Quelques réflexions sur la directive NIS de l’UE après le Forum de Davos

J’avais l’intention de lire le rapport de 80 pages publié par le Forum économique mondial sur les problèmes les plus urgents de la planète. C’est ce même forum qui réunit...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 29 octobre 2021

J’avais l’intention de lire le rapport de 80 pages publié par le Forum économique mondial sur les problèmes les plus urgents de la planète. C’est ce même forum qui réunit tous les ans les plus grands banquiers mondiaux et des personnalités venant de sphères moins élevées dans une célèbre station de ski suisse. On m’avait dit que ce rapport contenait une section intéressante sur… la sécurité des données.

Et c’était effectivement le cas. La sécurité des données est abordée dans un rapport ayant pour vocation d’aider nos dirigeants à lutter contre le changement climatique, les armes nucléaires, les pandémies, les crises économiques, la faim dans le monde et le terrorisme.

Les cyberattaques présentent-elles un risque élevé ?

En termes d’impact, la guerre numérique figure dans le Top 10 des principaux problèmes mondiaux établi par le Forum économique mondial. Pour être précis, elle arrive en sixième position, entre la crise de l’eau et la crise alimentaire, et devant la propagation des maladies infectieuses qui arrive en dixième position. Autant dire que c’est pratiquement le cinquième Cavalier de l’Apocalypse.

Parmi les informations inquiétantes portées à l’attention des présidents, premiers ministres, chanceliers et monarques en 2016 par le Forum mondial économique, figure le fait que plus de 350 millions de variantes de malwares ont été diffusées dans le monde et que d’ici 2020, les malwares pourraient coloniser plus de 8,4 milliards d’appareils d’Internet des Objets.

Nous sommes à peu près 7,6 milliards sur cette planète, et bientôt les gadgets à puce reliés à Internet et mal sécurisés seront plus nombreux que nous. Voilà qui n’est pas très rassurant.

Le Forum économique international a ensuite essayé de calculer l’impact économique des malwares. Une des études qu’il cite en référence table sur un coût mondial de 8 mille milliards de dollars de dommages au cours des cinq prochaines années.

Les auteurs de cette sinistre prédiction examinent en particulier l’impact économique du ransomware. En 2017, Petya et NotPetya ont coûté cher à de nombreuses entreprises. Pour exemple, Merck, FedEx et Maersk ont chacun revu à la hausse de plus de 300 millions de dollars leurs résultats de l’année dernière en conséquence aux attaques NotPetya.

Risque systémique : nous sommes tous connectés

Toutefois, les effets des malwares dépassent largement le cadre économique. Le rapport souligne le fait que les hackers visent également les infrastructures physiques.

WannaCry a été utilisé pour cibler les systèmes informatiques d’opérateurs de réseaux ferroviaires, constructeurs automobiles et services de distribution d’énergie. Autrement dit, les cyberattaques perturbent notre quotidien : nous n’avons plus de lumière, nos transports sont à l’arrêt ou les chaînes de production des usines sont arrêtées à cause de programmes malveillants.

Et nous arrivons au point du rapport qui fait vraiment froid dans le dos. Les cyberattaques ont la capacité de déclencher des réactions en chaîne dont nous autres humains ne sommes pas en mesure d’évaluer les effets. C’est ce que les auteurs appellent le « risque systémique ».

Ils s’expriment en ces termes :

« L’homme est devenu remarquablement performant lorsqu’il s’agit de savoir comment remédier à une multitude de risques classiques relativement simples à isoler et à gérer au moyen d’approches de gestion des risques standard. Mais nous sommes bien moins compétents lorsqu’il s’agit de faire face à des risques complexes dans des systèmes caractérisés par des boucles de rétroaction, des points de basculement et d’obscures relations de cause à effet pouvant rendre les interventions problématiques. »

Vous pouvez établir vos propres scénarios catastrophes – un malware infecte des algorithmes du marché boursier, entraînant ainsi une débâcle économique puis la guerre – mais le plus important, je pense, est que les politiques qui nous gouvernent seront contraints de commencer à chercher une solution à ce problème.

Et oui, je parle de soumettre à des réglementations supplémentaires ou à des normes plus strictes les systèmes informatiques que nous utilisons pour exécuter notre infrastructure critique.

Directive NIS

En Union européenne, les règles de conduite mises en place pour protéger cette infrastructure sont bien plus évoluées qu’aux États-Unis. Nous avons rédigé un billet sur la directive NIS (Network and Information Security) en 2016, lorsqu’elle a été approuvée par le Parlement européen.

La Directive demande aux États membres de l’UE de coopérer plus efficacement pour lutter contre les cyberattaques visant des secteurs économiques clés (santé, énergie, banque, télécommunications, transports et certaines activités en ligne) et d’imposer des normes de cybersécurité minimales telles que le signalement des incidents aux régulateurs. Les pays européens ont eu 21 mois pour « transposer » la directive en lois nationales.

Ces lois NIS devaient donc être mises en place avant mai 2018, c’est-à-dire dans à peine quelques mois. Les équipes informatiques ne vont pas chômer en mai, avec l’entrée en vigueur du GDPR et de la directive NIS.

À titre d’exemple, le Royaume-Uni vient d’achever la période de consultation de sa loi NIS. Les résultats sont consultables dans ce rapport. Un des principaux points à retenir est que chaque autorité ou régulateur de données national devra désigner des opérateurs de « services essentiels », c’est-à-dire d’infrastructures critiques. À partir du mois de mai, ils auront six mois pour le faire.

Soit dit en passant, la Directive NIS constitue un excellent premier pas vers la surveillance et l’évaluation du risque systémique lié aux malwares. Nous vous tiendrons informés lorsque nous aurons plus d’informations de la part des régulateurs nationaux lorsqu’ils commenceront à mettre en œuvre leurs lois NIS.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

tendances-mondiales-des-menaces-et-avenir-de-la-réponse-aux-incidents
Tendances mondiales des menaces et avenir de la réponse aux incidents
L’équipe de réponse aux incidents de Varonis se penche sur les dernières tendances en matière de menaces mondiales et explique pourquoi la proactivité dans la réponse aux incidents est l’avenir de la sécurité des données.
varonis-nommé-leader-dans-le-rapport-the-forrester-wave™ :-plateformes-de-sécurité-des-données,-premier-trimestre 2023
Varonis nommé leader dans le rapport The Forrester Wave™ : plateformes de sécurité des données, premier trimestre 2023
Varonis a été nommé leader dans le rapport The Forrester Wave™ : plateformes de sécurité des données, premier trimestre 2023, avec le score le plus élevé dans la catégorie « stratégie ».
qu’est-ce-que-la-solution-mddr-(managed-data-detection-and-response) ?
Qu’est-ce que la solution MDDR (Managed Data Detection and Response) ?
Les offres XDR et MDR sont axées sur les menaces et ne vous permettent pas d’avoir une visibilité sur les données. La solution MDDR de Varonis vous aide à atténuer les menaces complexes qui pèsent sur votre ressource la plus précieuse : les données.
varonis-annonce-l’arrivée-d’une-nouvelle-solution :-la-réponse-proactive-aux-incidents-pour-les-clients-saas
Varonis annonce l’arrivée d’une nouvelle solution : la réponse proactive aux incidents pour les clients SaaS
Varonis met à votre service les spécialistes les plus doués en matière de sécurité offensive et défensive pour surveiller vos données afin d’identifier les menaces.