Alain Deladrière
« Les cyberattaques dans le secteur énergétique représentent l’une des principales menaces à l’encontre de notre civilisation » explique William De Riemaecker, Buyle Legal, avocat spécialisé dans les matières énergétiques. Dans ce quatrième et dernier article, nous proposons d’examiner de plus près avec William De Riemaecker, la Directive NIS et son approche pratique.
La Directive NIS
Comme déjà évoqué, la Directive NIS vise à sécuriser les réseaux et les systèmes d’information contre tous risques et incidents, notamment en matière de cybersécurité pour les opérateurs de services essentiels dans les secteurs de l’énergie (électricité, gaz, pétrole), des transports (aérien, ferroviaire, voie d’eau, routier), des banques, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d’eau potable et des infrastructures numériques. S’ajoute à cela l’obligation pour les opérateurs de notifier les incidents qui ont un impact sur la continuité de leurs services essentiels.
William De Riemaecker : « Elle réglemente selon deux points. Un point institutionnel pour que les états de l’UE fassent tout ce qu’il faut pour y parvenir. Elle demande à chaque état d’établir un plan stratégique de cybersécurité, d’implanter une autorité compétente qui supervise le fait que tous les prescrits de la directive soient bien respectés. Il faut aussi qu’il y ait un centre de réponse aux incitants de sécurité informatiques qui serait plus une autorité de soutien en cas de crise. Elle impose la collaboration de toutes ces autorités au niveau européen.
Si la directive impose aux opérateurs de services essentiels des obligations en matière de cybersécurité au niveau européen afin de prendre toutes les précautions pour avoir un système de défense permettant de prévenir et de régler les problèmes quand ils surviennent, elle laisse cependant beaucoup de marge de manœuvre aux états qui iront certainement plus loin.
Ceci dit, le niveau de sécurité doit être adapté au risque existant en prenant en compte la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l’audit et le contrôle ainsi que le respect des normes internationales.
L’autorité compétente qui est instituée à un pouvoir d’instruction et d’audit et peut donc demander toutes les informations pour savoir ce qui a été mis en place, comment, etc. Si cela ne satisfait pas, l’autorité compétente a le droit de faire des recommandations contraignantes.
Au niveau des sanctions, la directive souligne que les Etats membres fixent des règles relatives aux sanctions applicables en cas d’infractions aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées.
Dans cette directive, la deuxième chose importante est la notification de la part des opérateurs de services essentiels de toute cyberattaque auprès du centre compétent ad hoc. Cela permettra aussi de pouvoir gérer la crise en collaboration. Enfin, la standardisation et la certification sont aussi évoquées dans la directive.
En Belgique, les institutions ont déjà été mises en place. Cela a été fait en parallèle avec la directive sur les données privées qui entrera également en vigueur à cette date. A noter que ces institutions mises en place vont devoir travailler ensemble parce que les cyberattaques en matière énergétique pourront avoir des implications sur les data privacy.»
Approche pratique ?
Sur ce plan-là, la directive ne dit rien. Il s’agit en fait d’une directive d’implémentation minimum, où comme souligné, les états peuvent aller plus loin. Mais en haut de l’échelle, les responsables commencent à comprendre que pour lutter contre les cyberrisques et cyberattaques, il faut plus que simplement un informaticien qui gère un parc informatique! Une politique interne de gouvernance bien établie avec un vrai département est indispensable.
« La première étape avant toute chose est de prendre conscience de ce fait,» insiste William De Riemaecker. « Ensuite, pour chaque secteur, il s’agit d’analyser tous les risques, les points faibles, comment peuvent-ils être attaqués. Etablir une sorte de cross benefit analysis. Implémenter ce que demande la directive c’est-à-dire à la fois un système de prévention, de détection et de gestion des cyberattaques.
Au niveau technologique, on aura le système de défense de détection et d’antivirus auquel s’ajoutera un aspect défense active qui s’emploiera sur le cyberspace concerné à détecter tout point anormal. Outre le système technologique (hardware, software, antivirus…), il faudra penser au caractère humain avec la mise en place d’une culture d’entreprise où l’on retrouve une conscientisation de haut en bas. Il sera sans doute nécessaire de plus en plus de procéder à des formations en interne dans ce domaine.
Voilà pour la base. Ensuite en interne, il faut prévoir un système de gouvernance de haut en bas avec prévention et gestion de crise. Il faudra aussi déterminer des responsabilités claires au sein de ces départements: qui fait quoi, comment s’opère la communication, quid de la communication avec les autorités… Ce sera à mon avis le gros du travail à réaliser en compliance.
Dans le futur, on verra sans doute de plus en plus de sociétés de consultance qui interviendront pour examiner les colonnes de pouvoirs, effectuer des tests, identifier où se situent les responsabilités. C’est un peu comme les juristes auparavant: ils étaient peu nombreux; avec l’accroissement de la conformité, les choses ont changé. Il en sera sans doute de même en matière de sécurité et de cybersécurité.
Pour le secteur énergétique, les autorités nationales (donc par pays) sont compétentes. Le grand rêve à présent est de régionaliser plusieurs pays. Dès lors, pourquoi tout simplement ne pas avoir plutôt une autorité compétente pour toute l’Europe ? Ce serait assez intelligent parce que le réseau électrique actuel, par exemple, est européen. Mais les états européens veulent conserver leur souveraineté. A suivre donc…
Une dernière remarque : très rares sont les entreprises « informatisées » n’étant pas concernées par le GDPR- qui entre également en application en 2018 – vu la définition très large de « données à caractère personnel ». Si moins d’entreprises sont concernées par la Directive NIS, le GDPR et NIS peuvent cependant s’appliquer de manière cumulative. »
CCB et CERT.be
Depuis 2014, la Belgique dispose du Centre pour la Cybersécurité Belgique (CCB), le centre national dédié à la cybersécurité. Le CCB a pour mission de superviser, coordonner et veiller à la mise en œuvre de la stratégie belge en matière de cybersécurité. C’est en optimalisant l’échange d’informations que la population, les entreprises les autorités et les secteurs vitaux pourront se protéger de manière adéquate.( www.ccb.belgium.be )
Le CCB est appuyé par une équipe fédérale de cybersécurité,le Computer Emergency Team (CERT.be), le service opérationnel du CCB, qui soutient les autorités publiques, les secteurs vitaux et les entreprises dans la prévention, la coordination et l’assistance des incidents de cybersécurité (www.cert.be)
En ce qui concerne la directive NIS, le Conseil des ministres du 20 juillet 2017 a publié que le premier ministre, sous l’autorité duquel est placé le Centre pour la Cybersécurité Belgique, pilote la transposition en droit belge de la directive européenne 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information (directive NIS). La note-cadre a pour but de donner l’orientation de travail générale nécessaire pour la suite de l’exercice de transposition, transposition qui doit donc se faire pour le 9 novembre 2018 au plus tard.