En juillet dernier, la Commission européenne accentuait ses travaux au sujet de la sécurisation de systèmes d'information en Europe. L'objectif était alors de rassembler les avis de chacun afin de dresser un constat sur la situation et mettre en place un cadre législatif dans ce domaine. A terme, une des idées évoquées était de pouvoir non seulement délivrer des recommandations à l'attention des professionnels mais éventuellement d'introduire une procédure obligeant ces derniers à notifier une faille de sécurité lorsqu'elle affecte le fonctionnement d'une société.
Un projet de loi va donc être proposé auprès des institutions communautaires. Dans un premier temps, les Etats-membres devront dresser une liste des sociétés dont l'activité s'avère critique pour l'Economie. Ces sociétés devront alors rapporter aux autorités nationales toute attaque majeure dirigée à leur encontre et révéler la nature des failles de sécurité.
Environ 15 000 sociétés de transport, 8 000 banques, 4 000 sociétés versées dans l'industrie énergétique ainsi que 15 000 hôpitaux à travers l'Europe seraient ainsi directement concernés par cette mesure. Les administrations publiques ainsi que certains opérateurs de services Internet pourront également se plier à ces obligations. Enfin, les entreprises de moins de 10 salariés seront exemptées par ces dispositions. Le texte couvrira donc 3 mesures phares à savoir :
- La désignation par les Etats-membres des autorités nationales compétentes en la matière, qui disposeront de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité.
- L'adoption d'un mécanisme de coopération entre les États et la Commission pour diffuser des messages d'alerte rapide sur les risques et incidents au moyen d'une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs.
- L'adoption de bonnes pratiques en matière de gestion des risques (les 40 préconisations de l'ANSSI pourraient alors être mises en avant) pour les services financiers, les transports, l'énergie et la santé, les facilitateurs de services internet clés (notamment les magasins d'applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) ainsi que les administrations publiques en matière de gestion des risques. Ils devront aussi signaler les incidents de sécurité significatifs touchant leurs services essentiels.
Le texte doit toutefois passer devant les gouvernements respectifs des Etats ainsi que devant le Parlement Européen. Malgré ces étapes, la volonté affichée par Neelie Kroes, commissaire européenne chargée de la société numérique est claire. Elle précisait lors d'un discours prononcé le 30 janvier dernier que : « l'obligation de notification existe déjà dans certains secteurs comme celui des Télécoms. Mais le fait est que de plis en plus de secteurs industriels utilisent les réseaux de communication. L'énergie, les transports, les soins, la banque ainsi que certaines entreprise numériques clés. C'est pourquoi cette obligation de rapporter une information doit être étendue ».
Une position saluée par l'ensemble des éditeurs de sécurité ainsi que certains grands comptes. Richard Archdeacon, directeur de la stratégie sécurité pour les professionnels chez HP salue : « la stratégie présentée par la Commission Européenne sur la cyber-sécurité, qui reconnaît à échelle européenne la responsabilité partagée de tous les acteurs du secteur, ainsi que le rôle clé de l'industrie informatique. La sécurité d'une organisation repose sur la fiabilité de chaque élément qui la compose et nous avons besoin par conséquent de nous focaliser sur des solutions de prévention. Nous espérons ainsi que notre expertise contribuera à créer une Europe plus résistante aux menaces informatiques ».
Toutefois, l'obligation de notification de failles de sécurité ne signifie pas qu'une attaque doit être rendue publique. Le professionnel visé devra rapporter l'information à l'autorité nationale compétente (comme l'ANSSI). Cette dernière pourra ensuite divulguer ou non l'attaque afin de donner plus de poids à cette dernière ou d'éviter qu'elle n'entache la réputation d'une société. Enfin, l'autorité nationale pourrait disposer du pouvoir de sanctionner un professionnel en cas de défaut de notification.