The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Impulse: the latest news and inspirational stories from and for entrepreneurs

>> Digital >> Impulse

Comment la SNCB renforce sa cybersécurité avec EY

Digital

EY - Comment la SNCB renforce sa cybersécurité avec EY

Que faire si une cyberattaque compromet l’approvisionnement en eau potable ou paralyse le trafic ferroviaire ? Les gestionnaires d’infrastructures critiques, comme la SNCB, prennent des mesures structurelles en vue de prévenir ce type de situations ou, tout du moins, d’en limiter l’impact.

« La directive NIS crée un cadre légal et stimule la collaboration européenne », affirment Koen Machilsen, Director Cyber Security and Privacy chez EY et Tim Groenwals, Chief Information Security Officer à la SNCB.

Contact

EY - Koen Machilsen

Koen Machilsen
Director Cybersecurity and Privacy chez EY
+32 (0)2 774 6053
LinkedIn logo

En quoi consiste précisément la directive NIS ?

Machilsen : « La Directive on Security of Network and Information Systems (NIS) a pour but de renforcer la cybersécurité au niveau national et la coopération européenne dans ce même domaine. Chaque État membre doit par exemple disposer d’une Computer Security Incident Response Team (CSIRT) qui surveille les menaces cybernétiques. »

« La directive impose en outre aux gestionnaires d’infrastructures critiques et prestataires de services numériques certaines obligations en matière de gestion des risques et signalement des incidents. De fait, le projet de loi actuel indique que les entreprises doivent passer des audits et obtenir une certification ISO 27001 dans une période de deux ans. »

Groenwals : « Au fur et à mesure que les infrastructures, les bâtiments et le matériel (roulant) s’automatisent et s’équipent de capteurs, non seulement les gestionnaires peuvent les diriger à distance mais, dans le pire des cas, des personnes ou organisations mal intentionnées peuvent le faire également. »

« Il y a quatre ans, le site internet de la SNCB fut hors service pendant 36 heures suite à une attaque DDoS. Nous n’avons jamais su qui en était à l’origine, mais il en a découlé que nos voyageurs n’ont pas pu rechercher d’informations sur les voyages ni acheter de billets. »

« L’objectif de la directive NIS est que les pays et infrastructures critiques soient en mesure de garantir une stabilité sociale et économique lorsqu’une cyberattaque frappe les transports, le secteur bancaire, les marchés financiers, l’approvisionnement en énergie et eau potable ou les soins de santé. Dans ce type de situations, il convient d’assurer aux citoyens que de l’eau sortira toujours des robinets ou qu’ils pourront encore retirer de l’argent de leurs comptes. »

Les mesures de la directive NIS offrent une grande sécurité, permettant de garder sous contrôle l’impact des incidents cybernétiques.
Koen Machilsen, Director Cybersecurity and Privacy

Que doivent au juste faire les entreprises dans le cadre de la directive NIS ?

Machilsen : « Elles doivent non seulement mettre en place une gestion solide et structurée des risques cybernétiques mais également investir dans des mesures de sécurisation proactive et de réaction aux incidents. »

« Bien que la directive doive encore être adaptée au droit belge et développée plus avant du point de vue sectoriel, de nombreuses entreprises l’emploient déjà activement. Nous enregistrons ainsi une hausse significative des demandes pour des exercices de simulation relatifs à la cybersécurité. »

Groenwals : « Ce qu’impose la directive NIS n’est pas si compliqué. Cela revient à manipuler la technologie, les systèmes informatiques et les informations en bon père de famille. En soi, rien de nouveau, mais la coordination européenne se traduit désormais par une régularisation accrue. »

 

Quelle est l’approche adoptée par la SNCB en matière de cybersécurité ?

Groenwals : « Nous avons en premier lieu veillé à ce que le comité de direction de notre entreprise prenne pleinement conscience de la menace et de l’impact potentiel des incidents cybernétiques. Ces attaques n’ont par ailleurs pas besoin d’être dirigées contre notre entreprise : un incident survenant chez l’un de nos fournisseurs – notre fournisseur de cloud, par exemple – peut avoir des conséquences pour nos clients. »

« Nous sommes actuellement en train de déterminer quels processus opérationnels sont véritablement essentiels en vue de garantir notre prestation de services. Entretenir et faire rouler les trains constitue quoi qu’il en soit le cœur de notre métier et ces processus doivent rester en place. Mais pourrons-nous continuer à garantir notre vente de billets en cas de cyberattaque ? Laisser tout simplement nos voyageurs prendre gratuitement le train en cas d’incident affectant la vente des billets pourrait éventuellement être une option. »

« C’est sur la base de ce type de choix stratégiques que nous pourrons dans un premier temps déterminer le champ d’application de nos efforts en NIS, puis analyser l’ensemble des processus compris dans ce champ, et ce dans une optique de sécurisation. »

Les cyberattaques sont inévitables. La question est donc de savoir dans quelle mesure ces incidents impacteront les clients et l’entreprise. C’est de la gestion des risques à l’état pur.
Koen Machilsen, Director Cybersecurity and Privacy

Les entreprises doivent-elles prévoir d’importants budgets en vue de se conformer à la directive NIS ?

Groenwals : « En principe, pas tellement. Beaucoup d’entreprises se consacrent déjà tant à la sécurité des informations qu’à la sécurité cybernétique et n’auront dès lors plus qu’à optimiser un processus çà et là, ou à mettre en œuvre une nouvelle politique. »

Machilsen : « Cela dépend également du niveau d’avancée de l’entreprise dans son processus de numérisation et de la mesure dans laquelle elle a d’ores et déjà budgétisé la sécurité à cet égard. »

Groenwals : « Dans cette optique, le timing de la directive NIS est idéal car beaucoup d’entreprises sont en pleine transformation numérique et peuvent donc opter pour une sécurité par défaut. »

Quelle valeur ajoutée apporte EY dans le processus de mise en conformité de la SNCB à la directive NIS ?

Machilsen : Nous sommes un partenaire stratégique, tactique et opérationnel pour le CISO (Chief Information Security Officer). Il s’agit d’une relation à long terme qui se développe dans un cadre bien défini. »

« En clair, nous présentons à l’équipe des idées, méthodologies et bonnes pratiques, l’aidons à améliorer ses processus, favorisons la prise de conscience en matière de cybersécurité et accompagnons les exercices de gestion de crise. »

« Notre proposition comporte aussi une composante très technique dans la mesure où nous sécurisons également, de façon effective, les applications et systèmes. Outre la SNCB, des fournisseurs de services et entreprises du port d’Anvers font aussi appel à nos services. »

Comment résumeriez-vous l’importance de la directive NIS ?

Groenwals : « Des concurrents, des organisations criminelles, des puissances étrangères ou même, tout simplement, des étudiants en quête d’adrénaline : tous pourraient lancer une cyberattaque contre nos infrastructures critiques. »

« C’est une bonne chose que l’Europe s’arme contre ce phénomène, car une telle attaque peut avoir de graves conséquences. Imaginez un peu ce qu’il se passerait si plus personne n’avait d’électricité ou ne pouvait retirer de l’argent pour acheter du pain… »

Machilsen : « Ou encore si un terminal conteneur du port d’Anvers était touché. Des chaînes d’approvisionnement entières s’en trouveraient bloquées. C’est une bonne chose que des informations soient échangées au niveau sectoriel, national et européen et que des mesures soient prises en vue de prévenir ou de limiter de tels effets sur notre économie. »