La directive sur la sécurité des réseaux et des systèmes d’information (directive « NIS ») a été adoptée cet été par le Parlement européen et le Conseil de l’Union européenne (UE). Elle est entrée en vigueur vingt jours après sa publication au JO intervenue le 19 juillet 2016. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.
Cette directive place l’Union européenne en pointe en matière de cybersécurité en renforçant les capacités nationales de cybersécurité et en fixant un cadre formel de coopération entre Etats membres. De même prévoit-elle également le renforcement de la cybersécurité d’opérateurs issus de secteurs clés ainsi que de certaines plateformes numériques.
La directive NIS sera transposée en France par l’ANSSI en lien avec l’ensemble des acteurs concernés. Elle « pourra bénéficier des travaux réalisés dans le cadre du renforcement de la cybersécurité des opérateurs d’importance vitale dont la compatibilité avec la directive a été assurée« .
Les Etats de l’UE seront aidés par l’ENISA (Agence européenne chargée de la sécurité des réseaux et des systèmes d’information) pour assurer une bonne mise en place de la directive.
Quatre axes structurent la directive :
- Renforcement des capacités nationales de cybersécurité.
- Etablissement d’un cadre de coopération volontaire entre Etats membres de l’UE.
- Renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société.
- Instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.
Protection du capital immatériel…
Cette directive ne peut laisser indifférent le secteur de la santé quand on sait qu’un hôpital de Los Angeles a dû payer une rançon de 15 000 € pour récupérer l’accès à ses données !
D’autres établissements de santé ont déjà été victimes de ce type d’attaques qui nous paraissent aujourd’hui très éloignées de notre quotidien, mais qui vont très vite devenir un fléau a traiter (un de plus…).
Ainsi, que se passera-t-il si les dossiers médicaux atterrissaient sur l’écran des assureurs, des labos, des employeurs ?
Ou, pire encore, si les données médicales étaient mélangées, inversées, si les dossiers informatisés des patients prenaient le large, si les commandes et les livraisons de médicaments étaient interceptées et modifiées ou effacées ?
Il en va donc de la sûreté des données médicales au coeur même du système de santé et il en va de même de la sécurité des bâtiments bien sûr !… D’ailleurs plusieurs sources ont rapporté que l’hôpital Émile-Durkheim d’Épinal, dans les Vosges, aurait été victime d’un rançonnage informatique en mars 2016, tandis que l’hôpital Duchenne, à Boulogne-sur-Mer dans le Pas-de-Calais, a été ciblé par un rançongiciel (logiciel de rançon) à trois reprises en moins de quinze jours.
Les hôpitaux français ne sont donc pas épargnés !
Imagine-t-on ce qui se passera quand des hackers malveillants (en est-il d’autres d’ailleurs ?) prenaient en main l’énergie d’un hôpital, sa ventilation, sont traitement d’air, ses blocs opératoires, ses groupes électrogènes…l’ouverture ou fermetures des portes ?
Ces situations n’ont rien de fantasmatique quand on apprend que, victimes d’une cyberattaque massive tout récemment, les sites (géants) de Twitter, d’Amazon, d’Ebay ou encore d’Airbnb ont été saturés de millions de demandes provoquant un engorgement informatique géant.
Mais ce n’est pas tout car, pour saturer les serveurs, les pirates ont aussi pris le contrôle d’objets connectés : alarmes, thermostats contrôlés à distance, montres et même les voitures intelligentes ! Répandus désormais par millions dans le monde, envahissant nos maisons, les objets connectés sont moins bien protégés que nos ordinateurs. Par conséquent : une nouvelle cible facile pour les pirates. Le FBI mène une enquête. Mais selon plusieurs experts, seul un pays étranger a pu mener une attaque d’une telle ampleur.
Nous voilà prévenus.
Olivier TOMA – PRIMUM-NON-NOCERE
Voir les commentaires