Club des Directeurs de Sécurité & de Sûreté Des Entreprises

precédent Sécurité, gouvernance et entreprise : retex sur le cas BP L’Agence fédérale de la protection de l’environnement des (...) La cyberdéfense au regard du livre blanc 2013 sur la défense et la sécurité nationale Le nouveau livre blanc sur la défense et la sécurité (...)

L’obligation de déclaration d’incident : état des lieux

Publié le 15 avril 2013

Face à la recrudescence des incidents de cybersécurité enregistrés dans le monde, nombre de pays s’efforcent d’imaginer des stratégies de sécurisation des systèmes et données de leurs entreprises, infrastructures critiques et gouvernements.

Le partage d’informations gouvernement-secteur privé est l’une des pistes proposées pour produire une image plus précise de la « menace » et y répondre de manière plus efficace. A cet égard plusieurs pays mettent en place des moyens autorisant ce partage d’information : le Royaume-Uni a créé fin mars 2013 le CISP (Cyber Security Information Sharing Partnership) [1] ; l’administration américaine [2] souhaite proposer un cadre réglementaire facilitant ces échanges dans des conditions optimales de sécurité tant pour les entreprises que les acteurs publics (les démocrates rencontrent à cet égard une opposition républicaine, hostile à toute forme de réglementation qui viendrait accroître le poids des normes pesant sur les entreprises). Le plus souvent, les solutions de partage d’information reposent sur le volontariat et n’ont donc aucun caractère contraignant.

Complémentaire, l’obligation de déclaration d’incident s’inscrit dans la même logique de renforcement de la sécurité par une meilleure connaissance de l’environnement. En France, une telle obligation relèverait par exemple de la même démarche qui s’impose aux exploitants des installations classées, contraints de déclarer dans les meilleurs délais les incidents et accidents survenus au sein de leurs installations (art.R512-69 du Code de l’environnement).

En voulant imposer aux entreprises une obligation de déclaration de cyber incident (qui semble s’avérer nécessaire en raison de la réticence de ces dernières à communiquer sur ces sujets [3]) , les autorités visent plusieurs objectifs :

  • Placer les entreprises face à leurs responsabilités en matière de sécurité ;
  • Assurer la protection des consommateurs ;
  • Permettre aux autorités de cybersécurité de mieux enquêter (par exemple établir des relations entre incidents qui paraîtraient isolés de prime abord) ;
  • Mieux connaître la menace (cybercriminalité et cyberattaques étatiques ; modes opératoires), affiner les statistiques (ampleur du phénomène), pour adapter les politiques nationales de cybersécurité, mais aussi agir plus efficacement dans le cadre de la coopération régionale et internationale. Neelie Kroes, commissaire européenne en charge de la société numérique, s’est déclarée favorable à des mesures incitant les entreprises à plus de transparence [4].

Plusieurs interrogations demeurent quant à la faisabilité et à l’efficacité d’une telle démarche :

  • La « connaissance » de nouveaux faits permettra-t-elle d’améliorer véritablement la sécurité dans son ensemble ?
  • Quel niveau de gravité, quel type de cyber incident, déclenchera l’obligation ?
  • La loi devra-t-elle prévoir de nouvelles sanctions contre les entreprises ne se soumettant pas à l’obligation ?
  • Doit-on privilégier le volontariat, l’incitation ou l’obligation ?

Daniel Ventre, CNRS (Cesdip/Gern), Titulaire de la Chaire de Cyber sécurité et Cyber défense (Saint-Cyr / Sogeti / Thales)