2014 sera-t-elle l’année au cours de laquelle nous prendrons les cyberattaques au sérieux ? Par Norman Girard, Vice Président et directeur général Europe de Varonis

En 2013, le président Obama a signé le décret 13636, Improving Critical Infrastructure Cybersecurity (amélioration de la cybersécurité des infrastructures critiques). Outre la grande attention qu’il a attirée, ce décret requiert également l’élaboration de directives permettant de faire face aux cybermenaces existant contre les infrastructures essentielles du pays par le National Institute of Standards and Technology (Institut national des normes et de la technologie, NIST). Depuis, le NIST a publié un plan préliminaire qui doit être finalisé en février 2014. La politique de cybersécurité des États-Unis est (pour l’instant) axée sur les meilleures pratiques et dépend des initiatives des acteurs de l’énergie, des transports et d’autres infrastructures essentielles du secteur privé. Au sein de l’Union européenne, la cyberpréparation a pris un tour différent, mettant en jeu, sans surprise, un plus grand nombre de réglementations. Mais des deux côtés de l’Atlantique, tout le monde s’est mis au moins d’accord pour dire que les entreprises doivent faire plus qu’édifier simplement des murs de sécurité encore plus élevés.

En réponse à ses propres cyberbatailles, la communauté européenne a rédigé une autre de ses directives en février dernier, plus précisément la directive 2013/40/EU. Le parlement européen a finalement adopté de nouvelles lois exigeant des peines plus sévères pour les initiateurs de cyberattaques lancées contre de nombreux ordinateurs telles que réseaux d’ordinateurs zombies (botnets), DDoS, vers informatiques, etc. Et pour faire bonne mesure, la vente, l’achat ou l’utilisation de tout logiciel dont le but principal est la guerre cybernétique ont été criminalisés. Il n’est pas surprenant que les entreprises spécialisées dans les tests d’intrusion et les autres éditeurs de logiciels de sécurité ne soient pas très satisfaits.

Jusqu’ici, tout va bien. Plus ou moins.

Mais, à la différence des entreprises américaines, les entreprises européennes seront soumises à des obligations légales directes d’améliorer leurs cyberdéfenses. La directive 2013/40/EU prévoit explicitement « d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Et il existe une autre exigence controversée de notification des cyberattaques aux autorités nationales responsables de la sécurité des données.
En d’autres termes, dans un avenir pas très lointain, un service de réseau social, un quotidien ou un fournisseur de messagerie de l’UE pourrait être condamné à payer une amende pour ne pas avoir empêché ou limité une attaque.

Une question qui se pose est de savoir comment cette cyberdirective s’insère dans la réglementation existante de l’UE. Par exemple la directive sur la protection des données abordée dans deux publications en ligne de The Metadata Era au cours de l’année dernière. La réponse est qu’elle étend le champ de ce que les entreprises doivent protéger. Alors qu’elles étaient jusqu’à présent tenues de mettre en œuvre des mesures de sécurité relatives aux données personnelles des consommateurs (IPI essentiellement), elles devront désormais protéger leurs infrastructures entières (routeurs, périphériques, logiciels et serveurs) contre toute tentative de perturbation ou de désactivation.

Sans surprise, la nouvelle cyberdirective de l’UE a provoqué son lot de controverse et de confusion. La définition d’une attaque contre « de nombreux » ordinateurs et les seuils de déclaration d’une cybercrise manquent de clarté. Étant donné que chaque membre de l’UE peut mettre en œuvre la directive de manière différente, une ambiguïté supplémentaire subsiste pour les entreprises en activité dans plusieurs pays. Elle constitue un problème en particulier pour les grands acteurs de médias sociaux américains implantés en Europe.

Alors que l’UE et les États-Unis ont adopté une approche différente de la cyberréglementation, le consensus veut que les entreprises mettent l’accent sur la surveillance et la détection en tant que deuxième ligne de défense.

La détection des modèles inhabituels de l’activité des utilisateurs et du système constitue la pierre angulaire des recommandations du NIST et un concept essentiel des nouvelles législations de l’UE. Même si ce n’est pas encore une obligation légale aux États-Unis, nous pensons que c’est une idée à explorer sérieusement en élaborant vos propres plans de sécurité informatique pour 2014.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?