Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

Cybersécurité

 

L'IOCTA 2015 (Internet Organised Crime Threat Assessment - Évaluation de la menace du crime organisé sur Internet) a indiqué que la cybercriminalité « devient plus agressive et conflictuelle » et que le « nombre et la fréquence des violations des données divulguées [publiquement] augmentent considérablement ».

Plutôt que de « concevoir des méthodes d'attaque innovantes, la plupart des cyberattaques reposent sur des méthodes d’exploitation, codes maliciels et méthodologies existants, éprouvés et testés, comme l'ingénierie sociale. Ils sont réutilisés et recyclés afin de générer de nouvelles menaces ».

« Le manque de sensibilisation à l'hygiène et à la sécurité numériques » explique-t-il, génère des « opportunités et des gains pour les masses criminelles ».

Alors que la cybercriminalité progresse manifestement en échelle et en gravité, les organisations européennes doivent reconnaître qu'un logiciel de sécurité seul ne suffit pas à les protéger de la cybercriminalité : les technologies de cybersécurité sont efficaces uniquement si des processus appropriés sont en place et ces processus ne sont efficaces que si les personnes sont formées de manière adéquate afin de les respecter.

Une posture efficace de cybersécurité repose sur des politiques, une gestion du risque, des outils, une formation, de bonnes pratiques et des technologies de protection de la confidentialité, de la disponibilité et de l'intégrité (CIA - Confidentiality, integrity and availability) des actifs informationnels d'entreprise.

 

Sur cette page

 

Cybersécurité en Europe

La Commission Européenne a les objectifs clés de cybersécurité suivants :

  1. Améliorant les compétences nationalesen cybersécurité
  2. Accroissant la coopération entre les Etats membres de l'UE
  3. Exigeant des "Opérateurs de services essentiels et prestataires de services numériques" la prise de mesures appropriées et la notification des incidents graves aux autorités nationales pertinentes.

La Stratégie en cybersécurité de l'Union Européenne et l'Programme européen sur la sécurité définissent un cadre stratégique d'ensemble pour les initiatives de cybersécurité.

 

Directive sur la sécurité des réseaux et des systèmes d'information

Proposée en février 2013 et promulguée en 2016, la Directive (UE) 2016/1146 – Directive SRI – est le principal instrument au service des objectifs de cybersécurité de l'Europe. Elle a pour but d'assurer un niveau commun élevé de sécurité pour les réseaux et systèmes d'information dans toute l'Union Européenne en :

  1. 1. Améliorant les compétences nationales en cybersécurité
  2. 2. Accroissant la coopération entre les États membres de l'UE
  3. 3. Exigeant des « Opérateurs de services essentiels et prestataires de services numériques » la prise de mesures appropriées et la notification des incidents graves aux autorités nationales pertinentes

Cliquez ici pour en savoir plus sur la Directive SRI >>

 

Règlement général sur la protection des données

Le RGPD comporte également des implications en termes de cybersécurité pour les organisations traitant des informations identifiables personnellement (IIP).

Entre autres, les sous-traitants doivent informer les responsables du traitement de toutes violations des données à caractère personnel « dans les meilleurs délais » et les responsables du traitement doivent, à leur tour, informer l'autorité de contrôle concernée dans les 72 heures. Responsables et sous-traitants sont tous redevables des dommages causés par un traitement ne respectant pas le Règlement.

Toutes les organisations traitant les données personnelles de résidents de l'UE doivent respecter le Règlement dès le 25 mai 2018 ou s'exposent à des pénalités pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.

Cliquez ici pour en savoir plus sur le RGPD >>

 

Règlement général sur la protection des données

Le RGPD comporte également des implications en termes de cybersécurité pour les organisations traitant des informations identifiables personnellement (IIP).

Entre autres obligations, les sous-traitants doivent informer les responsables du traitement de toutes violations des données à caractère personnel « dans les meilleurs délais » et les responsables du traitement doivent, à leur tour, informer l'autorité de contrôle concernée dans les 72 heures. Responsables et sous-traitants sont tous redevables des dommages causés par un traitement ne respectant pas le Règlement.

Toutes les organisations traitant les données personnelles de résidents de l'UE doivent respecter le Règlement dès le 25 mai 2018 ou s'exposent à des pénalités pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.

Cliquez ici pour en savoir plus sur le RGPD >>

 

Téléchargez notre livre vert gratuit sur la cybersécurité

Cyber Security: A Critical Business Issue fournit un aperçu sur la cybersécurité et explique comment appliquer des mesures efficaces de cybersécurité dans toutes les organisations.

Téléchargez votre livre vert gratuit sur la cybersécurité dès à présent >>

 

Violations des données notables dans l'UE

 

Date Victime Détails
Janvier 2016 FACC

Le service comptabilité financière de FACC, le fabricant allemand de pièces pour l'aérospatiale, a été la cible d'une cyberfraude occasionnant une perte de 50 millions d'euros.

Juin 2015 LOT

LOT, la compagnie aérienne nationale polonaise, a subi une « attaque informatique » imposant l'immobilisation au sol de plusieurs vols. L'attaque a ciblé les systèmes informatiques au sol de l'aéroport Okecie de Varsovie, forçant l'annulation de 10 vols et le retard de 12 autres.

Juin 2015 Bundestag

Certaines parties des systèmes du Bundestag – notamment les disques durs du comité parlementaire d'enquête sur les allégations de surveillance par le BND (le service allemand de renseignement étranger) au nom de la NSA (l'agence de sécurité nationale des États-Unis) – ont été temporairement arrêtés suite à une cyberattaque.

Avril 2015 Ryanair

Ryanair, la compagnie aérienne low-cost, a été « affectée par une escroquerie portant sur près de 5 millions $ (4,6 millions €) prélevés sur l'un de ses comptes bancaires… par virement électronique via une banque chinoise. »

Avril 2015 TV5Monde

TV5Monde, le réseau français de télédiffusion dans plus de 200 pays, a subi une cyberattaque « sans précédent » qui a retiré de l'antenne 11 chaînes. Les attaquants, se réclamant d'une affiliation à l'État islamique, ont aussi piraté la page Facebook et le site Web de la station.

Janvier 2015 19 000 sites Web français

Près de 19 000 sites Web français ont été attaqués par des groupes « plus ou moins structurés » selon le responsable français de la cyberdéfense, l'amiral Arnaud Coustillière. Les attaques par déni de service ont frappé tout un éventail de sites Web - des régiments militaires aux boîtes à pizza.

Janvier 2015 Sites Web du Gouvernement allemand

CyberBerkut, un groupe de pirates pro-russes, a revendiqué la fermeture des sites Web du Parlement allemand et de la chancelière Angela Merkel.

Décembre 2014 Aciérie allemande

Des cybercriminels ont accédé à une aciérie et occasionné des « dommages massifs à l'ensemble du système » lorsqu'un haut fourneau n'a pas pu être arrêté correctement.

Juillet 2014 Banque Centrale Européenne (BCE)

20 000 adresses e-mail plus des numéros de téléphone et des adresses postales ont été volés lors du piratage du site Web de la BCE.

 

 

AESRI et EC3

Les États membres de l'UE et les institutions européennes sont protégés par l'Agence européenne chargée de la sécurité des réseaux et de l'information (AESRI). L'AESRI a pour objectif de renforcer la cybersécurité et de relever les défis de cybersécurité à l'échelon de l'Union Européenne. L'agence cherche à développer la sensibilisation sur la sécurité de l'information au profit des citoyens, consommateurs, entreprises et organisations du secteur public de l'UE.

Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en 2013 au sein d’Europol – Agence européenne responsable de l’application des lois – pour « renforcer la lutte contre la cybercriminalité dans l'Union Européenne (UE) et aider à protéger les citoyens, entreprises et gouvernements européens ». Il privilégie trois domaines :

  • Les cybercrimes commis par des groupes organisés, particulièrement ceux générant d'importants profits criminels comme la fraude en ligne
  • Les cybercrimes entraînant des conséquences graves pour la victime, tels que l'exploitation sexuelle des enfants en ligne
  • Les cybercrimes (notamment les cyberattaques) affectant l'infrastructure critique et les systèmes d'information dans l'Union Européenne

 

ISO 27001 et bonnes pratiques de cybersécurité

La norme ISO 27001 de cybersécurité internationale énonce les exigences d'un ISMS (Système de gestion de la sécurité de l'information) sur la base du risque, couvrant les personnes, les processus et les technologies. Elle forme l'épine dorsale de toute stratégie intelligente de gestion des risques de cybersécurité.

La mise en œuvre de la norme ISO 27001 offre aux entreprises une assurance tout en les aidant à développer et renforcer leurs bonnes pratiques de sécurité de l'information. Les avantages de la certification ISO 27001 comprennent :

  • L’acquisition et la préservation des opportunités d'affaires
  • La protection et l’amélioration de votre réputation
  • Le développement de la confiance (en interne comme en externe)
  • La preuve de conformité
  • La satisfaction des exigences d'audit
  • L’amélioration de l’efficacité
  • L’identification des vulnérabilités

Cliquez ici pour en savoir plus sur la norme ISO 27001 >>

 

Cyber-résilience

Les organisations faisant preuve de bon sens reconnaissent l'impossibilité de se défendre contre toutes les attaques potentielles. Une cyber-résilience efficace combine la cybersécurité et la continuité de l'activité pour édicter des plans coordonnés et intégrés permettant de repousser, répondre et se remettre d'attaques et d'événements disruptifs possibles.

La cyber-résilience est un principe clé, fondement de la norme ISO 27001 alors que l'enjeu plus étendu du rôle des TIC dans la continuité de l'activité est couvert par la norme ISO 27031.

Cliquez ici pour en savoir plus sur la cyber-résilience >>

 

IT Governance est spécialiste de l'aide aux organisations dans les domaines de la cybersécurité, de la cybergouvernance et de la cyber-conformité.

 

En savoir plus sur nos produits et services ici.

 

Vous pourriez aussi être intéressé par :