Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Sécurité : Va t'on enfin prendre les cyberattaques au sérieux ?
Posté par JPilo le 23/1/2014 13:00:00 Articles du même auteur

En 2013, le président Obama a signé le décret 13636, Improving Critical Infrastructure Cybersecurity (amélioration de la cyber-sécurité des infrastructures critiques).

Outre la grande attention qu’il a attirée, ce décret requiert également l’élaboration de directives permettant de faire face aux cyber-menaces existant contre les infrastructures essentielles du pays par le National Institute of Standards and Technology (Institut national des normes et de la technologie, NIST).

Depuis, le NIST a publié un plan préliminaire qui doit être finalisé en février 2014. La politique de cyber-sécurité des États-Unis est (pour l’instant) axée sur les meilleures pratiques et dépend des initiatives des acteurs de l’énergie, des transports et d’autres infrastructures essentielles du secteur privé. Au sein de l’Union européenne, la cyberpréparation a pris un tour différent, mettant en jeu, sans surprise, un plus grand nombre de réglementations.

Mais des deux côtés de l’Atlantique, tout le monde s’est mis au moins d’accord pour dire que les entreprises doivent faire plus qu’édifier simplement des murs de sécurité encore plus élevés.

En réponse à ses propres cyber-batailles, la communauté européenne a rédigé une autre de ses directives en février dernier, plus précisément la directive 20../../../EU. Le parlement européen a finalement adopté de nouvelles lois exigeant des peines plus sévères pour les initiateurs de cyberattaques lancées contre de nombreux ordinateurs telles que réseaux d’ordinateurs zombies (botnets), DDoS, vers informatiques, etc.

 

 

Jusqu’ici, tout va bien. Plus ou moins.

Mais, à la différence des entreprises américaines, les entreprises européennes seront soumises à des obligations légales directes d’améliorer leurs cyberdéfenses. La directive 20../../../EU prévoit explicitement « d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Et il existe une autre exigence controversée de notification des cyberattaques aux autorités nationales responsables de la sécurité des données.

En d’autres termes, dans un avenir pas très lointain, un service de réseau social, un quotidien ou un fournisseur de messagerie de l’UE pourrait être condamné à payer une amende pour ne pas avoir empêché ou limité une attaque.

Une question qui se pose est de savoir comment cette cyberdirective s’insère dans la réglementation existante de l’UE. Par exemple la directive sur la protection des données abordée dans deux publications en ligne de The Metadata Era au cours de l’année dernière.

La réponse est qu’elle étend le champ de ce que les entreprises doivent protéger. Alors qu’elles étaient jusqu’à présent tenues de mettre en œuvre des mesures de sécurité relatives aux données personnelles des consommateurs (IPI essentiellement), elles devront désormais protéger leurs infrastructures entières (routeurs, périphériques, logiciels et serveurs) contre toute tentative de perturbation ou de désactivation.

Sans surprise, la nouvelle cyberdirective de l’UE a provoqué son lot de controverse et de confusion. La définition d’une attaque contre « de nombreux » ordinateurs et les seuils de déclaration d’une cybercrise manquent de clarté. Étant donné que chaque membre de l’UE peut mettre en œuvre la directive de manière différente, une ambiguïté supplémentaire subsiste pour les entreprises en activité dans plusieurs pays. Elle constitue un problème en particulier pour les grands acteurs de médias sociaux américains implantés en Europe.

Alors que l’UE et les États-Unis ont adopté une approche différente de la cyberréglementation, le consensus veut que les entreprises mettent l’accent sur la surveillance et la détection en tant que deuxième ligne de défense.

La détection des modèles inhabituels de l’activité des utilisateurs et du système constitue la pierre angulaire des recommandations du NIST et un concept essentiel des nouvelles législations de l’UE. Même si ce n’est pas encore une obligation légale aux États-Unis, nous pensons que c’est une idée à explorer sérieusement en élaborant vos propres plans de sécurité informatique pour 2014, termine Norman Girard, Vice Président et directeur général Europe de Varonis.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/7/2019 15:00:00 - MXGP-2019 : Trailer et nouveautés.
18/7/2019 14:30:00 - Un siège parfaitement adapté aux Gamers
18/7/2019 14:00:00 - GloomHaven : Accès anticipé et trailer de lancement
18/7/2019 13:30:00 - Des applications du Google-Play-Store traquent les utilisateurs.
17/7/2019 15:00:00 - Where the Water Tastes Like Wine : Aventure Underground.
17/7/2019 14:30:00 - En Vacances : Quelques conseils pour plus de sécurité
17/7/2019 14:00:00 - Train Sim World 2020 : 15.08 sur PC et consoles.
17/7/2019 13:30:00 - Next-Gen et sécurité : Les Français(es), bons élèves ou non ?
16/7/2019 15:00:00 - Trine: Ultimate Collection : PC, consoles et Switch cet automne
16/7/2019 14:30:00 - God Eater 3 : Disponible sur Switch.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



www.bitdefender.fr

Bitdefender






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité