Placés régulièrement sous le feu nourri des cybercriminels, en particulier avec les rançongiciels, les pays européens contre-attaquent. La Commission européenne soumet davantage d’entreprises et de secteurs d’activités à des exigences plus élevées en matière de cybersécurité. Explications. Une toutes les 11 secondes. Il s’agit de la fréquence des attaques par rançongiciels dans le monde. Ces ransomwares coûteraient entre 180 et 290 milliards d’euros par an aux pays de l’Union européenne (UE). Laquelle a établi, dans une enquête publiée en mai 2022, que 28 % des PME européennes avaient été victimes de cybercriminels au cours de l’année 2021. Des chiffres qui préoccupent d’autant plus que les cyberattaques représentent la forme de criminalité à la croissance la plus rapide au monde. Le coût annuel de la cybercriminalité pour l’économie mondiale en 2020 a été estimé à 5 500 milliards d’euros, soit le double de celui constaté en 2015. Plus inquiétant encore, selon le Forum économique mondial : les cyberattaques font partie des 10 principaux risques encourus par l’humanité. La difficile harmonisation des règles de protection Dans ce contexte, l’Union européenne édicte actuellement de nouvelles règles qui s’appliqueront à un panel élargi de secteurs d’activités. L’objectif est clair : il s’agit d’augmenter drastiquement leur niveau de protection, et d’aboutir à un cadre harmonisé entre les 27 pays membres de l’UE. Mais c’est bien là que le bât blesse. La première directive SRI (Sécurité des réseaux et de l’information), également connue sous son nom anglais NIS (Network and Information Security), sortie en 2016, visait déjà cet objectif. La directive SRI est considérée comme le socle juridique commun de la politique européenne de cybersécurité. Mais l’harmonisation entre les États n’a pas eu les effets escomptés en termes de protection. La mise à jour de la directive SRI par l’Union européenne vise à promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber. C’est pourquoi, au cours des derniers mois, l’Union européenne a travaillé à une mise à jour de la directive SRI, pour selon elle « promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber ». Cette mise à jour, la directive SRI 2, a été approuvée par le Parlement européen le 10 novembre 2022. Elle a désormais besoin d’un feu vert final des pays de l’UE au sein du Conseil européen. Ensuite, les États membres auront 21 mois pour la mettre en œuvre. En savoir plus L’Europe de la cyberdéfense se construit brique après brique En savoir plus L’Europe de la cyberdéfense se construit brique après brique 160 000 entités concernées à l’échelle de l’Union européenne Avec la directive SRI 2, ce sont ainsi 160 000 entités (de moyenne et grande taille) qui vont devoir renforcer leur niveau de sécurité cyber. En effet, de nouveaux secteurs d’activités doivent s’y conformer : ces nouvelles dispositions de sécurité couvrent des secteurs dits « essentiels » comme l’énergie, le transport, la banque, les infrastructures digitales, les administrations publiques et le secteur de l’espace. Les nouvelles règles protégeront également des secteurs dits « importants », comme les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication de dispositifs médicaux, l’électronique, les moteurs de véhicules et les fournisseurs numériques. Quelles sont les principales mesures de la directive SRI 2 ? Concrètement, qu’est-ce que cela va changer pour les entités concernées ? Selon les termes de l’UE, elles devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information ». Dans les faits, cela se traduit par exemple par : Analyser les risques encourus, Détenir une feuille de route précise avec les mesures qui garantissent la continuité de l’activité, Avoir une politique de sauvegarde des données, Sécuriser les réseaux, Se plier à des procédures d’audit de sa politique cyber, Former et sensibiliser les collaborateurs et collaboratrices à la cybersécurité, Appliquer une politique de contrôle des accès robuste, Utiliser des solutions d’authentification à plusieurs facteurs. Souvent considérés comme le maillon faible en matière de cybersécurité, les sous-traitants de ces entreprises sont également concernés par l’application de la directive SRI 2. Vers de nouvelles obligations pour les constructeurs de matériels numériques Le « Cyber Resilience Act » pourrait prochainement venir compléter les dispositions de la directive SRI 2. Cette proposition de loi a été présentée par la Commission européenne en septembre 2022. Elle va maintenant être examinée par le Parlement européen en première lecture, puis par le Conseil de l’Union européenne. Une fois qu’elle sera définitivement adoptée, les entreprises concernées auront deux ans pour s’y conformer. Cette fois, ce sont les constructeurs de matériels informatiques et d’objets connectés qui devront s’y plier. Le Cyber Resilience Act obligerait les constructeurs à sécuriser leurs appareils numériques, sous peine d’un retrait du marché. Les constructeurs seront alors responsables de la sécurité de leurs produits durant toute la durée de vie prévue, soit un minimum de cinq ans. Chaque modèle commercialisé devra être sécurisé sous peine d’être retiré du marché. Les constructeurs s’exposent aussi à des amendes en cas de manquement. L’UE a visiblement décidé de frapper fort pour mieux se protéger des cybercriminels. Facebook Twitter LinkedIn Lire aussi Télésurveillance et vidéosurveillance : quelle différence ? Sécurité & Sûreté humaine 25 juin 2024 Installer un système de sécurité à son domicile, dans son entreprise ou dans un lieu public permet d’éviter bien des accidents ou de contrecarrer des délits. Parmi les options possibles, il y a la télésurveillance et la vidéosurveillance. Mais quelles sont les différences entre ces deux solutions ? Comment savoir… En quoi consiste un audit de cybersécurité ? Technologie & Systèmes 11 juin 2024 À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de… Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de… Voir plus d'articles Abonnez-vous ! Envoyer
Télésurveillance et vidéosurveillance : quelle différence ? Sécurité & Sûreté humaine 25 juin 2024 Installer un système de sécurité à son domicile, dans son entreprise ou dans un lieu public permet d’éviter bien des accidents ou de contrecarrer des délits. Parmi les options possibles, il y a la télésurveillance et la vidéosurveillance. Mais quelles sont les différences entre ces deux solutions ? Comment savoir…
En quoi consiste un audit de cybersécurité ? Technologie & Systèmes 11 juin 2024 À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…