gestion des risques, appuyée par le cadre de la politique de sécurité et le manuel sur la sécurité de l'information, qui énoncent des recommandations et des obligations contraignantes que les agences gouvernementales doivent respecter lors du traitement des données gouvernementales. Tous les services cloud sont certifiés et accrédités pour une utilisation par le gouvernement ASD sous ces systèmes.

ASD est la principale entité chargée de fournir des recommandations de sécurité sur le cloud computing aux entreprises privées et aux agences gouvernementales. Il confirme également que les services cloud sont utilisables par le gouvernement australien. Seuls quelques fournisseurs ont satisfait aux exigences de sécurité physique, du personnel et de l'information suffisantes pour obtenir un certificat ASD. La stratégie de cloud sécurisé établit également une approche en couches de la certification qui encourage non seulement les TSA, mais aussi la certification dirigée par le gouvernement.

APP réglemente également les services de cloud computing en vertu de la Loi sur la protection des renseignements personnels. APP prévoit qu'avant qu'une entité soumise à APP divulgue des informations personnelles sur une personne à une personne autre que l'Australie (le destinataire à l'étranger), cette entité doit prendre des mesures raisonnables pour s'assurer que le destinataire à l'étranger ne viole pas l'APP (sauf APP1) cette information. L'entité doit également "prendre des mesures raisonnables pour protéger les informations personnelles en sa possession contre toute utilisation abusive, interférence et perte et contre l'accès, la modification ou la divulgation non autorisés" en vertu de l'APP11. Cela signifie que le fournisseur de services de cloud computing aura besoin de contrats appropriés avec toute entité étrangère à laquelle il envoie les informations. De même, une entité soumise à l'APP devra également s'assurer qu'elle a des accords contractuels appropriés avec tout fournisseur de services cloud situé en dehors de l'Australie et avec tout fournisseur qui stocke des données en dehors de l'Australie. Une entité qui divulgue des informations personnelles à l'étranger doit également savoir qu'elle sera tenue responsable des actes du destinataire étranger si de tels actes constituent une violation de l'APP.

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

Les lois australiennes sur la cybersécurité lieront les entités étrangères exécutant des contrats en Australie, fournissant des services à l'Australie ou travaillant avec les gouvernements australiens. Les lois australiennes sur la confidentialité ne sont pas limitées aux sociétés basées ou opérant en Australie. La Loi sur la protection des renseignements personnels et l'APP s'appliqueront à toute entité APP établie en Australie faisant des affaires en Australie ou collectant des informations personnelles en Australie. Ceci est assez étendu et comprendra, par exemple, toute entité APP en dehors de l'Australie qui recueille des informations personnelles sur un individu situé en Australie via un site Web situé en dehors de l'Australie. Comme indiqué ci-dessus, APP réglemente également le transfert d'informations personnelles à des entités étrangères. Jetez un œil ci-dessus.

En outre, le ministre des Affaires étrangères est chargé de nommer un ambassadeur du cyberespace pour diriger les efforts cyber internationaux de l'Australie. L'ambassadeur doit respecter les principes de la liberté d'expression, de la vie privée et de l'État de droit, conformément à un Internet ouvert et gratuit. Les obligations légales sont les mêmes pour les entités nationales et étrangères. Le gouvernement essaie également de promouvoir des normes de "temps de paix" par lesquelles les nations étrangères empêchent et s'abstiennent d'activités en ligne qui sapent l'infrastructure critique de l'Australie, aident les agences australiennes de cybercriminalité, enquêtent et contrôlent les cyberactivités malveillantes et s'abstiennent de faciliter ou de propriété intellectuelle cyber vol. Le gouvernement développe des partenariats à l'étranger pour mieux fermer les "refuges" et renforcer sa capacité à identifier et à traiter les risques de cybersécurité à leur source.

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Oui Dans sa publication Cyber ​​Security Incident Mitigation Strategies, ASD fournit des conseils en matière de cybersécurité. Les directives sont développées pour les professionnels de l'informatique et sont basées sur l'analyse par ASD des incidents de sécurité et des vulnérabilités identifiées. Les directives traitent de la cyber-pénétration ciblée, des adversaires externes destructeurs, des ransomwares, Compromis du courrier »et systèmes de contrôle industriels.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Le gouvernement investit massivement dans la R&D sur la cybersécurité. Coordonné par le Center for Cyber ​​Security Growth, l'Australian Cyber ​​Security Growth Network (AustCyber) est une organisation indépendante à but non lucratif financée par des subventions du gouvernement fédéral qui facilite l'amélioration de l'innovation et de la recherche et développement en matière de cybersécurité. AustCyber ​​vise à améliorer les compétences de sa main-d'œuvre dans le secteur de la cybersécurité et à rechercher l'accès aux marchés mondiaux pour les entreprises australiennes de cybersécurité. Data61 est une branche de l'agence financée par le gouvernement CSIRO, qui promeut le partage d'informations, la collaboration et la croissance au sein de la recherche australienne sur la cybersécurité, du gouvernement et des groupes industriels. Le ministère de l'Industrie, de l'Innovation et des Sciences élabore également ses conseillers de programme d'entreprise pour les entrepreneurs afin d'aider les entreprises confrontées à des niveaux élevés de cyberintimidation et de fournir des conseils en matière de cybersécurité.

En outre, la stratégie de cybersécurité du gouvernement, entre autres, investit dans le Centre australien de cybersécurité et renforce sa capacité à collaborer avec les entreprises australiennes (en particulier celles qui fournissent des services essentiels). L'ACSC produit un certain nombre de publications et de lignes directrices pour promouvoir les bonnes pratiques de cybersécurité qui peuvent être utilisées par toutes les organisations. Par exemple, il a publié des lignes directrices sur les incidents de cybersécurité (qui décrivent comment identifier et réagir aux incidents de cybersécurité) et le Guide de cybersécurité des petites entreprises (pour aider les petites entreprises à se protéger contre les incidents de cybersécurité les plus courants).

Le gouvernement offre également un incitatif fiscal à la R&D, qui est un puissant moyen de lever des fonds au début de la recherche. Cette incitation est disponible pour la recherche et le développement en matière de cybersécurité et devrait être de plus en plus utilisée à des fins telles que le gouvernement continue de souligner l'importance et la valeur des investissements dans la cybersécurité.

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

Voir aussi: Voir la section "Législation" de ce chapitre.

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

La première autorisation à laquelle les entreprises doivent se tourner lorsqu'elles traitent d'un incident de sécurité des données est restrictive et remédie aux dommages initiaux de l'incident. Les entreprises doivent ensuite déterminer comment l'incident s'est produit et prendre les mesures appropriées pour remédier à toute vulnérabilité de leurs systèmes de données afin de se protéger contre des incidents similaires à l'avenir. En fonction du type et de l'ampleur de l'incident, cela peut prendre du temps et être coûteux pour les organisations, en particulier lorsque l'on envisage des interruptions d'activité. Les entreprises doivent également s'efforcer de limiter les dommages que de tels incidents de sécurité des données causent à leur marque et à leur réputation. De tels événements peuvent réduire la confiance des clients dans l'organisation, en particulier si des enregistrements contenant des informations personnelles, sensibles, financières ou autres informations confidentielles sont perdus ou volés. Au final, cela peut perdre des clients. Par conséquent, une réponse rapide et efficace peut avoir un impact positif sur la perception qu'a le public de l'intégrité de l'entreprise en cas de violation.

En outre, comme indiqué dans la section "Politiques et procédures" de ce chapitre, les entités soumises à la Loi sur la protection des renseignements personnels sont également soumises à des procédures obligatoires de notification de violation de données. Dans le cadre de ce régime, si l'entreprise ou l'organisme gouvernemental concerné soupçonne que les données ont été compromises, elle doit, dans un délai de 30 jours, évaluer s'il existe des raisons suffisantes de croire qu'il y a eu une violation qui pourrait causer un préjudice grave à toute partie lésée et faire certains rapports au gouvernement australien. le bureau de la commission de l'information et les victimes. Dans ce contexte, il est recommandé de concevoir et de mettre en œuvre un plan de réponse efficace en cas de violation de données pour garantir une réponse rapide et rationalisée. Le Bureau of Australian Information Commission a publié un manuel sur la gestion des violations de données conformément à la loi de 1988. Privacy Act (Cth), qui recommande également aux entreprises de préparer un plan de violation des données pour s'acquitter de leurs obligations en vertu de l'APP afin que des mesures raisonnables puissent être prises. protéger les informations personnelles, limiter les conséquences de la violation et maintenir et renforcer la confiance du public.

La nomination d'un consultant en relations publiques est une mesure prise par certaines entreprises confrontées à des violations de données majeures. Afin de réduire le temps de réponse en cas de données ou de violations de données suspectées, il est recommandé aux entreprises d'inclure les coordonnées d'un consultant externe en relations publiques ou d'une personne ou d'un poste au sein de l'entreprise dans leurs plans de réponse aux violations de données. responsable des questions de relations publiques liées à la violation.

L'ACSC permet aux individus de signaler la cybercriminalité qui viole la loi australienne via ReportCyber. Il fournit également des conseils sur la façon d'identifier et de prévenir la cybercriminalité (comme indiqué ci-dessus). Le gouvernement encourage les entreprises qui sont ou pourraient avoir été la cible d'une cyberattaque à déposer une demande auprès de l'ACSC. Ceci est particulièrement important lorsque l'attaque menace l'infrastructure. Une identification et une notification plus rapides peuvent réduire les dommages potentiels.

À cet égard, la stratégie du gouvernement consiste à rationaliser le signalement des incidents et à obtenir une vue d'ensemble des cybermenaces en Australie. Dans l’enquête ACSC sur la cybersécurité (2016), 86% des organisations ont déclaré que tout ou partie des cyberincidents qu’elles avaient connus avaient été signalés au conseil d’administration de l’organisation, et 82% des répondants au sondage ont indiqué qu’ils demanderaient l’aide de l’ACSC pour les cyberattaques. Cependant, entre 2015 et 2016, Les agences externes n'ont rapporté que 40%. Participants. L'ACSC recommande de redoubler d'efforts pour encourager les rapports aux organismes externes sur les essais et les événements réussis afin d'accroître la compréhension du gouvernement de l'environnement respiratoire électronique.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

Dans le cadre de sa stratégie gouvernementale visant à réduire le risque de cyberattaques, il promeut activement l'échange d'informations sur le traitement des cyber-maladies. À cette fin, l'ACSC a élaboré un programme de centre de cybersécurité conjoint qui rassemble les entreprises, le milieu de la recherche, les États, les territoires et les organismes du gouvernement fédéral dans un environnement ouvert et collaboratif. Cela permet aux organisations partenaires de:

  • accéder et échanger des informations, par exemple sur l'intelligence respiratoire électronique et ce que font les entreprises dans des secteurs et des secteurs spécifiques en réponse aux effets des maladies électroniques;
  • développer des solutions communes aux risques et problèmes de cybersécurité;
  • partager l'analyse des incidents, des menaces et des risques; et
  • participer à divers événements de cybersécurité.

L'ACSC signale que 81% des organisations interrogées ont déclaré recevoir régulièrement des informations sur la cyberintelligence. Cependant, les organisations estiment que le partage d'informations est le facteur le moins important pour réduire les risques de cybersécurité. ACSC mano, kad dalijimasis elektroninio kvėpavimo informacija yra labai svarbus dėl dviejų priežasčių. Pirma, tai leidžia filtruoti sudėtingas grėsmes nuo nesudėtingų grėsmių, o tai suteikia informacijos apie sudėtingų priešingų prekybos priemonių raidą. Antra, dalijimasis informacija apie kompromiso veiksnius padidina išlaidas ir sumažina kibernetinių išpuolių efektyvumą.

Kaip vyriausybė ir privatusis sektorius bendradarbiauja kuriant kibernetinio saugumo standartus ir procedūras?

Vyriausybė pripažįsta, kad privataus sektoriaus subjektams reikia lengvos ir nuoseklios prieigos prie vyriausybinių kibernetinio saugumo agentūrų, ir ji palengvina internetinį kibernetinių kenkėjų dalijimosi portalą, kad realiuoju laiku būtų galima keistis informacija apie kibernetinius pavojus. Jame taip pat pripažįstama, kad kibernetinis saugumas yra rimtas strateginis klausimas ne tik IT ir saugumo personalo, bet ir ministrų, vyresniųjų vadovų ir valdybos narių bendruomenės lyderiams. ACSC bendradarbiauja su įmonėmis, vyriausybe ir akademiniais partneriais, įskaitant kritinės Australijos infrastruktūros savininkus ir operatorius, ir pataria šiems subjektams tiriant ir plėtojant kibernetinio saugumo grėsmių sprendimus. ACSC taip pat skatina ir padeda šioms įmonėms prisiimti atsakomybę už savo kibernetinį saugumą ir glaudžiai bendradarbiauja su kitomis kibernetinio saugumo reagavimo grupėmis, siekdamas skatinti keitimąsi informacija ir dėl to Australijos kibernetinį saugumą. ACSC taip pat organizuoja ir palengvina informacijos mainus su savo verslo partneriais. Vyriausybė skatina verslo vadovus labiau stengtis pabrėžti kibernetinio saugumo svarbą savo organizacijose ir skatina kibernetinį saugumą kaip svarbiausią įmonių valdybų ir organizacijų vadovų prioritetą.

Vyriausybė taip pat pertvarkė kibernetinio saugumo sąsają su verslo bendruomenės nariais, vykdydama kibernetinio saugumo strategiją, apjungdama dabartinės sąsajos politikos ir operacijų sritis. Pagal šią strategiją numatytos viešojo ir privataus sektoriaus iniciatyvos:

  • the creation of a national cybersecurity exercise programme by the computer emergency response team (CERT) (which has now been subsumed within the ACSC) as part of the Cyber Security Strategy;
  • the publication of a number of voluntary guidelines on cybersecurity by the ACSC; et
  • the establishment of the Joint Cyber Security Centre (as further described in ‘Information sharing’).

Assurances

Is insurance for cybersecurity breaches available in your jurisdiction and is such insurance common?

Cyber insurance is becoming increasingly popular in Australia. Australia’s Cyber Security Strategy estimates that demand for cybersecurity services and related jobs, such as legal services, insurance and risk management, will grow by at least 21 per cent over the next five years. However, the ACSC warns that cybersecurity insurance it is not an adequate substitute for investing in appropriate cybersecurity measures. The policy may not adequately compensate for lost intellectual property, comprising personal information and irreparable reputational damage.

Enforcement

Regulation

Which regulatory authorities are primarily responsible for enforcing cybersecurity rules?

As discussed above, the ASIC is responsible for enforcing companies’ and directors’ obligations in respect of managing cyber risk. As mentioned, the ACSC, which is a part of the ASD, is also instrumental in partnering with local and international businesses and public sector entities to drive cyber resilience. The Australian Crime Commission and the Australian Federal Police are responsible for mitigating cybercrime and enforcement action. Australia’s state and territory law enforcement agencies also have their part to play in enforcing cybercrimes. Where cybercrimes involve personal information, the APPs or the Privacy Act, the Office of the Australian Information Commisssioner (OAIC) is responsible for investigating the alleged breaches and enforcement of the relevant penalties.

Describe the authorities’ powers to monitor compliance, conduct investigations and prosecute infringements.

Australian Securities and Investments Commission

The ASIC has the extensive range of investigative powers open to it under the Corporations Act 2001 (Cth), including the power to require the production of documents, inspect documents, compel disclosure of information, require individuals to attend examinations, compel assistance and apply for a search warrant.

The ASIC has the power to bring actions against directors and officers who fail to comply with these duties. Civil proceedings can also be brought against directors by a company’s shareholders, liquidators or receivers. If the ASIC considers that a company or its directors are in breach of the company’s financial services licence, it may also issue fines and penalties, solicit enforceable undertakings, impose licensing conditions, or suspend or cancel the licence.

Australian Cyber Security Centre

As mentioned, the ACSC is a part of the ASD (a government agency) that centralises a wide range of government cybersecurity specialists and capabilities. The ACSC’s role is to drive cyber resilience in the Australian economy, including critical infrastructure, government, businesses and academia. To that end, it has a wide range of monitoring and advisory powers that assist in the prevention and mitigation of cyberattacks, including:

  • receiving and responding to cybersecurity incidents as Australia’s CERT;
  • collaborating with its business and government partners to share information on threats and increase resilience;
  • working with businesses, the government and the community to increase awareness of cybersecurity; et
  • providing general information, advice and assistance.

The ACSC does not have any powers to prosecute in relation to cyber incidents.

Australian Crime Commission and the Australian Federal Police

The ACC has a broad range of investigative powers under the Australian Crime Commission Act 2002 (Cth), including the power to apply for search warrants, participate in controlled operations, use surveillance devices, intercept telecommunications and access stored communications.

Additionally, the ACC has a range of coercive powers, including the power to conduct examinations, issue a summons requiring a person to attend an examination, and require the production of any document or thing. Failure to comply with a direction given by the ACC is considered an offence that is punishable by fines or imprisonment.

The AFP is responsible for the enforcement and prosecution of federal cybercrimes under the Criminal Code Act, as discussed in the ‘Legislation’ section of this chapter. The AFP also has a High Tech Crime Operations portfolio, which provides the AFP with a specialised capability to investigate, disrupt and prosecute offenders committing cybercrimes.

Office of the Australian Information Commissioner

The Information Commissioner is responsible for overseeing compliance with the Privacy Act.

The Information Commissioner has a legislative mandate to conduct education programmes and can also:

  • conduct investigations in relation to a suspected or actual breach of the Privacy Act (whether in response to a complaint or as an ‘own motion’ investigation that is made of its own volition), including by requiring a person to give information or documents, or to attend a compulsory conference and entering premises to inspect documents;
  • accept enforceable undertakings from an APP entity, the breach of which can lead to a civil penalty;
  • make determinations;
  • seek an injunction regarding any conduct that would contravene the Privacy Act; et
  • seek a civil penalty order from the Federal Court for the imposition of a statutory penalty of up to A$2.1 million for serious or repeated interference with the privacy of an individual.

Additionally, the Australian Communications and Media Authority regulates the telecommunications industry, including industry-specific privacy-related rules noted above.

What are the most common enforcement issues and how have regulators and the private sector addressed them?

A developing issue with enforcement in relation to cybersecurity is that entities have to deal with multiple regulatory bodies that can all touch on cybersecurity-related issues. For instance, the Information Commissioner deals with compliance with the APPs, the Australian Stock Exchange deals with listed companies’ continuous disclosure obligations, the Australian Prudential Regulation Authority deals with elements of the Australian financial services industry and the ASIC deals with the issuing of Australian Financial Services Licences. Each of these regulatory bodies has different enforcement priorities and, understandably, different degrees of tolerance for non-compliance. This divergent approach to enforcement can make it difficult for some organisations to maintain a sufficiently broad cybersecurity compliance policy that encompasses the requirements of each regulator.

What regulatory notification obligations do businesses have following a cybersecurity breach? Must data subjects be notified?

As further discussed in the ‘Policies and procedures’ section of this chapter, entities subject to the Privacy Act are subject to a mandatory data breach notification regime. If an eligible data breach involving personal information has occurred under that regime, entities must notify the Information Commissioner and affected individuals as soon as practicable.  Seperately, under CPS 234, APRA-regulated entities must notify APRA within 72 hours of becoming aware of an information security incident that:

  • has materially affected, or has the potential to materially affect, financially or non-financially, that entity or the interests of depositors, policyholders, beneficiaries or other customers (as relevant); ou
  • has been notified to other regulators (whether in Australia or other jurisdictions).

Penalties

What penalties may be imposed for failure to comply with regulations aimed at preventing cybersecurity breaches?

Where the Information Commissioner is satisfied that there has been a breach of the Privacy Act, the Information Commissioner may order a range of remedies, including a declaration that compensation must be paid for any loss or damage suffered because of the act or practice that caused the complaint.

In the case of serious or repeated interference with the privacy of an individual, the Information Commissioner may also seek civil penalty orders before the Federal Court of up to A$420,000 for individuals and up to A$2.1 million for companies. An act or practice is an ‘interference with the privacy’ of an individual if it breaches the APPs in relation to personal information about the individual.

Other orders include injunctions and orders to give a public apology. Compensation orders are not subject to any particular monetary limit but are generally in the low thousands of Australian dollars.

See the ‘Legislation’ section of this chapter regarding the ASIC’s ability to impose penalties on directors and companies for failing in their duty to adequately address cyberthreats.

What penalties may be imposed for failure to comply with the rules on reporting threats and breaches?

As discussed in the ‘Policies and procedures’ section of this chapter, entities subject to the Privacy Act are subject to a mandatory data breach notification regime.

An entity can be subject to a civil penalty of up to A$2.1 million in the event of serious or repeated breaches of its notification obligations under that regime.

As discussed above, the Australian Cybercrime Online Reporting Network allows individuals to report cybercrimes that breach Australian law. However, as reporting to this network is voluntary, there are no penalties associated with a failure to report.

How can parties seek private redress for unauthorised cyberactivity or failure to adequately protect systems and data?

Australian law currently does not allow an individual to make a claim directly against an APP entity for a breach of the Privacy Act. Any complaint about how an APP entity collects and handles personal information must go through the Information Commissioner, who may then take appropriate actions, such as investigating the complaint or seeking a court order. Similarly, Australian law does not currently allow an individual to make a claim directly against another party for breach of cybercrime provisions in the Criminal Code Act 1995 (Cth). Any complaint would need to be reported to the Australian Federal Police for further action.

However, it is anticipated that other avenues within Australian law will be identified and used by affected individuals (or classes of individuals) to bring private actions against entities (for instance, class action claims for negligence, breach of disclosure obligations under Australian Stock Exchange listing rules or for breach of consumer protection laws).

Threat detection and reporting

Policies and procedures

What policies or procedures must organisations have in place to protect data or information technology systems from cyberthreats?

The government’s approach is one of self-regulation rather than prescription. A voluntary set of guidelines co-designed with the private sector is considered the best means to assist the private sector in improving its cybersecurity resilience

Describe any rules requiring organisations to keep records of cyberthreats or attacks.

There are none, although it is considered good practice to retain such information.

Describe any rules requiring organisations to report cybersecurity breaches to regulatory authorities.

Australia’s mandatory data breach notification regime applies to all businesses and government agencies subject to the Privacy Act. Under this regime, which was enacted under the Privacy Act and administered by the Information Commissioner, if a relevant business or government agency suspects personal information has been accessed or disclosed without authorisation or has been lost, it has 30 days to determine if there are sufficient grounds to believe that there has been a breach that is likely to result in ‘serious harm’ to any of the affected individuals. This is an objective assessment, determined from the viewpoint of a reasonable person in the entity's position. Serious harm has not been defined under the Act but is likely to include serious physical, psychological, emotional, economic and financial harm as well as serious harm to reputation.  If such a data breach has occurred, the entity must then notify the Information Commissioner and affected individuals as soon as practicable

Time frames

What is the timeline for reporting to the authorities?

Please see the ‘Policies and procedures’ section of this chapter.

Reporting

Describe any rules requiring organisations to report threats or breaches to others in the industry, to customers or to the general public.

The only mandatory reporting obligations relate to ‘eligible data breaches’ under the Privacy Act. These require affected organisations to notify the Information Commissioner and affected individuals.

The steps necessary to notify individuals of mandatory data breaches will depend on the circumstances, but will usually include sending the statement to the individual via the usual means of communication between the entity and the affected individual. At a minimum, this should set out the organisation’s contact details, a description of the breach and recommended steps for the affected individual to take. For example, this could include a recommendation to more closely monitor bank account activity or to cancel credit cards if financial information was the subject of the breach.

Update and trends

Update and trends

What are the principal challenges to developing cybersecurity regulations? How can companies help shape a favourable regulatory environment? How do you anticipate cybersecurity laws and policies will change over the next year in your jurisdiction?

Australian cybersecurity regulation has historically been piecemeal, with regulation split between various pieces of legislation and regulatory bodies, each with different enforcement priorities. This approach has made it difficult for organisations to comply with the requirements of each regulator. The key challenge in developing cybersecurity regulation in the Australian environment will be consolidating the current approach to regulation such that public and private sector entities are clear on their obligations and how they can best protect themselves against cyber risk.

The Australian government has taken steps to address this issue, most notably with the launch of Australia’s Cyber Security Strategy in 2016 and the consolidation of various Australian government cybersecurity-related websites and services into the ACSC. It has also taken a collaborative approach to developing the regulatory landscape by engaging with public and private sector entities, and so we expect that the cybersecurity landscape will be informed by further collaboration between government, business and research stakeholders.

Regulators in Australia have also been focused on building and promoting cyber resilience on the basis that strong cyber defences and contingency plans are fundamental to sustainable enterprise in the long term. The corporate and financial regulators have investigated and reported on board-level governance of cyber risk and security, with a view to promoting a greater overall engagement within businesses. We expect that further guidance will follow from these investigations. Additionally, with the introduction of mandatory personal data breach notification legislation, we expect that future legislative and regulatory developments in Australia will be focused on the mishandling and proper protection of data (and, in particular, personal information).

Law Stated Date

Correct On

Give the date on which the information above is accurate.

6 December 2019.

La cybersécurité en Australie – lexologie ◄ mutuelle santé entreprise
4.9 (98%) 32 votes