En 2013, le président Obama a signé le décret 13636, Improving Critical Infrastructure Cybersecurity (amélioration de la cybersécurité des infrastructures critiques). Outre la grande attention qu’il a attirée, ce décret requiert également l’élaboration de directives permettant de faire face aux cybermenaces existant contre les infrastructures essentielles du pays par le National Institute of Standards and Technology (Institut national des normes et de la technologie, NIST).

Depuis, le NIST a publié un plan préliminaire qui doit être finalisé en février 2014. La politique de cybersécurité des États-Unis est (pour l’instant) axée sur les meilleures pratiques et dépend des initiatives des acteurs de l’énergie, des transports et d’autres infrastructures essentielles du secteur privé. Au sein de l’Union européenne, la cyberpréparation a pris un tour différent, mettant en jeu, sans surprise, un plus grand nombre de réglementations. Mais des deux côtés de l’Atlantique, tout le monde s’est mis au moins d’accord pour dire que les entreprises doivent faire plus qu’édifier simplement des murs de sécurité encore plus élevés.

En réponse à ses propres cyberbatailles, la communauté européenne a rédigé une autre de ses directives en février dernier, plus précisément la directive 2013/40/EU. Le parlement européen a finalement adopté de nouvelles lois exigeant des peines plus sévères pour les initiateurs de cyberattaques lancées contre de nombreux ordinateurs telles que réseaux d’ordinateurs zombies (botnets), DDoS, vers informatiques, etc. Et pour faire bonne mesure, la vente, l’achat ou l’utilisation de tout logiciel dont le but principal est la guerre cybernétique a été criminalisée. Il n’est pas surprenant que les entreprises spécialisées dans les tests d’intrusion et les autres éditeurs de logiciels de sécurité ne soient pas très satisfaits.

Jusqu’ici, tout va bien. plus ou moins.

Mais, à la différence des entreprises américaines, les entreprises européennes seront soumises à des obligations légales directes d’améliorer leurs cyberdéfenses. La directive 2013/40/EU prévoit explicitement « d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Et il existe une autre exigence controversée de notification des cyberattaques aux autorités nationales responsables de la sécurité des données.
En d’autres termes, dans un avenir pas très lointain, un service de réseau social, un quotidien ou un fournisseur de messagerie[1] de l’UE pourrait être condamné à payer une amende pour ne pas avoir empêché ou limité une attaque.

Une question qui se pose est de savoir comment cette cyberdirective s’insère dans la réglementation existante de l’UE. Par exemple la directive sur la protection des données abordée dans deux publications[2] au cours de l’année dernière. La réponse est qu’elle étend le champ de ce que les entreprises doivent protéger. Alors qu’elles étaient jusqu’à présent tenues de mettre en œuvre des mesures de sécurité relatives aux données personnelles des consommateurs (IPI essentiellement), elles devront désormais protéger leurs infrastructures entières (routeurs, périphériques, logiciels et serveurs) contre toute tentative de perturbation ou de désactivation.

Sans surprise, la nouvelle cyberdirective de l’UE a provoqué son lot de controverse et de confusion. La définition d’une attaque contre « de nombreux » ordinateurs et les seuils de déclaration d’une cybercrise manquent de clarté. Étant donné que chaque membre de l’UE peut mettre en œuvre la directive de manière différente, une ambiguïté supplémentaire subsiste pour les entreprises en activité dans plusieurs pays. Elle constitue un problème en particulier pour les grands acteurs de médias sociaux américains implantés en Europe.

Alors que l’UE et les États-Unis ont adopté une approche différente de la cyber-réglementation, le consensus veut que les entreprises mettent l’accent sur la surveillance et la détection en tant que deuxième ligne de défense.

La détection des modèles inhabituels de l’activité des utilisateurs et du système constitue la pierre angulaire des recommandations du NIST et un concept essentiel des nouvelles législations de l’UE. Même si ce n’est pas encore une obligation légale aux États-Unis, nous pensons que c’est une idée à explorer sérieusement en élaborant vos propres plans de sécurité informatique pour 2014.

__________
Norman Girard est Vice Président et directeur général Europe de Varonis



[1] Google Says Hackers in China Stole Gmail Passwords
[2] Clash of Compliance clutures: Old vs. New World et The Metadata Era