Prévention et transparence en cas de cyberattaques : tous concernés ?
À l’ère où les technologies numériques occupent une place omniprésente dans notre quotidien, la cybersécurité doit devenir un élément central dans leur usage. Dans un autre registre, le Code de la route a été créé il y a 100 ans (en 1921), mais ce n’est qu’en 1970 que la sécurité routière est devenue incontournable avec la création des limitations de vitesse. Nous sommes à un tournant de ce type avec l’informatique. Les législateurs de nombreux pays définissent, depuis peu, les bases des réglementations de la sécurité informatique. Tout comme le Code de la route est devenu indissociable de l’usage d’un véhicule, il est inenvisageable en 2021 de ne pas prendre en considération la réglementation applicable en matière de cybersécurité. Face à l’explosion de la cybercriminalité, les risques deviennent trop élevés pour être ignorés. Découvrez comment la réglementation s’adapte pour accélérer la mise en sécurité des systèmes informatiques et exiger plus de transparence en cas d’attaque.
Les cybercriminels se professionnalisent
Selon l’ANSSI, le nombre de victimes de ransomware a été multiplié par 4 en un an. On a par ailleurs enregistré 27 attaques de centres hospitaliers en France en 2020. Ces chiffres montrent que les cybercriminels cherchent à frapper plus fort, en multipliant le nombre de victimes d’une part, et en ciblant des services essentiels d’autre part. Les cyberattaques sont suffisamment lucratives pour intéresser le crime organisé, et celui-ci dispose des moyens financiers nécessaires pour élaborer des stratégies d’intrusion sophistiquées. Personne n’est à l’abri.
L’identification des coupables est de plus en plus difficile
Les cybercriminels multiplient le nombre de relais, chiffrent leurs communications pour masquer leurs traces et échapper aux autorités. Ils utilisent aussi des nœuds de relais redondants et l’échange d’ordre entre relais, tant pour assurer la résilience de leur système de communication que pour brouiller encore un peu plus les pistes. Malgré la compétence, les efforts et les moyens mis en œuvre par les forces de police, il serait illusoire de compter sur l’arrestation de tous les acteurs malveillants et leur condamnation pour réduire le nombre des attaques. Et ce d’autant plus que leur nombre et leur puissance croient sans cesse et que la notion de frontière n’existe pas dans l’univers cyber.
Les pertes financières sont colossales
Le coût mondial des dommages liés à la cybercriminalité était estimé à 400 milliards de dollars en 2015. Il devrait atteindre 6 000 milliards de dollars en 2021. Ce coût dépasse largement les montants détournés, car une cyberattaque entraîne des frais de remédiation auxquels peuvent s’ajouter des amendes si la responsabilité de l’organisation attaquée est engagée du fait d’un manquement de la part de cette dernière, et éventuellement des coûts d’indemnisation liés à la mise en jeu de la responsabilité contractuelle en cas de dommages causés à un ou plusieurs clients ou fournisseurs. Les cyberattaques peuvent aussi créer des pertes d’activité, menacer la réputation d’une organisation, provoquer le vol ou la destruction de données sensibles, faisant perdre à l’entité ses avantages concurrentiels. L’enjeu est désormais celui de la pérennité de l’entreprise.
Le manque de sécurisation est de plus en plus condamné
Conscients de l’urgence d’agir, les états changent de stratégie et misent désormais avant tout sur la prévention. Quitte à utiliser l’argument financier pour inciter les organisations à modifier rapidement leurs usages en matière de cybersécurité. Le cybercriminel n’est plus considéré comme l’unique responsable. Toute entité qui utilise un système d’information insuffisamment sécurisé peut voir sa responsabilité engagée en cas d’intrusion. Les sanctions sont de plus en plus nombreuses, notamment en cas de violation de données à caractère personnel. La CNIL a ainsi régulièrement condamné des responsables de traitement ainsi que, le cas échéant, leurs sous-traitants pour manquement à leurs obligations de sécurité, notamment, pour ne pas avoir pris de mesures satisfaisantes pour faire face aux cyberattaques. L’addition peut être salée, comme dans le cas de la société Uber (400K€). Mais elle aurait pu l’être beaucoup plus, puisque les amendes peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise concernée.
Le signalement des attaques devient obligatoire à plusieurs niveaux
Toute entité traitant des données à caractère personnel est tenue d’informer la CNIL dans les 72 heures en cas de violation de ses données. Si la violation est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne physique, ou si elle est subie par un opérateur télécom ou un FAI, les personnes concernées doivent également être informées, individuellement, dans les meilleurs délais. Par ailleurs, dans le cadre de la Loi de Programmation Militaire (LPM), les Opérateurs d’Importance Vitale (OIV), et dans celui de la Directive NIS les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN), doivent déclarer à l’ANSSI tout incident sur leurs réseaux et SI ayant impacté de manière significative la fourniture de services. Le principe de transparence s’étend progressivement à un nombre d’acteurs économiques de plus en plus large.
1 Chiffres de l’AFP via techterms.com, Lloyds of London et Forbes
En matière de cybersécurité comme en matière de sécurité routière, nous sommes donc tous concernés. Le plus important est d’en prendre conscience, puis de réagir, car dès lors il est possible de s’engager dans un process visant à améliorer la sécurité globale des systèmes pour diminuer la probabilité d’occurrence et l’impact des cyberattaques.
Par où commencer ?
Nous conseillons d’explorer simultanément les axes suivants :
Solliciter l’aide de juristes pour identifier vos obligations légales
Les textes de loi relatifs à la cybersécurité sont nombreux, ce qui rend l’analyse du cadre réglementaire global de plus en plus complexe. C’est pourquoi il est important que les DSI travaillent en collaboration avec des juristes ou avocats spécialisés. Ceux-ci pourront aider à avoir une vue claire des obligations de l’entreprise, en fonction de son secteur d’activité, des systèmes d’information qu’elle utilise et des données qu’elle collecte.
Réaliser un audit permettant de réaliser le niveau de maturité en matière de cybersécurité de votre entité et sensibiliser vos équipes
Il est important de connaitre les risques et menaces auxquels nous pouvons être confrontés, et de bien évaluer ses forces et ses faiblesses pour y faire face. Par ailleurs, rien ne vaut une mise en situation concrète pour prendre conscience que chacun, même formé à la cybersécurité, peut dans l’urgence du quotidien se faire piéger. Les tests d’intrusion (Pentests) sont un moyen sûr d’apprendre rapidement de ses erreurs et d’acquérir les bons réflexes de base pour éviter d’ouvrir la porte aux cybercriminels.
S’inspirer du RGS pour améliorer la sécurité
Le RGS, ou Référentiel Général de Sécurité, s’applique depuis 2010 aux autorités administratives afin de garantir la sécurité des téléservices et des échanges électroniques entre l’administration et les usagers. Une version 2.0 a été publiée en 2014 et une troisième devrait voir le jour dans le cadre de l’évolution de la réglementation européenne. Le RGS constitue un guide de bonnes pratiques, conformes à l’état de l’art, pour toute organisation souhaitant sécuriser ses systèmes d’information et échanges électroniques. Il intègre les principes et règles à appliquer dans 5 domaines essentiels :
- La description des étapes de mise en sécurité
- La qualification des produits de sécurité et des prestataires de service de confiance
- La cryptologie et la protection des échanges électroniques
- La gestion des accusés d’enregistrement et des accusés de réception
- La validation des certificats
En outre, le respect des règles de base de l’hygiène de sécurité permet de réduire la surface d’attaque et donc les risques, la portée et les conséquences d’un tel événement.
Réaliser, une fois prêts, la surveillance en continu du système d’information (Security Operation Center) et contrôler sa conformité par rapport aux règlements, lois, bonnes pratiques
L’audit et les Pentests sont un premier moyen d’identifier les failles de sécurité, mais, les cyberattaques pouvant survenir à tout moment, réaliser une surveillance continue de ses actifs essentiels permet d’anticiper les attaques et pouvoir y réagir le plus rapidement possible. Le SOC est un outil essentiel pour pouvoir répondre à ces problématiques.
La bonne maîtrise du risque numérique devient essentielle pour nourrir la confiance entre une organisation et ses clients. Elle peut être considérée comme un avantage concurrentiel à cultiver, et c’est sans doute ce qui changera définitivement notre attitude collective vis-à-vis de la cybersécurité.
Vous souhaitez en savoir plus sur les enjeux en cybersécurité et sur les moyens de protéger les actifs de votre entreprise ? Contactez les experts Hub One pour obtenir une réponse personnalisée.