Le Parlement européen a finalement voté, le jeudi 13 mars dernier, la nouvelle directive NIS (Network & Information Security) obligeant le signalement de toute cyber-attaque ciblant les systèmes d’information des entreprises et organisations européennes. Si l’ensemble des acteurs de la lutte contre les cyber-menaces ne peut que se féliciter des progrès relatifs à la loi sur la cyber-sécurité au niveau européen, cette obligation est toutefois limitée aux entreprises qui « possèdent, exploitent et fournissent des infrastructures critiques ».
Selon l’Union Européenne, les « infrastructures critiques » concernent les secteurs de l’énergie, des transports, des services financiers et de la santé. Ce qui signifie que les autres secteurs d’activités ne sont pas concernés par cette nouvelle directive, y compris l’ensemble des « géants du net » tels qu’Amazon, Microsoft, eBay ou encore Google, qui sont pourtant des cibles privilégiées des hackers.
En France, l’ANSSI a pourtant identifié douze secteurs d’activités comme étant « d’importance vitale* », dont les domaines de la communication et de l’information font partie.
Olivier Mélis, Country Manager France chez CyberArk, a fait les commentaires suivants :
« Les efforts de la Commission européenne pour assurer une lutte commune contre les cyber-menaces sont très positifs et nous nous félicitons des décisions prises en la matière. Malgré les contraintes que de telles directives engendrent et leur complexité de mise en œuvre, le Parlement européen a clairement indiqué que la protection des données et le respect de la vie privée restent ses priorités pour tous les pays de l’Union européenne.
En outre, la loi européenne doit être transposée dans le droit national, ce qui positionne les agences nationales de sécurité telles que l’ANSSI comme le relai des bonnes pratiques à établir dans chaque pays. Les secteurs sensibles et identifiés comme étant « d’importance vitale », devront également être l’objet de toutes les attentions en termes de cyber-attaques, bien que celles-ci ne soient pas considérées comme des infrastructures critiques au regard de la nouvelle directive.
Les initiatives prises dans le sens d’une harmonisation de la lutte contre les cyber-menaces en Europe confirment la nécessité de prise de conscience des Etats en matière de protection des infrastructures critiques. La prochaine étape sera de reconnaître les domaines de la communication et de l’information comme étant particulièrement sensibles afin d’étendre la sécurité de l’information à l’ensemble des secteurs ciblés par les cybercriminels.
Les événements mondiaux actuels confirment que les cyber-attaques sont aujourd’hui largement utilisées, que ce soit pour lutter contre des Etats, organiser des activités criminelles ou d’espionnage, ou tout simplement pour des arnaques financières. Il est urgent que l’ensemble des pays unisse leurs méthodes pour organiser la riposte contre les cybercriminels, et que tous les secteurs sensibles – ou reconnus comme tels – soient surveillés et concernés par ces obligations. Le Parlement européen vient de confirmer une nouvelle fois que ces questions étaient primordiales ».
*Secteurs étatiques : activités civiles de l’État, activités militaires de l’Etat, activités judiciaires, espace et recherche. Secteurs de la protection des citoyens : santé, gestion de l’eau, alimentation. Secteurs de la vie économique et sociale de la nation : énergie, communication, électronique, audiovisuel et information, transports, finances, industrie.