La cyber-résilience dans l'Union européenne, il est temps d'agir !

Il est devenu crucial pour les organisations d'adopter une approche de défense en profondeur.

Une Union Européenne cyber-résiliente

Suite à une intense révision de la législation, l’Union Européenne a entrepris plusieurs mesures et obligations pour renforcer la résilience cyber à l'échelle européenne.

Par conséquent, certaines actions ont émergé :

• La directive NIS2 (pour les Systèmes d'Information et de Communication), au-delà de son désir d'harmoniser les exigences en matière de cybersécurité à l'échelle européenne, vise à renforcer les mesures de résilience cyber des acteurs nationaux jugés essentiels dans un grand nombre de secteurs critiques définis (énergie, transport, santé, administration publique, etc.) ;
• La directive RCE (Résilience des Entités Critiques), très similaire à NIS2, met en avant la nécessité d'une stratégie nationale visant à améliorer la résilience des entités critiques fournissant des services étatiques essentiels ;
• La loi DORA (Digital Operational Resilience Act) couvre quant à elle exclusivement le secteur financier et a pour objectifs de créer un cadre de sécurité à l'échelle européenne, en mettant l'accent sur les problématiques importantes de la résilience cyber ;
• La loi CRA (Cyber Resilience Act) est le règlement sur les exigences en matière de cybersécurité pour les produits contenant des éléments numériques qui viennent affermir les règles de cybersécurité pour assurer une plus grande résilience des produits matériels et logiciels.
  

L'Agence de l'Union européenne pour la cybersécurité (ENISA) collabore avec les États membres de l'UE pour déterminer les pratiques les plus efficaces conformément aux réglementations énoncées dans la directive NIS1 et les diffuser parmi ses parties prenantes. L'organisation s'engage à aider les États membres de l'UE à adopter les réglementations mises à jour énoncées dans NIS2 et un nouvel ensemble de réglementations englobant le Digital Operational Resilience Act (DORA) et celles qui seront établies dans le cadre du Cyber Resilience Act (CRA), agissant à grande échelle et de manière cohérente.

Parmi les nombreux points d'accord entre ces multiples directives pour renforcer la résilience cyber au sein de l’UE, nous mettons en évidence les éléments suivants :

1. Harmonisation des mesures de cybersécurité via un référentiel et des cadres de sécurité communs, et notamment relatifs aux capacités et mesures de cyber-résilience ;
2. Définition d’un cadre de gestion des risques précis et robuste ;
3. Renforcement des activités de surveillance par les autorités nationales définies ;
4. L'accent est mis sur les exigences de réponse aux cyber incidents avec l'obligation de signaler de manière détaillée les cyber incidents majeurs aux autorités (dans des délais indus) visant à accroître la collaboration entre les États de l'UE ;
5. Le partage d'informations et de renseignements encourage l'échange de renseignements et d'informations sur les cybermenaces entre partenaires et entreprises concurrentes (par exemple, IoC, mécanisme d'attaque, acteurs et objectifs de la menace, etc.) ;
6. Désignation d'un point de contact unique pour toutes les obligations de déclaration en vertu de cette directive, y compris la déclaration des incidents ;
7. Inclusion de la supply chain (y compris les TIC de tiers) dans la démarche et les obligations de cyber-résilience, qui devient de plus en plus un vecteur de cyberattaques pour les acteurs malveillants. L’un des aspects de ces législations est que les fournisseurs de TIC « critiques » font désormais pleinement partie de l’écosystème et doivent également s’y conformer ;
8. Pouvoir de sanctionner les organisations coupables de non-respect des exigences par des sanctions financières et/ou administratives. Ces sanctions peuvent également s’appliquer aux TIC de tiers « critiques ».

Toutes ces directives sont très exigeantes pour les organisations et suscitent de nombreuses questions stratégiques et opérationnelles, telles que "Puis-je partager des informations aussi sensibles avec des concurrents ?" ou "Comment devrais-je interagir de manière proactive avec mon écosystème critique ?".

Par conséquent, les organisations (y compris les fournisseurs de TIC critiques) doivent renforcer leur posture de résilience cyber pour être prêtes à affronter la prochaine grande cyberattaque imminente, qui pourrait être « la bonne ».