Alain Deladrière
En 2008, un rapport présentait la Belgique comme étant un des moins bons élèves de la place européenne dans la lutte contre la cybercriminalité. « Mais depuis lors bien des choses ont changé même s’il reste du pain sur la planche », nous a confié Georges Ataya, directeur académique à Solvay Brussels School of Economics and Management en charge des formations en management de cybersécurité et gestion du risque et vice-président de la coalition belge de la cybersécurité. Nous vous proposons de le suivre à travers plusieurs articles sur la lutte contre la cybercriminalité.
Dans un rapport publié en 2015, Kaspersky Lab et B2B International indiquaient entre autres que le budget moyen pour se relever d’une violation de sécurité atteignait 504.000 euros pour les grandes entreprises et 34.750 euros pour les petites et moyennes entreprises. D’autre part, dans son Baromètre des risques pour 2016, Allianz Global Corporate & Speciality souligne que deux des causes en hausse dans cette édition du Baromètre, à savoir les développements de marché et les cyberincidents sont, pour la première fois parmi les trois premiers risques d’entreprise et se classent respectivement à la deuxième et troisième places. « Les attaques menées par les pirates sont plus ciblées, durent plus longtemps et peuvent déclencher une intrusion continue », explique Jens Krickhahn, expert en cyber-assurance chez AGCS.
Risk & Compliance Platform Europe : Que dit l’Europe en matière de lutte contre la cybercriminalité?
G. Ataya : « Au niveau européen, il y a la future directive NIS, Network and Information Security (Sécurité des Réseaux et de l’Information, SRI) initiée en 2012-2013. Elle a comme objectif de régulariser le domaine de la cybersécurité. Nous suivons un peu les Etats-Unis qui avaient un certain nombre de directives et d’actions assez positives dans la mesure où elles proposent aux administrations et entreprises qui constituent des infrastructures critiques, une méthode de réponse. Toutes les entreprises peuvent d’ailleurs s’inspirer de standards et de cadres de référence mis en place globalement. »
Comme l’avait communiqué la Présidence du Conseil de l’Union européenne, le 7 décembre 2015, la présidence luxembourgeoise du Conseil est parvenue à un accord informel avec le Parlement européen sur des règles communes visant à renforcer la sécurité des réseaux et de l’information (SRI /NIS) au sein de l’Union européenne.
La nouvelle directive définira des obligations en matière de cybersécurité pour les opérateurs de services essentiels et les fournisseurs de services numériques. Ces opérateurs devront prendre des mesures pour gérer les cyber-risques et signaler les principaux incidents de sécurité, mais des régimes différents s’appliqueront aux deux catégories d’opérateurs. La directive énumère un certain nombre de secteurs critiques dans lesquels les opérateurs de services essentiels exercent leur activité, tels que l’énergie, les transports, les services financiers et la santé. Dans ces secteurs, les États membres identifieront, sur la base de critères clairs énoncés dans la directive, les opérateurs qui fournissent des services essentiels. Ces opérateurs seront soumis à des exigences et à une surveillance plus importantes que les fournisseurs de services numériques. Cela s’explique par le niveau de risque qu’est susceptible d’occasionner pour la société et pour l’économie toute interruption de leurs services. Le communiqué poursuit en soulignant que les services numériques que sont les plateformes de commerce électronique, les moteurs de recherche et les services en cloud sont concernés.
En règle générale, les fournisseurs de services numériques exercent leurs activités dans de nombreux États membres. Afin de leur garantir un traitement similaire dans l’ensemble de l’UE, les règles s’appliqueront à tous les opérateurs fournissant ce type de services, à l’exception des petites entreprises. Chaque pays de l’UE devra désigner une ou plusieurs autorités nationales et élaborer une stratégie pour traiter des questions liées au cyberespace.
Le 17 décembre, lors d’une réunion extraordinaire, la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a entériné les textes approuvés pendant les trilogues. Le 18 décembre 2015, le Comité des représentants permanents (Coreper) a ainsi été en mesure de confirmer les textes de compromis définitifs du règlement et de la directive. Après leur mise au point par les juristes-linguistes, ces textes seront soumis pour adoption au Conseil, puis au Parlement européen. Le règlement et la directive devraient entrer en vigueur au printemps 2018.
« Il s’agit d’un accord fondamental aux conséquences importantes. Cette réforme ne renforce pas seulement les droits des citoyens, elle adapte également, au profit des entreprises, les règles à l’ère du numérique, tout en réduisant les charges administratives. Il s’agit de textes ambitieux et tournés vers l’avenir. Nous pouvons avoir une totale confiance dans le résultat, » avait déclaré alors Félix Braz, ministre luxembourgeois de la justice et président du Conseil.
Risk & Compliance Platform Europe : La Belgique s’est-elle finalement mobilisée pour lutter contre les cyberattaques ?
G. Ataya : « On revient de loin ! En 2008 j’ai été coauteur avec un ensemble d’autres professeurs et responsables d’organisations professionnelles d’un rapport présentant la Belgique comme étant un des moins bons élèves de la place européenne en terme de lutte contre la cybercriminalité, en tout cas de conscientisation et d’action. Depuis lors, pas mal de choses ont changé dans la mesure où le Computer Crime Unit de la police fédérale (FCCU) est très actif, tout comme le CERT.be (Cyber Emergency Team, l’équipe fédérale d’intervention d’urgence en sécurité informatique). Très récemment également, le Premier Ministre a désigné enfin le directeur et le directeur adjoint du Centre belge de la Cybersécurité. En deux à trois mois, le personnel de ce Centre a accompli un travail impressionnant !
Leur travail consiste surtout en la coordination des différentes activités qui se passent au niveau du service public, de gérer les activités en cas de crise relative à la sécurité et de créer une conscientisation et une préparation des capacités de réponse au niveau national.
Il existe en outre la Commission de la vie privée, le Ministère de l’Intérieur, le Ministère de la Défense, le SPF FEDICT (technologie de l’information et de la communication), etc.
Beaucoup d’administrations sont donc impliquées d’une façon ou d’une autre soit pour la conscientisation soit pour la mise en place de méthodes de défense, soit encore établir la coordination suite à une attaque ou suivre les infrastructures critiques que nous avons et s’assurer que ces dernières sont protégées d’une façon ou d’une autre.
Il est aussi important de citer la loi du 15 août 2012 qui règlemente les échanges de sources authentiques à travers les services publiques. Elle définit aussi les activités des conseillers en sécurité de l’information et en exige leur désignation au sein des entreprises et des services publiques.
Cette fonction devra par la loi rapporter directement au Directeur général/Président de l’administration. Elle doit le guider dans l’évaluation du risque et dans la définition d’un plan d’actions à mettre en place de manière à protéger son administration contre les risques identifiés.
On peut parler aussi des régulateurs en dehors du service public qui supervisent les entreprises de leur secteur (bancaire, télécoms, énergie, ou autres), pour mettre en place les moyens nécessaires pour se protéger.
On a donc bougé en Belgique. Mais si l’avancée est importante, il reste encore du travail à réaliser. Dans le cadre de la mise en place du réseau paneuropéen de CERTs (Computer Emergency Response Teams), c’est-à-dire des centres d’alerte et de réaction aux attaques informatiques, les pompiers de l’Internet, il faudrait régulièrement s’assurer des budgets, des compétences et des méthodes de travail du CERT.BE qui effectuent un travail important. Ce service organise aussi des activités de conscientisation ainsi qu’une conférence annuelle de très haut niveau. »
Risk & Compliance Platform Europe : Le risque justifie-t-il toute cette mobilisation ?
Georges Ataya : « Je reviens vers le Baromètre déjà mentionné plus haut pour rappeler que les cyberincidents sont cités comme étant le risque long terme le plus important pour les sociétés au cours des dix prochaines années. Les cyberincidents incluent la cybercriminalité ou les violations de données mais également les pannes techniques informatiques. Ils progressent de 11% par rapport à l’année précédente et, pour la première fois, passent de la 5ème à la 3ème position (28% des réponses, 40% en Europe). Il y a 5 ans, lors du premier Baromètre, ils étaient considérés comme un risque par seulement 1% des personnes interrogées. D’après les réponses, la perte de réputation (69%) est la principale cause de perte économique pour les entreprises après un cyberincident, suivie par l’interruption d’activité (60%) et les poursuites en responsabilité après une violation de données (52%).»
(A suivre)