Des attaques toujours plus nombreuses, sophistiquées... et délétères

En 2019 pour la première fois, les cyber-incidents sont devenus le risque le plus redouté par les entreprises françaises, devant les interruptions d’activité, les incendies et les catastrophes naturelles (1). Et pour cause : selon le 4e baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin), 80% des entreprises interrogées ont subi au moins une attaque en 2018, et 48%, au moins quatre (2) ! Avec des effets toujours plus nocifs, depuis le ralentissement de la production et l’indisponibilité du site web jusqu’à la perte de chiffre d’affaires. Et pour un coût moyen de plus de 8 millions d’euros par entreprise en France (3).

Chaque année les spécialistes constatent une sophistication croissante de la cybercriminalité, dont les méfaits défraient souvent la chronique – on se souvient notamment des attaques subies par Saint-Gobain, Altran et Airbus. L’espace numérique dans son ensemble est concerné, autant les données que les infrastructures. Par exemple, le spearphishing permet aujourd’hui de mieux cibler les victimes de ransomware et leurs données sensibles. Et les botnets trouvent un nouveau souffle dans le développement de l’IoT afin de mener des attaques DDoS à grande échelle – pour mémoire, on devrait compter 50 milliards d'objets connectés dans le monde en 2030, contre 22 milliards actuellement (4)...

Dans un monde toujours plus connecté et intelligent, les entreprises et les industries sont donc lourdement menacées, tout comme les villes et les Etats. Outre-Atlantique, après Atlanta et San Antonio, Baltimore a été longuement paralysée par un virus affectant 10 000 ordinateurs de ses services municipaux et ceux de 600 000 habitants. Dans de moindres proportions, la France a aussi été touchée, à La Croix-Valmer ou à Sarrebourg. Pire, l’Agence nationale de sécurité des systèmes d’information (Anssi) s’inquiète d’attaques plus pernicieuses sur les infrastructures critiques de notre pays ou sur nos entreprises stratégiques, comme l’a expliqué son directeur, Guillaume Poupard : « Nous observons le développement d'attaques qui visent à rentrer dans les systèmes d'information sans rechercher des effets immédiats mais pour préparer le terrain à des conflits futurs. »

Pas de transformation numérique sans confiance

Consciente que sa transformation numérique ne peut s’opérer sans la confiance, la France s’est dotée d’une Stratégie nationale pour la sécurité du numérique en 2015. Une démarche qui a prolongé la stratégie de défense et de sécurité des systèmes d’information adoptée en 2010, ainsi que la loi de programmation militaire de 2013 imposant des mesures de sécurité informatique aux opérateurs d’importance vitale (OIV). Parmi ses objectifs : apporter une réponse forte contre les actes de cybermalveillance affectant les systèmes d’information de l’État, des entreprises et des particuliers ; et faire de la sécurité numérique un vecteur de compétitivité, notamment en créant un environnement favorable aux entreprises qui proposent une offre de produits et services sécurisés.

Le pays réfléchit par exemple à créer un grand campus de la cybersécurité qui permettrait aux acteurs émérites de ce domaine d’échanger leurs connaissances et bonnes pratiques, qu’ils soient industriels, start-ups, universitaires, chercheurs, etc. Il s’agirait aussi d’accompagner l’innovation publique et privée pour concourir au développement de la filière industrielle de cybersécurité. De quoi fédérer l’écosystème français autour de sujets de pointe, tels l’IoT, l’usine 4.0, l’intelligence artificielle..., et valoriser son excellence.

Parallèlement, le cadre réglementaire a rapidement évolué. La directive européenne NIS (Network and Information Security), adoptée en 2016 et transposée en droit national en 2018, oblige les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) à sécuriser leur système d’information et à déclarer les incidents de sécurité. Le RGPD (Règlement général sur la protection des données), adopté en 2016 et appliqué dès 2018, impose aux entreprises d’obtenir un consentement explicite pour collecter des données à caractère personnel et de s’assurer qu’elles sont traitées de manière légale. Quant au Cybersecurity Act, adopté en 2019, il marque une étape majeure dans la construction d’un marché unique de la confiance numérique. Outre l’attribution d’un mandat permanent à l’agence européenne pour la cybersécurité (Enisa), ce règlement souhaite instituer un cadre européen de certification de la cybersécurité, pour les produits, procédures et services. Il s'appuiera pour cela sur les schémas nationaux et internationaux existants, ainsi que sur les systèmes de reconnaissance mutuelle, en particulier le SOG-IS.

Les atouts de la certification

Car la certification est aujourd’hui un instrument incontournable pour aider les entreprises, citoyens et administrations à identifier les organisations et les services les plus fiables en terme de sécurité, dans une offre pléthorique. Et pour aider les professionnels à pénétrer des marchés réglementés ou à se démarquer de la concurrence.

En outre, les OIV et les autorités administratives ont pour obligation de faire appel à des prestataires qualifiés selon le référentiel PDIS (prestataire de détection des incidents de sécurité). Délivrées par l’Anssi sous le nom de Visas de sécurité, ces qualifications offrent la garantie de recourir à des services recommandés par l’État. Elles couvrent aussi des produits. Objectif : attester d’un niveau de robustesse d’un service ou d’un produit et d’un niveau de confiance dans le fournisseur de service ou de produit.

Il existe trois niveaux de qualification pour les produits (élémentaire, standard, renforcé), permettant de classer leur résistance à des cyber délinquants plus ou moins compétents et équipés. Tout comme il existe divers référentiels, selon les familles de services :

• prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE) ;
• prestataires d’audit de la sécurité des systèmes d’information (PASSI) ;
• prestataires de détection des incidents de sécurité (PDIS) ;
• prestataires de réponse aux incidents de sécurité (PRIS) ;
• prestataires de service d’informatique en nuage (SecNumCloud).

Dans le droit fil du RGPD, les établissements de santé et autres professionnels du secteur ont quant à eux l’obligation de recourir à des hébergeurs de données de santé (HDS) certifiés. L’enjeu est de construire un environnement de confiance autour de l’e-santé et du suivi des patients. Cela concerne toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social.

Le référentiel de certification HDS repose sur les exigences de normes liées à la sécurité de l’information :

• l’intégralité de la norme ISO 27001:2013 management de la sécurité de l’information) ;
• des exigences de la norme ISO 20000-1:2012 (système de gestion de la qualité des services) ;
• des exigences de protection de données à caractère personnel via la norme ISO 27018:2014 ;
• des exigences spécifiques à l’hébergement de données de santé.

À l’issue de la procédure de certification, l’hébergeur de données obtient un certificat HDS mentionnant son périmètre :

• hébergeur infrastructure physique, pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
• hébergeur infogéreur, pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée.

S’il n’en disposait pas préalablement, un certificat ISO 27001 lui est également remis.

Une offre LNE qui évolue avec les enjeux cyber

Après les avoir expérimentés et contribué à leur mise à jour durant deux ans, le LNE a été reconnu par l’Anssi en 2018 comme organisme d’évaluation pour les référentiels PDIS, PRIS et SecNumCloud. A ce titre, il a reçu un Visa de sécurité.

Les prestataires peuvent ainsi soumettre à son évaluation leurs services de cybersécurité, selon un processus bien établi. Après avoir été déclarée éligible à la qualification, leur offre est étudiée par le LNE en conformité avec le cadre et les conditions d’évaluation validés par l’Anssi. Les résultats sont ensuite transmis à l’agence, qui peut exiger des évaluations complémentaires et qui décide seule de la qualification des prestataires. Celle-ci est reconnue en France et valide durant au maximum trois ans, au-delà desquels un renouvellement simplifié est possible, sur la base de travaux d’évaluation complémentaires.

En août 2019, le LNE a également été l’un des premiers organismes accrédités par le COFRAC pour la délivrance de la certification Hébergeur de données de santé. De nombreuses entreprises lui font déjà confiance pour ce type de service, notamment des prestataires de cloud reconnus, comme OVH.

Dans le processus de mise en conformité, il intervient ainsi au stade de l’audit (documentaire et sur site), c’est-à-dire après que l’hébergeur de données de santé s’est formé au référentiel HDS et qu’il a mis en œuvre un système de management de la sécurité de l’information (SMSI) conforme au référentiel. Le LNE peut proposer un pré-audit permettant d’évaluer, par échantillonnage, les éventuels écarts du SMSI, avant de démarrer le processus de certification. Il procède ensuite en cinq étapes, depuis la planification de l’audit jusqu’à la notification de sa décision.

Par nature, la certification HDS peut donc être menée conjointement à la certification ISO 27001 (voir encadré). Le LNE veille autant que possible à mutualiser les audits, afin d’optimiser la mobilisation des équipes auditées et les coûts associés.

(1) Baromètre du risque Allianz 2019.
(2) Étude quantitative réalisée par OpinionWay auprès de 174 membres du Cesin, 2018.
(3) Coût moyen par entreprise française, selon l’Etude annuelle sur le coût de la cybercriminalité, menée par Accenture et le Ponemon Institute.
(4) Selon les estimations de Strategy Analytics.