{"id":5959,"date":"2024-04-02T10:25:11","date_gmt":"2024-04-02T08:25:11","guid":{"rendered":"https:\/\/observatoire-asap.org\/?p=5959"},"modified":"2024-04-02T10:25:12","modified_gmt":"2024-04-02T08:25:12","slug":"face-aux-cyberattaques-security-by-design-resilience","status":"publish","type":"post","link":"https:\/\/observatoire-asap.org\/index.php\/2024\/04\/02\/face-aux-cyberattaques-security-by-design-resilience\/","title":{"rendered":"Face aux cyberattaques, security by design & r\u00e9silience"},"content":{"rendered":"

Dans le prolongement de notre pr\u00e9c\u00e9dent article<\/a>, les cyberattaques augmentent de mani\u00e8re exponentielle, visant tous types d\u2019acteurs et de mani\u00e8re cibl\u00e9e.<\/p>\n

\n

Derni\u00e8rement, plusieurs ENT (espaces num\u00e9riques de travail) ont \u00e9t\u00e9 pirat\u00e9s et des bo\u00eetes e-mail ont \u00e9t\u00e9 d\u00e9tourn\u00e9es afin de diffuser aupr\u00e8s d\u2019\u00e9l\u00e8ves d’une vingtaine d’\u00e9tablissements d’Ile-de-France, du personnel enseignant et de parents d’\u00e9l\u00e8ves des messages \u00e0 caract\u00e8re terroriste.<\/p>\n

\n

Apr\u00e8s plusieurs minist\u00e8res vis\u00e9s par des cyberattaques, c\u2019est France Travail qui a annonc\u00e9 en mars 2024 avoir \u00e9t\u00e9 victime d’une cyberattaque engendrant un vol de donn\u00e9es. Les donn\u00e9es personnelles d\u2019environ 43 millions de personnes sont potentiellement impact\u00e9es, incluant nom et pr\u00e9nom, date de naissance, num\u00e9ro de s\u00e9curit\u00e9 sociale, identifiant France Travail, adresses mail et postale et num\u00e9ros de t\u00e9l\u00e9phone.<\/p>\n

\n

Les donn\u00e9es personnelles incluant les coordonn\u00e9es et num\u00e9ros de licenci\u00e9s de la F\u00e9d\u00e9ration Fran\u00e7aise de Football ont aussi \u00e9t\u00e9 pirat\u00e9es, touchant potentiellement plusieurs millions de personnes.<\/p>\n

\n

Lors du Forum International de la Cybers\u00e9curit\u00e9 (renomm\u00e9 \u00ab\u00a0Forum InCyber\u00a0\u00bb) qui a lieu chaque ann\u00e9e \u00e0 Lille, les professionnels du secteur ont mis l\u2019accent sur les risques \u00e9lev\u00e9s d\u2019attaques dans le contexte des Jeux Olympiques 2024, mais aussi sur les menaces du fait de l\u2019utilisation croissante de l\u2019intelligence artificielle.<\/p>\n

\n

La r\u00e9glementation tente de suivre les \u00e9volutions technologiques et soci\u00e9tales en imposant des actions pr\u00e9ventives (exigences \u00ab\u00a0security by design\u00a0\u00bb et \u00ab\u00a0ethics by design for IA\u00a0\u00bb) mais aussi \u00ab\u00a0correctives\u00a0\u00bb. La question n\u2019est plus de savoir si l\u2019on va \u00eatre attaqu\u00e9 mais quand et comment s\u2019en sortir.<\/p>\n

\n

La Directive concernant des mesures destin\u00e9es \u00e0 assurer un niveau \u00e9lev\u00e9 commun de cybers\u00e9curit\u00e9 dans l\u2019ensemble de l\u2019Union (\u00ab\u00a0Directive NIS 2\u00a0<\/a>\u00bb) a \u00e9largi le champ d’application de la Directive NIS de 2016, en s\u2019adressant \u00e0 un plus grand nombre de secteurs consid\u00e9r\u00e9s comme critiques. Elle renforce les exigences de r\u00e9silience en mati\u00e8re de cybers\u00e9curit\u00e9 dans l\u2019UE, imposant d\u00e9sormais la mise en place d\u2019un cadre complet de gestion des risques. Le texte \u00e9tant une directive europ\u00e9enne, il doit \u00eatre transpos\u00e9 dans chaque \u00c9tat membre de l\u2019UE au plus tard en octobre 2024.<\/p>\n

\n

Plusieurs textes de l\u2019UE visent ainsi \u00e0 assurer la r\u00e9silience des infrastructures IT, de mani\u00e8re globale mais aussi sp\u00e9cifique\u00a0:<\/p>\n