RGPD, LMP, directive NIS : où en est-on ?

Le contexte réglementaire de la cybersécurité se renforce d’années en années. Pour autant, face à des menaces de plus en plus sophistiquées, l’investissement financier des entreprises et organisations sur la cybersécurité n’est encore pas suffisant.

2018 a été l’année de la mise en place du RGPD en France, forçant les entreprises à revoir l’ensemble de leurs process de sécurité, de manière à consolider les droits des internautes, au regard de leurs données personnelles. Les entreprises et les organisations doivent désormais tenir un registre qui recense de façon précise les traitements des données personnelles et faire appel à un data protection officer (DPO), chargé de la mise en place et du respect de la réglementation.

Si les réglementations, toujours plus contraignantes, poussent les entreprises et les organisations à repenser leur système d’information et à investir dans la protection de leurs données, ces dernières restent cependant vulnérables à des attaques toujours plus nombreuses. Ainsi, en 2017, plus de 700 millions d’attaques ont été enregistrées dans le monde, soit une augmentation de 100 % depuis 2015. Explications.

• LPM, directive NIS, DSP2, programme de sécurité SWIFT, RGPD… Des réglementations renforcées
• Les investissements dans la sécurité progressent mais ce n’est pas suffisant
• Comment les entreprises peuvent-elles lutter contre les menaces ?

Depuis 2016, le contexte réglementaire se renforce

Depuis plusieurs années, la France et l’Union européenne œuvrent à consolider le cadre législatif et réglementaire en matière de cybersécurité, avec des textes visant à réguler le marché.

Loi de programmation militaire (LPM) : plus de sécurité pour les opérateurs d’importance vitale (OIV)

En juillet 2016, l’État français a fait évoluer le Code de la défense via la Loi de Programmation militaire de 2013 (LPM) pour imposer un certain nombre de règles relatives à la sécurité informatique.

Ces règles sont destinées aux opérateurs d’importance vitale (OIV), des acteurs publics ou privés dont les activités sont jugées indispensables au bon fonctionnement et à la survie du pays. Les OIV peuvent appartenir au secteur de la santé, de l’énergie, des transports, de l’industrie ou encore de la gestion de l’eau. On estime qu’ils sont au nombre de 200 à 300, mais leur liste est tenue confidentielle.

Parmi les mesures imposées par la LPM, on peut citer l’audit des SIIV (systèmes d’information d’importance vitale) par des organismes qualifiés PASSI (prestataires d’audit de la sécurité des systèmes d’information) ainsi que la mise en place de systèmes de détection qualifiés. La loi oblige également les OIV à déclarer immédiatement à l’ANSSI (agence nationale pour la sécurité des systèmes d’information) les incidents de sécurité affectant leurs SIIV de façon importante.

Directive européenne NIS : élargissement de la LPM aux opérateurs de services essentiels (OSE)

Au même moment, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive NIS (network information security). Souvent considérée comme une extension de la LPM, elle concerne un échantillon plus large. Ainsi, si les OIV (sauf du domaine miliaire) sont inclus dans le périmètre, s’ajoutent à eux les opérateurs de services essentiels (OSE), soit les acteurs qui visent à maintenir des activités sociales ou économiques critiques, ainsi que les fournisseurs de services numériques (FSN : moteurs, place de marché ou services cloud).

Comme il s’agit d’une directive, et non d’un règlement, elle doit être transposée dans chacun des pays européens. La France a ainsi adopté et publié sa loi de transposition en février 2018, tandis qu’une première liste, qui n’a pas été rendue publique, de 122 OSE a été définie en novembre 2018 par le premier ministre Edouard Philippe et l’ANSSI.

OSE et FSN sont soumis aux mêmes types d’exigences que la LPM impose aux OIV et sont donc dans l’obligation de prendre des mesures techniques et organisationnelles nécessaires et proportionnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information.

Pour les contrevenants, de lourdes sanctions sont prévues : 100 000 euros pour non-conformité aux obligations de sécurité, 75 000 euros pour non-déclaration d’un incident ou 125 000 euros pour obstacle aux opérations de contrôle.

Programme de sécurité de SWIFT

Le programme de sécurité de SWIFT, une coopérative internationale qui fournit un service de messagerie standardisée utilisé lors des transferts interbancaires, a rendu obligatoire des standards de sécurité pour les 11 000 institutions membres de son réseau : sécurisation de l’environnement, contrôle et limite des accès, détection et réponse sur incident. Ainsi, depuis octobre 2017, chaque client SWIFT doit publier une auto-attestation annuelle qui fait état du respect des points de contrôle dans son propre environnement. Notons que, si certaines mesures sont obligatoires, d’autres sont facultatives.

Directive sur les services de paiement 2 (DSP2) : encadrer les acteurs du marché des paiements

En janvier 2018, la directive sur les services de paiement 2 (DSP2), a mis en place des règles européennes pour les nouveaux acteurs sur le marché des paiements, encadrant notamment les services d’agrégation d’informations (vision consolidée des comptes bancaires) et d’initiation de paiement par des mesures de sécurité (sécurisation des API, authentification forte…).

Lire aussi Comment l’IA va-t-elle bousculer le modèle bancaire traditionnel ?

RGPD : assurer la protection des données personnelles

Et bien sûr, en mai 2018, le règlement général sur la protection des données a été mis en œuvre. Depuis, les entreprises doivent s’assurer du consentement explicite des individus quant à l’utilisation de leurs données personnelles et mettre en place des politiques de transparence, des dispositifs d’alerte en cas de fuite de données et un système de gouvernance.

Lire aussi 7 points pour assurer sa conformité avec le RGPD

Cependant, les investissements de sécurité restent insuffisants

Suite à la mise en place du RGPD, d’après Jean Lessi, Secrétaire général de la Commission informatique et Libertés (CNIL), 24 500 entreprises ont désigné un délégué à la protection des données, une des exigences principales de la réglementation (Le Parisien, octobre 2018).

« Pour le reste, peu de chiffres ont été publiés et, au-delà de la question des DPO, qui n’est qu’un des aspects du RGPD, il n’est pas possible à l’heure actuelle d’établir un premier bilan », explique Jean-Marie Letort, Vice-Président cybersécurité chez Thales.

Ce que l’on sait, c’est que les dépenses de sécurité augmentent. En France, en 2018, les entreprises ont dépensé 2,4 milliards de dollars en solutions et services de cybersécurité, soit une augmentation de 22% par rapport à 2015. 

Une progression qui est là, certes, mais qui est est moins marquée qu’aux Etats-Unis (+32%) ou même qu’au Royaume-Uni où les investissements ont progressé de 40% alors même que les OIV ne sont pas soumis à la loi de programmation militaire.

Défiance dans l’investissement dans la détection

Malgré ces investissements toujours plus importants, les entreprises restent vulnérables face aux attaques. En 2018, 56% des sites ont ainsi été touchés par au moins une faille grave, c’est-dire une faille permettant d’accéder à l’ensemble du contenu du site et/ou de compromettre les serveurs (contre 54% en 2017).

42% des sites ont été touchés par des failles importantes, qui ouvrent l’accès aux informations d’autre utilisateurs, mais en nombre limité ou de manière complexe (45% en 2017)(chiffres : Wavestone).

« Nous constatons une défiance dans l’investissement dans la détection, note Jean-Yves Grasset, Directeur technique et sécurité chez Microsoft. Les entreprises se demandent si c’est vraiment efficace et comparent parfois le coût de la mise en conformité au coût d’exposition aux risques. »

« En moyenne, pour une entreprise, le budget consacré à la cybersécurité s’élève à 4,5% du budget total. En cas de crise, elles vont jusqu’à 20%, poursuit-il. Mais c’est un peu tard, car le coût de reconstruction est lourd. » On peut citer par exemple l’exemple de TV5 Monde qui, en 2015, a déboursé 6 millions d’euros pour réparer les dégâts causés par un piratage de grande ampleur sur ses systèmes informatiques…

Des menaces de plus en plus prégnantes

Les attaques informatiques sont en pleine mutation, et le développement de l’industrie 4.0 ouvre la porte à des cyberattaques sur les systèmes industriels.

Entre 2016 et 2018, on a ainsi recensé de nombreuses attaques de grande ampleur :

• En 2016, la Banque centrale du Bangladesh s’est fait dérober 81 millions de dollars suite à un piratage informatique.
• En mai 2017, le ransomware WannaCry a paralysé les ordinateurs de multinationales et de services publiques dans une centaine de pays. Parmi les victimes, on compte des hôpitaux britanniques, les multinationales Renault et FedEx, le ministère russe de l’Intérieur, l’opérateur de télécom espagnol Telefonica ou encore la compagnie ferroviaire allemande Deutsche Bahn.
• En juin 2017, des entreprises ukrainiennes sont touchées par NotPetya, un virus au fonctionnement similaire à celui de WannaCry, touchant par ricochet des services comme le métro ou les aéroports. Dans les heures suivantes, l’attaque s’étend et atteint plusieurs multinationales, dont le français Saint-Gobain.

Lire aussi Joy Chik, l’ingénieure qui voulait éliminer les mots de passe

Comment les entreprises peuvent-elles se protéger ?

« Ces nouvelles typologies d’attaques à impact économique fort nécessitent des nouvelles connaissances et des nouveaux outils », indique Jean-Marie Letort. Pour gagner en efficience dans la détection proactive des cybermenaces, les entreprises peuvent miser sur l’intelligence artificielle : machine learning, threat intelligence, analyse comportementale…

Concernant le RGPD, depuis le 25 mai 2018, la CNIL a enregistré entre 1 200 et 1 300 notifications de violations de données personnelles. « Pour la plupart, il s’agit d’une perte de confidentialité des données personnelles : perte de clés USB ou ordinateurs non-chiffrés, précise Jean-Yves Grasset. Pourtant des solutions existent : chiffrement du disque avec BitLocker, identification et chiffrement des données sensibles avec Azure Information Protection… Et, pour les plateforme Microsoft, des outils sont disponibles gratuitement (gestionnaire de sécurité, Secure score…) et intègrent nativement de nombreuses fonctionnalités pour assurer sa part de conformité. »

« Chez Microsoft, des centaines d’ingénieurs travaillent pour que chaque utilisateur puisse effacer ses données personnelles simplement en appuyant sur un bouton », continue Jean-Yves Grasset. Microsoft dépense en effet chaque année 1 milliard de dollars, pour de la recherche et du développement sur les sujets sécurité.

Un investissement essentiel pour Brad Smith, Président et directeur juridique de Microsoft :

“Nous considérons qu’il est de notre responsabilité de fournir des outils et des informations qui vous permettront de déployer nos services cloud en toute confiance avec l’assurance qu’ils sont sûrs et conformes.”

Propos de Jean-Marie Letort et Jean-Yves Grasset recueillis à l’occasion de Microsoft experiences 18.