En réponse à la multiplication des attaques, la réglementation européenne s’étoffe pour créer une souveraineté européenne en matière de cybersécurité. L’analyse de Laurie-Anne Ancenys.
Laurie-Anne Ancenys, Counsel chez Allen & Overy, est Responsable de la pratique Tech & Data du bureau de Paris. Elle possède une expérience approfondie en matière de droit de la protection des données et droit des nouvelles technologies.
Que recouvre le terme de « cybersécurité » ?
La cybersécurité correspond à des techniques qui permettent à un système d’information de résister à des événements issus du cyber espace et susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées et transmises et donc des services connexes que ces systèmes offrent.
La cybersécurité s’appuie sur deux points :
- la lutte contre la cybercriminalité, c’est-à-dire les actes contrevenant aux traités internationaux, aux lois nationales et qui utilisent les systèmes d’information comme des moyens de réalisation d’un délit ou d’un crime.
- la cyber défense, c’est-à-dire l’ensemble des mesures techniques, qui permettent aux États ou aux sociétés de défendre des systèmes d’information essentiels dans le cyber espace pour fournir des produits ou des services.
La cybersécurité s’appuie sur de nombreuses techniques : la sécurité des comptes utilisateurs, la cryptographie, les architectures sécurisées avec les pare-feux, la sécurité des réseaux wifi, etc.
LIRE AUSSI >> Les nouveaux défis de la cybersécurité
Nous avons vu à l’occasion de la crise de la covid-19 les cyberattaques se multiplier. Existe-t-il une typologie des différents types d’attaques dans le cyber espace ?
En effet. Au préalable, il faut remarquer qu’une large palette d’acteurs est impliquée : de l’individu isolé à des organisations étatiques, l’attaquant présente des profils très divers.
De plus, les attaques sont très nombreuses et visent aussi bien les particuliers que les entreprises et les administrations.
En ce qui concerne la typologie des attaques, l’attaque la plus connue est le phishing, en français l’hameçonnage : il s’agit d’une usurpation d’identité qui permet à l’attaquant d’obtenir des renseignements personnels ou des identifiants bancaires par exemple, pour en faire un usage criminel.
Il existe également le ransomware ou rançonlogiciel, de plus en plus répandu : cette attaque chiffre les données et demande ensuite aux propriétaires d’envoyer de l’argent en échange de la clé pour les déchiffrer.
Il existe également toute une panoplie d’attaques servant à l’espionnage à des fins économiques ou scientifiques. Il existe l’attaque par point d’eau (watering hole), qui consiste à piéger un site internet légitime afin d’infecter les équipements des visiteurs du site dans le but de récupérer des données ; il y a aussi l’attaque par hameçonage ciblé (spearfishing), qui repose sur une usurpation d’identité de l’expéditeur d’un courriel et procède par ingénierie sociale pour lier l’objet du courriel et le corps d’un message à l’activité de la personne ou de l’organisation afin d’infiltrer son système d’information.
Il ne faut pas oublier également le sabotage informatique : tout ou partie d’un système d’information fait l’objet d’une attaque informatique et se retrouve bloqué. Ce type de sabotage peut même paralyser une nation et effraie les gouvernements eux-mêmes.
Il y a enfin les attaques de déstabilisation et d’atteintes à l’image. L’attaque par déni de service porte atteinte à l’image de la victime en rendant ses services indisponibles. Il existe la défiguration (ou défacement) réalisée à des fins politiques ou idéologiques : son objectif est de modifier l’apparence ou le contenu d’un site internet, ou encore de violer l’intégrité des pages.
Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les signalements de ransomware ont augmenté de 255 % en 2020.
Le ransomware est le type d’attaque le plus répandu en ce moment. Dans les attaques récentes, le secteur de la santé est de plus en plus visé : en décembre 2020, l’Agence européenne des médicaments a fait l’objet d’une attaque ayant entraîné le vol, la modification et la publication de données sur le vaccin Pfizer BioNTech afin de créer une campagne de désinformation sur les vaccins. La Mutuelle nationale des hospitaliers a également fait l’objet d’une cyberattaque le 5 février 2021, par ransomware ; l’Institut Pasteur également, l’hôpital de Villefranche sur Saône…
L’ANSSI a rendu un rapport sur l’état de la menace rançonlogiciel au début du mois de février dans lequel elle précise que les victimes souscrivent de plus en plus des assurances cyber, de sorte qu’elles sont incitées à accepter le paiement des rançons, car leur montant est couvert par l’assurance et est souvent inférieur au coût de réparations des dommages causés par l’attaque. Ces assurances sont contreproductives, car il n’est pas recommandable de payer les rançons.
LIRE AUSSI >> Cyberattaques : comment les affronter ?
Le règlement Cybersecurity Act a été adopté le 7 juin 2019. Il prévoit un cadre européen de certification de cybersécurité ainsi qu’un principe de reconnaissance mutuelle des certificats au sein de l’Union européenne. La souveraineté européenne en matière de cybersécurité est-elle désormais une réalité ?
Ces dernières années, l’Union européenne a renforcé sa stratégie en matière de cybersécurité. Le « Cybersecurity Act » reflète cette stratégie grâce à ses deux objectifs : l’adoption du mandat permanent de l’ENISA (l’Agence européenne pour la cybersécurité) et l’établissement d’un cadre européen de certification de cybersécurité, qui permettra d’harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification.
Concernant l’ENISA, l’agence, qui a été créée en 2004, va désormais jouer un rôle-clé en matière d’aide au développement des capacités nationales de cybersécurité et de soutien à la coopération entre États membres. Récemment, la Commission européenne lui a accordé un mandat pour mettre au point un mécanisme de certification commun aux États membres en vue du développement des réseaux 5G.
Concernant le cadre européen de certification : le Cybersecurity Act harmonise les méthodes d’adoption des schémas et processus de certification. Le but est d’obtenir une reconnaissance des certificats délivrés par un État membre dans toute l’Union européenne.
Avec ce règlement, il existe trois niveaux d’assurance : le niveau élémentaire, le niveau substantiel et le niveau élevé. Le premier concerne les objets grand public, tout ce qui repose sur l’internet des objets, comme par exemple l’assistant vocal dans la maison ; le niveau substantiel cible les risques médians, comme par exemple le cloud. Le niveau élevé cible les solutions pour lesquelles il existe un vrai risque d’attaque par des acteurs disposant de ressources significatives et qui pourraient viser par exemple des dispositifs médicaux connectés.
La Commission a dressé une liste de priorités en matière de certification et de cybersécurité. Le règlement sera d’application directe dans les États membres.
Le tournant pris par la Commission européenne a été accéléré par l’augmentation des attaques pendant la crise du coronavirus : elle s’est rendu compte qu’il était urgent de protéger les infrastructures critiques comme les hôpitaux et les centres de recherche. Ses récentes initiatives montrent l’enjeu majeur que représente la cybersécurité sur le plan européen et la volonté de tendre vers une souveraineté européenne à ce sujet.
Le package Cybersécurité, sorti en décembre, témoigne de la stratégie en la matière de l’Union européenne, qui vise à renforcer la résilience de l’Europe face à ces cyber menaces. Plusieurs propositions en sont ressorties : réviser la directive NIS en vue d’élever le niveau de cyber résilience des entités critiques des secteurs publics et privés. En effet, l’UE pense qu’il faut ouvrir le champ d’application de cette directive à d’autres entités critiques, pour inclure des secteurs comme le secteur bancaire ou celui de la santé. Une autre proposition est le soutien à la recherche et à l’innovation, dans le désir d’investir de façon massive afin de se préparer contre les cyber menaces, qui pourraient paralyser des pans entiers de l’économie.
La course à la 5G illustre cette volonté de renforcer le cadre européen en matière de cybersécurité. La Commission a accordé un mandat à l’ENISA pour qu’elle mette au point ce mécanisme de certification commun en vue du développement du réseau 5G.
Il y a également le projet Gaia-X, regroupement d’entreprises françaises et allemandes dont l’ambition est de créer une infrastructure européenne des données transparente et sécurisée.
Il y a donc des initiatives à l’échelle européenne impulsées par les institutions ainsi que des initiatives privées, comme Gaia-X, qui regroupe Atos, Orange, OVH, Deutsch Telecom, Bosch.
Qu’est-ce qu’une certification de cybersécurité ? Quels organismes sont habilités à les délivrer ?
La certification de cybersécurité, c’est l’attestation d’un niveau de robustesse d'un produit. Elle implique une analyse de conformité et des tests de pénétration réalisés par un tiers supervisé par l’ANSSI.
Au sein de l’UE, l’ENISA prépare les schémas européens de certification qui seront ensuite validés par les Etats membres et la Commission européenne.
Du point de vue des utilisateurs, la recherche de produits certifiés constitue une garantie de sécurité éprouvée et l’assurance d’une résistance aux attaques pour un niveau déterminé. Du point de vue des développeurs des solutions numériques qui sont certifiées, l’objectif est d’accéder à des marchés tout en se démarquant de la concurrence. Nous avons pu constater auprès de nos clients l’importance croissante des certifications.
Il faut faire attention à distinguer certification et qualification :
En France, les certifications sont au nombre de deux : la Certification Critères Communs, standard internationalement reconnu, s’inscrit dans des accords de reconnaissance multilatéraux et son processus dure de 6 à 18 mois en moyenne. Il existe aussi la Certification de Sécurité de Premier Niveau (CSPN) : pour cette dernière, on estime la résistance du produit à des attaques de niveau modéré, avec une analyse de conformité moins poussée. Moins exhaustive que la première, elle insiste sur les caractéristiques du produit. Ces certifications concernent tout type de solution numérique, même les cartes à puce ou les pare-feux.
Les qualifications attestent de la conformité de certains produits aux exigences réglementaires, techniques et de sécurité promues par l’ANSSI. Elles constituent un gage sur la robustesse du produit et sur la compétence du prestataire de service le proposant, ainsi que sur l’engagement de ce dernier à respecter des critères de confiance, de confidentialité et de protection des données. Par exemple, la qualification SecNumCloud concerne l’hébergement des données dans le nuage.
LIRE AUSSI >> Transferts des données : quelles protections pour les Européens ?
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.