Comment la SNCB renforce sa cybersécurité avec EY

Quelles mesures structurelles les infrastructures critiques doivent-elles prendre pour se protéger des cyberattaque?

Que faire si une cyberattaque compromet l’approvisionnement en eau potable ou paralyse le trafic ferroviaire ? Les gestionnaires d’infrastructures critiques, comme la SNCB, prennent des mesures structurelles en vue de prévenir ce type de situations ou, tout du moins, d’en limiter l’impact. « La directive NIS crée un cadre légal et stimule la collaboration européenne », affirment Koen Machilsen, Director Cyber Security and Privacy chez EY (à droit sur la photo) et Tim Groenwals, Chief Information Security Officer à la SNCB (à gauche).

En quoi consiste précisément la directive NIS ?

Machilsen : « La Directive on Security of Network and Information Systems (NIS) a pour but de renforcer la cybersécurité au niveau national et la coopération européenne dans ce même domaine. Chaque État membre doit par exemple disposer d’une Computer Security Incident Response Team (CSIRT) qui surveille les menaces cybernétiques. »

« La directive impose en outre aux gestionnaires d’infrastructures critiques et prestataires de services numériques certaines obligations en matière de gestion des risques et signalement des incidents. De fait, le projet de loi actuel indique que les entreprises doivent passer des audits et obtenir une certification ISO 27001 dans une période de deux ans. »

Groenwals : « Au fur et à mesure que les infrastructures, les bâtiments et le matériel (roulant) s’automatisent et s’équipent de capteurs, non seulement les gestionnaires peuvent les diriger à distance mais, dans le pire des cas, des personnes ou organisations mal intentionnées peuvent le faire également. »

« Il y a quatre ans, le site internet de la SNCB fut hors service pendant 36 heures suite à une attaque DDoS. Nous n’avons jamais su qui en était à l’origine, mais il en a découlé que nos voyageurs n’ont pas pu rechercher d’informations sur les voyages ni acheter de billets. »

« L’objectif de la directive NIS est que les pays et infrastructures critiques soient en mesure de garantir une stabilité sociale et économique lorsqu’une cyberattaque frappe les transports, le secteur bancaire, les marchés financiers, l’approvisionnement en énergie et eau potable ou les soins de santé. Dans ce type de situations, il convient d’assurer aux citoyens que de l’eau sortira toujours des robinets ou qu’ils pourront encore retirer de l’argent de leurs comptes. »

Les entreprises doivent-elles prévoir d’importants budgets en vue de se conformer à la directive NIS ?

Groenwals : « En principe, pas tellement. Beaucoup d’entreprises se consacrent déjà tant à la sécurité des informations qu’à la sécurité cybernétique et n’auront dès lors plus qu’à optimiser un processus çà et là, ou à mettre en œuvre une nouvelle politique. »

Machilsen : « Cela dépend également du niveau d’avancée de l’entreprise dans son processus de numérisation et de la mesure dans laquelle elle a d’ores et déjà budgétisé la sécurité à cet égard. »

Groenwals : « Dans cette optique, le timing de la directive NIS est idéal car beaucoup d’entreprises sont en pleine transformation numérique et peuvent donc opter pour une sécurité par défaut. »