Sécurité informatique : est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ?
Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, il reste maintenant à savoir comment elle se traduira concrètement ? Et quelles en sont les limites éventuelles ?
L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.
Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment.En ce qui concerne la
notification des violations, l’idée est plutôt bonne et incite à une vraie
transparence et à une mise en commun européenne des efforts de sécurité,
toutefois, il faudra définir clairement la terminologie
« notification des incidents de sécurité informatique » ?
« Les États membres
veillent à ce que les administrations publiques et les acteurs du marché
notifient à l’autorité compétente les incidents qui ont un impact significatif
sur la sécurité des services essentiels qu’ils fournissent ».
Que recouvre exactement cette
notion d’incidents ayant “un impact significatif” sur la SSI ? Quelle
échelle de gravité des incidents de sécurité informatique devra être
utilisée ?
La sécurité informatique est, de
manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son
« échelle de Richter ».
Il existe des indices de gravité
pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont
assez basiques. Certaines entreprises de sécurité, inspirées probablement par
les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National
Terrorism Advisory System) aux Etats-Unis, publient leur propre échelle
de menace (basse, medium, élevée, extrême par exemple).
Ces indicateurs sont souvent
subjectifs et précèdent les incidents potentiels. Cependant après un incident,
aucune « échelle » de gravité n’est véritablement communément admise
et utilisée.On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un
incident de sécurité serait utile pour rapidement mettre en place, pour les
victimes prévenues, les mesures à prendre et pour que les médias positionnent
ces évènements de manière la plus objective possible.