En 2013, le président Obama a signé le décret 13636, Improving Critical Infrastructure Cybersecurity (amélioration de la cyber-sécurité des infrastructures critiques).

Outre la grande attention qu’il a attirée, ce décret requiert également l’élaboration de directives permettant de faire face aux cyber-menaces existant contre les infrastructures essentielles du pays par le National Institute of Standards and Technology (Institut national des normes et de la technologie, NIST).

Depuis, le NIST a publié un plan préliminaire qui doit être finalisé en février 2014. La politique de cyber-sécurité des États-Unis est (pour l’instant) axée sur les meilleures pratiques et dépend des initiatives des acteurs de l’énergie, des transports et d’autres infrastructures essentielles du secteur privé. Au sein de l’Union européenne, la cyberpréparation a pris un tour différent, mettant en jeu, sans surprise, un plus grand nombre de réglementations.

Mais des deux côtés de l’Atlantique, tout le monde s’est mis au moins d’accord pour dire que les entreprises doivent faire plus qu’édifier simplement des murs de sécurité encore plus élevés.

En réponse à ses propres cyber-batailles, la communauté européenne a rédigé une autre de ses directives en février dernier, plus précisément la directive 20../../../EU. Le parlement européen a finalement adopté de nouvelles lois exigeant des peines plus sévères pour les initiateurs de cyberattaques lancées contre de nombreux ordinateurs telles que réseaux d’ordinateurs zombies (botnets), DDoS, vers informatiques, etc.

Jusqu’ici, tout va bien. Plus ou moins.

Mais, à la différence des entreprises américaines, les entreprises européennes seront soumises à des obligations légales directes d’améliorer leurs cyberdéfenses. La directive 20../../../EU prévoit explicitement « d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Et il existe une autre exigence controversée de notification des cyberattaques aux autorités nationales responsables de la sécurité des données.

En d’autres termes, dans un avenir pas très lointain, un service de réseau social, un quotidien ou un fournisseur de messagerie de l’UE pourrait être condamné à payer une amende pour ne pas avoir empêché ou limité une attaque.

Une question qui se pose est de savoir comment cette cyberdirective s’insère dans la réglementation existante de l’UE. Par exemple la directive sur la protection des données abordée dans deux publications en ligne de The Metadata Era au cours de l’année dernière.

La réponse est qu’elle étend le champ de ce que les entreprises doivent protéger. Alors qu’elles étaient jusqu’à présent tenues de mettre en œuvre des mesures de sécurité relatives aux données personnelles des consommateurs (IPI essentiellement), elles devront désormais protéger leurs infrastructures entières (routeurs, périphériques, logiciels et serveurs) contre toute tentative de perturbation ou de désactivation.

Sans surprise, la nouvelle cyberdirective de l’UE a provoqué son lot de controverse et de confusion. La définition d’une attaque contre « de nombreux » ordinateurs et les seuils de déclaration d’une cybercrise manquent de clarté. Étant donné que chaque membre de l’UE peut mettre en œuvre la directive de manière différente, une ambiguïté supplémentaire subsiste pour les entreprises en activité dans plusieurs pays. Elle constitue un problème en particulier pour les grands acteurs de médias sociaux américains implantés en Europe.

Alors que l’UE et les États-Unis ont adopté une approche différente de la cyberréglementation, le consensus veut que les entreprises mettent l’accent sur la surveillance et la détection en tant que deuxième ligne de défense.

La détection des modèles inhabituels de l’activité des utilisateurs et du système constitue la pierre angulaire des recommandations du NIST et un concept essentiel des nouvelles législations de l’UE. Même si ce n’est pas encore une obligation légale aux États-Unis, nous pensons que c’est une idée à explorer sérieusement en élaborant vos propres plans de sécurité informatique pour 2014, termine Norman Girard, Vice Président et directeur général Europe de Varonis.