Nous sommes en guerre.
Mais ce n'est pas la guerre conventionnelle. Dans cette guerre on ne parle pas de missile tomahawk mais d'attaque Zero Days. On ne parle pas non plus d'armes chimiques, mais d'attaque au président. Dans cette guerre, le chiffrement de données se substitue au bombardement d'entrepôts.
Récemment nous avons assisté à une conférence sur la cybercriminalité organisée par la Chambre Régionale des Commissaires aux comptes de Guadeloupe. Que retenir de cette dernière?
Les réglementations
Trois réglementation ont été citées durant cette conférence:
- DORA
- Cybersecurité Act
- NIS 2
Revenons sur chacune d'elles.
DORA (Digital Operationnal Resilience Act)
Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toutes perturbations opérationnelles graves liées aux TIC.
Le règlement DORA s’applique à toutes les entités financières opérant dans l’UE, qu’elles soient réglementées ou non, ainsi qu’aux prestataires de services TIC critiques qui fournissent des services essentiels aux entités financières. Il prévoit des exigences spécifiques en matière de gouvernance, de gestion des risques, de tests, de surveillance, de reporting, de gestion des incidents, de continuité des activités, de relations avec les prestataires de services TIC et de partage d’informations.
Le réglement DORA est entré en vigueur le 16 Janvier 2023 et entrera en application le 17 janvier 2025.
Cybersécurité Act
Il a un double objectif:
- Adopter un mandat permanent pour l'ENISA (l'Agence de l'Union Européenne pour la Cybersécurité). En d'autres termes, le rôle de cette agence devient centrale dans la lutte contre le cybercriminalité en Europe. Grossièrement, l'ANSSI est la déclinaison Française de l'ENISA.
- La définition d’un cadre européen de certification de cybersécurité harmonisé.
Le Cybersecurity Act vise à attribuer des niveaux de certifications qui seront de 3 niveaux:
- le niveau élémentaire: cible des objets grand public, non critiques (les objets connectés par exemple)
- le niveau substanciel: cible le risque médian (le cloud par exemple)
- le niveau élevé: cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (les véhicules ou les dispositifs médicaux connectés)
Des organismes seront chargés de donner ces certifications.
NIS 2 (Network and Information Security)
La transformation digitale des sociétés européennes a ouvert de nouvelles perspectives, mais a également exposé le marché à des défis en matière de cybersécurité. Face à cette réalité, il était impératif d'assurer collectivement des conditions de sécurité optimales pour l'ensemble de l'Union européenne.
En juillet 2016, le Parlement européen et le Conseil de l'Union européenne ont pris une mesure décisive en adoptant la directive "Network and Information Security" (NIS). Transposée au niveau national en 2018, cette directive avait pour objectif de renforcer la cybersécurité des acteurs majeurs opérant dans dix secteurs d'activité stratégiques, regroupant ainsi plusieurs centaines d'entités en France.
Avec ce premier dispositif, ces acteurs clés ont été soumis à l'obligation de déclarer leurs incidents de sécurité à l'ANSSI, tout en mettant en place des mesures de sécurité cruciales pour réduire considérablement l'exposition de leurs systèmes les plus critiques aux risques cybernétiques. C'est un pas significatif vers un environnement numérique plus sûr et résilient pour l'Europe.
NIS 2 c'est la suite de NIS 1 mais avec un élargissement des objectifs et du périmètre d'application afin d'apporter plus de protection. NIS 2 introduit une nouvelle classification des entités en deux catégories les "entités essentielles" et les "entités importantes". Elle introduit également de nouveaux secteurs d'activité comme présentés ci-dessous:
Au niveau des entreprises, cette directive entraînera la révision des contrats, et une mise en place et/ou une adaptation la gestion des risques.
Mais qu'en est-il pour les petites entreprises. Techniquement, les entreprises de moins de 50 salariés et ne réalisant pas un chiffre d'affaire de plus de 50 M€ n'entrent pas dans le champ d'application de NIS2. Cependant, elles devront adopter une partie des mesures de sécurité fondamentales de NIS 2 afin de maintenir leur collaboration avec leurs partenaires qui, quant à eux, sont régulés par la Directive.
Conclusion
La cybersécurité est prise très au sérieux et est traitée comme une urgence Européenne. Si dans une guerre traditionnelle l'accent est mis sur la protection des civils, les 3 réglementations citées plus haut, DORA, Cybersecurity Act et la directrive NIS 2 sont, quant à elles, là pour protéger les entreprises et les organismes publics d'éventuelles attaques. Partant du postulat qu'il y aura des attaques, ces réglementations visent aussi à apporter de la résilience face au danger cyber.