Notre monde connait une évolution technologique rapide qui constitue un défi pour les entreprises au niveau de leur métier mais aussi de nouvelles menaces liées à la cybersécurité ainsi que de contraintes légales comme RGPD (GDPR). Cet article présente un aperçu des approches développées en Europe afin de proposer un label cybersécurité à destination des PME.
Date: 7 décembre 2017
Thème d'innovation: Cyber Sécurité ⊕
A propos du projet:
Nous vivons dans un monde hyper connecté où les nouvelles technologies, tels que le “cloud”, l’internet des objets (IOT) et le “big data”, se développent à une cadence effrénée, peut-être trop rapide pour être suivie de manière sereine. Qui dit nouvelles technologies dit nouvelles menaces de sécurité et cela se vérifie hélas encore une fois : un rapport datant de 2016 et émanant du US-CERT indique que les incidents liés à la cybersécurité ont été multipliés par 14 en 10 ans avec une croissance annuelle moyenne d’environ 30% !
Les petites et moyennes entreprises sont une composante clé dans l’économie mondiale et leur rôle va continuer à croître dans les prochaines années. Dans les pays européens, elles représentent ⅔ des travailleurs et génèrent 60% de leurs valeurs ajoutées. Les PME peuvent être caractérisées par un haut degré de flexibilité, des employés très polyvalents, un focus sur l’innovation et une adhérence assez lâche aux procédures et standards.
Quand on croise ces caractéristiques avec les exigences de la cybersécurité, on obtient une kyrielle de cibles tentantes, surtout que les PME ne se sentent pas spécialement concernées par ce genre de menaces. Ce sentiment provient du fait qu’elles ne se rendent pas compte du danger et sous-estiment leur valeur.
Il s’avère malheureusement que les PME sont de plus en plus ciblées, avec près de 50% des cyber attaques dirigées vers elles. Elles présentent un ratio valeurs/risques intéressant pour les criminels et sous-estiment souvent la valeur de leurs données. Ces sociétés peuvent aussi servir de “relais” afin d’atteindre la vraie cible des attaquants, une plus grosse compagnie, cliente de la PME. La majorité des sociétés (60%) ainsi victimes de ce genre d’attaques n’ont pas de secondes chances et ferment dans le semestre suivant l’événement.
Une enquête menée en 2014 sur les PME anglaises a mis en évidence certains faits intéressants :
La conclusion de cette enquête est qu’une partie non négligeable des PME sont conscientes des enjeux liés à la cybersécurité et sont prêtes à investir pour aller plus loin. Mais le manque de solutions simples, efficaces et abordables est un réel frein, le manque de sources d’informations fiables en étant un autre à ne pas sous-estimer.
Le marché et les pouvoirs publics ne sont pas restés inactifs face à la montée en puissance des attaques. Les PME sont régulièrement interrogées sur les processus liés à leur sécurité ou doivent respecter des clauses spécifiques dans les contrats.
Les autorités publiques ont maintenant identifié le danger et le besoin d’aider les PME et commencent à proposer des solutions, voir à imposer aux sociétés de prendre des actions afin de d’adopter une approche mature par rapport aux menaces de cybersécurité.
Au niveau européen, les grandes lignes suivantes ont été définies à ce stade :
L’idée de certification et labellisation a le vent en poupe mais il faudra savoir éviter certains écueils, comme évoqué par Digital Europe. La cybersécurité ne connaît pas de frontières et il faudra aussi tenir compte des écosystèmes présents à l’étranger. Une nouvelle certification ou labellisation européenne ne peut être la seule réponse à un cyber espace toujours plus complexe.
En outre, il ne faut céder à un faux sentiment de sécurité une fois la certification obtenue, c’est une pratique continue à intégrer dans l’ADN même des entreprises. Il faut aussi éviter un système trop coûteux et peu flexible qui nuirait aux PME plus qu’autres choses.
Il n’y a pas que l’UE qui s’est lancé dans ce genre de démarches : de nombreux pays n’ont pas attendu la fin des travaux (qui promettent d’être longs) pour définir et déployer des certificats ou labels orientés cybersécurité. Certains ont préféré impliquer des tierces-parties spécialisées dans le domaine, d’autres garder un contrôle plus étroit sur l’élaboration et le déploiement de leur solution. Nous vous donnons ici un aperçu rapide du paysage existant.
Le Royaume Uni et les CyberEssentals
Lancé en 2014, cette initiative du gouvernement vise à encourager les bonnes pratiques centrées sur la sécurité de l’information. Elle fut conçue avec l’aide de l’industrie.
Elle comporte deux niveaux de certifications : un niveau "basique" lié à une auto-évaluation et un niveau “plus” validé par des tests externes. Afin de favoriser l’adoption de ces mesures, un système de chèques a été mis en place et l’initiative rencontre un franc succès ces dernières années.
L’Allemagne, BSI et VDS
L’Allemagne émis ses premières recommandations en 2010 pour la cybersécurité et les entreprises. C’est le bureau fédéral de la sécurité de l’information (BSI) qui est en charge de ce dossier.
A notre connaissance, le secteur des PME est pris en charge principalement par le secteur privé via la société VDS qui a développé toute une série de normes et certifications à leur destination. Il y a 4 niveaux, allant du l’auto-évaluation (1) jusqu’à la certification via ISO 27001 (4).
La France et la certification ANSSI
Le gouvernement français a annoncé en 2015 leur nouvelle politique de cybersécurité, avec un volet adressant les besoins de la société française.
L’ANSSI se base sur les Critères Communs pour toutes certifications à ce niveau. Un label dédié aux entreprises et produits français a aussi vu le jour en 2014.
L’Italie et l’Italian Cyber Security Framework
Publié en 2015, ce framework très largement inspiré de NIST est destiné autant aux infrastructures critiques du pays qu’à ses PME (très nombreuses en Italie). Ils ont adapté le NIST framework pour le rendre le plus flexible possible et être sensible au contexte d’une entreprise, pas seulement sa taille ou son industrie. Il n’entend pas être un standard mais bien une référence commune en cybersécurité.
Les frameworks existants et déclinés pour les PME
On peut citer dans cette catégorie ISO27001 ou encore ISSA5173 (UK) qui ont tenté de s’adapter aux PME mais avec un succès très limité.
On ne peut pas passer à côté du Framework de cybersécurité américain NIST, qui est largement répandu à travers le monde et facilement adaptable. Il ne se destine pas à être un standard rigide mais bien une sorte de langage commun pour la cybersécurité. Il entend proposer une base solide et étendue en sécurité qui permet à la compagnie de bâtir sa politique de sécurité en fonction de ses risques et défis.
Comparatif
La table suivante synthétise le bref état de l’art dont une version plus détaillée sera prochainement publiée en anglais. Elle reprend divers éléments tels que l’autorité en charge, les contrôles réalisés, la disponibilité d’outils, le schéma de certification associé, ainsi que la gestion de la montée en maturité.
La Wallonie se caractérise par un tissu très riche de PME à protéger. Une série d’entreprises actives en sécurité se sont regroupées au sein de la grappe cybersécurité mise en place par l’Infopole pour mettre en commun leurs pratiques et réfléchir à la définition d’une démarche systématique à proposer aux entreprises.
Le CETIC participe étroitement à ce processus et contribue notamment à la définition des critères les plus adéquats par rapport aux caractéristiques de nos entreprises, en alignement avec les approches qui émergent ailleurs en Europe et les standards internationaux.
Nos autorités encouragent et soutiennent financièrement les PME afin qu’elles mettent en œuvre des mesures permettant de les protéger des cyber-menaces, notamment via des chèques dédiés à la cybersécurité pour couvrir des démarches d’audit/labélisation/définition de politiques de sécurité, ainsi que des chèques "transformation digitale" pour concrétiser les solutions élaborées. Ces prestations sont effectuées par des entreprises dont les compétences en cybersécurité et leur connaissance du référentiel commun ont été validées.
N’hésitez pas à contacter notre expert en la matière pour plus d’informations.