Toujours dans le volumineux « parquet cybersécurité » présenté ce trimestre, figure une très intéressante une évaluation de la directive relative à la sécurité des réseaux et des systèmes d’information dans l’Union («directive SRI»).
- lire sur securiteinterieure.fr : Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité
Une telle directive constitue, au regard de cette évaluation, un premier pas : pour faire face aux menaces et aux risques cyber, les Etats membres sont invités à étendre les standards de ce texte aux secteurs non couverts.
De quoi parle-t-on ?
La directive SRI, adoptée le 6 juillet 2016, est la première législation horizontale de l’Union européenne qui aborde les défis liés à la cybersécurité.
Le délai de transposition fixé au 9 mai 2018 et de la date limite du 9 novembre 2018 déterminée pour l’identification des opérateurs de services essentiels (OSE). Cette directive comporte trois objectifs principaux:
- améliorer les capacités nationales en matière de cybersécurité;
- renforcer la coopération au niveau de l’Union européenne; et
- promouvoir une culture de la gestion des risques et du signalement des incidents parmi les principaux acteurs économiques.
Pour la Commission européenne, l’efficacité de la réponse de l’UE sera limitée tant que la directive SRI ne sera pas pleinement transposée dans tous les États membres de l’Union.
L’ANSSI, l’exemple français de l’ « autorité nationale en matière de sécurité des réseaux »
La directive SRI exige des États membres qu’ils désignent des autorités nationales en matière de sécurité des réseaux et des systèmes d’information.
Ils sont libres de désigner une seule autorité centrale. Lorsqu’ils décident de cette approche, ils peuvent s’inspirer de l’expérience tirée des approches nationales utilisées dans le contexte de la législation en vigueur sur la protection des infrastructures d’information critiques (PIIC).
Les États membres peuvent également opter pour un modèle décentralisé ou pour diverses formules hybrides comportant des éléments d’approches centralisées et décentralisées.
La France est un bon exemple d’État membre de l’Union doté d’une approche centralisée. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été désignée comme la principale autorité nationale de défense des systèmes d’information en 2011.
Elle joue un rôle de supervision fort à l’égard des «opérateurs d’importance vitale» (OIV): l’agence peut ordonner aux OIV de se conformer aux mesures de sécurité et est habilitée à effectuer des audits de sécurité à leur égard. En outre, il s’agit du principal point de contact unique pour les OIV, qui sont tenus de signaler les incidents de sécurité à l’agence.
En cas d’incidents de sécurité, l’ANSSI agit en tant qu’agence de secours pour la PIIC et décide des mesures que les opérateurs doivent prendre pour répondre à la crise.
Les actions gouvernementales sont coordonnées au sein du centre opérationnel de l’ANSSI. La détection des menaces et la réponse aux incidents au niveau opérationnel sont effectuées par le CERT-FR, qui fait partie de l’ANSSI.
La France a mis en place un cadre juridique complet pour la PIIC. En 2006, le premier ministre a ordonné l’établissement d’une liste de secteurs d’infrastructures critiques. Sur la base de cette liste, qui recense douze secteurs vitaux, le gouvernement a défini environ 250 OIV.
En 2013, la loi de programmation militaire (LPM) a été promulguée. Elle fixe différentes obligations pour les OIV, telles que le signalement des incidents ou la mise en œuvre de mesures de sécurité.
Quant à la Suède, elle est un bon exemple de pays qui suit une approche décentralisée dans le cadre de la PIIC.
Parmi ces agences figurent l’Agence suédoise pour les contingences civiles (MSB), l’Agence suédoise des postes et télécommunications (PTS) et plusieurs agences suédoises, militaires de défense et de maintien de l’ordre. Afin de coordonner les actions entre les différentes agences et entités publiques, le gouvernement suédois a mis en place un réseau coopératif composé d’autorités «dotées de responsabilités sociétales spécifiques en matière de sécurité de l’information».
Ce groupe de coopération pour la sécurité de l’information (SAMFI) est composé de représentants des différentes autorités et se réunit plusieurs fois par an.
Les domaines d’intervention de la SAMFI se situent principalement dans des domaines politico-stratégiques et couvrent des thèmes tels que les questions techniques et la normalisation, le développement national et international dans le domaine de la sécurité de l’information ou la gestion et la prévention des incidents informatiques.
1er chantier : étendre les « Stratégie nationale en matière de sécurité des réseaux et des systèmes d’information » (SNCS)
La fonction d’une stratégie nationale est de définir les objectifs stratégiques et les mesures politiques et réglementaires appropriées en matière de cybersécurité.
L’obligation d’adopter une SNCS ne s’applique qu’aux secteurs de l’énergie, transports, banques, marché financier, santé, fourniture et distribution d’eau potable, et infrastructures numériques, de marché en ligne, moteurs de recherche en ligne et service d’informatique en nuage.
Bien que la directive se concentre naturellement sur les entreprises et les services qui revêtent une importance critique particulière, c’est la cybersécurité de l’économie et de la société dans son ensemble qui doit être abordée de manière globale et cohérente.
Par conséquent, pour la Commission européenne, l’adoption de stratégies nationales globales allant au-delà des exigences minimales de la directive SRI augmenterait le niveau global de sécurité des réseaux et des systèmes d’information.
Pour ce qui est de la France, il s'agit de la stratégie de 2015.
2e chantier : renforcer les capacités des réponse aux incidents de sécurité informatique (CSIRT) nationaux
Faute de CSIRT nationaux efficaces et dotés de ressources suffisantes dans toute l’UE, celle-ci restera trop vulnérable face aux menaces cybernétiques transfrontalières. Plus exactement, les CSIRT assurent :
- le suivi des incidents au niveau national;
- l’activation du mécanisme d’alerte précoce et diffusion de messages d’alerte ;
- l’intervention en cas d’incident;
- l’analyse dynamique des risques et incidents ;
- la participation au réseau des CSIRT nationaux (réseau des CSIRT) ;
- de manière optionnelle, les notifications d’incidents.
Le programme du mécanisme pour l’interconnexion en Europe (MIE) relatif aux infrastructures de services numériques (DSI) dans le domaine de la cybersécurité peut fournir un financement européen important pour aider les CSIRT des États membres à améliorer leurs capacités et à coopérer entre eux par le biais d’un mécanisme de coopération en matière d’échange d’informations.
En outre, un CSIRT nouvellement créé peut compter sur les conseils et l’expertise de l’ENISA.
Cette agence a publié un certain nombre de documents et d’études décrivant les bonnes pratiques et formulant des recommandations au niveau technique.
En outre, les conseils et les bonnes pratiques ont également été partagés par des réseaux de CSIRT tant au niveau mondial (FIRST) qu’européen (Trusted Introducer, TI).
Pour la Commission européenne, les États membres pourraient donc envisager d’étendre les compétences des CSIRT au-delà des secteurs et services couverts par la directive.
Cela permettrait aux CSIRT nationaux d’apporter un soutien opérationnel en cas de cyberincidents dans des entreprises et des organisations qui ne relèvent pas du champ d’application de la directive mais qui sont également importantes pour la société et l’économie.
3e chantier : opérer une cohérence du processus d’identification des OSE
Comme les fournisseurs de service numérique (FSN), les opérateurs de services essentiels (OSE) sont soumises à des obligations concernant les exigences de sécurité et les notifications d’incidents. Ils sont tenus de prendre des mesures de sécurité appropriées et de notifier les incidents graves aux autorités nationales.
Pour la plupart des opérateurs qui appartiennent aux «secteurs traditionnels», la législation de l’Union contient des définitions bien développées.
Toutefois, ce n’est pas le cas pour le secteur des infrastructures numériques, y compris les points d’échange internet, les systèmes de noms de domaine et les registres de noms de domaine de haut niveau.
C’est pourquoi, dans le but de clarifier ces définitions, l’annexe fournit une explication détaillée les concernant.
Pour la Commission européenne, il serait très utile d’harmoniser les approches nationales en matière d’identification des opérateurs de services essentiels, notamment ces définitions. Cela contribuerait à une application plus harmonisée des dispositions de la directive et réduirait ainsi le risque de fragmentation du marché. Ceci favoriserait ainsi un effet de marché unique.
En outre, la Commission européenne estime qu’il serait judicieux que les États membres envisagent d’inclure certaines administrations publiques dans le champ de la directive, au-delà de la prestation de services essentiels : le secteur postal, le secteur alimentaire (pour englober des services essentiels tels que la sécurité alimentaire), l’industrie chimique et nucléaire (le stockage et le traitement de produits chimiques/matières nucléaires), le secteur de l’environnement (surveillance et le contrôle de la pollution et des phénomènes météorologiques), et la protection civile.
Par ailleurs, les États membres pourraient envisager d’aligner leurs approches nationales afin de pouvoir fournir dès que possible des informations pertinentes fondées sur ces notifications aux autorités compétentes ou au CSIRT des autres États membres concernés.
Des informations précises et exploitables seraient essentielles pour réduire le nombre d’infections ou remédier aux vulnérabilités avant qu’elles ne soient exploitées.
Dans un esprit de partenariat visant à tirer le meilleur parti de la directive SRI, la Commission européenne a l’intention d’accorder un soutien au titre du mécanisme pour l’interconnexion en Europe à toutes les parties prenantes concernées par cette législation.
(synthèse du texte par securiteinterieure.fr)
A lire aussi :
- stratégie européenne de 2017 en matière de cybersécurité
- stratégie française de 2015 en matière de cybersécurité
- page "cybersécurité" de France Diplomatie
- présentation de l'Agence française de la sécurité des systèmes d’information
- loi de programmation militaire (LPM)
- protection en France des opérateurs d'opérateurs d'importance vitale (OIV)
- présentation de la directive SRI
- page de la Commission européenne intitulée "Building an Effective European Cyber Shield"
A lire également sur securiteinterieure.fr :
- Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité
- Cybersécurité : préparation à un cyberincident majeur, refonte de l’agence de sécurité des réseaux, évaluation du risque... l’UE veut aller vite et fort !
- iOCTA 2016 : la cybercriminalité dépasse désormais la criminalité traditionnelle
- Alors que la cybermenace s'accroît, la cybercriminalité augmente en Europe (rapport iOCTA 2014)
- Europol incite à une vision davantage proactive de la cybersécurité
- Pour un renforcement de la cybersécurité et la création d’un habeas corpus numérique européen
- Le Parlement européen appelle à l'adoption de stratégies nationales de cybersécurité
- L'UE présente un plan sur la cybersécurité
Et vous êtes sûr de n'avoir rien oublié ?
De retrouver securiteinterieure.fr sur twitter par exemple ?
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.