Dans le prolongement de notre précédent article, les cyberattaques augmentent de manière exponentielle, visant tous types d’acteurs et de manière ciblée.
Dernièrement, plusieurs ENT (espaces numériques de travail) ont été piratés et des boîtes e-mail ont été détournées afin de diffuser auprès d’élèves d’une vingtaine d’établissements d’Ile-de-France, du personnel enseignant et de parents d’élèves des messages à caractère terroriste.
Après plusieurs ministères visés par des cyberattaques, c’est France Travail qui a annoncé en mars 2024 avoir été victime d’une cyberattaque engendrant un vol de données. Les données personnelles d’environ 43 millions de personnes sont potentiellement impactées, incluant nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone.
Les données personnelles incluant les coordonnées et numéros de licenciés de la Fédération Française de Football ont aussi été piratées, touchant potentiellement plusieurs millions de personnes.
Lors du Forum International de la Cybersécurité (renommé « Forum InCyber ») qui a lieu chaque année à Lille, les professionnels du secteur ont mis l’accent sur les risques élevés d’attaques dans le contexte des Jeux Olympiques 2024, mais aussi sur les menaces du fait de l’utilisation croissante de l’intelligence artificielle.
La réglementation tente de suivre les évolutions technologiques et sociétales en imposant des actions préventives (exigences « security by design » et « ethics by design for IA ») mais aussi « correctives ». La question n’est plus de savoir si l’on va être attaqué mais quand et comment s’en sortir.
La Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (« Directive NIS 2 ») a élargi le champ d’application de la Directive NIS de 2016, en s’adressant à un plus grand nombre de secteurs considérés comme critiques. Elle renforce les exigences de résilience en matière de cybersécurité dans l’UE, imposant désormais la mise en place d’un cadre complet de gestion des risques. Le texte étant une directive européenne, il doit être transposé dans chaque État membre de l’UE au plus tard en octobre 2024.
Plusieurs textes de l’UE visent ainsi à assurer la résilience des infrastructures IT, de manière globale mais aussi spécifique :
- Spécifique à un secteur d’activité : le Digital Operational Resilience Act (DORA), applicable dès janvier 2025 vise à renforcer la résilience opérationnelle IT des organismes financiers, les banques et les assurances notamment, mais aussi les prestataires de services TIC dans le secteur financier. Organiser la résilience selon DORA passe par la veille des cybermenaces, le signalement des cyberattaques, les PCA/PRA, l’organisation des sauvegardes, l’insertion de dispositions contractuelles spécifiques, etc.
- Spécifique à un objet particulier (produit ou service) : le Cyber Resilience Act (CRA) vise à assurer plus grande résilience des produits matériels et logiciels en imposant des obligations de sécurité plus contraignantes aux fabricants, aux importateurs et distributeurs (de hardware comme de software). Ce texte a été adopté par le Parlement européen et doit être formellement adopté par le Conseil de l’UE avant d’entrer en vigueur. Dès son entrée en vigueur, les fabricants, importateurs et distributeurs de produits matériels et logiciels disposeront – sauf exception – de 36 mois pour s’adapter aux nouvelles exigences européennes.
Le Parlement européen a aussi adopté mi-mars 2024 un règlement établissant des règles harmonisées concernant l’intelligence artificielle (ci-après « IA Act »), pour encadrer l’utilisation de l’IA. Le texte devrait être publié d’ici juin 2024 et entrer en vigueur en 2026. Les opérateurs de systèmes d’IA devront donc dès la publication du texte au Journal officiel entamer la mise en conformité de leurs systèmes. Les obligations de l’IA Act seront graduées en fonction du niveau de risque du système d’IA (risque inacceptable, élevé ou limité). Des régulateurs seront désignés pour surveiller le marché et fixer des sanctions financières le cas échéant. A suivre…