Podcasts et ressources audio pour les Directions financières

En août 2010, la Commission Européenne demande à ses pays membres de répondre à une consultation publique visant à établir « une stratégie numérique pour l’Europe ». Parmi les différents volets est notamment évoquée la question de la cybersécurité, particulièrement au travers de la protection des données personnelles et contre le cybercrime. Avec les autres pays membres, les autorités françaises apportent les éléments finaux à la consultation en 2012. Ainsi, c’est en février 2013 que la Commission Européenne propose la directive européenne NIS, « Network and Information Systems ».

C’est là une première : auparavant, les questions de cybersécurité relevaient exclusivement de la compétence de la nation, en témoigne la loi Informatique et Libertés du 6 janvier 1978. Les Etats membres et l’Union Européenne souhaitent ainsi gagner en efficacité contre des crimes qui ne connaissent pas de frontières. Un tel dispositif vise alors à protéger les infrastructures socialement critiques des Etats membres, à l’instar de la santé, du transport et des marchés bancaires et financiers.

Adoptée par le Parlement Européen le 6 juillet 2016, la directive NIS entre pleinement en vigueur en mai 2018. Elle établit un niveau de sécurité commun afin de lutter collectivement contre les risques de cyberattaques et, pour ce faire, définit plusieurs objectifs.

Quels sont les objectifs de la directive NIS ?

La directive NIS se fonde sur 4 axes majeurs :

1. Établir un cadre de gouvernance : les Etats membres doivent développer des stratégies de cybersécurité et produire des réponses aux cyberattaques et autres incidents informatiques, notamment via la technologie « CSIRT », qui fournit un tel service en permanence, sans interruptions ;
2. Renforcer la coopération européenne : il s’agit de partager les informations techniques (risques, failles potentielles, etc.) via le « réseau européen des CSIRT » et de discuter des aspects politiques de la cybersécurité ;
3. Sécuriser les « opérateurs de services essentiels » : des règles spécifiques doivent s’appliquer à ces acteurs cruciaux pour la bonne continuité de la vie économique et sociale de la nation, et ils sont de plus subordonnés à l’obligation de notifier tout incident ;
4. Sécuriser les « fournisseurs de service numérique » : selon la même logique précédente, cela s’applique cette fois aux acteurs fondamentaux d’Internet, notamment pour le cloud computing, ainsi que les moteurs de recherche et les marketplaces.

Bien que son objectif majeur soit d’assurer une sécurité commune face aux menaces, l’Union Européenne se compose d’Etats membres hétérogènes. Ils ne disposent pas, en effet, de ressources équivalentes et leurs législations sont différentes. C’est pourquoi « NIS » est une directive, et non un règlement : elle est obligatoire dans ses fins, non dans ses moyens. Elle donne donc une latitude certaine aux Etats membres dans les actions mises en place pour atteindre les objectifs fixés.

Au-delà des aspects légaux – évidemment fondamentaux –, il s’agit ainsi pour l’UE de créer une culture de la cybersécurité, centrée sur la coopération entre les Etats membres dans la protection des infrastructures critiques. Une telle qualification répond à plusieurs critères et il incombe aux gouvernements nationaux de les désigner.

Des secteurs clés et à haut risque à identifier

Bien que tout acteur économique nécessite une protection contre les cybermenaces, la directive NIS se focalise spécifiquement sur les secteurs les plus vulnérables ET les plus essentiels au bon fonctionnement de la nation.

Sont par exemple concernés les marchés bancaires et financiers sur lesquels reposent l’économie moderne et mondialisée. De nombreux autres services fondamentaux sont concernés, comme dans les secteurs de la santé, du transport, de l’eau, de la production et de l’acheminement de l’énergie ou encore des télécommunications. En France, le gouvernement a ainsi identifié 122 opérateurs de services essentiels en 2018, auxquels « quelques centaines » s’ajoutent, et s’ajouteront.  

L’économie numérique est elle aussi concernée, on le disait – ce qui n’est pas étonnant quand on sait qu’elle représentait 6% du PIB français en 2020. A cet égard, certains de ses secteurs sont aujourd’hui considérés comme de véritables services publics, comme les moteurs de recherche et ils répondent alors à la directive NIS.

On le comprend : ce dispositif de sécurité se concentre sur la protection des infrastructures cruciales et vulnérables. Il n’est donc pas à confondre avec une autre législation européenne de cybersécurité, le RGPD.

Quelle est la différence entre le RGPD et la NIS ?

Adopté par le Parlement européen en avril 2016, le Règlement général sur la protection des données (RGPD) entre pleinement en vigueur en mai 2018. Comme son nom l’indique, cette loi cadre vise à assurer la protection de la « donnée personnelle », à la fois dans leur collecte et leur traitement. De la même manière que la directive NIS, elle s’applique au sein des 28 (désormais 27, avec le départ du Royaume-Uni) pays membres de l’Union Européenne.

Si le RGPD et la directive NIS traitent donc tous deux d’enjeux de cybersécurité, les deux législations européennes n’ont ni le même objet, ni le même champ d’application. Là où le RGPD se concentre sur les données personnelles, la directive NIS vise à protéger les infrastructures importantes.

Directive et règlement européen : une différence de contraintes

Le RGPD est un règlement : il s’applique donc uniformément à l’ensemble des 28 (désormais 27, avec le départ du Royaume Uni) pays membres de l’Union Européenne, tant dans ses principes que dans sa mise en place et les sanctions applicables en cas de non-conformité. En comparaison, la directive NIS profite d’une meilleure décentralisation, sur la base d’une coopération renforcée avec les agences nationales de cybersécurité. Dès lors, l’implementation n’est donc pas uniforme et est dépendante des ressources, législations et infrastructures de chaque pays membre.

On comprend toutefois que ces deux réglementations partagent des objectifs communs, à savoir répondre aux enjeux sécuritaires de l’univers cyber, qu’il s’agisse de protéger les infrastructures critiques ou les données personnelles. Elles partagent également cette caractéristique de loi-cadre, dont les effets à de nombreux domaines ; c’est par exemple le cas des normes comptables, alors même qu’elles ne sont pas le coeur de ces législations.

Effectivement, si le numérique révolutionne les process en termes d’efficacité et de simplicité, il crée également de nouvelles opportunités pour les cybercriminels, à l’instar des fraudeurs.

Il est alors dans l’intérêt des entreprises et organisations d’investir dans une solution anti-fraude, ainsi de Trustpair. Ce Software-as-a-Service vérifie automatiquement et en temps réel l’ensemble des données entrées ou modifiées dans le référentiel tiers. Il contrôle ainsi le couple identifiant d’entreprise / coordonnées bancaires et vous alerte en cas d’anomalies. Grâce à Trustpair, vous vous protégez donc contre les risques de fraude, par exemple la fraude au virement.

Le SMSI désigne un ensemble de politiques et de processus visant à gérer la sécurité et à atténuer les risques, particulièrement pour la sécurité de l’information. Il s’agit d’un cadre global concernant, sinon l’ensemble, du moins la majorité des services de l’entreprise : il n’est pas qu’une question informatique, mais impacte également de nombreux autres processus, comme le respect des normes comptables. 

Un SMSI doit être en conformité avec des normes connues, comme les common criteria ou la plus connue, la norme ISO 27 001 (officiellement ISO/IEC 27 001), qui « spécifie les exigences relatives aux systèmes de management de la sécurité des informations » (source). Elle n’impose pas de mesures spécifiques, mais donne les lignes directrices à adopter pour le développement d’un SMSI.

Dans son approche, le SMSI cherche à établir un compromis équilibré entre, d’une part, le risque encouru et, d’autre part, l’atténuation de ce même risque. Il s’agit d’apporter une réponse proportionnelle : la gestion des actifs, par exemple, implique l’échange de données sensibles et doit donc faire l’objet de processus renforcés.

D’ailleurs, certains secteurs lourdement réglementés requièrent un large éventail de protocoles et de stratégies d’atténuation des risques ; c’est le cas de la santé et de la finance, par exemple.

On le comprend, le SMSI répond aux menaces internes et externes, lesquelles sont en constante évolution. Dans cette perspective, le système doit lui aussi être constamment optimisé.

Le SMSI : une optimisation continue de la sécurité de l’information

Avec plus de 450 000 nouveaux malwares créés chaque jour, les enjeux de sécurité sont sans cesse renouvelés : le SMSI ne doit pas être une création unique, mais au contraire se montrer dynamique. Il doit en ce sens évoluer et améliorer ses processus pour faire face aux nouveaux risques (comme les cybermenaces sans cesse renforcées face aux protocoles de sécurité déployés), en prenant également en compte les changements dans l’organisation (culture d’entreprise, ressources, etc.).

Puisqu’il constitue un cadre global de sécurité, le SMSI requiert souvent un temps d’accompagnement auprès des collaborateurs : ils doivent être initiés aux risques et déployer les protocoles prévus par le SMSI. Le défi est d’autant plus coriace que l’entreprise et ses effectifs doivent constamment s’adapter aux nouvelles évolutions du système.

Le Plan-Do-Check-Act pour optimiser le SMSI en continu

Ainsi, afin d’être mis en œuvre, le SMSI suit un modèle Plan-Do-Check-Act (PDCA) :

• Planifier (Plan) : vous collectez toutes les informations nécessaires à l’identification des failles et l’évaluation des risques. Sur cette base, vous définissez un ensemble de politiques et de processus, puis établissez des méthodes pour vous assurer de l’optimisation continue du SMSI.
• Faire (Do) : vous appliquez les politiques déterminées en suivant la norme ISO 27001 et les ressources qu’a votre entreprise.
• Vérifier (Check) : vous menez une veille de l’efficacité des processus et évaluez les résultats.
• Agir (Act) : vous améliorez les processus existants, en éliminez ou en construisez de nouveaux grâce à ces retours.

Le PCDA est un modèle global qui doit être décliné dans l’ensemble des domaines couverts par le SMSI.

Quels sont les domaines du contrôle de sécurité du SMSI ?

Les champs d’application du SMSI sont définis, là aussi, par la norme ISO 27001 ; nous les détaillons ci-dessous.

Politiques et organisation de la sécurité de l’information

C’est le volet le plus important de la norme : on définit une orientation de politique générale, sur la base de l’entreprise, de ses activités, de son évolution et de ses besoins de sécurité. L’organisation peut ainsi diminuer les risques liés au réseau de l’entreprise, à savoir les cybermenaces internes comme externes ainsi que les potentiels dysfonctionnements du système.

Les processus de l’entreprise

Ce sont les volets les plus nombreux du contrôle de sécurité du SMSI :

• Gestion des communications et des opérations. L’ensemble des systèmes et processus doivent être en accord avec le SMSI ; il en va de même pour toutes les opérations courantes, comme la fourniture de services.
• Gestion des actifs. Cela couvre les actifs organisationnels et donc l’échange d’informations commerciales sensibles.
• Sécurité physique et environnementale. Le matériel informatique doit être protégé contre les dommages et pertes et cela s’étend d’ailleurs aux réseaux cloud sécurisés situés en-dehors du site de l’organisation.
• Continuité de l’activité. L’entreprise doit faire preuve de résilience et l’activité, si elle est interrompue, doit reprendre au plus vite. C’est par exemple ce que l’on retrouve pour les « opérateurs de services essentiels » dans le cadre de la directive NIS.
• Délimitation des droits d’accès. Il s’agit de définir les rôles et responsabilités des collaborateurs et des informations auxquelles ils peuvent accéder, tant sur les supports physiques qu’informatiques. Le SMSI surveille le réseau et détecte les actions irrégulières.
• Cryptographie. Pour la protection des données sensibles, la cryptographie est souvent utilisée, mais elle n’est pas invulnérable. Le SMSI formalise donc les processus cryptographiques et indique comment ils doivent être gérés.

Sécurité des collaborateurs et des tiers

Il s’agit, enfin, de se concentrer sur les personnes : 

• Sécurité des ressources humaines. On se concentre ici sur les effectifs et leurs activités. L’objectif est d’abord d’identifier les erreurs humaines et d’adopter des mesures de formation pour diminuer les manquements involontaires à la sécurité. Enfin, il s’agit également de réduire le risque de menace interne.
• Relations avec les fournisseurs. Ceux-ci peuvent requérir des accès au réseau et à des données sensibles, et s’il n’est certes pas possible d’appliquer les mêmes protocoles de sécurité à tous, il faut mener des contrôles adéquats pour atténuer les risques. Cela peut passer, par exemple, par des mesures de sécurité informatique et des obligations contractuelles avec les tiers.

Les domaines peuvent bien sûr connaître des variations selon l’organisation, mais l’exhaustivité du SMSI donne une approche globale de la sécurité de l’information. Le SMSI présente donc des atouts face aux cybermenaces et dysfonctionnements du réseau, mais n’adresse toutefois pas d’autres risques prégnants eux aussi, comme celui de la fraude (arnaque au FOVI, fraude au faux fournisseur, etc.). En plus du SMSI, il est donc intéressant pour votre entreprise de s’équiper d’une solution anti-fraude, comme le SaaS Trustpair. Le logiciel mène une veille automatique et continue de la base tiers et détecte toute anomalie ou tentative de fraude.

POINTS À RETENIR:

• Un SMSI est un système de management permettant de définir des actions (techniques, organisationnelles) pour atteindre un objectif fixé.

• Ce modèle contribue à la gestion de la sécurité au sein de l’organisation, tout en atténuant les risques, en particulier sur la thématique de la sécurité de l’information.
• Le SMSI suit un modèle Plan-Do-Check-Act. Soit, un processus en quatre temps: Collecte des informations, Application des politiques déterminées, Veille, Amélioration.
• Il permet une accentuation sur la sécurité des ressources humaines et des relations avec ses fournisseurs.
• Une solution de gestion unique comme Trustpair vous permet de gérer les risques de manière proactive. En savoir plus.

Contact presse
Vanessa Stephan
+33 1 58 19 34 16
vanessa.stephan@natixis.com

Site web : www.natixis.com

LinkedIn | Twitter | Facebook | Instagram | Youtube | Ausha

A propos de Trustpair 

Créé en 2017, Trustpair est la solution de référence pour lutter contre la fraude au virement en entreprise. La Fintech accompagne les Directions financières des ETI et grandes entreprises dans la sécurisation de leurs paiements en vérifiant automatiquement les coordonnées bancaires de leurs tiers. 

Avec Trustpair, plus de 150 Directions financières sont dotées d’une solution digitale pour déjouer les fraudes via :

• Le contrôle automatique des coordonnées bancaires tiers,
• L’audit continu et la fiabilisation en temps réel de leur référentiel tiers,
• La sécurisation de l’ensemble de leur campagne de paiement.

Contact presse
Agathe Chabert
+33 6 42 76 34 42
achabert@trustpair.fr

Site web : www.trustpair.fr 

LinkedIn | Twitter | Youtube