Les Etats membres de l’UE s’apprêtent à mettre en œuvre de nouvelles réglementations en matière de cybersécurité. Certaines attaques devront désormais être déclarées. Simon Creasey examine l’impact pour les entreprises.
Dans son Internet Security Threat Report 2016, la société de consultance internationale en cybersécurité Symantec dévoile une série de statistiques plutôt effrayantes. En 2015, plus de 430 millions de nouveaux logiciels malveillants uniques ont été découverts, soit un tiers de plus que l’année précédente. Le nombre de vulnérabilités Zero day (des brèches dans les logiciels informatiques, inconnues du fournisseur) a plus que doublé. Les campagnes de spear-phishing (hameçonnage par e-mail très personnalisé pour obtenir des informations confidentielles) ciblant des employés ont augmenté de 55%. Avec des chiffres comme ceux-ci, les entreprises sont toujours plus sensibles à la menace d’un piratage informatique. La question n’est aujourd’hui plus de savoir si, mais bien quand les hackers frapperont. Cette conscientisation s’est accompagnée d’un changement au niveau stratégique : de la prévention des attaques, on passe à leur détection et à une réaction rapide qui permettra de limiter les dommages financiers et réputationnels pour la société.
Dans un monde numérique interconnecté qui ne connaît plus de frontières, une attaque réussie sur une entreprise dans un pays peut avoir des répercussions sur d’autres sociétés, ailleurs dans le monde. Il convient donc d’adopter une approche cohérente et d’assurer sa sécurité par-delà les pays et les continents. Plus aucun maillon faible ne doit pouvoir faire l’objet d’une attaque.
Pour lutter contre ces dangers, la Commission européenne a adopté, en juillet 2016, les premières réglementations de l’UE en matière de cybersécurité. Les Etats membres disposent de deux ans pour mettre en œuvre la Directive sur la sécurité des réseaux et de l’information (Directive « NIS ») qui impose de nouvelles exigences aux fournisseurs et opérateurs de services numériques dans des secteurs essentiels, comme l’énergie, les transports, l’eau, la banque, les infrastructures des marchés financiers, les soins de santé et l’infrastructure digitale. Les entreprises de ces secteurs devront prendre des mesures de sécurité adéquates et communiquer tout incident grave à leurs autorités nationales.
Quels sont donc les principaux défis qui entourent la mise en œuvre de ces nouveaux contrôles ?
Cibles faciles
Malgré les améliorations considérables apportées aux logiciels de sécurité informatique, l’ampleur de la menace qui pèse sur les entreprises n’a cessé de croître ces dernières années. Les entreprises ne font plus seulement face à une menace de piratage ou d’attaque par des organisations criminelles ou des loups solitaires : l’espionnage industriel et économique est aujourd’hui le fait de cyberassaillants soutenus par des Etats-nations.
Plus inquiétant encore, les hackers lancent leurs attaques avec toujours plus de facilité. C’est l’avis de Roger Francis, Senior Strategic Consultant de la société de cybersécurité Mandiant, filiale de FireEye. « Le niveau de compétence nécessaire diminue », explique Roger Francis. « Les outils disponibles sont très nombreux. Pour les pirates informatiques, il est de plus en plus aisé de les exploiter. Les cybermenaces qui pèsent sur les entreprises en sont amplifiées. »
La lenteur de la détection est également alarmante. L’examen de dossiers traités par Mandiant en Europe, au Moyen-Orient et en Afrique durant l’année 2015 montre que le temps moyen de constatation d’une cyberattaque est de 469 jours.
La transparence et le partage des données sont des éléments essentiels de la cybersécurité. Le travail des pirates informatiques est facilité par l’absence actuelle d’approche cohérente au niveau des autorités gouvernementales européennes. « Sans exigences uniformes, les entreprises ne savent pas quelles protections elles devraient mettre en place », résume Daniël Jacobs, le directeur de Cyber pour le Benelux chez Chubb. Et c’est particulièrement grave lorsqu’il s’agit de sociétés qui fournissent des services essentiels ou des services numériques. Voilà pourquoi l’arrivée de la Directive « NIS » est tant attendue.
Fichier central des attaques
« Les autorités ne peuvent vraiment faire quelque chose que si elles sont informées des attaques. Et nombreux sont les services essentiels qui sont aux mains du secteur privé. C’est la raison pour laquelle l’UE a décidé d’adopter cette nouvelle législation qui oblige les entreprises qui fournissent des services essentiels à communiquer d’éventuels incidents à un organe central. Il sera alors possible de chercher d’où vient la menace et de se protéger de celle-ci », indique Hans Allnutt, Partner et Leader de la Breach Response Team de DAC Beachcroft.
La communauté de la cybersécurité est unanime : la nouvelle directive est une bonne idée, même si des questions restent ouvertes concernant sa mise en œuvre. En effet, il ne s’agit que d’une directive. Chaque Etat membre doit donc décider comment transposer les dispositions « NIS » en droit national. On pourrait donc voir apparaître un véritable « patchwork », c’est ce que pense Daniël Jacobs.
« Même si c’est un bon début, le problème est qu’il s’agit d’une directive et non d’une réglementation », continue-t-il. « Les Etats membres ont deux ans pour présenter leurs versions. Chaque pays mettra ensuite en œuvre sa version, sans garantie de cohérence. Il y aura des différences selon les pays. L’approche ‘NIS’ du Royaume-Uni, de même que les exigences et les standards minimaux qu’il décidera d’établir, seront probablement différents du Portugal, par exemple. »
Pour Roger Francis, d’autres différences pourront aussi concerner l’interprétation, par les entreprises et par les pays, de ce qui constitue réellement une brèche de sécurité. « La question de savoir quand un incident doit être déclaré est intéressante. En effet, c’est un peu le flou au sein des organisations lorsqu’il faut définir et classer ce qui peut être considéré comme une brèche de sécurité », explique-t-il. « Les entreprises doivent s’assurer qu’elles disposent bien d’une matrice permettant de faire remonter l’information. Sans elle, il sera difficile d’agir de façon appropriée lorsqu’un incident doit être déclaré. »
Les mois passent et certains pays membres ont été plus rapides que d’autres dans la mise en œuvre de la Directive « NIS ». En octobre 2016 par exemple, le gouvernement britannique a créé le National Cyber Security Centre qui dépend du GCHQ (Government Communications Headquarters). Cet organe rassemblera le CESG (Communications-Electronics Security Group – bras armé du GCHQ en matière de sécurité informatique), le Centre for the Protection of National Infrastructure, CERT-UK et le Centre for Cyber Assessment au sein d’une seule et même organisation. Le pays veut ainsi simplifier son approche de la cybersécurité. Cependant, il est bien difficile de savoir dans quelle mesure la nouvelle réglementation sera suivie vu la sortie prochaine du Royaume-Uni de l’UE.
D’autres Etats membres ne sont pas en reste et tentent de convaincre les entreprises. « Il y a peu, j’étais en Belgique avec une grande entreprise. Le gouvernement belge lui avait indiqué que ses activités étaient essentielles pour le pays – alors que l’entreprise soutenait le contraire », se rappelle Wouter Wissink, Senior Information and Network Technology Specialist, Risk Engineering Services pour l’Europe continentale chez Chubb. « L’entreprise a finalement accepté le caractère essentiel de son business. Et cela a déjà eu un impact positif au niveau de son organisation : l’entreprise a en effet décidé d’isoler son réseau SCADA (supervisory control and data acquisition) de l’internet. Il est bon de constater que des entreprises commencent à réfléchir à la problématique, et qu’elles devront communiquer aux autorités ce qu’elles vont faire et comment elles vont le faire. Cette réflexion permettra une plus grande sensibilisation dans l’entreprise, ce qui est très positif. »
Malgré les questions qui entourent la mise en œuvre précise de la Directive « NIS », personne ne doute de l’impact bénéfique que celle-ci aura sur l’Europe et sur sa capacité à tenir en échec les hackers en puissance. Le partage des informations sur la nature, l’étendue et les méthodes des attaques informatiques entre les entreprises et les Etats membres permettra incontestablement aux sociétés de renforcer leurs cyberdéfenses. Si certaines attaques ne pourront pas être arrêtées, on contribuera en tout cas à en limiter les dommages.
Daniël Jacobs, directeur de Cyber pour le Benelux chez Chubb daniel.jacobs@chubb.com
Cet article a été publié à l’origine par Chubb dans leur Progress Magazine 2017.
