Contact

L’ère des cyberattaques : Comment renforcer votre résilience digitale

Écrit le par Clément DEFRANCE

Toutes les semaines, les médias se font l’écho de cyberattaques qui poussent vers des situations délicates voir risquées pour la continuité de l’activité ciblée.

Mais qui sont ceux qui font cela ? Que prévoit la loi ? Quelles sont mes obligations ? Comment atteindre l’état de l’art ? Qu’est ce que la résilience digitale ?

DES FAITS APPUYÉS

En 2020, SolarWinds, entreprise spécialisée dans les logiciels de gestion des réseaux et de la sécurité informatique, a révélé que des cybercriminels avaient corrompu sa solution « ORION » qui permet la surveillance d’assets IT.

Source : https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know

Conséquence, cette infiltration a permis de distribuer des mises à jour corrompues à plus de 18 000 clients de SolarWinds.

Cette attaque médiatisée a été qualifiée « d’attaque de la chaîne d’approvisionnement ». En effet, l’attaque a exploité l’angle de la confiance des clients dans le système de mise à jour logiciel censé provenir d’une source reconnue comme « de confiance ».

Les constats

L’analyse des cyberattaques de 2022, a définitivement démontré qu’elles intervenaient sans distinction du secteur d’activité.

Les principaux vecteurs :

Source : https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022

Le phishing reste le vecteur d’attaque le plus populaire :

Source : https://bolster.ai/blog/2024-state-of-phishing-statistics-online-scams

Un rapport interessant du Gartner met en lumière une évolution des attaques dopées par l’intelligence artificielle (nous sommes au balbutiement) :

Source: https://www.gartner.com/en/newsroom/press-releases/2024-02-22-gartner-identifies-top-cybersecurity-trends-for-2024

“GenAI is occupying significant headspace of security leaders as another challenge to manage, but also offers an opportunity to harness its capabilities to augment security at an operational level,” said Richard Addiscott, Senior Director Analyst at Gartner. “Despite GenAI’s inescapable force, leaders also continue to contend with other external factors outside their control they shouldn’t ignore this year.”

Le nouvel enjeu du risque cyber, c’est bien la désinformation liée aux contenus générés rapidement sans contrôle : « L’information, c’est le pouvoir » « Alfred Sauvy »

Votre entreprise et votre chaine d’approvisionnement sont concernées car vous pourriez être propagateur ou bien la cible d’un rebond d’attaque.

En effet, le niveau de résilience aux cyberattaques est globalement bas :

Source : https://cyber.gouv.fr/publications/un-niveau-eleve-de-cybermenaces-en-2022

4,5 fois plus nombreuses à êtrE victime

Statistiquement, les petites et moyennes entreprises sont 4 à 5 fois plus nombreuses à être victimes de cyberattaques.

Source : https://www.vie-publique.fr/en-bref/280574-cybersecurite-des-entreprises-mieux-proteger-les-tpe-pme

D’un côté, nous avons les entreprises qui mettent en place les solutions à leur résilience, et de l’autre les petites et moyennes entreprises sont moins protégées, moins formées et moins structurées.

Il ne s’agit plus de savoir si votre entreprise va subir ou non une cyber attaque mais plutôt comment la catégoriser, l’atténuer, réagir, et communiquer quand elle surviendra.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security, version 2) est l’évolution de la réglementation européenne Version 1 (NIS1) qui vise à harmoniser et renforcer la cyber résilience.

Elle introduit de nouvelles mesures afin d’atteindre un niveau élevé de résilience des réseaux et des systèmes d’information.

La NIS2 a été publiée en décembre 2022 et entrera en vigueur en France le 18 octobre 2024.

Qui est concerné par NIS2 ?

La NIS2 a pour objectif d’élargir les secteurs d’activités concernés. Elle s’adresse aux entreprises privées, aux organisations, aux administrations publiques et à d’autres entités opérant au sein de l’UE et intègre des critères de tailles depuis la PME jusqu’aux groupes du CAC40.

En effet, l’un des objectifs stratégiques de NIS2 est sa propagation à d’autres secteurs d’activités considérés comme « Importants ».

NIS2 :

  • Vise à améliorer la gouvernance et la gestion des risques cyber.
  • Impose des obligations strictes en matière de notification des incidents de sécurité.
  • Tend à renforcer la sécurité de la supply chain et à réduire les risques liés aux sous-traitants.
  • Introduit la responsabilité des dirigeants dans le pilotage de la politique de cybersécurité et en cas d’incidents de cybersécurité.

Source : https://www.nis-2-directive.com/Transposition/France.html

Une entité est qualifiée sur la base de deux critères :

  • La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) :
  • La criticité de son secteur d’activité sur elle-même et sur son écosystème ;

Pour les organisations essentielles et importantes, de nouvelles mesures techniques, organisationnelles et opérationnelles devront être mises en place :

  • Obligation contractuelle de sécurité de la chaîne d’approvisionnement :
  • Obligation de notification :
  • Responsabilité de la direction :

Selon votre secteur d’activité, les entreprises ne se conformant pas aux dispositions pourraient être exposées à des sanctions financières.

Il faut dire que NIS2 introduit un mécanisme d’amendes. Les sanctions pourraient atteindre soit 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités dites « Essentielles » et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités dites « Importantes ». Les sanctions devraient être renforcées s’il y a constat d’une violation des obligations RGPD.

De plus, en cas d’incident de sécurité résultant d’une non-conformité, elles pourraient être tenues pour responsables des conséquences des dommages opérationnels et/ou financiers qui en résultent pour la chaine d’approvisionnement.

Source : https://nis2directive.eu/nis2-fines/

Responsabilités de la Direction Générale et du Top Management

NIS2, 3CF, PART-IS ou ISO/IEC27001 engagent la responsabilité de la Direction Générale et du Top Management.

Vous êtes invité à prendre un rôle actif dans la gestion de la cybersécurité et vous assurer que des mesures appropriées sont en place et réelles pour protéger vos intérêts et ceux de votre environnement.

Période de transition, les réalités !

Certains secteurs sont invités à appliquer la conformité dès aujourd’hui, obligeant à l’évolution de leur hygiène digitale pour atteindre la résilience aux attaques.

Ainsi, mettre en place une conformité a surtout pour but d’appréhender le sujet pour avoir une réponse efficace à ce type d’évènement.

De nombreuses ressources sont disponibles pour aider les entreprises à se conformer, telles que les guides et recommandations de l’ANSSI.

Il est également possible de solliciter l’aide de prestataires de services sectoriels spécialisés dans l’accompagnement de votre projet dans une démarche proactive de gouvernance de votre résilience cyber.

Raisons de la création de l’ANSSI

En résonance aux directives européennes, en 2009, la France crée l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) remplaçant ainsi la DCSSI.

Cette agence a pour but de gouverner la réalité du risque cyber à l’échelle nationale.

De plus, elle s’occupe de la transposition des directives cyber européennes à la législation française.

Enfin, son pouvoir est renforcé depuis la Loi de Promulgation Militaire de 2013 qui a élevé cette agence au rang d’autorité.

Preuve, s’il en fallait encore une, de l’importance revêtue désormais par les conséquences des cyber-attaques.

Elle a pour missions entre autres :

  • De promouvoir un système de gouvernance.
  • De sensibiliser, éveiller, former et informer, les administrations, les organisations et entreprises.
  • De diffuser, des documentations référentes (exemple : « Les 42 mesures pour une hygiène digitale »).
  • De labéliser un écosystème de services et organismes de confiance.

Quelles sont mes obligations cyber ?

Pour débuter, il faut noter que vous pouvez être poursuivi juridiquement pour ne pas avoir mis suffisamment de moyens à vos intérêts.

Ensuite, le RGPD est la première obligation applicable.

Enfin, la Loi de Programmation Militaire (LPM) a classifié les entités par secteur d’activité et selon leur impact potentiel dans la vie de la nation en cas de dysfonctionnement.

Ainsi, la loi a identifié 12 activités d’importance dite « vitale » (Opérateur d’Importance Vitale – O.I.V.)

Ces dernières étant réparties en 4 dominantes distribuées en sous-secteur d’activité :

  • HUMAINE : pour le secteur Alimentaires, la Gestion de l’eau et la Santé.
  • RÉGALIENNE : pour les activités Civiles, Militaires et Juridiques de l’État.
  • ECONOMIQUE : Pour les secteurs de l’Énergie, des Finances et du Transport.
  • TECHNOLOGIQUE : Pour les secteurs des Communications électroniques, Audiovisuel et de l’Information, l’industrie de l’Armement et l’Espace & Recherches.

Ces 4 dominantes s’intègrent dans un dispositif interministériel pour la sécurité des activités d’importance vitale.

Pour exemple, le ministère des transports a délégué la DGAC, à l’application d’une mise en place structurée et graduelle, il s’agit du Cadre de Conformité Cyber Français (3CF).

Qu’est-ce que lE 3CF ?

Il s’agit d’un accompagnement sous-sectoriel dédié au secteur de l’aéronautique civil. Il est composé de 4 niveaux dont l’objectif est d’atteindre le cadre de conformité sous-sectoriel cyber européen, le PART-IS.

La DGAC a mis en place un groupe de travail afin de s’assurer de l’applicabilité dans des environnements très hétérogènes de ce sous-secteur.

Pourquoi lE 3CF ?

ISO27001 est la norme abordant les systèmes de gestion de la sécurité de l’information.

La directive NIS2 est le cadre européen pour un ensemble de mesures encadrant la question de la cybersécurité qui entre en vigueur au 18 octobre 2024.

La PART-IS est un cadre sous-sectoriel applicable aux Opérateurs de Services Essentiels (OSE) européens.

Le 3CF est la transposition française de PART-IS et applicable aux OIV Français.

En effet, imaginez une indisponibilité des systèmes d’enregistrements d’un aéroport comme CDG.

Conséquences : de très nombreux passagers mécontents, des milliers de vols perturbés ou annulés. Une pluie d’insatisfaction des usagers.

Notons que cela s’est déjà produit en 2022 sur l’aéroport Chopin à Varsovie ou encore en 2023 à l’aéroport international de Dusseldorf en Allemagne.

Les OIV sont composé de nombreux cadres réglementaires et d’organismes de tutelle et approbateurs.

3CF ambitionne de concentrer et simplifier les cadres de conformités applicables en une réponse unique et porteuse de sens.

Qui est concerné par LE 3CF ?

Il s’agit des gestionnaires de plateforme aéroportuaires ainsi que les exploitants d’aéronefs, Supply chain de compagnie aérienne, CAMO, les organismes de maintenances aéronautiques (PART145) le 22 février 2026.

Vous êtes supply chain, vous devez être conforme !

CE QU’IL FAUT RETENIR

La conformité a pour but de vous sensibiliser au risque mais aussi de vous accompagner à acquérir les bon usages et réflexes pour une bonne hygiène digitale.

Plus généralement :

  • Matérialiser et mesurer une menace aujourd’hui invisible ;
  • Élever le niveau de confiance inter-organisation ;
  • Éveiller les consciences à la réalité des conséquences techniques & organisationnelles ;
  • Élever les compétences de « pare-feu humain » des utilisateurs ;
  • Protéger vos intérêts et ceux de vos Clients & Fournisseurs ;
  • Protéger votre savoir-faire, vos secrets de fabrication et méthodologies de travail ;
  • Avoir une avance stratégique supplémentaire ;
  • Protéger votre image ;
  • Analyser le risque et définir des stratégies d’atténuation ;
  • Définir un protocole de remise en route ou de continuité efficace ;

Gardez votre image et votre chiffre d’affaires intacts, faites de votre résilience un enjeu stratégique et un avantage de compétitivité marché.