Comparaison des labels cybersécurité au niveau européen

Nous vivons dans un monde hyper connecté où les nouvelles technologies, tels que le “cloud”, l’internet des objets (IOT) et le “big data”, se développent à une cadence effrénée, peut-être trop rapide pour être suivie de manière sereine. Qui dit nouvelles technologies dit nouvelles menaces de sécurité et cela se vérifie hélas encore une fois : un rapport datant de 2016 et émanant du US-CERT indique que les incidents liés à la cybersécurité ont été multipliés par 14 en 10 ans avec une croissance annuelle moyenne d’environ 30% !

Les PME face aux cybermenaces

Les petites et moyennes entreprises sont une composante clé dans l’économie mondiale et leur rôle va continuer à croître dans les prochaines années. Dans les pays européens, elles représentent ⅔ des travailleurs et génèrent 60% de leurs valeurs ajoutées. Les PME peuvent être caractérisées par un haut degré de flexibilité, des employés très polyvalents, un focus sur l’innovation et une adhérence assez lâche aux procédures et standards.

Quand on croise ces caractéristiques avec les exigences de la cybersécurité, on obtient une kyrielle de cibles tentantes, surtout que les PME ne se sentent pas spécialement concernées par ce genre de menaces. Ce sentiment provient du fait qu’elles ne se rendent pas compte du danger et sous-estiment leur valeur.

Il s’avère malheureusement que les PME sont de plus en plus ciblées, avec près de 50% des cyber attaques dirigées vers elles. Elles présentent un ratio valeurs/risques intéressant pour les criminels et sous-estiment souvent la valeur de leurs données. Ces sociétés peuvent aussi servir de “relais” afin d’atteindre la vraie cible des attaquants, une plus grosse compagnie, cliente de la PME. La majorité des sociétés (60%) ainsi victimes de ce genre d’attaques n’ont pas de secondes chances et ferment dans le semestre suivant l’événement.

Une enquête menée en 2014 sur les PME anglaises a mis en évidence certains faits intéressants :

• Seulement 21% des sondés avaient une mauvaise perception des bases de la sécurité
• Une des barrières la plus souvent identifiée était la difficulté d’accès à une source d’information fiable sur la cybersécurité
• 39% avaient déjà fait une analyse de risques sérieuse, incluant la cybersécurité et 48% font en sorte de garder leur politique de risques et leurs backups à jour.
• La plupart des PME sont bien informées de la nécessité de se prémunir au niveau des risques de cybersécurité
• Le coût reste LA barrière principale pour implémenter des solutions de sécurité et passer des certifications.

La conclusion de cette enquête est qu’une partie non négligeable des PME sont conscientes des enjeux liés à la cybersécurité et sont prêtes à investir pour aller plus loin. Mais le manque de solutions simples, efficaces et abordables est un réel frein, le manque de sources d’informations fiables en étant un autre à ne pas sous-estimer.

L’évolution du marché et des solutions orientées cybersécurité

Le marché et les pouvoirs publics ne sont pas restés inactifs face à la montée en puissance des attaques. Les PME sont régulièrement interrogées sur les processus liés à leur sécurité ou doivent respecter des clauses spécifiques dans les contrats.

Les autorités publiques ont maintenant identifié le danger et le besoin d’aider les PME et commencent à proposer des solutions, voir à imposer aux sociétés de prendre des actions afin de d’adopter une approche mature par rapport aux menaces de cybersécurité.

Au niveau européen, les grandes lignes suivantes ont été définies à ce stade :

• l’Agence Européenne chargée de la sécurité des réseaux et de l’information ([ENISA) qui est occupé à conduire une série d’enquêtes et à publier des guides spécifiques afin d’adresser les besoins des PME envers la cybersécurité. L’ENISA émet aussi des recommandations en vue d’augmenter le niveau d’adoption des standards de sécurité par les PME. L’agence insiste aussi sur le besoin d’adopter des standards et des certifications agiles et légères, spécialement adaptées pour les PME.
• The European Digital SME alliance, l’alliance qui fédère les PME au niveau européen aimerait voir se développer une solution européenne telle qu’un label. L’idée est qu’ainsi, cela pourrait créer un facteur différenciant niveau qualité et visibilité et accélérer le développement et la maturité des PME envers la cybersécurité.
• La commission européenne regarde en ce moment la possibilité de créer un Framework afin de certifier des biens et des services ICT. Un système de certification, sur base volontaire, serait aussi en cours d’étude.
• Ce billet ne serait pas complet sans une mention pour le GDPR, avec sa kyrielle d’obligations et de sanctions. Démontrer une bonne maturité en cybersécurité va jouer un rôle important afin de d’éviter des fuites de données et de potentielles retombées négatives.

Certifier, oui mais à quel prix ?

L’idée de certification et labellisation a le vent en poupe mais il faudra savoir éviter certains écueils, comme évoqué par Digital Europe. La cybersécurité ne connaît pas de frontières et il faudra aussi tenir compte des écosystèmes présents à l’étranger. Une nouvelle certification ou labellisation européenne ne peut être la seule réponse à un cyber espace toujours plus complexe.

En outre, il ne faut céder à un faux sentiment de sécurité une fois la certification obtenue, c’est une pratique continue à intégrer dans l’ADN même des entreprises. Il faut aussi éviter un système trop coûteux et peu flexible qui nuirait aux PME plus qu’autres choses.

Aperçu de standards et labels existants adaptés aux PME

Il n’y a pas que l’UE qui s’est lancé dans ce genre de démarches : de nombreux pays n’ont pas attendu la fin des travaux (qui promettent d’être longs) pour définir et déployer des certificats ou labels orientés cybersécurité. Certains ont préféré impliquer des tierces-parties spécialisées dans le domaine, d’autres garder un contrôle plus étroit sur l’élaboration et le déploiement de leur solution. Nous vous donnons ici un aperçu rapide du paysage existant.

Le Royaume Uni et les CyberEssentals

Lancé en 2014, cette initiative du gouvernement vise à encourager les bonnes pratiques centrées sur la sécurité de l’information. Elle fut conçue avec l’aide de l’industrie.

Elle comporte deux niveaux de certifications : un niveau "basique" lié à une auto-évaluation et un niveau “plus” validé par des tests externes. Afin de favoriser l’adoption de ces mesures, un système de chèques a été mis en place et l’initiative rencontre un franc succès ces dernières années.

L’Allemagne, BSI et VDS

L’Allemagne émis ses premières recommandations en 2010 pour la cybersécurité et les entreprises. C’est le bureau fédéral de la sécurité de l’information (BSI) qui est en charge de ce dossier.

A notre connaissance, le secteur des PME est pris en charge principalement par le secteur privé via la société VDS qui a développé toute une série de normes et certifications à leur destination. Il y a 4 niveaux, allant du l’auto-évaluation (1) jusqu’à la certification via ISO 27001 (4).

La France et la certification ANSSI

Le gouvernement français a annoncé en 2015 leur nouvelle politique de cybersécurité, avec un volet adressant les besoins de la société française.
L’ANSSI se base sur les Critères Communs pour toutes certifications à ce niveau. Un label dédié aux entreprises et produits français a aussi vu le jour en 2014.

L’Italie et l’Italian Cyber Security Framework

Publié en 2015, ce framework très largement inspiré de NIST est destiné autant aux infrastructures critiques du pays qu’à ses PME (très nombreuses en Italie). Ils ont adapté le NIST framework pour le rendre le plus flexible possible et être sensible au contexte d’une entreprise, pas seulement sa taille ou son industrie. Il n’entend pas être un standard mais bien une référence commune en cybersécurité.

Les frameworks existants et déclinés pour les PME

On peut citer dans cette catégorie ISO27001 ou encore ISSA5173 (UK) qui ont tenté de s’adapter aux PME mais avec un succès très limité.
On ne peut pas passer à côté du Framework de cybersécurité américain NIST, qui est largement répandu à travers le monde et facilement adaptable. Il ne se destine pas à être un standard rigide mais bien une sorte de langage commun pour la cybersécurité. Il entend proposer une base solide et étendue en sécurité qui permet à la compagnie de bâtir sa politique de sécurité en fonction de ses risques et défis.

Comparatif

La table suivante synthétise le bref état de l’art dont une version plus détaillée sera prochainement publiée en anglais. Elle reprend divers éléments tels que l’autorité en charge, les contrôles réalisés, la disponibilité d’outils, le schéma de certification associé, ainsi que la gestion de la montée en maturité.

Comparaison des principaux labels européens et frameworks de cybersécurité ciblant les PME (cliquer pour agrandir)

Et en Wallonie ?

La Wallonie se caractérise par un tissu très riche de PME à protéger. Une série d’entreprises actives en sécurité se sont regroupées au sein de la grappe cybersécurité mise en place par l’Infopole pour mettre en commun leurs pratiques et réfléchir à la définition d’une démarche systématique à proposer aux entreprises.

Le CETIC participe étroitement à ce processus et contribue notamment à la définition des critères les plus adéquats par rapport aux caractéristiques de nos entreprises, en alignement avec les approches qui émergent ailleurs en Europe et les standards internationaux.

Nos autorités encouragent et soutiennent financièrement les PME afin qu’elles mettent en œuvre des mesures permettant de les protéger des cyber-menaces, notamment via des chèques dédiés à la cybersécurité pour couvrir des démarches d’audit/labélisation/définition de politiques de sécurité, ainsi que des chèques "transformation digitale" pour concrétiser les solutions élaborées. Ces prestations sont effectuées par des entreprises dont les compétences en cybersécurité et leur connaissance du référentiel commun ont été validées.

N’hésitez pas à contacter notre expert en la matière pour plus d’informations.