Quelques réflexions sur la directive NIS de l’UE après le Forum de Davos

J’avais l’intention de lire le rapport de 80 pages publié par le Forum économique mondial sur les problèmes les plus urgents de la planète. C’est ce même forum qui réunit tous les ans les plus grands banquiers mondiaux et des personnalités venant de sphères moins élevées dans une célèbre station de ski suisse. On m’avait dit que ce rapport contenait une section intéressante sur… la sécurité des données.

Et c’était effectivement le cas. La sécurité des données est abordée dans un rapport ayant pour vocation d’aider nos dirigeants à lutter contre le changement climatique, les armes nucléaires, les pandémies, les crises économiques, la faim dans le monde et le terrorisme.

Les cyberattaques présentent-elles un risque élevé ?

En termes d’impact, la guerre numérique figure dans le Top 10 des principaux problèmes mondiaux établi par le Forum économique mondial. Pour être précis, elle arrive en sixième position, entre la crise de l’eau et la crise alimentaire, et devant la propagation des maladies infectieuses qui arrive en dixième position. Autant dire que c’est pratiquement le cinquième Cavalier de l’Apocalypse.

Parmi les informations inquiétantes portées à l’attention des présidents, premiers ministres, chanceliers et monarques en 2016 par le Forum mondial économique, figure le fait que plus de 350 millions de variantes de malwares ont été diffusées dans le monde et que d’ici 2020, les malwares pourraient coloniser plus de 8,4 milliards d’appareils d’Internet des Objets.

Nous sommes à peu près 7,6 milliards sur cette planète, et bientôt les gadgets à puce reliés à Internet et mal sécurisés seront plus nombreux que nous. Voilà qui n’est pas très rassurant.

Le Forum économique international a ensuite essayé de calculer l’impact économique des malwares. Une des études qu’il cite en référence table sur un coût mondial de 8 mille milliards de dollars de dommages au cours des cinq prochaines années.

Les auteurs de cette sinistre prédiction examinent en particulier l’impact économique du ransomware. En 2017, Petya et NotPetya ont coûté cher à de nombreuses entreprises. Pour exemple, Merck, FedEx et Maersk ont chacun revu à la hausse de plus de 300 millions de dollars leurs résultats de l’année dernière en conséquence aux attaques NotPetya.

Risque systémique : nous sommes tous connectés

Toutefois, les effets des malwares dépassent largement le cadre économique. Le rapport souligne le fait que les hackers visent également les infrastructures physiques.

WannaCry a été utilisé pour cibler les systèmes informatiques d’opérateurs de réseaux ferroviaires, constructeurs automobiles et services de distribution d’énergie. Autrement dit, les cyberattaques perturbent notre quotidien : nous n’avons plus de lumière, nos transports sont à l’arrêt ou les chaînes de production des usines sont arrêtées à cause de programmes malveillants.

Et nous arrivons au point du rapport qui fait vraiment froid dans le dos. Les cyberattaques ont la capacité de déclencher des réactions en chaîne dont nous autres humains ne sommes pas en mesure d’évaluer les effets. C’est ce que les auteurs appellent le « risque systémique ».

Ils s’expriment en ces termes :

« L’homme est devenu remarquablement performant lorsqu’il s’agit de savoir comment remédier à une multitude de risques classiques relativement simples à isoler et à gérer au moyen d’approches de gestion des risques standard. Mais nous sommes bien moins compétents lorsqu’il s’agit de faire face à des risques complexes dans des systèmes caractérisés par des boucles de rétroaction, des points de basculement et d’obscures relations de cause à effet pouvant rendre les interventions problématiques. »

Vous pouvez établir vos propres scénarios catastrophes – un malware infecte des algorithmes du marché boursier, entraînant ainsi une débâcle économique puis la guerre – mais le plus important, je pense, est que les politiques qui nous gouvernent seront contraints de commencer à chercher une solution à ce problème.

Et oui, je parle de soumettre à des réglementations supplémentaires ou à des normes plus strictes les systèmes informatiques que nous utilisons pour exécuter notre infrastructure critique.

Directive NIS

En Union européenne, les règles de conduite mises en place pour protéger cette infrastructure sont bien plus évoluées qu’aux États-Unis. Nous avons rédigé un billet sur la directive NIS (Network and Information Security) en 2016, lorsqu’elle a été approuvée par le Parlement européen.

La Directive demande aux États membres de l’UE de coopérer plus efficacement pour lutter contre les cyberattaques visant des secteurs économiques clés (santé, énergie, banque, télécommunications, transports et certaines activités en ligne) et d’imposer des normes de cybersécurité minimales telles que le signalement des incidents aux régulateurs. Les pays européens ont eu 21 mois pour « transposer » la directive en lois nationales.

Ces lois NIS devaient donc être mises en place avant mai 2018, c’est-à-dire dans à peine quelques mois. Les équipes informatiques ne vont pas chômer en mai, avec l’entrée en vigueur du GDPR et de la directive NIS.

À titre d’exemple, le Royaume-Uni vient d’achever la période de consultation de sa loi NIS. Les résultats sont consultables dans ce rapport. Un des principaux points à retenir est que chaque autorité ou régulateur de données national devra désigner des opérateurs de « services essentiels », c’est-à-dire d’infrastructures critiques. À partir du mois de mai, ils auront six mois pour le faire.

Soit dit en passant, la Directive NIS constitue un excellent premier pas vers la surveillance et l’évaluation du risque systémique lié aux malwares. Nous vous tiendrons informés lorsque nous aurons plus d’informations de la part des régulateurs nationaux lorsqu’ils commenceront à mettre en œuvre leurs lois NIS.