News
La nouvelle directive EU en matière de cyber-sécurité induit la mise en place d’outils adaptés
décembre 2015 par Nicolas Stricher, Consultant Technique chez LogRhythm
Les Etats membres de l’Union Européenne viennent tout juste d’adopter une nouvelle réglementation relative à la cyber-sécurité, introduisant la notification obligatoire des violations de données. La directive sur la sécurité des réseaux et de l’information (SRI) vise les infrastructures critiques – ou les entreprises dans les domaines de l’énergie, des transports, de la santé et de la banque – et leur impose désormais de signaler les incidents de sécurité dès leur découverte, sous peine d’amendes réglementaires ou d’autres sanctions. Les organisations dans ces secteurs doivent également s’assurer que l’infrastructure digitale utilisée pour délivrer leurs principaux services, comme le contrôle de trafic ou la gestion de réseaux électriques, est suffisamment fiable pour résister aux cyber-attaques.
Nicolas Stricher, Consultant Technique chez LogRhythm, a fait les commentaires suivants :
« Cette initiative à l’échelle européenne a mis du temps à se concrétiser. La directive SRI va enfin permettre de renforcer ce qui est important, à savoir la capacité d’identifier les menaces aussitôt que possible. Des serveurs non sécurisés de VTech en passant par le désastre de l’opérateur britannique TalkTalk, il est évident que les organisations persistent dans l’échec en matière de cyberdéfense. Peut-être que les sanctions financières et les strictes régulations vont aider à changer les mentalités. En fin de comptes, les entreprises ont le devoir d’assurer que les informations personnelles sont aussi protégées que possible. Il suffit d’une seule petite brèche pour que la réputation d’une entreprise n’en prenne ombrage, ce qui représente déjà un sérieux coup dur, mais lorsqu’il s’agit d’une infrastructure critique, un incident devient potentiellement catastrophique.
Bien que cette directive soit un énorme pas en avant dans la lutte contre la cybercriminalité, les organisations ne doivent pas faire preuve de complaisance. Il leur est indispensable de disposer d’une vision claire de l’activité réseau qui leur permette d’identifier et d’atténuer les conséquences de l’incident dès qu’il se produit. Il n’est en effet pas pertinent de mettre en place une obligation de partage des informations si les outils requis pour le faire ne sont pas disponibles ou difficiles à exploiter au moment où un incident apparaît. De plus, le manque de visibilité et de contrôle du réseau peut provoquer une panique au sein de l’entreprise, entraînant comme chez TalkTalk l’annonce de 4 millions de clients touchés alors qu’en réalité l’incident n’a impacté qu’un peu plus de 157 000 personnes. Les entreprises doivent aujourd’hui combiner le partage d’informations avec les meilleures pratiques relatives aux outils d’intelligence de sécurité. Dans le cas contraire, elles ne prendront que des "demi-mesures" et courront le risque de surévaluer les conséquences d’un incident, ce qui pourrait engendrer pour les opérateurs de services essentiels de bien pires répercussions qu’une simple amende. »
