Il met en particulier l’ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d’action. La majorité de ces points étaient connus ou envisagés depuis la publication du livre blanc Défense et sécurité nationale 2013. Mais ce document donne plus de détails sur les moyens déployés et les orientations à venir.

Les opérateurs d’importance vitale (OIV), sous le contrôle rapproché de l’ANSSI

Le texte prévoit que le Premier ministre, avec l’aide de l’ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d’audit par l’ANSSI. Comme prévu, la notification des incidents est intégrée au texte. Elle se définit par l’obligation de fournir « des informations sur les attaques qu’ils peuvent subir ».

Au delà du guide d’hygiène informatique qui pourrait être la base des mesures imposées, l’ANSSI travaille actuellement sur d’autres référentiels, par exemple sur les systèmes industriels ou sur le cloud.

En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations. Aujourd’hui, même si la sécurité est souvent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître « intrusive », aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources.

 La lutte informatique défensive dans le champ d’action de l’ANSSI

Le récent rapprochement « géographique » entre le CALID (centre d’analyse en lutte informatique défensive) du Ministère de la Défense et le COSSI (centre opérationnel en sécurité SI) de l’ANSSI le laissait présager. Il y a aujourd’hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l’Etat. L’ANSSI sera ainsi en mesure « d’accéder à un serveur informatique à l’origine d’une attaque afin d’en neutraliser les effets ». C’est une première dans ce domaine. Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type.

 Le volet militaire n’est pas en reste : recrutements et investissements sont prévus

De nombreuses autres évolutions sont prévues, en particulier dans le domaine du développement des capacités de cyberdéfense militaire avec la mise en place d’une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation.

 L’Etat investit dans la cybersécurité… mais les entreprises restent à convaincre

Nous ne sommes qu’au début du processus législatif et les débats au parlement et au sénat amèneront certainement des modifications. Cependant, l’orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus.

Enfin, ce projet de loi démontre que l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les organisations privées, aujourd’hui en retrait face aux évolutions de la cybercriminalité.

Cet article Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité est apparu en premier sur RiskInsight.

 Les données clients : un nouvel or numérique convoité

Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…

Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…

 Des obligations réglementaires et légales qui vont se renforcer

Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.

Elle a été complétée en août 2011 par le Paquet Télécoms, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.

Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises de nouvelles armes pour lutter contre la cybercriminalité.

Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?

Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !

Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. OVH,  par exemple a fait preuve d’une grande transparence technique – ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne qu’une page permettant de suivre la remise en service des différents sites touchés.
Ubisoft  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.

Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.

 Se préparer à notifier ses clients, sans attendre les obligations réglementaires

L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !

Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !

Cet article Notification des fuites de données clients : vers une transparence systématique ? est apparu en premier sur RiskInsight.

 Une menace qui s’est accrue ces dernières années

Le constat n’est pas nouveau : nos sociétés reposent de plus en plus sur les systèmes d’information pour leurs activités cœur de métier et sur les réseaux qui les interconnectent, rendant les crises qui les touchent de plus en plus globales et complexes à gérer. Leurs vulnérabilités sont bien souvent la conséquence d’un développement véloce, qui a laissé de côté les démarches de sécurisation ou les a sous-estimées. En revanche, depuis le livre blanc de 2008, les menaces se sont largement accrues, tant en probabilité qu’en impact. Il en résulte une exposition critique pour de nombreux systèmes cruciaux pour les activités françaises.

Les menaces du cyberespace se situent aujourd’hui à deux niveaux. D’un côté, on retrouve la cybercriminalité qui ne remet pas en cause la sécurité nationale mais met en péril la compétitivité des entreprises et leur image : vol de propriétés intellectuelles ou de données personnelles, indisponibilité ou défacement de sites web… De l’autre, des attaques relevant de la cyberguerre à des fins d’espionnage, de destruction ou prise de contrôle d’infrastructures d’importance vitale.

Si aujourd’hui les cyberattaques semblent, aux yeux de l’opinion publique, moins graves que les actes terroristes qui causent des morts, elles n’en restent pas moins une des préoccupations premières de l’État tant c’est une menace à forte probabilité et fort impact potentiel.

 L’État veut se donner les moyens de ses ambitions

Afin de franchir une étape nécessaire dans sa capacité de protection, l’État souhaite donc lancer des actions sur quatre axes complémentaires. Le premier est celui des ressources humaines. Il s’agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situations. Au-delà de spécialistes, il est nécessaire de faire de la sécurité de l’information un incontournable de tout cursus informatique afin d’assurer les compétences, mais aussi l’appétence, des informaticiens de demain face à ces sujets. En outre, la volonté de constitution d’une réserve de spécialistes de la cyberdéfense est rappelée. L’ANSSI, qui a déjà annoncé des objectifs de recrutement ambitieux pour les prochaines années devrait donc poursuivre dans cette trajectoire.

Favoriser l’investissement dans des produits de sécurité maîtrisés est le second axe de travail, qui, complété par un renforcement des politiques d’achats devrait permettre à l’État d’avoir toute confiance dans ses fournisseurs.

Le troisième axe s’attache aux comportements humains puisque le livre blanc souligne une fois encore l’importance de la sensibilisation à la sécurité de l’information. Sensibilisation des employés bien sûrs, pour prévenir au maximum les incidents, mais aussi sensibilisation plus large de tous les utilisateurs d’Internet.

Enfin et non des moindres, un dispositif législatif et réglementaire fixant des standards de sécurité pour les opérateurs d’importance vitale va se dessiner : il s’agit ainsi d’imposer des mesures de détection et traitement des incidents touchant les systèmes sensibles, incluant notamment la notification des incidents.

 Des impacts pour les entreprises : encore et toujours la notification des incidents

Ce sont principalement ces deux derniers axes qui vont entraîner le plus d’impacts pour les entreprises.  En effet, ce nouveau livre blanc leur rappelle l’importance de la sensibilisation, démarche déjà lancée dans de nombreuses organisations, et qui nécessite encore et toujours des actions régulières. Mais ce sont les projets de loi qui amèneront certainement le plus de nouveautés !

À l’image du projet de règlement Européen qui élargirait la notification de fuite d’informations personnelles du paquet Télécoms à toutes les entreprises, cette loi imposerait la notification des atteintes à la sécurité de son SI à tous les opérateurs d’importance vitale et donnerait à l’ANSSI des responsabilités associées (capacité d’audits…). De nombreuses entreprises publiques et privées seront alors concernées, sur un périmètre plus large que la fuite de données à caractère personnel et même au-delà du périmètre des opérateurs d’importance vitale déjà suivi par l’Etat. Une réponse attendue depuis plusieurs années dont les modalités d’application resteront à apprécier quand le texte sera rédigé. Rendez-vous fin 2013 !

Plus consulter le livre blanc

Cet article Cyberdéfense : l’Etat veut franchir une nouvelle étape est apparu en premier sur RiskInsight.