À propos L’équipe Blog Recrutement Contact Espace Client
Contact
Légal

L’ère des cyberattaques : Comment renforcer votre résilience digitale

Écrit le par Martial LILLO

Toutes les semaines, les médias se font l’écho de cyberattaques qui poussent vers des situations délicates voir risquées pour la continuité de l’activité ciblée.

Mais qui sont ceux qui font cela ? Que prévoit la loi ? Quelles sont mes obligations ? Comment atteindre l’état de l’art ? Qu’est ce que la résilience digitale ?

DES FAITS APPUYÉS

Souvenez-vous, en 2020, SolarWinds, entreprise spécialisée dans les logiciels de gestion des réseaux et de la sécurité informatique, a révélé que des cybercriminels avaient corrompu son logiciel ORION.

Conséquence, cette infiltration a permis de distribuer des mises à jour corrompues à plus 18 000 clients de SolarWinds.

Cette attaque médiatisée a été qualifiée « d’attaque de la chaîne d’approvisionnement ». En effet, l’attaque a exploité l’angle de la confiance des clients dans le système de mise à jour logiciel censé provenir d’une source reconnue comme « de confiance ».

Les constats

L’analyse des cyberattaques de 2022, a définitivement démontré qu’elles intervenaient sans distinction de cible, sans distinction du secteur d’activité et de taille.

Les deux principaux vecteurs de risque sont d’une part les emails et d’autre part, les failles logicielles.

En conséquence, retenez que les attaques par email représentent un taux de +91% de réussite. Hallucinant !

Donc, votre entreprise et votre chaine d’approvisionnement sont concernées car vous pourriez être propagateur ou bien la cible d’un rebond d’attaque.

En effet, le niveau de résilience aux cyberattaques est globalement bas.

Les premières conclusions

Ainsi, plutôt que de s’attaquer aux entreprises du CAC40, les cyberattaquants exploitent les faiblesses des sous-traitants pour accomplir leurs méfaits.

Effectivement, les fournisseurs sont pour la majorité de plus petite taille et de ce fait, les exigences et les moyens à leur résilience sont probablement différents.

Ainsi, nous pouvons en déduire qu’il est plus aisé de s’attaquer aux petites organisations, de s’infiltrer et d’attendre des circonstances favorables pour déclencher l’attaque.

Vous êtes protégé par un antivirus, vous ne présentez aucun intérêt pour l’attaquant ?

Notez que toutes les catégories d’entreprises sont susceptibles de se confronter à une cyberattaque. Fournisseur d’électricité, compagnie aérienne, galerie marchande, hôpitaux, distributeur d’eau potable, fournisseur de boulons, de matières premières, même votre plombier ou votre boulanger.

Bien que nous comprenions que les risques soient différents selon les cibles, il est à parier que les cyberattaques vont s’intensifier sur les cibles les plus exposées.

4,5 fois plus nombreuses à êtrE victime

Statistiquement, les petites et moyennes entreprises sont 4 à 5 fois plus nombreuses à être victimes de cyberattaques.

Ainsi, d’une part des entreprises qui mettent en place l’outillage à leur résilience.

D’autre part, moins protégées, moins formées, moins structurées, les petites et moyenne entreprises sont particulièrement sensibles aux actes malveillants.

En effet, chiffrement des données, annihilation des sauvegardes ou encore ouverture de portes dérobées sur votre réseau.

Par ailleurs, ces modes opératoires ont démontré leur capacité de nuisance en poussant vers la faillite dans les cas les plus graves.

Ce constat souligne l’importance de l’effort à l’éveil général qui doit être accompagné sur le sujet des responsabilités de chacun.

Comme les gestes barrières, se protéger pour sauvegarder son exploitation devrait être un basique.

Ainsi, il ne s’agit plus de savoir si votre entreprise va subir ou non une cyberattaque mais plutôt comment la catégoriser, l’atténuer, réagir, et communiquer quand elle surviendra.

Face aux conséquences désastreuses des cyberattaques, la communauté européenne et l’état français ont réagi et apporté des réponses efficaces et pertinentes par voie d’obligations.

DES RETOURS ENCOURAGEANTS

Le retour d’expérience des membres du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) appuyé par les statistiques des membres de ce dernier, souligne une corrélation directe entre diminution des attaques et mise en place de l’outillage de l’hygiène digitale.

Mieux ! Le Club mesure l’accélération du recul des attaques à mesure de l’avancée de la sensibilisation des usagers.

En effet, à mesure que les collaborateurs saisissent l’intérêt de la démarche, ils contribuent spontanément à renforcer l’efficacité des outils en place, la notion de « pare-feu humain » est posée.

Ainsi, les résultats des statistiques des experts permettent de valider l’efficacité terrain de l’hygiène digitale.

Donc la résilience passe par la qualité de votre hygiène digitale qui gouverne l’outillage et la sensibilisation du facteur l’humain.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security, version 2) est l’évolution de la réglementation européenne Version 1 (NIS1) qui vise à harmoniser et renforcer la cyber résilience.

Elle introduit de nouvelles mesures afin d’atteindre un niveau élevé de résilience des réseaux et des systèmes d’information.

La NIS2 a été publiée en décembre 2022 et la France a jusqu’au second semestre 2024 pour la transposer dans sa législation.

Qui est concerné par NIS2 ?

La NIS2 a pour objectif d’élargir les secteurs d’activités concernés. Elle s’adresse aux entreprises privées, aux organisations, aux administrations publiques et à d’autres entités opérant au sein de l’UE et intègre des critères de tailles depuis la PME jusqu’aux groupes du CAC40.

En effet, l’un des objectifs stratégiques de NIS2 est sa propagation à d’autres secteurs d’activités considérés comme « Importants ».

Avec sa version 2, l’Europe renforce la directive par ajout et précisions :

  • Elle renforce les définitions des OSE (Opérateurs de Services Essentiels – OES : Operators of Essential Services) et les Entités Essentielles (EE).
  • Et ajoute des notions telles que FSN (Fournisseurs de Services Numériques – DSP : Digital Service Providers) et les Entités Importantes (EI).
  • Notation de la Sécurité : NIS 2 introduit un système de notation de la qualité de l’outillage mise en place.

Une entité est qualifiée sur la base de deux critères :

  • La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) :
  • La criticité de son secteur d’activité sur elle-même et sur son écosystème ;

Introduisant par la même de nouvelles obligations pour les entités concernées. Pour les organisations essentielles et importantes, de nouvelles mesures techniques, organisationnelles et opérationnelles devront être mises en place :

  • Obligation contractuelle de sécurité de la chaîne d’approvisionnement :
  • Obligation de notification :
  • Responsabilité de la direction :

Selon votre secteur d’activité, les entreprises ne se conformant pas aux dispositions pourraient être exposées à des sanctions financières.

Il faut dire que NIS2 introduit un mécanisme d’amendes. Les sanctions pourraient atteindre soit 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités dites « Essentielles » et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités dites « Importantes ». Les sanctions devraient être renforcées s’il y a constat d’une violation des obligations RGPD.

De plus, en cas d’incident de sécurité résultant d’une non-conformité, elles pourraient être tenues pour responsables des conséquences des dommages opérationnels et/ou financiers qui en résultent pour la chaine d’approvisionnement.

Responsabilités de la Direction Générale et du Top Management

NIS2, 3CF, IS-PART ou ISO/IEC27001 engagent la responsabilité de la Direction Générale et du Top Management.

Vous êtes invité à prendre un rôle actif dans la gestion de la cybersécurité et vous assurer que des mesures appropriées sont en place et réelles pour protéger vos intérêts et ceux de votre environnement.

Période de transition, les réalités !

Certains secteurs sont invités à appliquer la conformité dès aujourd’hui, obligeant à l’évolution de leur hygiène digitale pour atteindre la résilience aux attaques.

Chaque obligation règlementaire est faite pour vous élever !

Ainsi, mettre en place une conformité a surtout pour but d’appréhender le sujet pour avoir une réponse efficace à ce type d’évènement.

Commercialement, la conformité permet de travailler plus facilement avec des circuits d’approvisionnement européens conformes eux aussi.

De nombreuses ressources sont disponibles pour aider les entreprises à se conformer, telles que les guides et recommandations de l’ANSSI.

Il est également possible de solliciter l’aide de prestataires de services sectoriels spécialisés dans l’accompagnement de votre projet dans une démarche proactive de gouvernance de votre résilience cyber.

Raisons de la création de l’ANSSI

En résonance aux directives européennes, en 2009, la France crée l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) remplaçant ainsi la DCSSI.

Cette agence a pour but de gouverner la réalité du risque cyber à l’échelle nationale.

De plus, elle s’occupe de la transposition des directives cyber européennes à la législation française.

Enfin, son pouvoir est renforcé depuis la Loi de Promulgation Militaire de 2014 qui a élevé cette agence au rang d’autorité.

Preuve, s’il en fallait encore une, de l’importance revêtue désormais par les conséquences des cyber-attaques.

Elle a pour missions entre autres :

  • De promouvoir un système de gouvernance.
  • De sensibiliser, éveiller, former et informer, les administrations, les organisations et entreprises.
  • De diffuser, des documentations référentes, (exemple : « Les 42 mesures pour une hygiène digitale »).
  • De labéliser un écosystème de services et compétences de confiance.

Quelles sont mes obligations cyber ?

Pour débuter, il faut noter que vous pouvez être poursuivi juridiquement pour ne pas avoir mis suffisamment de moyens à vos intérêts.

Ensuite, le RGPD est la première obligation applicable.

Enfin, la Loi de Programmation Militaire (LPM) a classifié les entités par secteur d’activité et selon leur impact potentiel dans la vie de la nation en cas de dysfonctionnement.

Ainsi, la loi a identifié 12 activités d’importance dite « vitale » (Opérateur d’Importance Vitale – O.I.V.) ces dernières étant réparties en 4 dominantes distribuées en sous-secteur d’activité :

  • HUMAINE : pour le secteur Alimentaires, la Gestion de l’eau et la Santé.
  • RÉGALIENNE : pour les activités Civiles, Militaires et Juridiques de l’État.
  • ECONOMIQUE : Pour les secteurs de l’Énergie, des Finances et du Transport.
  • TECHNOLOGIQUE : Pour les secteurs des Communications électroniques, Audiovisuel et de l’Information, l’industrie de l’Armement et l’Espace & Recherches.

Ces 4 dominantes s’intègrent dans un dispositif interministériel pour la sécurité des activités d’importance vitale.

Pour exemple, le ministère des transports a délégué la DGAC, à l’application d’une mise en place structurée et graduelle, il s’agit du Cadre de Conformité Cyber Français (3CF).

Qu’est-ce que la 3CF ?

Il s’agit d’un accompagnement sous-sectoriel dédié au secteur de l’aéronautique civil. Il est composé de 5 phases dont l’objectif est d’atteindre le cadre de conformité sous-sectoriel cyber européen, le SI-Part.

La DGAC a mis en place un groupe de travail afin de s’assurer de l’applicabilité dans des environnements très hétérogènes de ce sous-secteur.

Pourquoi la 3CF ?

ISO27001 est la norme référente abordant les systèmes de gestion de la sécurité de l’information.

La directive NIS2 est le cadre européen pour un ensemble de mesures encadrant la question de la cybersécurité.

La SI-PART est un cadre sous-sectoriel applicable aux Opérateurs de Services Essentiels (OSE) européens.

La 3CF est la transposition française de SI-PART et applicable aux OIV Français.

En effet, imaginez une indisponibilité des systèmes d’enregistrements d’un aéroport comme CDG.

Conséquences : de très nombreux passagers cloués au sol, des milliers de vols perturbés ou annulés. Une pluie d’insatisfaction des usagers.

Notons que cela s’est déjà produit sur l’aéroport Chopin à Varsovie ou encore en 2023 à l’aéroport international de Dusseldorf en Allemagne.

Ensuite, de comprendre la complexité de l’environnement d’une OIV qui est composé de nombreux cadres réglementaires et d’organismes de tutelle et approbateurs.

3CF ambitionne de concentrer et simplifier les cadres de conformités applicables en une réponse unique et porteuse de sens.

Qui est concerné par 3CF ?

Dans un premier temps, Il s’agit des gestionnaires de plateforme aéroportuaires ainsi que les exploitants d’aéronefs à l’horizon 2026.

Dans un second temps, seront concernés les centres de formation, les Organismes de Gestion du Maintien de la Navigabilité (CAMO) et les organismes de maintenances aéronautiques (PART145).

Vous êtes fournisseur ou sous-traitant, anticipez afin d’être conforme et justifiez de votre maturité sur le sujet !

Je ne suis pas une OIV, AI-JE UNE obligation ?

D’abord, quand il s’agit de votre entreprise avez-vous réellement besoin « d’obligations » pour protéger votre business ?

Ensuite, n’avez-vous pas de devoir envers vos Clients, Fournisseurs, Collaborateurs, Consultants ?

N’avez-vous pas le souhait de protéger les années de labeur à construire l’image de qualité de votre entreprise ?

Souhaitez-vous réellement prendre le risque de subir une cyber-attaque ?

N’avez-vous pas à cœur de protéger la fierté de créer des emplois ?

Dès aujourd’hui, vous pourriez être juridiquement responsable en cas de constat d’une insuffisance manifeste à la protection de votre entreprise.

Enfin, toutes les activités dont les critères correspondent à celles de la NIS2 doivent d’ores et déjà appliquer la directive européenne.

CE QU’IL FAUT RETENIR

La conformité a pour but de vous sensibiliser au risque mais aussi de vous accompagner à acquérir les bon usages et réflexes pour une bonne hygiène digitale.

Plus généralement :

  • Matérialiser, mesurer une menace aujourd’hui invisible ;
  • Élever le niveau de confiance inter-organisation ;
  • Éveiller les consciences à la réalité des conséquences techniques & organisationnelles ;
  • Élever les compétences des usagers à la découverte de leurs super-pouvoirs ;
  • Protéger vos intérêts et par granularité ceux de vos Clients & Fournisseurs ;
  • Protéger votre savoir-faire, vos secrets de fabrication et méthodologies de travail ;
  • Avoir une avance stratégique supplémentaire ;
  • Protéger votre image ;
  • Construire un protocole d’atténuation du risque ;
  • Définir une gestion de crise ;
  • Définir un protocole de remise en route ou de continuité efficace ;

Désormais, les outils sont matures, ce qui justifie les constats obtenus par les membres du CESIN.

Ainsi, quelle que soit votre taille, votre secteur d’activité, vous avez le pouvoir de devenir cyber-résilient.

Nous pouvons vous accompagner dans votre découverte de la résilience par la mise en place de votre hygiène digitale.

Gardez votre image et votre chiffre d’affaires intactes, faites de votre résilience un enjeu stratégique et un avantage de compétitivité marché.

Êtes-vous prêt à passer à l’offensive ?