Le 12 Mars 2019, les députés européens ont adopté le Cybersécurity Act. Ce projet vise à simplifier et à améliorer les processus de certification en matière de cyber sécurité au sein des Etats membres de l’Union Européenne. Mais pour vous, entreprises, qu’est-ce que cela va changer à votre transformation digitale ?
Pourquoi la cybersécurité est-elle au centre des débats européens ?
Vous le savez certainement, de plus en plus de personnes sont connectées et la transformation digitale des entreprises n’a jamais été aussi forte. Il n’y a que peu de PME qui fonctionnent sans système d’information aujourd’hui. Et les consommateurs ne peuvent plus se passer d’internet. Puisqu’il y a autant de connexions et d’informations sur le web, les attaques se font de plus en plus nombreuses et malignes. En voici un exemple concret avec ce classement des principales attaques :
- Maliciel : via des emails compromis, on mine une cryptomonnaie, on tente d’administrer à distance ou simplement d’installer un logiciel espion sur une machine ;
- Les attaques provenant du web : ce sont les redirections des navigateurs vers des sites internet malveillants. Cela représente 5% des attaques en France ;
- Attaques des applications web par injection SQL : il s’agit de faire des contributions agressives au sein des serveurs ou applications web pour introduire un code malveillant. La moitié de ces attaques sont liées à une atteinte à la protection des données ;
- Hameçonnage : il s’agit de voler des coordonnées sensibles (bancaires notamment) en combinant un email frauduleux à un site internet contrefait. Depuis 2011, ce genre d’attaque a augmenté de 85% sur les smartphones ;
- Attaque DDoS : il s’agit d’attaquer des services de manière à les rendre indisponibles pour que les utilisateurs ne s’en servent pas. Les attaquent dépassent rarement 90 minutes.
Ainsi, vous le voyez, les hackers sont plein d’imagination et de plus en plus nombreux. La cyber sécurité devient un enjeux certain, surtout avec la RGPD et la méfiance grandissante des consommateurs envers les systèmes d’information.
Le Cybersécurity Act veut simplifier les certifications
Côté entreprises proposant des prestations de cyber sécurité, il est parfois compliqué d’obtenir les certifications nécessaires pour proposer leurs produits à la vente. Le Cybersécurity Act veut simplifier tout ceci en mettant en place une seule certification qui sera utilisée par tous les Etats membres de l’UE. Ainsi, que l’on soit en France ou en Allemagne, il n’y aura qu’une seule certification à obtenir.
Afin de coordonner tout ceci, l’ENISA, agence de l’UE en charge de la cyber sécurité, se voit doter d’un mandat à durée illimité et conserve son indépendance. L’agence accompagnera les prestataires de service pour mettre en place cette certification.
Enfin, l’UE souhaite aller plus loin en sécurisant le déploiement de la 5G. Avec le dernier scandale lié à Huawaï , l’UE souhaite fixer des règles pour que le processus se fasse dans le respect des données des utilisateurs. L’obligation d’ouverture à une concurrence qui ne provient pas de Chine est même mise sur le tapis !
Vers une transparence des prestations de cybersécurité ?
L’ENISA ne souhaite pas uniquement mettre en place une politique commune de cybersécurité au sein de l’UE. Elle souhaite également une plus grande transparence quant à l’offre de prestations. C’est pourquoi la certification intégrera trois niveaux : élémentaire, substantiel et élevé. Afin de valider un niveau de certification, les prestations de cybersécurité proposées devront inclure certaines fonctionnalités.
De cette manière, l’ENISA espère que les clients et consommateurs y verront plus clair parmi toutes les certifications est les niveaux de protection proposés. Évidemment toutes ces propositions sont en cours de développement et nous en saurons plus dans quelques temps. Dans tous les cas, il est certain que votre transformation digitale sera impactée dans le bon sens. Car l’ENISA a pour but de renforcer la sécurité des systèmes d’information. Le Cybersécurity Act fait ainsi suite au RGPD.