La notification des incidents cyber en Europe serait défaillante car "trop bureaucratique"
La révision de la directive NIS doit renforcer les obligations de notification d'incidents cyber, estime Juhan Lepassaar, directeur exécutif de l'Agence européenne pour la cybersécurité (ENISA). En effet, le mécanisme actuel serait "trop bureaucratique".
Le mécanisme de notification des incidents cyber au sein de l'Union européenne est défaillant car "trop bureaucratique", a alerté Juhan Lepassaar, directeur exécutif de l'Agence européenne pour la cybersécurité (ENISA), lors d'une table ronde à laquelle Euractiv a participé.
Signaler les incidents sans délai
C'est la directive "Network and information security", connue sous le nom de directive NIS, qui prévoit une obligation de notification des incidents par les opérateurs de services essentiels (OSE). Ce sont les opérateurs tributaires des réseaux ou systèmes d'information qui fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société. Les OSE doivent notifier l'incident le plus rapidement possible à l'autorité nationale compétente, comme l'Agence nationale de la sécurité des systèmes d'information (Anssi) en France. En d'autres termes, ils ne doivent pas attendre de disposer de toutes les informations pertinentes sur l'événement.
"Nous avons besoin de quelque chose qui soit agile, qui fonctionne et où les informations peuvent être partagées de manière sécurisée, a ajouté le directeur. Une plus grande résilience dans les secteurs critiques est incontestablement un aspect sur lequel nous devons nous pencher." En 2021, aucun incident transfrontalier n'a ainsi été signalé dans le cadre de la directive alors que de nombreux événements ont eu lieu, a-t-il déclaré citant le cheval de Troie SharkBot qui a attaqué plusieurs banques.
Un manque de partage qui empêche de lutter collectivement
D'après lui, le problème est que le mécanisme de notification dépend "des informations que nous recevons des Etats membres". Or, ce manque de partage compromet la capacité de l'agence européenne à agir en cas de cyberattaque alors qu'elle a justement été créée pour remplir cette tâche.
La directive NIS est en cours de révision. Les prochaines discussions entre le Parlement européen, la Commission et le Conseil devraient avoir lieu le 12 mai. Bart Groothuis, le député chargé de la révision, a précisé que l'exécutif bruxellois avait justement proposé d'inclure la notification obligatoire des menaces potentielles et des accidents évités de justesse. Outre le fait que le partage des données est insuffisant, les équipes d’intervention en cas d’incident de sécurité informatique (CSIRT) devraient également redoubler d’efforts pour "agir de manière pertinente sur ce partage de données et prévenir, pallier et aider la société grâce à ces informations", a-t-il ajouté.
SUR LE MÊME SUJET
La notification des incidents cyber en Europe serait défaillante car "trop bureaucratique"
Tous les champs sont obligatoires
0Commentaire
Réagir
