A l’exception de deux lois fédérales (nLPD, LSI) et de plusieurs réglementations sectorielles (Directive CySec Rail – Cybersécurité des chemins de fer, Circulaires, Finma, Directive pour la sécurité des données des systèmes de mesure intelligents, …)  cette approche fait aujourd’hui que les cantons conservent une autonomie dans la mise sous contrôle des enjeux cyber. Cependant le besoin en cybersécurité tend à voir se multiplier les réglementations cyber et à gagner en caractère contraignant.

Réglementations concernant la cybersécurité en Suisse

Deux nouveaux textes nationaux contraignants sont entrés en vigueur le 1^er juillet 2024 pour fixer un seuil de cybersécurité minimal pour les secteurs de l’approvisionnement en électricité et le transport ferroviaire.

Cet article portera plus particulièrement sur la révision de l’Ordonnance sur l’Approvisionnement en Electricité (OApEl).

Tendance mondiale à la normalisation de la cybersécurité

Le paysage de la cybersécurité est façonné par divers cadres et législations nationaux ou internationaux :

• Le NIST Cybersecurity Framework (CSF) de 2017, aux États-Unis, est devenu un standard pour les agences fédérales américaines afin de gérer et réduire les risques de cybersécurité, suite à un décret présidentiel imposant indirectement son utilisation.
• En Europe, les Directives NIS (Network and Information Systems) de 2016, complétées par NIS 2 en 2023, visent à améliorer la résilience des opérateurs de services essentiels (OSE) et à renforcer la sécurité des réseaux et systèmes d’information.
• En France, la Loi de Programmation Militaire (LPM) de 2018 pour les années 2019-2025 impose des obligations aux opérateurs d’importance vitale (OIV) pour sécuriser les infrastructures critiques contre les cybermenaces.

Ces initiatives montrent un effort concerté à l’échelle mondiale pour renforcer la cybersécurité face à des menaces de plus en plus sophistiquées.

Ce qui change pour le secteur de l’électricité Suisse

Dans cette logique, la Suisse voit désormais sa norme minimale TIC devenir contraignante, mais seulement pour le secteur de l’approvisionnement en électricité.

• La Norme minimale pour les TIC en Suisse est une mesure mise en place par l’Office fédéral pour l’approvisionnement économique du pays (OFAE) pour protéger les infrastructures contre les risques cyber. Elle couvre l’identification, la protection, la détection, la réaction et la restauration, et s’inspire des standards du NIST pour évaluer la maturité en cybersécurité des organisations et fournir des orientations. Contrairement aux directives européennes NIS et à la LPM française, cette norme n’est pas contraignante per se.

• L’Ordonnance sur l’approvisionnement en électricité (OApEl) de la Suisse précise la Loi sur l’approvisionnement en électricité (LApEl) et réglemente l’ouverture du marché de l’électricité pour assurer la sécurité de l’approvisionnement électrique, elle a un volet cyber en son article 8b, sur la protection des données. Contrairement à la norme TIC, elle a un caractère contraignant. Sa nouvelle version, qui rend contraignante la Norme minimale pour les TIC pour les acteurs de l’électricité, est entrée en vigueur le 1^er juillet 2024.

Conformité obligatoire pour les acteurs suisses de l’électricité

Devront se conformer à la Norme nationale TIC, au titre de l’OApEl, 24 mois après son entrée en vigueur :

Les exigences minimales de l’OApEl révisée sont contraignantes dès leur entrée en vigueur, sans délai transitoire. La Commission fédérale de l’électricité (ElCom) est responsable de définir et de contrôler leur réalisation. Les entités concernées doivent s’auto-évaluer sur 2 ans et prouver leur conformité à l’ElCom.  Si les mesures ne sont pas mises en œuvre rapidement, l’ElCom dialogue avec les entreprises. En cas de difficultés justifiées, un délai supplémentaire peut être exceptionnellement accordé.

Le rôle de surveillance attribué à l’ElCom

En vertu de l’article 22, alinéa 1 de la LApEl, la Commission fédérale de l’électricité (ElCom) surveille le respect des dispositions de l’OApEl, et donc des ordonnances qui en découlent. Ainsi, l’ElCom se voit désormais dotée d’une mission particulière dans le cadre cybersécuritaire pour les acteurs suisses de l’électricité :

• Surveillance : L’ElCom surveille le respect des mesures de protection contre les cybermenaces en s’appuyant sur le cadre de cybersécurité NIST et les exigences minimales définies dans la législation.
• Enquête : Dans le cadre de son processus de surveillance, l’ElCom utilise des enquêtes d’auto-évaluation pour recenser les pratiques de cybersécurité des entreprises.
• Entretiens de sensibilisation : L’ElCom conduit des entretiens de sensibilisation avec les entreprises jugées cruciales pour la sécurité et la stabilité du réseau électrique.
• Audits : L’ElCom peut réaliser des audits ciblés, soit en réaction à des anomalies constatées lors des enquêtes ou des entretiens, soit sur la base d’indications externes.

Calendrier légal de mise en conformité

Niveaux de maturité attendus

La Révision de l’OApEl définit trois niveaux de protection (A, B, C) pour garantir que les mesures de cybersécurité exigées soient proportionnelles à l’impact potentiel sur l’écosystème suisse. Ces niveaux sont donc liés au volume d’énergie produit ou distribué. Chaque niveau a ses mesures spécifiques et définit les exigences en termes de score de maturité NIST (/4).

L’appartenance à chaque niveau est conditionnée proportionnellement au volume d’électricité produit et/ou distribué pour les gestionnaires de réseau et leurs prestataires, ainsi que pour les producteurs (hors nucléaire), exploitants de stockage et leurs prestataires :

• Niveau A : Plus de 450 GWh/an (gestionnaires) ou plus de 800 MW (producteurs)
• Niveau B : Entre 450 et 112 GWh/an (gestionnaires) ou entre 800 et 100 MW (producteurs)
• Niveau C : Moins de 112 GWh/an (gestionnaires) ou moins de 100 MW (producteurs)

Chaque niveau a des scores de maturité attendus par points de contrôle  NIST.

Par exemple, pour ID-AM 2 du NIST (Développez un processus d’inventaire garantissant en permanence un recensement exhaustif de vos équipements TIC), il sera attendu un niveau de maturité NIST de 4/4 pour le niveau A, 3/4 pour le niveau B, et 2/4 pour le niveau C.

Analyse

Une analyse détaillée des attendus de l’OApEl révèle 5 axes particulièrement attendus, et 4 autres qui peuvent apparaître étonnamment bas vu le secteur et le risque concerné.

Points de conformité majeurs (scores attendus les plus élevés):

• Gouvernance
• Gestion des accès
• Sensibilisation et formation
• Protection et solutions de sécurité
• Analyse de risques

Points de conformité mineurs (scores attendus les plus faibles)

• Communication pendant et après un incident
• Détection et Investigation
• Mitigation et Isolation
• Environnement de l’entreprise (business environment)

Il est cependant recommandé pour les organisations concernées de ne pas négliger la préparation en termes de communication sur les incidents de cybersécurité, ainsi que les capacités de réponse et d’isolation. Ces éléments paraissent essentiels vis-à-vis de la criticité du secteur pour l’économie Suisse, mais aussi par rapport au besoin de coopération opérationnelle pour une gestion efficace de crise.

Conclusion

Avec la révision de l’OApEl, l’appareil juridique de la Suisse se dote d’un nouveau texte sectoriel contraignant qui poussera les acteurs du marché de l’électricité à se conformer à la maturité attendue selon les niveaux fixés par ce nouveau texte.

Mise en perspective avec la directive CySec Rail et les circulaires Finma, la cybersécurité en Suisse tend à se normaliser au niveau national bien que les textes soient disparates. En effet, l’OApEl se fonde principalement sur le NIST via la Norme minimale pour les TIC, tandis que la Directive CySec Rail (pour le chemin de fer) réunit des éléments issus de l’ISO 2700X et du NIST, alors que les circulaires Finma (pour le secteur financier) formalisent des exigences particulières au secteur.

Dans cette logique, il n’est pas inenvisageable que d’autres secteurs soient prochainement impactés.

Cet article La Suisse renforce sa réglementation cyber : les secteurs essentiels sont visés est apparu en premier sur RiskInsight.

Que faire alors de ce mot de passe en attendant sa potentielle disparition ? Comment réduire l’impact de ce qui est aujourd’hui le principal point de friction du parcours utilisateur, tout en sécurisant mieux ses services ?

Pourquoi le mot de passe est-il si répandu ?

Les mots de passe sont utilisés depuis longtemps comme un moyen d’accès, par exemple aux clubs secrets et/ou clandestins. Ce système historique de gestion des accès « si j’ai le secret, alors j’ai le droit d’entrer » s’est transformé lors de son passage dans le monde informatique en un moyen de prouver son identité – « si j’ai le secret, alors je suis qui je dis que je suis ». L’insertion de caractères dans un certain ordre connu uniquement de l’utilisateur ayant droit d’accès, est ainsi devenue la solution pour lui permettre de prouver son identité.

Si les faiblesses de ce système se sont très vite révélées, tant que les systèmes informatiques n’étaient pas connectés et nécessitait donc un accès physique, la surface d’attaque restait limitée. Le mot de passe est donc devenu un pilier de la sécurité IT et est utilisé dans quasiment tous les services demandant une gestion de l’utilisateur.

Cependant, l’arrivée des réseaux, notamment internet, et par conséquent l’agrandissement de la surface d’exposition ont fait évoluer ces faiblesses en de réelles vulnérabilités.

Comment en est-on arrivé à mettre sur le chemin de l’utilisateur une telle complexité ?

Le nombre élevé de possibilités d’attaque sur les mots de passe ont petit à petit amené les experts de la sécurité à multiplier les mesures de protection censées sécuriser l’utilisation des mots de passe.

Ainsi, sont apparus un certain nombre de mesures autour du mot de passe et des processus associés complexifiant toujours plus les parcours utilisateurs. Par exemple:

• Nombre de caractères minimum
• Complexité (1 chiffre, une lettre, un caractère spécial, etc.)
• Liste de mots interdits
• Recommandation d’unicité du mot de passe entre les services
• Renouvellement périodique & historique

Ces règles, en grande partie issues des recommandations passées du National Institute of Standards and Technology (NIST), NIST.SP.800-63-2, 2015, et que l’on retrouvait dans la plupart des frameworks de sécurité (UK, français, etc.) impactent négativement l’expérience utilisateur. Souvent peu intuitives et différentes d’un service à l’autre, leur compréhension par l’utilisateur peut relever du défi : manque d’explication claire sur la complexité attendue, pas de compteur de tentatives erronés avant le verrouillage du compte, ou encore expérience variant en fonction du canal d’accès utilisé (l’accessibilité de certains caractères spéciaux variant grandement d’un terminal à l’autre, par exemple : le caractère « § » sur un iPhone ou un iPad).

Et pour quelle efficacité ?

Malgré toutes ces mesures, le mot de passe reste largement décrié pour son faible niveau de sécurité, car il repose sur deux principes peu compatibles avec un fort niveau de sécurité.

Le principe même sur lequel le mot de passe repose, le secret partagé, entraine deux vecteurs d’attaque :

• Données en transit – transmettre le secret régulièrement : le mot de passe peut alors fuiter/être volé via un proxy trop informatif dans ses logs, une mise en cache dans la mémoire partagée d’un Smartphone, ou des malwares de type keylogger.
• Données au repos – stocker le mot de passe entreprise pour le vérifier : l’utilisation de méthodes de stockage avec des niveaux de sécurité faible reste trop répandu (chiffrement réversible au lieu de hash non-réversible, protocole ancien type sha-1, pas de salage, ou pire, stockage en clair).

Et même des protocoles de hachage plus récents restent potentiellement faillibles face aux puissances de calcul actuelles. Par exemple, même avec un protocole récent de hashage type sha256, retrouver un mot de passe de 8 caractères depuis son hash prendra… moins d’une journée.

Les attaquants peuvent ainsi récupérer directement le mot de passe faisant fi de sa complexité (si ce n’est la longueur pour le brute force et le stockage si utilisation d’un protocole de hash récent, robuste et régulièrement mise à jour).

La place prépondérante de l’humain dans le système et sa capacité à commettre des impairs – error humanum est – a un impact encore plus important :

• Nous sommes de mauvais générateurs d’aléatoire : cela explique notamment les listes de mots de passe les plus courants paraissant chaque année. De plus, les contraintes de création trop fortes, réduisant les possibilités de variations, limitent la création de mot de passe différent, baissant le niveau d’entropie. La complexité devient contre-productive.
• Nous avons mauvaise mémoire : favorisant des pratiques abaissant le niveau de sécurité (utilisation d’un dérivé voir du même mot de passe – 63% des utilisateurs admettant cette pratique – post-it sur le bureau, fichier .txt non chiffré, etc.)
• Nous sommes faciles à tromper : le phishing, le spearphishing et l’ingénierie sociale sont ainsi des vecteurs d’attaque largement répandue et toujours très efficaces.

Si l’utilisateur fournit son mot de passe à l’attaquant, il ne fait aucune importance qu’il fasse 60 caractères de long ou soit composé de lettre de différents alphabets.

La complexité du mot de passe n’a ainsi pas d’influence pour les types d’attaque les plus courants, et n’induit donc que du désagrément pour l’utilisateur.

Que faire ?

Les problématiques autour des mots de passe n’étant pas récentes, il existe plusieurs solutions possibles et combinables pour réduire les problèmes et leurs impacts. La délégation de l’authentification vers des services tiers (social login, IAM d’entreprise, etc.), et la mise en place de Single Sign-On ont ainsi facilité les parcours utilisateurs et limité les rejeux / transitions du mot de passe et les endroits où le mot de passe est stocké au repos.

L’utilisation de seconds facteurs d’authentification (OTP SMS ou mail, notification push, hard tokens, etc.), les plus récents étant moins intrusifs et moins perturbateurs, est indispensable pour élever le niveau de sécurité.

En plus de ces solutions, déjà éprouvées et largement déployées, et dans l’attente d’être prêt à entrer dans le monde du passwordless qui représente un projet à part entière, le NIST et d’autres frameworks ont récemment révisé leurs recommandations concernant la complexité requise autour des mots de passe (NIST.SP.800-63b, 2017, NCSC UK, Password policy : updating your approach, 2018 par exemple).

Ainsi, d’un point de vue utilisateur, les contraintes sur les mots de passe ont été réduites à un nombre de caractères minimal (8) et la blacklist des mots de passe courant/compromis. En contrepartie, des mesures offrant plus de liberté à l’utilisateurs sont recommandés :

• Tous les caractères Unicode, incluant l’espace doivent être autorisés, sans être forcés
• La limite de taille maximale doit être au moins de 64 caractères
• Les rotations ne doivent plus se faire sur une notion de temps, mais uniquement en cas de compromission
• L’utilisateur doit avoir au moins 10 tentatives avant d’être bloqué
• Différents agréments de parcours sont à prendre en compte (information sur la complexité attendues, capacité d’afficher le mot de passe en cours de saisie, capacité de coller des valeurs)

Ces nouvelles recommandations visent à orienter les utilisateurs vers l’utilisation de mot de passe plus long et surtout plus aléatoires en réduisant les contraintes. Elles peuvent être accompagnées par la mise en place / la sensibilisation à l’utilisation de coffre-fort de mot de passe, évitant à l’utilisateur d’avoir à se souvenir de trop de mot de passe.

Les autres recommandations, indispensables pour ne pas abaisser le niveau de sécurité, affinent certains aspects précédemment évoqués. Ces mesures visent également à renforcer la transmission (chiffrement, etc.) et le stockage (hashage, salage) afin d’augmenter le niveau de sécurité des activités de l’entreprise et d’empêcher l’utilisation de certaines pratiques qui diminuent la sécurité (utilisation de questions secrètes pour la réinitialisation du mot de passe, etc.)

Conclusion

Si la disparition du mot de passe est un objectif, sa réalisation est encore loin d’être effective. Il est nécessaire, avant d’en arriver à ce Graal, de mettre en œuvre les mesures visant à la fois à sécuriser les données de l’utilisateur. Par exemple en implémentant de l’authentification multi-facteur sur les services sensibles, tout en facilitant les parcours et en encourageant l’utilisateur à se protéger lui-même. Cela passe par la mise en place d’éléments évitant à l’utilisateur de se connecter trop souvent ou de créer trop de mots de passe, mais également par une refonte de la complexité des mots de passe, afin d’augmenter la part d’aléatoire, et par une mise à niveau technique des moyens de transmissions et de stockage.

L’utilisation des processus existants pour préparer les facteurs de demain est aussi indispensable. Ainsi, refondre le parcours de récupération du mot de passe pour orienter l’utilisateur vers de l’authentification passwordless peut aider à une transition en douceur vers plus de sécurisation tout en améliorant l’expérience utilisateur.

Cet article L’évolution des règles de complexité des mots de passe du NIST : une étape indispensable en attendant un monde sans mot de passe ? est apparu en premier sur RiskInsight.