Résilience collective et défragmentation au cœur de la stratégie Cyber européenne

Les grands acteurs français et européens de la cyber sécurité se sont entendus sur la mise en œuvre d’une résilience collective et d’une défragmentation européenne pour lutter contre la menace cyber. La mise en application du Cyber Act en est l’illustration.

Lors de l’European Cyber Week qui a réunit à Rennes, la DGNUM du Ministère des Armées, l’ECSO[1], le pôle d’excellence Cyber, l’ANSSI[2] et la commission européenne, l’appel au décloisonnement et à la défragmentation européenne a été unanime.


Guillaume Poupard, Directeur Général de l’ANSSI, a rappelé que « le temps de l’UE n’est pas celui du cyber et qu’il faut agir vite, se structurer, décloisonner et revenir à une approche d’analyse des risques pour prendre les bon arbitrages ». Même constat pour Jean François Jünger, Head of Cybersecurity Technology and Capacity Building de la DG Connect qui a rappellé que « si l’Europe a un rôle majeur à jouer dans la cyber sécurité, elle doit le faire dans une approche transverse, multi niveaux et sans frontières. »

La première étape de cette stratégie est rentrée en application au travers de la transposition de la directive NIS (Network and Information Security) dans le droit national des pays membres en date du 9 mai 2018.  Depuis le 10 décembre, le Cyber Act vient renforcer le mandat de l’ENISA[3] qui devient ainsi officiellement, l’agence européenne pour la cyber sécurité, chargée de la définition et de la mise en place d’un cadre de certification européen  pour tous les produits et services répondant aux standards de sécurité applicable.  L’ENISA sera donc chargée de la préparation des nouveaux schémas de certifications en étroite collaboration avec les agences nationales de sécurité telles que l’ANSSI en France et le BSI[4] allemand.

Intégrer les risques Cloud et IoT au Cyber Act

La question soulevée étant de savoir comment seront intégrées et valorisées les dizaines d’années de travaux de certifications des agences européennes (y compris ANSSI et BSI) au sein de ce nouveau Framework, qui rappelons le, vise à harmoniser les schémas de certifications de sécurité actuels, tout en prenant compte des nouveaux risques sécuritaires liés au Cloud Computing et à l’IoT. Voir aussi l’article sur les certifications Cloud

Cette stratégie de cyber sécurité européenne comprendra également, dans le cadre du Marché Numérique Européen –DSM- le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétences –ECCC– pour partager les meilleurs pratiques cyber au niveau des états membres, au renfort d’un budget de 2 milliards d’euro sur 7 ans.

Il est à noter que certaines de ces initiatives ont déjà été mises en place dans plusieurs pays telles que la création du Cybersecurity Competence Center C3[5] et de la plateforme de partage et de traitement des risques cyber MISP au Luxembourg.

Adapter les niveaux de certifications aux typologies d’entreprise.

Selon François Thill, conseiller cyber sécurité au ministère luxembourgeois de l’économie et représentant de l’ENISA, les standards actuels de cyber sécurité cadrés autour de l’ISO/IEC 27001 se concentrent sur des niveaux très élevés de protection et sont discriminatoires envers les petites et moyennes entreprises, créatrices d’innovation, mais qui ne peuvent engager des démarches de certification aussi longues et coûteuses.

A l’inverse, si la création d’un cadre de certification uniformisé est nécessaire au DSM, reste encore à définir les niveaux de standards à certifier (haut, moyen et bas)  ce qui permettrait de n’exclure aucune typologie d’entreprise du champ de certification.

C’est une approche qui peut être discutée et qui permettrait au moins de renforcer  la qualification en matière de sécurité et la visibilité de tous les acteurs de Cloud et de l’IoT actuels (IaaS, SaaS, PaaS), dans une approche de résilience collective.

Rappelons aussi à cet effet qu’ EuroCloud France et EuroCloud Deutschland_eco ont annoncé une coopération plus étroite dans le but de développer davantage les relations bilatérales de leurs membres et coordonner les travaux de réflexion, incluant notamment les questions du Cloud et de la Sécurité au niveau européen.

 

[1] ECSO European Cyber Security Organisation

[2] ANSSI Agence Nationale de la Sécurité des Systèmes d’Information

[3] ENISA Agence Européenne chargée de la sécurité des réseaux et systèmes d’informations

[4] BSI  Office fédéral de la sécurité des systèmes d’informations

[5] C3 Cyber Security Competence Center

Share This:

Le Global Cybersecurity Index 2017 vient d’être publié. La France se place au 8ème rang!

L’Union Internationale des Télécommunications-ITU- vient de publier l’édition 2017 de son Index de Cybersécurité (GCI) qui passe au crible, le niveau d’engagement des états membres en matière de cyber-sécurité, au travers de critères clés d’évaluation et notamment de mesures légales, techniques, organisationnelles, de développement des capacités et de coopération. Des analyses régionales (Afrique, Amériques, Pays arabes, Asie-Pacifique, Communauté des Etats Indépendants et Europe), complétées de courts « focus » pays offrent un éclairage particulièrement instructif de la situation internationale de la lutte contre le cyber crime.

On apprend ainsi que l’engagement en matière de cybersécurité n’est pas lié à la localisation géographique: Singapour obtient le meilleur score global (0.92). La France se plaçe au 8ème rang ex aequo avec la Géorgie. Si notre pays obtient le meilleur score en terme de « capacity building » au même niveau que les Etats Unis, c’est au niveau organisationnel et de la coopération en matière de cybersécurité, qu’elle obtient le score le plus bas (0.60)

La France doit améliorer ses capacités organisationnelles et de coopération en matière de cyber sécurité

De même si l’Europe obtient un très bon score global, c’est bien l’Estonie qui arrive en tête du classement (devant la France),  grâce à sa capacité organisationnelle à répondre rapidement et efficacement à des cyberattaques et à maintenir un niveau opérationnel minimal, même en cas de coupure totale du réseau Internet. L’Estonie a par ailleurs été choisie pour établir le siège du centre d’Excellence de coopération de l’OTAN en matière de cyberdéfense.

Mettre en place une véritable culture de la cyber sécurité
La cyber sécurité représente en effet tout en écosystème au sein duquel, les lois, les organisations, les compétences, les implémentations techniques et les coopérations se doivent d’être harmonisées pour être efficaces. Par ailleurs, la cyber sécurité n’est pas juste l’affaire d’un engagement politique et gouvernemental, mais elle est aussi le reflet de forts engagement du secteur privé et des usagers. Le rapport publié par les experts de l’ITU explique ainsi à juste titre que pour lutter contre les cyber attaques, il est important de mettre en place au niveau des Etats nations, une culture de la cyber sécurité, dans lesquels les usagers sont complètement conscients des risques et des usages.

Le rapport complet de 80 pages peut être téléchargé à l’adresse suivante:

https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF-E.pdf

 

Share This: