Quelles entreprises sont plus particulièrement touchées par cette directive ?
Les Etats-membres de l’Union européenne viennent tout juste d’adopter un accord sur une nouvelle réglementation relative à la cybersécurité, introduisant la notification obligatoire des violations de données. La directive sur la sécurité des réseaux et de l’information (SRI), en anglais Network Information Security (NIS) vise les infrastructures critiques – ou les entreprises dans les domaines de l’énergie, des transports, de la santé et de la banque – et leur impose désormais de signaler les incidents de sécurité dès leur découverte, sous peine d’amendes réglementaires ou d’autres sanctions. Les organisations dans ces secteurs doivent également s’assurer que l’infrastructure digitale utilisée pour délivrer leurs principaux services, comme le contrôle de trafic ou la gestion de réseaux électriques, est suffisamment fiable pour résister aux cyberattaques.
Que prévoit elle comme contrainte ?
Cette initiative à l’échelle européenne a mis du temps à se concrétiser. La directive SRI va enfin permettre de renforcer ce qui est important, à savoir la capacité à identifier les menaces aussitôt que possible. Des serveurs non sécurisés de VTech en passant par le désastre de l’opérateur britannique TalkTalk, il est évident que les organisations persistent dans l’échec en matière de cyberdéfense. Peut-être que les sanctions financières et les strictes régulations vont aider à changer les mentalités. En fin de compte, les entreprises ont le devoir d’assurer que les informations personnelles sont aussi protégées que possible. Il suffit d’une seule petite brèche pour que la réputation d’une entreprise en prenne ombrage, ce qui représente déjà un sérieux coup dur, mais lorsqu’il s’agit d’une infrastructure critique, un incident devient potentiellement catastrophique.
Qu’est ce que cela implique pour les entreprises ?
Bien que cette directive soit un énorme pas en avant dans la lutte contre la cybercriminalité, les organisations ne doivent pas faire preuve de complaisance. Il leur est indispensable de disposer d’une vision claire de l’activité réseau qui leur permette d’identifier et d’atténuer les conséquences de l’incident dès qu’il se produit. Il n’est en effet pas pertinent de mettre en place une obligation de partage des informations si les outils requis pour le faire ne sont pas disponibles ou difficiles à exploiter au moment où un incident apparaît. De plus, le manque de visibilité et de contrôle du réseau peut provoquer une panique au sein de l’entreprise : par exemple, TalkTalk avait annoncé de 4 millions de clients touchés alors qu’en réalité l’incident n’avait impacté qu’un peu plus de157.000 personnes. Les entreprises doivent aujourd’hui combiner le partage d’informations avec les meilleures pratiques relatives aux outils d’intelligence de sécurité. Dans le cas contraire, elles ne prendront que des « demi-mesures » et courront le risque de surévaluer les conséquences d’un incident, ce qui pourrait engendrer pour les opérateurs de services essentiels de bien pires répercussions qu’une simple amende.
Propos recueillis par Eliane Kan
Commentez