Chaque année, les incidents de sécurité dus à des erreurs humaines, les problèmes techniques et les attaques malveillantes se traduisent, selon les estimations de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), par des pertes financières de l’ordre de 260 à 340 milliards d’euros en Europe. Pour enrayer ce phénomène, les 28 Etats-membres ont adopté une approche commune en matière de sécurité des systèmes d’information et de signalement des incidents. De nouvelles règles vont ainsi s’appliquer afin de renforcer la gestion de tels incidents et de faire coopérer entre eux les secteurs public et privé. C’est du moins ce que prévoit la directive européenne Network and Information Security (NIS). Ce texte qui a été approuvé le mois dernier par les eurodéputés va contribuer à renforcer la résistance des systèmes informatiques et des réseaux. Cette directive concerne les entreprises qui fournissent des services dits indispensables tels que l’énergie, les transports, le secteur bancaire et la santé. « Elle inclut aussi les moteurs de recherche, sites de e-commerce et fournisseurs de Cloud », rapporte Laurent Heslault, directeur des stratégies de sécurité chez Symantec France, éditeur de solutions de sécurité informatique.
Application prévue en 2018. La directive NIS obligera tous ces opérateurs à combler les failles de sécurité de leurs système d’information et à divulguer aux autorités compétentes les incidents les plus graves. Des dispositions que la France anticipe déjà avec la loi de programmation militaire. Laquelle oblige les Opérateurs d’importance vitale (OIV) à remonter les incidents de sécurité à l’Agence nationale de sécurité des systèmes d’information (Anssi). « La directive NIS a été adoptée par la commission compétente du parlement en décembre dernier. Elle doit encore être validée par le Conseil des ministres, rapporte Zoltán Précsényi, responsables des relations gouvernementales européennes chez Symantec. Elle pourrait être publiée au printemps prochain pour une entrée en vigueur en 2018. » Cette directive fait d’ailleurs partie d’un paquet législatif qui vise à renforcer la coopération dans les 28 Etats-membres en matière de lutte contre la cybercriminalité. Il s’agit de mettre à disposition des autorités compétentes des moyens techniques et légaux appropriés. Outre la directive NIS, ce paquet législatif contient un règlement portant sur la protection des données personnelles et qui est connu sous le nom de règlement GDPR pour General Data Protection Regulation.
Protection des données. A la différence de la directive NIS, ce règlement s’adresse cette fois à tous les organismes privés et publics (à l’exception des autorités judiciaires) qui collectent et gèrent des données à caractère personnel. Il s’agit en l’occurrence de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.« Le futur règlement va obliger les organismes à identifier et réparer les failles dans leur système d’information afin de protéger les données contre les risques de perte ou de vol », résume Laurent Heslault. « Peu de gens sont conscients que les données à caractère personnel ne concernent pas uniquement les ressources humaines ou le service commercial », poursuit le directeur des stratégies de sécurité de Symantec France. Ce dernier donne notamment l’exemple des images prises par une webcam installée sur la voie publique. Si les plaques d’immatriculation sont susceptibles d’être lues, les images sont alors considérées comme des données sensibles et doivent donc être protégées. « En utilisant les numéros d’une plaque d’immatriculation, il est en effet possible de remonter jusqu’aux données personnelles de l’automobiliste », remarque Laurent Heslault.
Pour se mettre en conformité avec ce règlement, les organisations vont devoir mobiliser l’ensemble de leurs ressources, depuis le service commercial jusqu’à la direction générale en passant par les départements juridique, informatique, sécurité informatique, etc. L’objectif est de localiser les informations sensibles et d’identifier les personnes qui y ont accès. Ensuite il faudra mettre en place des processus, une organisation spécifique et déployer des protections adéquates. Par exemple, des solutions capables de détecter des transferts massifs d’informations et des logiciels pour chiffrer les données. « Par ailleurs, il leur faudra sensibiliser et informer leurs salariés, recruter des personnes pour s’assurer de la mise en œuvre de ces outils, informer des bonnes pratiques et transmettre les fondamentaux de la cybersécurité », conseille Zoltán Précsényi. Ce dernier rappelle qu’en cas de vol de données, s’il est prouvé que l’entreprise ne s’est pas mise en conformité avec la réglementation, les amendes pourront s’élever jusqu’à 20 millions d’euros ou l’équivalent de 4% du chiffre d’affaires annuel mondial : « La sanction sera tellement élevée que cela ne vaudra pas le coup pour les entreprises de prendre le risque d’être ne pas être en conformité. »
Eliane Kan
Commentez