Cercle Européen de la Sécurité et des Systèmes d'Informations

Élaboration d’une politique européenne de cybersécurité

Publié le

Par Mélanie BENARD-CROZAT, Rédactrice en chef S&D Magazine

Le groupement de leaders européens de l’industrie de la cybersécurité (ECIL) vient de présenter ses recommandations pour l'élaboration d’une politique européenne de cybersécurité. L’ECIL s’est réuni pour la première fois en 2015 afin de conseiller la Commission européenne mais aussi œuvrer pour le développement de leaders européens dans ce domaine. Le groupe de travail a été conduit par Thales et Atos autour d'Airbus Group, Deutsche Telekom, Ericsson, Infineon, Cybernetica, F-secure, BBVA et BMW. 

Obligations européennes

L'ECIL se félicite de l'accord conclu par les institutions européennes concernant la directive sur la sécurité de l’information et des réseaux. Cette directive fixe un cadre pour l’établissement d’exigences et de normes de gestion du risque au sein d’un marché unique numérique européen pleinement opérationnel et sécurisé. « Tous les acteurs de la chaîne de valeur des technologies de communication et d'information devraient se conformer aux mêmes obligations en matière de confidentialité des données et de cybersécurité, qu'ils opèrent ou non au sein de l’Union européenne. Tous les membres de la sphère du numérique ont une responsabilité et un intérêt partagés à ce que cet objectif soit atteint. » Une réglementation européenne autorisant le partage, en temps réel, des données sur les cyberattaques entre les institutions privées et publiques, incluant les données personnelles telles que les adresses IP, est également suggérée.
Représenté par Marc Darmon, directeur général adjoint de Thales, Thomas Kremer, membre du comité exécutif de Deutsche Telekom, en charge de la Confidentialité des données, des Affaires juridiques et de la Conformité, et par Philippe Vannier, vice-président exécutif Big data et Sécurité chez ATOS, le groupement a présenté en janvier au commissaire européen à l'Économie et à la Société numériques, Günther H. Oettinger, un rapport regroupant les recommandations clés visant à bâtir une Europe plus sûre et à encourager l’émergence de leaders européens de la cybersécurité.

Certification volontaire

Compte tenu de la fragmentation du marché européen, l’ECIL pense qu’un processus de certification volontaire est essentiel pour le développement de la cybersécurité, « domaine où législation, normalisation et labellisation sont des piliers fondamentaux de réussite », soulignent les porteurs du rapport. Ces processus seraient conçus spécifiquement pour les fabricants et les fournisseurs dont les solutions et services permettraient de garantir la sécurité. Les personnes morales et les consommateurs pourraient ainsi mieux identifier les fournisseurs sûrs. Ces processus s’appuyant sur les meilleures pratiques et autres certifications reconnues au niveau international, aucune autre obligation de sécurité ou recommandation de labellisation ne serait nécessaire.

Secure-by-design

Le groupement se prononce également en faveur de la promotion d’une approche “Secure-by-design” qui prévoit le développement et la production de produits, logiciels et solutions plus robustes. « Désormais, la cybersécurité devrait obligatoirement faire partie intégrante des systèmes d’information critiques, à l’instar de la performance et de la résilience. L’architecture des systèmes d’information critiques doit être conçue en y intégrant la cybersécurité dès le départ et non ajoutée à la fin », souligne Marc Darmon.

Protection des données & chiffrement

La protection des données axées sur le chiffrement et la sécurité des flux de données fait partie des recommandations fortes.
La confidentialité des données est un élément crucial mais une protection périmétrique ne suffit plus. « Elle doit être complétée par des solutions de chiffrement des données critiques, que ce soit sur les terminaux, les serveurs ou encore dans le cloud. Avec l'explosion de l'analyse des Big data, sur laquelle s’appuient les entreprises pour prendre des décisions stratégiques, les données sont désormais au cœur de l’activité des entreprises du XXIe siècle. Les données sensibles ne doivent être ni corrompues ni volées et il est essentiel de savoir comment les protéger », soulignent les membres du groupement.

Enfin, la collaboration des ISAC (centres de partage et d’analyse de l'information) à l'échelle européenne permettrait d’encourager et de faciliter les échanges d'informations en matière de sécurité entre les États membres et les secteurs critiques de l’industrie et ainsi créer un cyberespace européen pour les entreprises et les citoyens.

Au-delà de la politique, il est évidemment question du développement et du positionnement de leaders européens de la cybersécurité sur un marché encore très fragmenté. Mais derrière les grands opérateurs et intégrateurs, se cachent de nombreuses PME, dont « les dix, voire les vingt plus grosses PME françaises de la cybersécurité, qui réalisent une vingtaine de millions d'euros de chiffre d'affaires, pourraient prétendre à devenir des champions mondiaux de leur domaine, » selon Jean-Noël de Galzain, président d'Hexatrust, association regroupant des acteurs complémentaires experts de la sécurité des systèmes d’information, de la cybersécurité et de la confiance numérique.

Importance du chiffrement pour la société civile et l’industrie

Outre le rôle qu'elle jouera en matière de coopération entre les États membres, l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) souligne l’importance du chiffrement pour la société civile et l’industrie, « fort et de confiance », comme brique « pour une société et une économie qui dépendent plus que jamais des services électroniques ».
Les récentes attaques terroristes perpétrées dans le monde ont relancé le débat initié lors des révélations de Snowden : les consommateurs doivent-ils avoir accès aux technologies de chiffrement ? La nécessité de surveiller les activités terroristes prime-t-elle sur les droits à la vie privée des citoyens et de leurs communications ? Jean-François Pruvot, directeur régional France de Cyberark, ajoute : « Dans certains pays du monde, de nombreux citoyens ont déjà accepté de renoncer à la confidentialité de leurs données au nom d’une cybersécurité renforcée. »

Par Mélanie BENARD-CROZAT
Rédactrice en chef S&D Magazine
Extrait article publié sur sd-magazine.com

Dernière publication

Associer renseignement sur la menace et cyber-résilience peut sembler antinomique, Benoit Grunemwald, Cybersecurity Leader, ESET explique !

Lire