Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité  ?

Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, voici un éclairage sur ce projet de François Lavaste, Président de NETASQ, acteur de la sécurité informatique.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services Internet clés, l’énergie, la santé, les transports et les administrations publiques.

Pour François Lavaste, Président de NETASQ, si cette Directive va dans le bon sens, il reste maintenant à savoir comment elle se traduira concrètement ? Et quelles en sont les limites éventuelles ?

Effectivement alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment.

En ce qui concerne la notification des violations, l’idée est plutôt bonne et incite à une vraie transparence et à une mise en commun européenne des efforts de sécurité, toutefois, il faudra définir clairement la terminologie « notification des incidents de sécurité informatique » ?

« Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent »

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ? Quelle échelle de gravité des incidents de sécurité informatique devra être utilisée ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ».

Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple).

Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée.

On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.