La cybersécurité devrait se trouver parmi les priorités des entreprises.

Entreprise européenne : vers une obligation de signaler les attaques informatiques

La cybersécurité devrait se trouver parmi les priorités des entreprises. Pourtant, nombreux sont les dirigeants qui ne lui accordent pas une place importante. Cela devrait sûrement changer après l’éventuelle mise en application d’une directive européenne leur obligeant de signaler toutes attaques ou toutes tentatives d’attaques.

Cela devrait sûrement changer après l’éventuelle mise en application d’une directive européenne leur obligeant de signaler toutes attaques ou toutes tentatives d’attaques.

Une extension aux organismes autres que les opérateurs d’importance vitale…

Ce n’est pas la première fois que l’on entend parler de cette initiative. Cela fait en effet deux années que les instances européennes discutent autour d’un texte destiné aux entreprises des domaines des transports, de la santé, de l’énergie et des services financiers leur obligeant à produire des dispositifs de sécurité minimums pour leur parc informatique. Le texte en question a reçu l’appellation de Network and Information Security ou NIS. L’obligation de ces entreprises d’informer les autorités compétentes de la survenue d’une intrusion, d’une cyberattaque ou d’une perte de données fait partie des mesures les plus importantes de la directive.

Le texte en question a reçu l’appellation de Network and Information Security ou NIS.

Reuters a pu obtenir de sources sûres qu’il y ait extension de l’application de cette mesure à tous les secteurs affiliés au domaine des nouvelles technologies. Le nombre d’entreprises qui devront rapporter toute attaque aux autorités compétentes augmentera ainsi incessamment. Pour rappel, les opérateurs de réseaux d’importance vitale et les opérateurs de télécommunications sont ceux qui doivent en ce moment accomplir ce devoir auprès du Cnil. Si les institutions communautaires et les Etats membres de l’Union européenne se mettent d’accord, plusieurs autres secteurs vont les rejoindre. Comme cela l’a été souvent, les discussions risquent d’être trop longues, certains pays s’opposant à l’application d’une telle mesure à des sociétés autres que les opérateurs d’importance vitale. Comme on l’a déjà vu auparavant, même la définition du concept « importance vitale » n’est pas la même d’un Etat à un autre. Bon courage à ceux qui soutiennent donc cette initiative.

L’exemple le plus célèbre d’attaque de haute ampleur est celui de Sony Pictures.

Qui devra se heurter à de vagues de critiques

L’exemple le plus célèbre d’attaque de haute ampleur est celui de Sony Pictures. Ce dernier a vu ses informations sensibles circuler sur la toile, un sabotage provenant, selon les actuels éléments de l’attaque, de hackers nord-coréens. Ces derniers n’auraient pas apprécié la manière dont a été traité leur leader Kim-Jung Un dans un des films du studio américain. Le géant du Cinéma aurait cependant pu se trouver à l’abri des taques s’il a pris la peine de signaler toutes les failles que ses RSI ont auparavant découvertes sur son système informatique. Il existe cependant une frange d’entreprises qui voient en la divulgation d’une faille un moyen de permettre à des pirates de réussir dans leur activité. Le vide juridique qui règne en matière de cybersécurité ne fait en effet que rendre difficile la prise des décisions des professionnels. Dans un récent faux procès, on a constaté que même la justice ne sait vraiment pas quelle position adopter. On comprend donc les réticences de certaines entreprises face à une obligation de signaler des attaques ou des tentatives d’attaques informatiques.

One comment

Laisser un commentaire