Les faits divers liés à la cybercriminalité sont toujours plus nombreux et variés. En atteste le vol des données personnelles de 112 000 policiers récemment commis par un employé d’une société sous-traitante de la Mutuelle générale de la police.
Ces données étaient stockées sur un « cloud » à l’accès protégé par un simple mot de passe, permettant à l’employé en question d’accéder et de s’approprier sans grandes difficultés des informations confidentielles non seulement sur les policiers mais aussi sur leurs proches.
Cette affaire met en lumière que la menace cybercriminelle ne vient pas toujours de l’extérieur mais peut également être interne aux organismes et entreprises. Le contrôle des risques liés à la perte d’informations se doit alors d’évoluer pour s’adapter à la typologie des différentes cyber-menaces.
Une expertise alarmante
Alors que l’affaire du vol de données des policiers était révélée à la presse, deux experts ont affirmé ce lundi 27 juin que les cyber-attaques visent dans 99% des cas à voler des données, mais que de plus en plus d’intrusions dans les réseaux informatiques des entreprises font craindre des tentatives de sabotage industriel ou des menaces terroristes.
Le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Guillaume Poupard a qualifié ce phénomène d’ « inquiétant ». C’est en effet le moins que l’on puisse dire, car si un transfert anormal ou non-autorisé de données est en théorie identifiable, l’absence de captation d’informations rend le contrôle bien plus ardu.
Comme l’Anssi le craint, il se peut que les terroristes ayant des moyens financiers sans compétences techniques en informatique fassent appel à des « mercenaires numériques » pour s’introduire dans des réseaux en vue d’exfiltrer de l’information au moment opportun.
La protection des « opérateurs d’importance vitale », une priorité affirmée
Les deux experts ont présenté les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) concernant les produits de santé, la gestion de l’eau et l’alimentation. D’autres arrêtés feront suite pour couvrir l’ensemble des 12 secteurs reconnus d’importance vitale, soit 249 opérateurs publics et privés identifiés comme tels.
Ainsi, dans le prolongement de la loi de programmation militaire de 2013, ce nouveau cadre juridique imposera aux OIV de se prémunir contre les risques de cyber-attaque.
Ils auront notamment une obligation de notifier les incidents aux autorités compétentes, devront respecter des consignes préétablies de bonnes pratique et seront soumis régulièrement à des contrôles d’application.
Comme l’a souligné M. Poupard, « la France est avec l’Allemagne un pays pionnier dans la protection des OIV », mais l’Europe n’entend pas respect simple spectatrice de ces efforts.
En février 2013, la Commission européenne a en effet proposé aux Etats membres et au Parlement d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.
La stratégie de cybersécurité imposée aux Etats de l’UE d’ici 2018
Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les Etats membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.
Au niveau national, l’Union prévoit que tous les Etats membres devront créer une « computer emergency response team » (CERT), c’est-à-dire un centre d’alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.
Au niveau communautaire, la directive NIS prévoit la mise en place d’un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n’ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d’information des différents acteurs. Face à la cyber-menace, notamment de nature terroriste, la solidarité entre Etats apparaît en effet indispensable.