nis : l’europe se dote d’un plan de bataille contre le piratage informatique
TRANSCRIPT
NIS : L’Europe se dote d’un plan de bataille contre le piratage informatique
« La stratégie est l’art de la dialectique des volontés employant la force pour résoudre leur conflit. »
— André Beaufre (Général d’armée français)
Le 17 mai, les représentants du Conseil de l’Union Européenne se sont mis d’accord sur la directive visant à assurer un niveau élevé en matière de systèmes de réseaux et d’information, appelé Network and Information Security (NIS). Ceci est une première étape vers une stratégie numérique harmonisée au niveau européen et vers la création d’un front commun pour gérer la crise digitale auquel nous sommes confrontés. L’accord met en avant un nouveau dispositif d’alerte en cas de vol de données de grande ampleur, en obligeant les organisations à signaler ces incidents dés leur découverte. Les 28 pays membres de l’UE vont se réunir en août afin d’approuver formellement la directive NIS, ils auront ensuite 21 mois pour mettre en œuvre les provisions nécessaires au niveau national.
D’après une étude menée par le Centre des Etudes Stratégiques et Internationales, le coût des cyberattaques s’élève à 0.8% du PNB global (445 milliards $), les régions de l’Amérique du Nord et l’Europe étant les plus affectées. Le cas récent de la compromission du système bancaire SWIFT (lire notre précédent article ici), où des hackers ont exploité plusieurs fois la même faille leur permettant de s’attaquer au réseau financier international. Ceci n’est qu’une petite addition au palmarès des piratages, une raison de plus pour l’Union Européenne de se mobiliser et consolider son rôle dans cette cyberguerre.
La première notion d’une législation en cybersécurité au sein de l’UE date de 2001, suivie par le précurseur de la directive NIS – « Security Information Society » (2006). Les efforts se sont concrétisés en février 2013 avec l’émergence du texte de loi initial de la sécurité de SI en Europe. Inscrit dans la stratégie Europe 2020, de même importance que la sensibilisation en cybersécurité, ce texte a été approuvé en décembre 2015 et, après sa lecture auprès du Conseil de l’Union, devrait entrer en vigueur en 2018.
Ayant pour objectif de renforcer la coopération entre les autorités des 28 états membres, la directive « Network and Information Security » vise à améliorer le niveau de sécurité des systèmes d’informations de (certaines) entreprises, notamment les organisations identifiées par l’état comme ayant des activités d’importances vitales pour la société et l’économie, et armer les pays membres avec les moyens techniques et légaux nécessaires dans la lutte contre la cybercriminalité. Ceci se fera à travers l’instauration d’un réseau paneuropéen de centres d’alerte et de réponse en cas d’incident, autrement dit Computer Emergency Response Teams (CERTs).
En parallèle, les OIV (Opérateurs d’Importance Vitale) seront obligés de communiquer aux autorités compétentes (l’ANSSI dans le cas de la France) les attaques majeures auxquelles elles sont confrontées. Cette transparence de l’information se manifeste également à travers un réseau de partage des risques informatiques, appelé Computer Security Incident Response Team (CSIRT) et coordonné par l’Agence Européenne chargée de la Sécurité des Réseaux et de l’Information (ENISA). Le but est de pousser les entreprises européennes à adopter une approche préventive en cybersécurité et non pas seulement réactive.
Cela étant dit, il faut clarifier que ces exigences en matière de sécurité informatique ne s’adressent pas à toutes les entreprises. Les acteurs concernés, qu’ils soient publics ou privés, sont notamment les opérateurs fournissant des services essentiels (sont visés ici les secteurs énergie, banque, santé et transport), de plus de 50 employés. Chaque pays de l’UE se réserve le droit d’identifier quels seront les entreprises appartenant à cette catégorie. Les fournisseurs de services numériques, de sites de e-commerce (i.e. Amazon), du Cloud Computing (i.e. Apple iCloud) et de moteurs de recherche (i.e. Google) seront aussi ciblés, excluant ici les réseaux sociaux (i.e. Facebook).
En France, la directive NIS vient soutenir la Loi de Programmation Militaire (LPM), qui oblige depuis 2013 les OIV à des contraintes réglementaires telles que : avoir un équipement de sécurité avancé, réaliser des audits réguliers et communiquer avec les autorités et les victimes lors d’une attaque. Alors que la LPM ne prévoit que 200 OIV, la directive NIS, elle, concerne beaucoup plus d’entreprises, selonGuillaume Poupard, le directeur générale d’ANSSI, soulignant les bénéfices que son implémentation peut avoir.
L’Union Européenne s’est engagée dans un voyage très ambitieux, qui vise à souder le marché fragmenté de la cybersécurité sur son territoire et changer une perception qui n’apprécie pas encore autant la prévention en défaveur du traitement. C’est une excellente initiative pour l’avenir du numérique, mais, il va falloir s’armer de patience. Au moins le temps que chaque pays de l’UE adapte le texte de la directive NIS à sa propre législation.