Gérer les risques
Aujourd'hui et demain

Cybersécurité

L'Europe pourrait obliger les entreprises du numérique à dévoiler leurs failles de sécurité

La future directive NIS leur imposerait de notifier les intrusions sur leurs systèmes informatiques. A l'instar des obligations qui incombent déjà aux opérateurs d'importance vitale.

Un projet de directive européenne dévoilé cet été par l’agence de presse Reuters suscite de vives réactions auprès des acteurs du secteur du numérique. Si ce texte est adopté, les entreprises opérant des moteurs de recherche, des réseaux sociaux, des offres cloud, etc. devront reporter aux autorités compétentes toute attaque informatique. En France, cette obligation incombe déjà aux entreprises critiques qui opèrent dans les secteurs de l’énergie, santé, finances ou encore des transports. Ces opérateurs d’importance vitale (OIV) sont obligés de rapporter aux autorités compétentes tout incident informatique, qu’il s’agisse d’une intrusion, cyber-attaque ou perte de données relatives aux données personnelles de leurs clients.

Mis en débat auprès des instances communautaires et des Etats-Membres, le projet de la future directive NIS (Network and Information Security) suscite des avis divers. Bon nombre de consommateurs y seront favorables car en cas de vols de données massives, ils veulent en être informés au plus tôt. Mais les entreprises du numérique craignent que l’obligation de notifier des failles de sécurité nuise à leur compétitivité. De son côté, Robert Griffin, Chief Security Architect chez RSA, division sécurité de l’américain EMC (un ténor mondial des architectures du stockage des données numériques), souligne le risque de divulguer des failles avant qu’elles aient été comprises : « Alors que de nouvelles règles en matière de sécurité informatique sont actuellement en cours de discussions au sein de l’Union européenne, il est essentiel que ces débats prennent en considération l’équilibre requis autour du signalement des failles de sécurité », précise cet expert.

Ce dernier estime d’un côté l’importance de partager les informations sur les failles afin de réduire le risque pour les autres entreprises d’être attaquées ainsi que de soutenir la recherche commune autour des cibles, stratégies et outils des pirates informatiques. « D’un autre côté, il y a des risques, cette fois-ci provenant de la divulgation de ces failles avant d’avoir compris ce qu’il s’était passé et l’impact qu’elles ont eu, », poursuit Robert Griffin.

En vue des changements à venir en matière de régulations européennes liées à la confidentialité, il est important pour les entreprises d’aller au-delà de la simple mise en conformité avec ces règles. Il s’agit de réfléchir à l’impact concret sur leur productivité. « Dans cette optique, ces dernières doivent élaborer une stratégie cohérente pour tous les services internes – en gardant à l’esprit que la sécurité numérique est une affaire concernant toute l’entreprise et pas uniquement le service informatique, recommande le Chief Security Architect de RSA. « Etablir un équilibre en matière de signalement doit prendre en compte trois aspects essentiels : les besoins de l’entreprise en matière de rétention d’information, l’impact sur l’entreprise de cette divulgation d’informations ainsi que l’approche stratégique plus générale adoptée par l’entreprise en matière de sécurité. »

Eliane Kan

Commentez

Participez à la discussion