CLOUD Act et autres : quelle est la fiabilité des offres cloud américaines ?

L'UE a lancé une directive "pour un niveau commun élevé de cybersécurité". Officiellement, elle est connue sous le nom de "directive (UE) 2022/2555" ou, plus brièvement, de "NIS 2", car il s'agit de la deuxième tentative pour renforcer la sécurité des réseaux et de l'information. Les pays membres de l'UE ont jusqu'à l'automne 2024 pour la transposer dans leur droit national. Elle est pertinente pour la Suisse, car la directive intègre explicitement les chaînes d'approvisionnement et les entreprises partenaires.

Quelles sont les entreprises concernées ?

Par rapport à son prédécesseur de 2016, la nouvelle directive concerne environ dix fois plus d'entreprises. Dans toute l'Europe, on estime qu'il s'agit d'environ 160'000 entreprises. Rien qu'en Allemagne, elles seront environ 20'000.

La NIS 2 a par exemple fait passer la liste des secteurs de huit à dix-huit. Elles sont classées en deux catégories : "essentielles" et "importantes". Une vue d'ensemble détaillée se trouve dans les annexes I et II de la directive susmentionnée.

Les secteurs particulièrement importants sont donc l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, les soins de santé, l'eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC (B2B), l'administration publique et l'espace.

Dans la liste des "autres" secteurs critiques, on trouve les services postaux et de courrier, la gestion des déchets, la production, la fabrication et le commerce de produits chimiques, la production, la transformation et la distribution de denrées alimentaires, l'industrie manufacturière/la fabrication de biens, les fournisseurs de services numériques.

Dans tous les cas, les entreprises de ces secteurs qui emploient plus de 50 personnes et dont le chiffre d'affaires annuel ou le bilan annuel dépasse 10 millions d'euros sont concernées. Mais cela peut aussi concerner des entreprises plus petites si elles sont le seul fournisseur d'un service essentiel dans un État membre.

Que doivent faire ces entreprises ?

Les obligations figurent au chapitre IV de la directive. Les entreprises concernées doivent, selon l'article 21, "prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de maîtriser les risques pour la sécurité des réseaux et des systèmes d'information (...) et de prévenir ou de réduire au minimum l'impact des incidents de sécurité sur les destinataires de leurs services et sur d'autres services". Ce qui est considéré comme "proportionné" doit dépendre, entre autres, du risque évalué, des conséquences possibles et de la taille de l'entreprise.

L'article 21 énumère en outre une norme minimale pour les mesures de sécurité. Il s'agit par exemple d'un concept d'analyse des risques, de plans de gestion des incidents de sécurité, de gestion des crises et des sauvegardes, de concepts d'évaluation de l'efficacité des mesures, de cryptage, de contrôle d'accès ou encore d'authentification multi-facteurs.

Les entreprises suisses qui s'orientent vers le standard minimal TIC sont déjà bien placées dans ce domaine.

L'article 21, paragraphe 2, mentionne explicitement "la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre les différentes entités et leurs fournisseurs directs ou prestataires de services". Le paragraphe 3 précise que les entités doivent tenir compte de "la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris la sécurité de leurs processus de développement".

Si un incident de sécurité se produit, l'entreprise doit le signaler dans les 24 heures et fournir une évaluation détaillée à l'autorité compétente dans les 72 heures. Si elle ne le fait pas, elle s'expose à des sanctions pouvant aller jusqu'à 10 millions d'euros et 2 pour cent du chiffre d'affaires annuel. Les CEO et les membres du conseil d'administration seront en outre tenus pour responsables si un établissement n'applique pas les mesures mentionnées.

Pourquoi ces nouvelles règles ?

Ce n'est pas d'hier que la politique de l'UE reconnaît que la numérisation et la mise en réseau croissantes représentent en même temps un danger potentiel. Mais jusqu'à présent, les tentatives de renforcer globalement les normes de sécurité n'ont pas été très fructueuses.

Le prédécesseur direct de la nouvelle réglementation est la directive (UE) 2016/1148. Elle avait déjà la même orientation, mais sa mise en œuvre dans les États membres n'était guère contrôlée et elle était, à de nombreux égards, moins spécifique que la nouvelle version.

Entre-temps, encore plus de processus ont été numérisés, automatisés et mis en réseau. Parallèlement, le nombre de tentatives d'attaques et d'attaques réussies sur les réseaux des installations industrielles et des institutions publiques a augmenté.

Mot de la fin

La nouvelle directive européenne suit en grande partie ce qui est déjà recommandé et pratiqué au niveau international. Comme mentionné, il existe en Suisse des recommandations similaires pour des "normes minimales" en matière de cybersécurité des entreprises, mais elles ne sont pas contraignantes.

Pour les entreprises de tous types, c'est toutefois une bonne idée de s'intéresser aux dangers potentiels et à leurs conséquences, même si elles ne sont pas considérées comme faisant partie de l'"infrastructure critique". Les cyberattaques, telles que les attaques de ransomware, peuvent entraîner des dommages monétaires considérables et ruiner la réputation de l'entreprise.