Il est juste de dire que le règlement général sur la protection des données (RGPD) a retenu l’attention au cours des derniers mois.
Ce n’est probablement qu’une question de temps avant que la première violation majeure ne se produise, et nous verrons alors le déroulement de l’application de la loi. En attendant, les directives à venir vont enchanter les enthousiastes de la conformité. Les travaux s’accélèrent au sujet d’une autre directive du Parlement européen et du Conseil de l’Union européenne : la directive (UE) 2016/1148, également connue sous le nom de « directive sur la sécurité des réseaux et des systèmes d’information (SRI) » ou directive NIS (pour Network Information Security). Celle-ci a été publiée il y a quelques années et se concentre sur des mesures destinées à assurer « un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».
Les secteurs industriels couverts par la directive SRI sont très variés, allant de l’énergie et des banques, au transport aérien et aux fournisseurs d’eau potable. Les dates clés s’étendent sur près de cinq ans après la transposition. Les 27 articles de la directive sont remplis de jargon juridique obligatoire, et ne figureront probablement pas sur la liste des lectures estivales de 2018. Cependant, la Commission européenne a publié un mémorandum résumant les trois objectifs fondamentaux :
- Amélioration des capacités en matière de cybersécurité au niveau national ;
- Renforcement de la coopération au niveau de l’UE ;
- Obligations en matière de gestion des risques et de notification des incidents pour les opérateurs de services essentiels et les fournisseurs de service numérique.
Améliorer la cybersécurité au niveau national
Après avoir parcouru les divers articles et définitions, le seul mot qui vient à l’esprit est « accès ». Conformément à la directive SRI, la sécurité des réseaux et des systèmes d’information se définit comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ».
À mesure que les organisations des États membres façonnent leurs stratégies de sécurité pour s’aligner sur la directive, l’intégration de la sécurité et de la gestion de l’accès privilégié dans le cadre de cette stratégie est d’une importance cruciale pour la protection des réseaux et des systèmes d’information. Les secrets non sécurisés, les comptes à privilèges et leurs identifiants peuvent fournir à un attaquant la capacité de prendre le contrôle complet d’un environnement, et de désactiver les systèmes et les services qui peuvent avoir un impact sur la population de toute une ville – soit des centaines de milliers de civils – comme l’a prouvé l’attaque du réseau électrique ukrainien survenue fin 2015.
La mise en place de contrôles sur les utilisateurs à privilèges – humains et machines – est une étape cruciale dans l’atténuation du risque face à un événement de sécurité qui a un impact sur les services critiques. L’introduction du principe de moindres privilèges, l’application d’éléments tels que l’authentification multifactorielle et la séparation des tâches (segregation of duties – SoD) et le verrouillage de la voie d’accès privilégié aux systèmes et aux applications sont des mesures fondamentales qui peuvent être mises en œuvre pour éviter la mise en péril des services et des systèmes critiques, dont dépendent les citoyens et les entreprises de l’UE.
Pour aller plus loin, la détection des menaces et de l’analyse des activités liées aux privilèges permettra d’empêcher un attaquant de naviguer confortablement sur le réseau, d’effectuer des reconnaissances et d’avoir accès aux contrôleurs de domaine où ils peuvent récupérer les comptes et les informations d’identification qui fournissent un accès privilégié – c’est exactement ce que les attaquants ont fait lors de l’attaque en Ukraine. L’amélioration de la cybersécurité au niveau national ne peut se faire sans mettre en œuvre certains de ces contrôles de sécurité.
Coopération entre les États membres de l’Union
Cette partie de la directive contribue à développer avec succès la confiance dans l’ensemble de l’Union. Elle définit un « groupe de coopération » qui impose aux États membres de mettre en œuvre conjointement la planification et le pilotage, de partager les meilleures pratiques, ainsi que de rendre compte et d’évaluer l’expérience globale acquise grâce à la coopération. Bien entendu, l’idéal est que la cohérence soit assurée dans l’interprétation de cette législation entre tous les États membres pour qu’elle soit couronnée de succès. La facilitation de la communication et de la coopération transfrontalières sera mise en œuvre plus efficacement si chaque État membre est sur la même longueur d’onde.
Des États membres comme la France et l’Allemagne ont déjà commencé à publier une législation au niveau national, tandis que beaucoup d’autres sont en train de mettre au point les derniers détails avant de procéder à la transposition en droit national, plus tard dans l’année. Contrairement au RGPD, les sanctions en cas de non-respect ne seront pas appliquées au niveau de l’UE, mais directement par l’État membre lui-même. Il est précisé qu’elles « sont effectives, proportionnées et dissuasives ».
Le récent rapport de Cyberark sur le paysage des menaces, indique que seul un tiers environ des répondants d’organisations basées en France (29 %) et en Allemagne (33 %) ont déclaré qu’ils comprenaient la directive et les types d’incidents de sécurité à signaler, et que leur organisation respectait la législation nationale en vigueur. Des statistiques qui, dans la lignée du RGPD, indiquent clairement que les organisations ne sont pas entièrement préparées.
Gestion des risques et notification des incidents
Les fournisseurs de services numériques (Digital Service Providers – DSP) et les opérateurs de services essentiels devront mettre en place des mesures techniques et organisationnelles pour anticiper les risques ; s’assurer que le niveau de sécurité du réseau et des systèmes d’information est adapté à ces derniers ; et gérer efficacement les incidents. Ainsi, ils pourront prévenir et minimiser l’impact sur les systèmes informatiques utilisés pour fournir les services.
Que les données et les applications soient issus du cloud, s’exécutent dans un environnement traditionnel sur site, ou soient une combinaison des deux, des personnes malintentionnées et des attaquants issus d’un État-nation continuent de trouver des moyens de compromettre l’infrastructure et d’accéder aux ressources clés. Certaines des définitions figurant dans la directive sont délibérément ambiguës pour une interprétation au niveau national – mais la seule chose qui reste parfaitement claire est que la gestion et la prévention des risques commencent et se terminent par la protection de l’accès aux actifs et aux ressources les plus critiques d’une organisation.
Comme pour une infraction au code de la route, aux codes civil ou pénal, « nul n’est censé ignorer la loi ». Comme dans le cas du RGPD, le fait de ne pas se préparer aux directives de l’UE n’est pas seulement considéré comme un blasphème réglementaire, mais cette inaction peut avoir de lourdes répercussions sur la réputation et les finances. Une forme de « non-assistance à personne en danger » de la cybersécurité : car au final refuser de se plier au règlement revient à ne pas prendre soin des données de ses clients, partenaires, et employés. C’est pourquoi il est indispensable d’atteindre un niveau plus élevé de sécurité des réseaux et des systèmes d’information afin d’être en conformité avec ces directives imminentes.