L’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) a publié le 20 octobre 2020 son dernier rapport recensant les principales menaces en matière de cybersécurité au cours de la période de janvier 2019 à avril 2020.
Son statut et ses moyens ayant été renforcés depuis l’entrée en application du Cybersecurity Act, l’ENISA adopte une approche pédagogique dans son rapport. Elle consacre plusieurs parties dédiées à des thématiques différentes et émet des recommandations à destination notamment des pouvoirs publics et des acteurs de la cybersécurité.
Quelles sont les principales menaces ? Qu’en est-il des évolutions législatives ? Quels sont les bons réflexes ?
15 principales menaces recensées par l’ENISA
L’ENISA souligne deux facteurs qui ont particulièrement joué dans la transformation de l’état des menaces par rapport à l’année 2018 : d’une part, la mise en place de pratiques de plus en plus numérisées en raison de la pandémie et d’autre part, la sophistication des techniques utilisées par les acteurs malveillants.
En effet, plusieurs organismes ont été amenés à adapter leurs pratiques pour poursuivre leurs activités (visioconférence, audioconférence, télétravail des collaborateurs, accroissement du e-commerce ou au contraire suspension de cette activité pour des raisons sanitaires, téléconsultations, etc.). Cette période a également généré une recrudescence d’actes délictueux, comme nous avons expliqué dans un article précédent.
Dans ce contexte, l’ENISA a dressé une liste de quinze principales cyberattaques en 2019 et 2020 :
Des attaques plus sophistiquées et complexes
L’ENISA estime qu’au cours de la prochaine décennie, les risques liés à la cybersécurité deviendront plus difficiles à évaluer en raison notamment de la complexité croissante des menaces.
Ainsi, l’ENISA souligne que les acteurs de la cybersécurité seront amenés à passer « moins de temps à surveiller les activités et plus de temps aux travaux de préparation et d’intervention ». En d’autres termes, la capacité d’anticiper et de gérer les incidents de sécurité deviendra plus importante dans le futur.
Il convient de rappeler que la directive sur les réseaux et les systèmes d’information, dite la directive NIS, prévoit plusieurs obligations de sécurité à la charge des opérateurs de service essentiel (OSE) et les fournisseurs de service numérique (FSN). Ces derniers sont notamment tenus de mettre en place des mesures afin de gérer les risques, prévenir les incidents et réduire l’impact de ces derniers. Nous détaillons la qualification de ces acteurs et leurs obligations telles que transposées en droit français dans nos articles précédents.
La stratégie de l’Union européenne sur l’union de la sécurité
Au niveau européen, la cybersécurité sera un sujet à fort enjeu pendant la période 2020-2025 dans le cadre de la mise en œuvre de la stratégie de l’Union européenne sur l’union de la sécurité.
Dans une communication du 24 juillet 2020, la Commission européenne détaille les axes importants de cette stratégie. Ainsi, elle souligne la nécessité d’augmenter la protection et la résilience des infrastructures critiques (électricité, hôpitaux, banques, télécommunications, etc.). Ces infrastructures étant souvent interconnectées, une menace touchant un secteur donné peut avoir des conséquences graves dans d’autres. A ce titre, la Commission précise que le cadre juridique existant ne prend pas en compte l’interdépendance desdites infrastructures.
La Commission souligne également l’impact important des cyberattaques sur l’économie. La perte annuelle en raison des cyberattaques serait équivalente à 9 % du revenu net des banques dans le monde. Selon la Commission, les actions de l’Union pour faire face à l’évolution rapide des cybermenaces devraient se concentrer à la fois sur la résilience et la réaction, tout en développant à long terme « une culture de la cybersécurité dès la conception ».
Dans ce contexte, la Commission propose plusieurs actions, dont la révision de la directive NIS ainsi qu’une nouvelle législation sur la protection et la résilience des infrastructures critiques.
A ce titre, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) considère que la révision de la directive NIS offre « l’opportunité de mettre l’accent de façon plus précise sur la nécessité, pour les opérateurs de services essentiels (OSE), de se doter d’une gouvernance et d’un processus de gestion de leurs risques numériques adaptés et intégrés au plus haut niveau des organisations. ». L’ANSSI souligne également l’importance d’adopter une approche harmonisée au sein de l’Union ainsi que d’établir une plus grande coopération transfrontalière à l’occasion de cette révision.
Dans l’attente de prochaines étapes au niveau européen, n’oublions pas les bons réflexes :
- La sensibilisation des collaborateurs à des actes malveillants,
- La réalisation d’audits réguliers,
- L’identification des vulnérabilités les plus importantes,
- La mise en place de procédures et politiques internes afin d’assurer le respect de l’obligation de notification des incidents, etc.
Mathias Avocats ne manquera pas de vous tenir informé sur les évolutions en la matière et notamment sur la révision de la directive NIS.