4 minutes de lecture 14 août 2019

Comment la SNCB renforce sa cybersécurité avec EY

Par

EY Belgique

Organisation de services professionnels et multidisciplinaires

4 minutes de lecture 14 août 2019

Afficher les ressources

Quelles mesures structurelles les infrastructures critiques doivent-elles prendre pour se protéger des cyberattaque?

Que faire si une cyberattaque compromet l’approvisionnement en eau potable ou paralyse le trafic ferroviaire ? Les gestionnaires d’infrastructures critiques, comme la SNCB, prennent des mesures structurelles en vue de prévenir ce type de situations ou, tout du moins, d’en limiter l’impact. « La directive NIS crée un cadre légal et stimule la collaboration européenne », affirment Koen Machilsen, Director Cyber Security and Privacy chez EY (à droit sur la photo) et Tim Groenwals, Chief Information Security Officer à la SNCB (à gauche).

En quoi consiste précisément la directive NIS ?

Machilsen : « La Directive on Security of Network and Information Systems (NIS) a pour but de renforcer la cybersécurité au niveau national et la coopération européenne dans ce même domaine. Chaque État membre doit par exemple disposer d’une Computer Security Incident Response Team (CSIRT) qui surveille les menaces cybernétiques. »

« La directive impose en outre aux gestionnaires d’infrastructures critiques et prestataires de services numériques certaines obligations en matière de gestion des risques et signalement des incidents. De fait, le projet de loi actuel indique que les entreprises doivent passer des audits et obtenir une certification ISO 27001 dans une période de deux ans. »

Groenwals : « Au fur et à mesure que les infrastructures, les bâtiments et le matériel (roulant) s’automatisent et s’équipent de capteurs, non seulement les gestionnaires peuvent les diriger à distance mais, dans le pire des cas, des personnes ou organisations mal intentionnées peuvent le faire également. »

« Il y a quatre ans, le site internet de la SNCB fut hors service pendant 36 heures suite à une attaque DDoS. Nous n’avons jamais su qui en était à l’origine, mais il en a découlé que nos voyageurs n’ont pas pu rechercher d’informations sur les voyages ni acheter de billets. »

« L’objectif de la directive NIS est que les pays et infrastructures critiques soient en mesure de garantir une stabilité sociale et économique lorsqu’une cyberattaque frappe les transports, le secteur bancaire, les marchés financiers, l’approvisionnement en énergie et eau potable ou les soins de santé. Dans ce type de situations, il convient d’assurer aux citoyens que de l’eau sortira toujours des robinets ou qu’ils pourront encore retirer de l’argent de leurs comptes. »

Les mesures de la directive NIS offrent une grande sécurité, permettant de garder sous contrôle l’impact des incidents cybernétiques.
Koen Machilsen
director Cyber Security and Privacy chez EY

Les entreprises doivent-elles prévoir d’importants budgets en vue de se conformer à la directive NIS ?

Groenwals : « En principe, pas tellement. Beaucoup d’entreprises se consacrent déjà tant à la sécurité des informations qu’à la sécurité cybernétique et n’auront dès lors plus qu’à optimiser un processus çà et là, ou à mettre en œuvre une nouvelle politique. »

Machilsen : « Cela dépend également du niveau d’avancée de l’entreprise dans son processus de numérisation et de la mesure dans laquelle elle a d’ores et déjà budgétisé la sécurité à cet égard. »

Groenwals : « Dans cette optique, le timing de la directive NIS est idéal car beaucoup d’entreprises sont en pleine transformation numérique et peuvent donc opter pour une sécurité par défaut. »

Quelle valeur ajoutée apporte EY dans le processus de mise en conformité de la SNCB à la directive NIS ?

Machilsen : Nous sommes un partenaire stratégique, tactique et opérationnel pour le CISO (Chief Information Security Officer). Il s’agit d’une relation à long terme qui se développe dans un cadre bien défini. »

« En clair, nous présentons à l’équipe des idées, méthodologies et bonnes pratiques, l’aidons à améliorer ses processus, favorisons la prise de conscience en matière de cybersécurité et accompagnons les exercices de gestion de crise. »

« Notre proposition comporte aussi une composante très technique dans la mesure où nous sécurisons également, de façon effective, les applications et systèmes. Outre la SNCB, des fournisseurs de services et entreprises du port d’Anvers font aussi appel à nos services. »

Comment résumeriez-vous l’importance de la directive NIS ?

Groenwals : « Des concurrents, des organisations criminelles, des puissances étrangères ou même, tout simplement, des étudiants en quête d’adrénaline : tous pourraient lancer une cyberattaque contre nos infrastructures critiques. »

« C’est une bonne chose que l’Europe s’arme contre ce phénomène, car une telle attaque peut avoir de graves conséquences. Imaginez un peu ce qu’il se passerait si plus personne n’avait d’électricité ou ne pouvait retirer de l’argent pour acheter du pain… »

Machilsen: « Ou encore si un terminal conteneur du port d’Anvers était touché. Des chaînes d’approvisionnement entières s’en trouveraient bloquées. C’est une bonne chose que des informations soient échangées au niveau sectoriel, national et européen et que des mesures soient prises en vue de prévenir ou de limiter de tels effets sur notre économie. »

Newsletter Impulse 

Restez au courant des dernières nouveautés d’EY Belgium et découvrez des histoires entrepreneuriales inspirantes.

Inscrivez-vous

Résumé

Les gestionnaires d’infrastructures critiques, comme la SNCB, prennent des mesures structurelles en vue de prévenir ce type de situations ou, tout du moins, d’en limiter l’impact. La directive NIS leur fournit un cadre légal.

À propos de cet article

Par

EY Belgique

Organisation de services professionnels et multidisciplinaires