Les données sont au cœur de la transformation numérique. L'accès à des volumes de données toujours croissants et la capacité de les utiliser sont des facteurs essentiels pour l'innovation. L'importance des données, en particulier dans les secteurs critiques, attire l'attention de la cybercriminalité. La question de la cybersécurité et des cyberattaques devient de plus en plus importante pour notre société, confrontée à une augmentation massive des attaques dans le monde entier, avec d'énormes dommages économiques pour les entreprises ciblées, tant publiques que privées. Les menaces cybernétiques pour le système du pays sont devenues de plus en plus sophistiquées et répandues.
Les résultats du Threat Landscape 2023, le rapport annuel de l'Agence de l'Union européenne pour la cybersécurité (ENISA) qui fournit un aperçu détaillé du paysage des menaces en matière de cybersécurité, montrent une augmentation des incidents de cybersécurité ; de juillet 2022 à juin 2023, il y a eu environ 2 580 incidents, dont 220 concernent spécifiquement deux États membres de l'UE ou plus. Les secteurs les plus touchés incluent les autorités publiques avec 19 % et la santé avec 8 %. Cependant, 6 % de tous les événements visent les secteurs de la fabrication, du transport et des finances.
En réponse aux défis de la cybercriminalité, des efforts ont été déployés en 2022 pour renforcer le cadre législatif en matière de cybersécurité, tant au niveau européen que national, avec une série de politiques et de propositions réglementaires, de certifications et de nouvelles directives de l'UE et nationales visant à gérer le risque cybernétique.
Législation sur la cybersécurité : Vue d'ensemble européenne
Dans le paquet de mesures pour l'avenir numérique de l'Europe, la Stratégie européenne pour les données revêt une grande importance dans le tissu social, proposée en février 2022 dans le but de créer un marché unique des données qui assure la compétitivité mondiale de l'Europe et sa souveraineté en matière de données.
Elle se compose d'un ensemble d'initiatives législatives présentées par la Commission européenne et déjà en vigueur : le Digital Services Act (DSA) ; le Digital Markets Act (DMA) ; le Data Governance Act (DGA) ; le Data Act (DA). Très récemment également, le 11 janvier 2024 a vu l'entrée en vigueur du Data Act (DA), qui garantira l'équité dans l'environnement numérique en clarifiant qui peut créer de la valeur à partir des données et dans quelles conditions. La loi sur les données entrera en vigueur dans plus d'un an, le 12 septembre 2025.
Au niveau européen et en cascade dans les États membres, il est important de rappeler l'adoption en novembre 2022 de la directive NIS II qui a mis à jour et révisé la NIS (directive UE 2016/1148) avec des obligations plus claires et plus strictes en matière de cybersécurité, ainsi que la fourniture de charges et de responsabilités accrues en relation avec cette question.
La directive NIS 2 s'intègre aux diverses réglementations et directives européennes sur la protection des données et la vie privée, tout d'abord le Règlement général sur la protection des données de l'UE 2016/679 (RGPD) mais aussi le règlement DORA (Digital Operational Resilience Act, règlement UE 2022/2554), la directive CER (Critical Entity Resilience), le Cyber Resilience Act et au niveau national, le Périmètre national de cybersécurité, établi par le décret-loi n° 105 de 2019. Cela garantit que les organisations mettent en œuvre des mesures jugées appropriées pour atténuer les risques et garantit que les produits et services numériques sont développés avec un niveau minimum de cybersécurité.
Les obligations de la NIS 2
L'article 21 de la directive NIS 2 définit au paragraphe 1 que les entités obligées doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des systèmes d'information et des réseaux qu'elles utilisent dans leurs activités ou dans la fourniture de leurs services, ainsi que pour prévenir ou minimiser l'impact des incidents sur les destinataires de leurs services et sur d'autres services.
Si vous êtes l'une des entités obligées, il est nécessaire de définir, par le biais d'une analyse des écarts, quelles seront les mesures techniques, opérationnelles et organisationnelles "adéquates", en référence directe au principe de "Responsabilité" du RGPD, pour protéger les systèmes et réseaux informatiques en adoptant un type d'approche multi-risques. Par rapport au RGPD, la directive NIS 2 clarifie davantage quelles peuvent être ces mesures. La liste inclut également des politiques et procédures liées à l'utilisation du chiffrement et, si nécessaire, à l'anonymisation ou à la pseudonymisation.
Sur la base de la directive, il sera essentiel de pouvoir surveiller constamment ses niveaux de sécurité informatique et de mettre à jour les mesures prises en conséquence en fonction des vulnérabilités et des menaces réelles, tant internes qu'externes, qui peuvent affecter la sécurité. Par conséquent, la directive NIS 2 exige une approche continue de la gestion de la cybersécurité, par la définition d'objectifs clairs et la surveillance constante des résultats obtenus.
Se conformer à la NIS2 n'est pas seulement une opportunité de se conformer aux réglementations, mais aussi une opportunité d'introduire une culture de la sécurité ainsi que des meilleures pratiques techniques et organisationnelles qui peuvent augmenter le niveau de sécurité informatique.
Certifications et normes de sécurité
En même temps, les systèmes de certification et les normes de sécurité de l'information, tels que l'ISO 27001:2022 et le cadre de cybersécurité NIST, ont également été mis à jour, par rapport auxquels la version 2.0 a été annoncée pour une sortie en février 2024. C'est l'un des outils les plus pratiques et efficaces pour l'analyse des risques cybernétiques, que les organisations peuvent utiliser pour examiner leur infrastructure et prendre des mesures proactives pour identifier et traiter les vulnérabilités. Récemment, en décembre 2023, un amendement au projet de loi de l'UE de 2022 sur la cybersécurité des produits connectés, le Cyber Resilience Act (ou CRA), a été publié dans le but de renforcer les réglementations en matière de cybersécurité et d'assurer des produits matériels et logiciels plus sûrs.
En référence au cadre réglementaire italien, parmi les initiatives pour contrer le phénomène des cyberattaques, il convient également de mentionner l'adoption, par décret du Président du Conseil des ministres du 17 mai 2022, de la Stratégie nationale de cybersécurité 2022-2026 avec un plan de mise en œuvre annexé, et le début des opérations par le Centre national d'évaluation et de certification (CVCN). La stratégie, définie par l'Agence nationale de cybersécurité (ACN), vise à atteindre 82 mesures d'ici 2026 pour rendre le pays plus cyber-résilient sur plusieurs fronts.
SECO : protection garantie du matériel et des logiciels
L'objectif de ce scénario réglementaire complexe et articulé est, d'une part, de créer les conditions pour le développement de produits numériques sécurisés, en réduisant leurs vulnérabilités, et d'autre part, de conduire ceux qui développent des solutions et des technologies pour la nouvelle génération d'appareils numériques à accorder une plus grande attention à la sécurité tout au long du cycle de vie du produit, en considérant que les choix faits par les utilisateurs se concentrent de plus en plus sur des produits sûrs.
SECO s'engage à garantir la sécurité de ses produits, tant en termes de matériel que de logiciel, en assurant une réponse proactive aux défis de la cybersécurité. Grâce à une conception axée sur la sécurité, les appareils matériels de SECO et la suite logicielle Clea sont développés pour faciliter la conformité des clients avec les réglementations de l'industrie, telles que le Cyber Resilience Act, CRA, améliorant la sécurité des appareils IoT et renforçant la résilience numérique.
Les appareils matériels SECO intègrent des composants de sécurité dédiés, tels que le module de plateforme sécurisée (TPM), un processeur cryptographique conçu pour mettre en œuvre des mesures de sécurité avancées telles que le chiffrement des données, et le minuteur de surveillance, un composant qui assure la stabilité et la sécurité d'un appareil. En surveillant constamment le fonctionnement du système, le minuteur de surveillance détecte les dysfonctionnements ou les blocages et peut déclencher des actions correctives automatiques, minimisant les temps d'arrêt et maintenant la sécurité opérationnelle.
Ces technologies avancées complètent les mesures de sécurité logicielle, y compris la fonction de démarrage sécurisé, qui empêche le démarrage de logiciels malveillants en n'autorisant que l'exécution de pilotes Unified Extensible Firmware Interface (UE