Toutes les semaines, les médias se font l’écho de cyberattaques qui poussent vers des situations délicates voir risquées pour la continuité de l’activité ciblée.
Mais qui sont ceux qui font cela ? Que prévoit la loi ? Quelles sont mes obligations ? Comment atteindre l’état de l’art ? Qu’est ce que la résilience digitale ?
En 2020, SolarWinds, entreprise spécialisée dans les logiciels de gestion des réseaux et de la sécurité informatique, a révélé que des cybercriminels avaient corrompu sa solution « ORION » qui permet la surveillance d’assets IT.
Source : https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
Conséquence, cette infiltration a permis de distribuer des mises à jour corrompues à plus de 18 000 clients de SolarWinds.
Cette attaque médiatisée a été qualifiée « d’attaque de la chaîne d’approvisionnement ». En effet, l’attaque a exploité l’angle de la confiance des clients dans le système de mise à jour logiciel censé provenir d’une source reconnue comme « de confiance ».
L’analyse des cyberattaques de 2022, a définitivement démontré qu’elles intervenaient sans distinction du secteur d’activité.
Les principaux vecteurs :
Source : https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022
Le phishing reste le vecteur d’attaque le plus populaire :
Source : https://bolster.ai/blog/2024-state-of-phishing-statistics-online-scams
Un rapport interessant du Gartner met en lumière une évolution des attaques dopées par l’intelligence artificielle (nous sommes au balbutiement) :
Source: https://www.gartner.com/en/newsroom/press-releases/2024-02-22-gartner-identifies-top-cybersecurity-trends-for-2024
“GenAI is occupying significant headspace of security leaders as another challenge to manage, but also offers an opportunity to harness its capabilities to augment security at an operational level,” said Richard Addiscott, Senior Director Analyst at Gartner. “Despite GenAI’s inescapable force, leaders also continue to contend with other external factors outside their control they shouldn’t ignore this year.”
Le nouvel enjeu du risque cyber, c’est bien la désinformation liée aux contenus générés rapidement sans contrôle : « L’information, c’est le pouvoir » « Alfred Sauvy »
Votre entreprise et votre chaine d’approvisionnement sont concernées car vous pourriez être propagateur ou bien la cible d’un rebond d’attaque.
En effet, le niveau de résilience aux cyberattaques est globalement bas :
Source : https://cyber.gouv.fr/publications/un-niveau-eleve-de-cybermenaces-en-2022
Statistiquement, les petites et moyennes entreprises sont 4 à 5 fois plus nombreuses à être victimes de cyberattaques.
Source : https://www.vie-publique.fr/en-bref/280574-cybersecurite-des-entreprises-mieux-proteger-les-tpe-pme
D’un côté, nous avons les entreprises qui mettent en place les solutions à leur résilience, et de l’autre les petites et moyennes entreprises sont moins protégées, moins formées et moins structurées.
Il ne s’agit plus de savoir si votre entreprise va subir ou non une cyber attaque mais plutôt comment la catégoriser, l’atténuer, réagir, et communiquer quand elle surviendra.
La directive NIS2 (Network and Information Security, version 2) est l’évolution de la réglementation européenne Version 1 (NIS1) qui vise à harmoniser et renforcer la cyber résilience.
Elle introduit de nouvelles mesures afin d’atteindre un niveau élevé de résilience des réseaux et des systèmes d’information.
La NIS2 a été publiée en décembre 2022 et entrera en vigueur en France le 18 octobre 2024.
La NIS2 a pour objectif d’élargir les secteurs d’activités concernés. Elle s’adresse aux entreprises privées, aux organisations, aux administrations publiques et à d’autres entités opérant au sein de l’UE et intègre des critères de tailles depuis la PME jusqu’aux groupes du CAC40.
En effet, l’un des objectifs stratégiques de NIS2 est sa propagation à d’autres secteurs d’activités considérés comme « Importants ».
NIS2 :
Source : https://www.nis-2-directive.com/Transposition/France.html
Pour les organisations essentielles et importantes, de nouvelles mesures techniques, organisationnelles et opérationnelles devront être mises en place :
Selon votre secteur d’activité, les entreprises ne se conformant pas aux dispositions pourraient être exposées à des sanctions financières.
Il faut dire que NIS2 introduit un mécanisme d’amendes. Les sanctions pourraient atteindre soit 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités dites « Essentielles » et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités dites « Importantes ». Les sanctions devraient être renforcées s’il y a constat d’une violation des obligations RGPD.
De plus, en cas d’incident de sécurité résultant d’une non-conformité, elles pourraient être tenues pour responsables des conséquences des dommages opérationnels et/ou financiers qui en résultent pour la chaine d’approvisionnement.
Source : https://nis2directive.eu/nis2-fines/
NIS2, 3CF, PART-IS ou ISO/IEC27001 engagent la responsabilité de la Direction Générale et du Top Management.
Vous êtes invité à prendre un rôle actif dans la gestion de la cybersécurité et vous assurer que des mesures appropriées sont en place et réelles pour protéger vos intérêts et ceux de votre environnement.
Certains secteurs sont invités à appliquer la conformité dès aujourd’hui, obligeant à l’évolution de leur hygiène digitale pour atteindre la résilience aux attaques.
Ainsi, mettre en place une conformité a surtout pour but d’appréhender le sujet pour avoir une réponse efficace à ce type d’évènement.
De nombreuses ressources sont disponibles pour aider les entreprises à se conformer, telles que les guides et recommandations de l’ANSSI.
Il est également possible de solliciter l’aide de prestataires de services sectoriels spécialisés dans l’accompagnement de votre projet dans une démarche proactive de gouvernance de votre résilience cyber.
En résonance aux directives européennes, en 2009, la France crée l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) remplaçant ainsi la DCSSI.
Cette agence a pour but de gouverner la réalité du risque cyber à l’échelle nationale.
De plus, elle s’occupe de la transposition des directives cyber européennes à la législation française.
Enfin, son pouvoir est renforcé depuis la Loi de Promulgation Militaire de 2013 qui a élevé cette agence au rang d’autorité.
Preuve, s’il en fallait encore une, de l’importance revêtue désormais par les conséquences des cyber-attaques.
Elle a pour missions entre autres :
Pour débuter, il faut noter que vous pouvez être poursuivi juridiquement pour ne pas avoir mis suffisamment de moyens à vos intérêts.
Ensuite, le RGPD est la première obligation applicable.
Enfin, la Loi de Programmation Militaire (LPM) a classifié les entités par secteur d’activité et selon leur impact potentiel dans la vie de la nation en cas de dysfonctionnement.
Ainsi, la loi a identifié 12 activités d’importance dite « vitale » (Opérateur d’Importance Vitale – O.I.V.)
Ces dernières étant réparties en 4 dominantes distribuées en sous-secteur d’activité :
Ces 4 dominantes s’intègrent dans un dispositif interministériel pour la sécurité des activités d’importance vitale.
Pour exemple, le ministère des transports a délégué la DGAC, à l’application d’une mise en place structurée et graduelle, il s’agit du Cadre de Conformité Cyber Français (3CF).
Il s’agit d’un accompagnement sous-sectoriel dédié au secteur de l’aéronautique civil. Il est composé de 4 niveaux dont l’objectif est d’atteindre le cadre de conformité sous-sectoriel cyber européen, le PART-IS.
La DGAC a mis en place un groupe de travail afin de s’assurer de l’applicabilité dans des environnements très hétérogènes de ce sous-secteur.
ISO27001 est la norme abordant les systèmes de gestion de la sécurité de l’information.
La directive NIS2 est le cadre européen pour un ensemble de mesures encadrant la question de la cybersécurité qui entre en vigueur au 18 octobre 2024.
La PART-IS est un cadre sous-sectoriel applicable aux Opérateurs de Services Essentiels (OSE) européens.
Le 3CF est la transposition française de PART-IS et applicable aux OIV Français.
En effet, imaginez une indisponibilité des systèmes d’enregistrements d’un aéroport comme CDG.
Conséquences : de très nombreux passagers mécontents, des milliers de vols perturbés ou annulés. Une pluie d’insatisfaction des usagers.
Notons que cela s’est déjà produit en 2022 sur l’aéroport Chopin à Varsovie ou encore en 2023 à l’aéroport international de Dusseldorf en Allemagne.
Les OIV sont composé de nombreux cadres réglementaires et d’organismes de tutelle et approbateurs.
3CF ambitionne de concentrer et simplifier les cadres de conformités applicables en une réponse unique et porteuse de sens.
Il s’agit des gestionnaires de plateforme aéroportuaires ainsi que les exploitants d’aéronefs, Supply chain de compagnie aérienne, CAMO, les organismes de maintenances aéronautiques (PART145) le 22 février 2026.
Vous êtes supply chain, vous devez être conforme !
La conformité a pour but de vous sensibiliser au risque mais aussi de vous accompagner à acquérir les bon usages et réflexes pour une bonne hygiène digitale.
Plus généralement :
Gardez votre image et votre chiffre d’affaires intacts, faites de votre résilience un enjeu stratégique et un avantage de compétitivité marché.