Lors du séminaire « Sécurité de l'information dans le secteur des valeurs mobilières » qui s'est tenu le matin du 9 avril, M. Le Cong Phu, directeur adjoint du Centre de réponse aux urgences du cyberespace du Vietnam (Vncert, ministère de l'Information et des Communications ), a déclaré que le Département de la sécurité de l'information du ministère de l'Information et des Communications a demandé aux sociétés de valeurs mobilières de faire rapport avant le 15 avril sur la mise en œuvre de la sécurité de l'information par niveau et de la sécurité de l'information selon le modèle à 4 couches. Concrètement, ces quatre couches comprennent des forces de sécurité sur place, qui sont évaluées par des organisations professionnelles, surveillées par des organisations professionnelles et enfin connectées au Centre national de surveillance de la cybersécurité.

Selon M. Phu, récemment, le Département de la sécurité de l'information a encouragé la mise en œuvre de cette mesure, et le groupe d'agences d'État a obtenu de très bons résultats. Cependant, le groupe d’entreprises et d’institutions financières n’est pas vraiment bon.

« Nous n'avons pas interrogé les sociétés de valeurs mobilières sur leurs capacités actuelles de prévention des cyberattaques. Cependant, après la récente cyberattaque chez VNDirect, nous avons constaté que la plupart des sociétés de valeurs mobilières, et des entreprises en général, ne respectaient pas les informations relatives à la cybersécurité à tous les niveaux », a déclaré M. Phu.

M. Le Cong Phu, directeur adjoint du Centre vietnamien de réponse aux urgences cybernétiques (Vncert) Photo : Trong Hieu.

Conformément aux dispositions de l'article 25, annexe IV de la loi sur les investissements de 2020 et de la clause 2, point b, clause 2, article 9 du décret 85/2016/ND-CP, les systèmes d'information fournissant des services de valeurs mobilières doivent assurer la sécurité des systèmes d'information selon les niveaux prescrits dans le décret n° 85/2016/ND-CP du 1er juillet 2016 du gouvernement sur la garantie de la sécurité des systèmes d'information selon les niveaux et la circulaire 12/2022/TT-BTTTT du 12 août 2022 du ministre de l'Information et des Communications.

Par conséquent, selon la dépêche officielle envoyée à la société de valeurs mobilières, le fait de ne pas garantir la sécurité du système d'information selon le niveau constitue une violation de la loi et est passible de sanctions administratives conformément aux articles 88 et 89 du décret n° 15/2020/ND-CP du 3 février 2020 du gouvernement réglementant les sanctions pour les violations administratives dans les domaines de la poste, des télécommunications, des radiofréquences, des technologies de l'information et des transactions électroniques.

Dans le même temps, M. Phu a également souligné que les sanctions actuelles en cas de non-respect des réglementations en matière de sécurité de l'information sont assez légères et peuvent en réalité être considérées comme inférieures aux dommages lorsqu'ils surviennent.

Cependant, si un incident inattendu comme celui survenu récemment chez VNDirect se produit, l’amende peut être minime, mais la réputation et le prestige seront grandement affectés. Dans les temps à venir, les amendes pourraient être augmentées et les entreprises pourraient être obligées de garantir la sécurité des informations sur leur réseau.

Le décret sur les sanctions administratives pour les violations dans le domaine de la cybersécurité a été consulté récemment et devrait être publié prochainement. En particulier, en ce qui concerne les violations de la protection des données personnelles, la sanction administrative proposée pourrait s'élever jusqu'à 5 % du chiffre d'affaires total de l'exercice précédent, voire la révocation de la licence commerciale pendant 1 à 3 mois.

M. Ngo Tuan Anh - Directeur général de la société de cybersécurité SCS, vice-président de l'Association vietnamienne de sécurité de l'information Photo : Trong Hieu.

Selon M. Ngo Tuan Anh, directeur général de SCS Cyber ​​​​Security Company, vice-président de l'Association vietnamienne de sécurité de l'information, les réglementations visant à garantir la sécurité de l'information sont désormais disponibles dans la circulaire avec des instructions assez claires, différents niveaux d'exigences en fonction de chaque niveau.

« Par exemple, pour une société de valeurs mobilières de niveau 3, les opérations de gestion et techniques ont été définies. Les unités doivent s'y conformer en fonction de leurs cas spécifiques. En appliquant correctement les réglementations légales, il faut veiller à leur conformité afin d'éviter tout risque supplémentaire de manipulation en cas de non-respect de ces réglementations », a également souligné M. Tuan Anh.

En partageant les expériences des pays, selon M. Tran Minh Quan, expert senior en sécurité chez PwC, les recherches montrent que la plupart des pays comme le Royaume-Uni et les États-Unis ont créé une unité spécialisée pour examiner et compiler des statistiques nationales sur la cybersécurité. À partir de là, il faut prévoir une forme de protection qui comprend un cadre de sécurité, soutenant une unité lorsqu'elle est attaquée et ne sait pas quoi faire. Ce groupe de travail publie des informations sur le portail, envoie des rapports aux unités pour émettre des avertissements afin de renforcer la sécurité de l'information et pour faire savoir aux unités que lorsqu'elles sont attaquées par des pirates informatiques, elles doivent prendre des mesures spécifiques pour se rétablir.