Stratégie de cybersécurité
La Cybersecurity Strategy de l'UE (An Open, Safe and Secure Cyberspace) a été publié conjointement en 2013 par la Commission Européenne et par le Haut-Représentant de l’Union Européenne pour les affaires étrangères et la politique de sécurité afin d’accompagner la proposition pour la Network and Information Security (NIS) Directive. Il « clarifie les principes devant guider les politiques de cybersécurité en Europe et à l’international. »
La stratégie de cybersécurité européenne s’exprime via 5 priorités stratégiques :
1. Obtenir la cyber résilience
La stratégie propose une plus grande coopération entre les autorités publiques et le secteur privé afin de contrer les cyber-menaces transfrontalières et contribuer à coordonner les réponses en cas de situations d’urgence.
Elle reconnait également que, malgré les lois existantes et « les progrès basés sur des engagements volontaires, il y a toujours des lacunes à travers l’Europe, notamment en termes de capacités et de coordination nationales en cas d’incidents transfrontaliers, et en termes d’implication et de préparation du secteur privé ».
Afin de réduire ces écarts, la stratégie propose la Directive NIS, ainsi qu’une nouvelle règlementation ayant pour but d’étendre le mandat de la European Network and Information Security Agency (ENISA). Différentes initiatives de sensibilisation sont également proposées afin de médiatiser les besoins en matière de cybersécurité.
2. Réduire considérablement le cybercrime
La stratégie encourage « les Etats Membres n’ayant pas encore ratifié la Convention du Conseil de l’Europe sur la cybercriminalité (Convention de Budapest) à ratifier et mettre en place ces dispositions aussi vite que possible ».
La Commission supportera les Etats Membres à renforcer leur capacité à combattre la cybercriminalité et travaillera en étroite collaboration avec le European Cybercrime Centre (EC3) au sein d’Europol et Eurojust afin d’aligner les approches des nouvelles politiques avec les bonnes pratiques opérationnelles, supportant EC3 en tant que point central dans la lutte contre la cybercriminalité.
3. Développer les politiques de cyberdéfense et capacités liées au cadre de la Common Security and Defense Policy (CSDP)
Reconnaissant qu’un « grand nombre de leaders mondiaux fournissant des produits et services ICT innovants sont implantés en dehors de l’UE », la stratégie indique que le Commission encouragera une « demande à l’échelle européenne en matière de produits de haute sécurité » afin de stimuler le secteur privé et de « garantir un haut niveau de cybersécurité ».
Le renforcement de la synergie « entre approches civiles et militaires de protection des actifs informatiques critiques » est encouragé ainsi que le support « par la recherche et le développement et une coopération entre gouvernement, secteur privé et académie en Europe. »
Une politique européenne de cyberdéfense sera développée, les exercices et formations en cyberdéfense seront améliorées et le dialogue et la coordination entre partenaires internationaux, y compris NATO, seront promus afin « de garantir des capacités de défense efficaces, d’identifier les domaines de coopération et éviter le dédoublement d’efforts ».
4. Développer les ressources industrielles et technologiques de cybersécurité
Reconnaissant qu’un « grand nombre de leaders mondiaux fournissant des produits et services ICT innovants sont implantés en dehors de l’UE », la stratégie indique que le Commission encouragera une « demande à l’échelle européenne en matière de produits de haute sécurité » afin de stimuler le secteur privé et de « garantir un haut niveau de cybersécurité ».
La Commission « supportera le développement de normes de sécurité », avec un accent sur la sécurité des chaînes logistiques, supportant le travail continu de normalisation des European Standardisation Organisations.
La Commission lancera « une plateforme publique-privée sur les solutions NIS afin de d’encourager l’adoption de solutions ICT sécurisées » et examinera « comment les principaux fournisseurs de logiciels et hardware ICT peuvent informer les autorités nationales compétentes au sujet des vulnérabilités détectées ayant des sérieuses conséquences en matière de sécurité. »
La Commission développera des « directives techniques et recommandations concernant l’adoption des normes NIS et bonnes pratiques dans les secteurs publiques et privés » et utilisera le Horizon 2020 Framework Programme for Research Innovation pour encourager les investissements en R&D et stimuler les innovations permettant de lutter contre la cybercriminalité.
5. Etablir une politique internationale de cyberespace cohérente pour l’Union Européenne et promouvoir les valeurs fondamentales de l’UE
La stratégie indique que la Commission, le Haut-Représentant et les Etats Membres aideront à la mise en œuvre d’une politique UE internationale cohérente sur le cyberespace afin d’améliorer l’implication d’entreprises et de partenaires clés internationaux ainsi que des sociétés civiles et du secteur privé.
L’UE consultera les partenaires internationaux en matière de problématiques cybernétiques, plus particulièrement les pays tiers partageant les valeurs européennes et les organisations actives dans ce domaine (telles que le Conseil de l’Europe, l’OECD, l’UN, l’OSCE, NATO, l’AU, l’ASEAN et l’OAS). La coopération avec les Etats-Unis sera développée davantage, notamment dans le cadre du groupe de travail UE/Etats-Unis sur la cybersécurité, qui a été créé pour répondre aux problématiques liées aux programmes de surveillance révélés par Edward Snowden et leur impact sur les données personnelles des citoyens européens.
L’Union Européenne doit promouvoir la responsabilité sociale des entreprises et lancer des initiatives internationales permettant d’améliorer la coordination internationale dans ce domaine afin de promouvoir le cyberespace en tant que domaine de liberté et de droits fondamentaux. Elle doit également encourager le développement de mesures susceptibles de redonner confiance en matière de cybersécurité – plutôt que de nouveaux instruments légaux internationaux – afin d’améliorer la transparence et réduire le risque de malentendus.
L’UE se concentrera sur la façon de garantir que le Pacte international relatif aux droits civils et politiques, la Convention européenne des droits de l’Homme et la Charte des droits fondamentaux de l’Union Européenne sont respectés en ligne et renforcés dans le cyberespace.
La stratégie déclare également que l’Union Européenne devrait intensifier ses efforts afin de renforcer les réseaux de protection des infrastructures d’information critiques (CIIP) impliquant les gouvernements et le secteur privé.
Rôles et responsabilités
Etant donné la nature transfrontalière des cyber-menaces, la stratégie propose une responsabilité partagée entre les autorités NIS compétentes, les Computer Emergency Response Teams (CERTs) et les agences d’application des lois dans l’UE afin de renforcer la cybersécurité nationale et internationale. Elle suggère une approche couvrant les défenses, l’application des lois et la NIS :
Les Etats Membres doivent indiquer les rôles et responsabilités de leurs « entités nationales » appropriées pour leur stratégie de cybersécurité.
Au niveau de l’Union Européenne, un certain nombre d’organisations s’occupe de la cybersécurité. ENISA, Europol/EC3 et l’EDA sont respectivement responsables de NIS, de l’application des lois et de la défense et la collaboration entre ces agences est encouragée. Une fois mise en place, la Directive NIS proposée établira un cadre de coopération conforme.
Cybersécurité et ISO 27001
Bien qu’elle ait pris en charge un grand nombre de mesures généralement associées à la sécurité de l’information, la cybersécurité ne concerne réellement que la sécurité des informations numériques. La sécurité de l’information est une approche plus large concernant la sécurité de l’informations sous toutes ses formes et couvre les documents papiers, la sécurité physique et l’erreur humaine ainsi que la gestion des données numériques.
Si elles souhaitent atteindre un niveau efficace de cybersécurité, les organisations doivent comprendre que les solutions logicielles et hardware seules nesuffisent pas à les protéger contre les cyber-menaces et qu’une approche plus large sur la cybersécurité est nécessaire. Les trois principaux domaines nécessaires à une sécurité de l’information efficace sont les personnes, les processus et les technologies.
ISO 27001 est la norme reconnue à l’international énonçant les exigences d’un ISMS (système de gestion de la sécurité de l’information) et formant la colonne vertébrale de toute stratégie de gestion des risques de cybersécurité. D’autres normes, cadres et méthodologies requièrent la norme ISO 27001 afin d’apporter une valeur ajoutée.
Les organisations faisant face à plusieurs exigences de conformité souhaitent souvent obtenir la certification ISO 27001 car son approche complète de sécurité de l’information peut centraliser et simplifier des efforts de conformité désordonnés ; les entreprises pourront souvent se conformer à un ensemble d’exigences règlementaires en obtenant la certification ISO 27001.
La dernière version de la norme, ISO 27001 :2013 est facile à suivre et a été développée en gardant à l’esprit les besoins des entreprises. Elle présente une approche complète et logique au développement, à la mise en place et à la gestion d’un ISMS. Elle fournit également des directives connexes afin de mener une analyse des risques et d’appliquer les traitements des risques nécessaires. De plus, la norme ISO 27001:2013 a été développée en harmonie avec d’autres normes afin que le processus d’audit des autres normes puisse être intégré et facilité, éliminant le besoin de multiples audits.
Par ailleurs, la validation externe offerte par la certification ISO 27001 améliorera probablement le niveau de cybersécurité de l’entreprise tout en assurant la confiance de ses clients et actionnaires – ceci étant essentiel afin d’obtenir certains contrats internationaux ou gouvernementaux.
Lancez votre projet de cybersécurité dès aujourd'hui
IT Governance possède une vaste expérience dans le domaine de la cybersécurité et de la gestion des risques. Dans le cadre de notre travail avec des organisations privées et publiques de tous les secteurs, nous menons des projets de cybersécurité depuis plus de quinze ans. Tous nos consultants sont des praticiens qualifiés et expérimentés.
Nos services peuvent être personnalisés pour les organisations de toutes tailles et de tous secteurs et ce où qu'elles se trouvent. Parcourez notre vaste gamme de solutions ci-dessous pour lancer votre projet de cybersécurité.
Téléchargez nos ressources gratuites
Produits et services
Discuter avec un expert
Contactez l'un de nos experts pour en savoir plus sur la manière dont nos produits et services de cybersécurité peuvent vous aider à protéger votre organisation ou pour recevoir des conseils.