Les grands acteurs français et européens de la cyber sécurité se sont entendus sur la mise en œuvre d’une résilience collective et d’une défragmentation européenne pour lutter contre la menace cyber. La mise en application du Cyber Act en est l’illustration.
Lors de l’European Cyber Week qui a réunit à Rennes, la DGNUM du Ministère des Armées, l’ECSO[1], le pôle d’excellence Cyber, l’ANSSI[2] et la commission européenne, l’appel au décloisonnement et à la défragmentation européenne a été unanime.
Guillaume Poupard, Directeur Général de l’ANSSI, a rappelé que « le temps de l’UE n’est pas celui du cyber et qu’il faut agir vite, se structurer, décloisonner et revenir à une approche d’analyse des risques pour prendre les bon arbitrages ». Même constat pour Jean François Jünger, Head of Cybersecurity Technology and Capacity Building de la DG Connect qui a rappellé que « si l’Europe a un rôle majeur à jouer dans la cyber sécurité, elle doit le faire dans une approche transverse, multi niveaux et sans frontières. »
La première étape de cette stratégie est rentrée en application au travers de la transposition de la directive NIS (Network and Information Security) dans le droit national des pays membres en date du 9 mai 2018. Depuis le 10 décembre, le Cyber Act vient renforcer le mandat de l’ENISA[3] qui devient ainsi officiellement, l’agence européenne pour la cyber sécurité, chargée de la définition et de la mise en place d’un cadre de certification européen pour tous les produits et services répondant aux standards de sécurité applicable. L’ENISA sera donc chargée de la préparation des nouveaux schémas de certifications en étroite collaboration avec les agences nationales de sécurité telles que l’ANSSI en France et le BSI[4] allemand.
Intégrer les risques Cloud et IoT au Cyber Act
La question soulevée étant de savoir comment seront intégrées et valorisées les dizaines d’années de travaux de certifications des agences européennes (y compris ANSSI et BSI) au sein de ce nouveau Framework, qui rappelons le, vise à harmoniser les schémas de certifications de sécurité actuels, tout en prenant compte des nouveaux risques sécuritaires liés au Cloud Computing et à l’IoT. Voir aussi l’article sur les certifications Cloud
Cette stratégie de cyber sécurité européenne comprendra également, dans le cadre du Marché Numérique Européen –DSM- le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétences –ECCC– pour partager les meilleurs pratiques cyber au niveau des états membres, au renfort d’un budget de 2 milliards d’euro sur 7 ans.
Il est à noter que certaines de ces initiatives ont déjà été mises en place dans plusieurs pays telles que la création du Cybersecurity Competence Center C3[5] et de la plateforme de partage et de traitement des risques cyber MISP au Luxembourg.
Adapter les niveaux de certifications aux typologies d’entreprise.
Selon François Thill, conseiller cyber sécurité au ministère luxembourgeois de l’économie et représentant de l’ENISA, les standards actuels de cyber sécurité cadrés autour de l’ISO/IEC 27001 se concentrent sur des niveaux très élevés de protection et sont discriminatoires envers les petites et moyennes entreprises, créatrices d’innovation, mais qui ne peuvent engager des démarches de certification aussi longues et coûteuses.
A l’inverse, si la création d’un cadre de certification uniformisé est nécessaire au DSM, reste encore à définir les niveaux de standards à certifier (haut, moyen et bas) ce qui permettrait de n’exclure aucune typologie d’entreprise du champ de certification.
C’est une approche qui peut être discutée et qui permettrait au moins de renforcer la qualification en matière de sécurité et la visibilité de tous les acteurs de Cloud et de l’IoT actuels (IaaS, SaaS, PaaS), dans une approche de résilience collective.
Rappelons aussi à cet effet qu’ EuroCloud France et EuroCloud Deutschland_eco ont annoncé une coopération plus étroite dans le but de développer davantage les relations bilatérales de leurs membres et coordonner les travaux de réflexion, incluant notamment les questions du Cloud et de la Sécurité au niveau européen.
[1] ECSO European Cyber Security Organisation
[2] ANSSI Agence Nationale de la Sécurité des Systèmes d’Information
[3] ENISA Agence Européenne chargée de la sécurité des réseaux et systèmes d’informations
[4] BSI Office fédéral de la sécurité des systèmes d’informations
[5] C3 Cyber Security Competence Center
Le risque de cyber attaques est aujourd’hui nettement supérieur dans le domaine bancaire que dans celui des services ou du commerce. Le préjudice peut s’évaluer par coût de l’actif dérobé (data), par sanctions pénales, s’agissant de vol de données, ou par la détérioration de l’image de marque. Selon l’étude « Cost of Data Breach » publiée par the Ponemon Institute en 2016, le coût moyen d’une fuite par document dans le secteur financier s’élève à 221 $, soit plus que les 158 $ perdus en moyenne par les autres secteurs. En France, la perte de client –churn rate- consécutif à une fuite de donnée a un impact très important sur le coût moyen de l’actif dérobé. Depuis trois ans, notre pays demeure, au niveau international, celui qui a le taux de résiliation client le plus élevé (+4,3%) après une fuite de donnée. Lorsque l’on ramène ce taux au secteur financier, il est de +6.2%, impactant considérablement la réputation et l’image de marque des établissements concernés. En sus des préjudices financiers, liés aux pertes et fuites de données, il convient de rajouter les ressources financières consenties à la réparation du préjudice (recherche des causes, intervention pour mettre fin à l’accident, remplacement des équipements…). Plusieurs facteurs permettent de réduire le coût des fuites de données par actif, notamment le temps de réponse aux incident (-14$/actif), et l’utilisation intensive de technique de chiffrement (-13$/actif). 
){kind=link}
){kind=link}
){kind=link}
