Protéger l'Europe des cyberattaques : coopérons !

La Network and Information System Security, connue sous l'acronyme NIS, vient d'être révisée par le Parlement Européen pour tendre vers une coopération plus forte entre les États membres. Une évolution bienvenue mais qui doit également se faire de concert avec les acteurs européens de la sécurité.

Pourquoi cette révision ?

Chaque année, le nombre de cyberattaques augmente de façon conséquente, et le déploiement des outils de home office durant les confinements ont eux aussi démultiplié les problèmes de sécurité. Face à ce contexte, l’implication du Parlement Européen est un signal fort car chaque pays a sa propre législation, ses propres règles en matière de sécurité informatique. De grandes avancées ont déjà eu lieu, mais la menace étant toujours en marche et toujours plus mordante, il est nécessaire de sans cesse actualiser et surtout harmoniser les exigences, à tous les échelons. Ces opérations ne peuvent donc pas concerner un pays seul, mais doivent bien se faire à l’échelle de l’Europe.

De même, l’ensemble des parties prenantes doivent s’atteler à la tâche. Il serait illusoire de croire que si seules les administrations d’Etat appliquaient de nouvelles règles fortes en matière de sécurité informatique, le problème serait réglé. Il est essentiel d’impliquer l’ensemble des utilisateurs, aussi bien les États que les administrations, les entreprises privées ainsi que les particuliers. L’intention se doit donc de venir d’en haut, avec un grand niveau d’exigence.

La vision européenne : plus de coopération et d’harmonisation dans les règles

Le 28 octobre, Bart Groothuis, rapporteur du projet auprès du Parlement Européen, a précisé le cadre de cette révision. Il ne s’agit pas uniquement de réglementation, mais aussi de création d’outils de lutte contre les menaces. L’enjeu est économique et financier, car des failles peuvent couter extrêmement cher, comme on l’a vu il y a quelques années avec de grandes entreprises du CAC 40. Pour y répondre, il faut des règles adaptées aux nouvelles menaces, des entités de contrôle, des contraintes en cas de manquements, et, au-dessus de ces éléments, une seule et même voix côté européen ainsi que les solutions adaptées pour contrecarrer les attaques.

En ce sens, la nouvelle version de la directive NIS qui doit encore être négociée avant d’être approuvée de façon définitive renforce donc les exigences en matière de sécurité numérique, par le biais d’une coopération et d’harmonisation plus forte entre les Etats de l’Union. La première décision est la création d’une base de données européennes des vulnérabilités.

L’Europe numérique, qui s’ébauche désormais, doit accélérer la cadence. Il ne s’agit pas seulement de créer les outils numériques indispensables, comme une vraie plateforme souveraine Européenne, à l’image du GaiaX, mais aussi de gérer conjointement, dans l’espace commun européen, l’ensemble des menaces. Les frontières internes à l’Europe doivent tomber pour arriver à une efficacité réelle, tant dans l’identification que la résolution. Le lancement du réseau CyCLOe (Cyber Crisis Liaison Organisation Network) en septembre 2020 et visant à mettre en œuvre le plan d’action européen en cas d’incident de cybersécurité majeur, en était une première étape. Il faut désormais amplifier cette coopération pour améliorer l’efficacité des réponses à l’échelle européenne.

Le rôle indispensable des opérateurs numériques

Le travail de la Commission serait d’autant plus efficace s’il s’appuyait sur les acteurs européens, qui gèrent la sécurité informatique de leurs clients, à travers bien des frontières, et ce depuis des décennies. En effet, concrètement, les opérateurs de services numériques sont en première ligne. Au-delà de la recherche d’attaques et des réponses appropriées, ces derniers vérifient également l’application de la Directive NIS et effectuent les signalements immédiats des incidents de sécurité. L’ensemble des installations concernées doivent justifier à minima des mesures de sécurité à jour mise en œuvre tant pour les réseaux que pour les systèmes d’information au moins tous les trois ans. Les expertises des opérateurs sont aussi mises au service des clients afin d’analyser leurs faiblesses éventuelles et proposer les solutions adaptées de sécurité, et ce sur les onze catégories nommées dans le NIS.

Pour y parvenir, les opérateurs doivent suivre plusieurs étapes essentielles qui permettent la création d’un registre des risques relatifs aux composants des services critiques, complété par la mise en place d’un plan d’action basé sur les risques pour combler les écarts identifiés. La toute première étape consiste à analyser et documenter l’existant. La suivante vient vérifier l’application des règles pour les actifs identifiés en fonction des exigences NIS. Il s’agit là d’obtenir une vision précise de l’état des menaces ainsi que du niveau de maturité des systèmes pour y répondre. Pour résoudre les lacunes identifiées, un plan d'action individuel doit être coordonné et mis en œuvre par les experts cybersécurité de l’opérateur. A l’issue des analyses et du plan d’action, le client doit être assuré que son système d’information est désormais conforme au NIS via un résumé conjoint de l’achèvement formel du projet.

Par ailleurs, La Gouvernance et la gestion des risques requises selon l'annexe 1 de l'ordonnance NIS, exigent la mise en œuvre de mesures de sécurité à partir d'une grande variété de questions clés. Afin de pouvoir remplir les mesures de sécurité requises, il est nécessaire de définir, d'établir puis de documenter des processus et des lignes directrices dans les domaines de la gouvernance et de la gestion des risques. Selon le degré de maturité, cela peut s'accompagner d'efforts considérables et d’un niveau d’expertise dont l’entreprise ne dispose pas forcément. Les opérateurs qualifiés en cybersécurité sont alors les plus à même de conseiller leurs clients et de les aider à passer avec succès cette phase de mise en conformité NIS.