La future directive NIS leur imposerait de notifier les intrusions sur leurs systèmes informatiques. A l’instar des obligations qui incombent déjà aux opérateurs d’importance vitale. Un projet de directive européenne dévoilé cet été par l’agence de presse Reuters suscite de vives réactions auprès des acteurs du secteur du numérique. Si ce texte est adopté, les entreprises opérant des moteurs de recherche, des réseaux sociaux, des offres cloud, etc. devront reporter aux autorités compétentes toute attaque informatique. En France, cette obligation incombe déjà aux entreprises critiques qui opèrent dans les secteurs de l’énergie, santé, finances ou encore des transports. Ces opérateurs d’importance vitale (OIV) sont obligés de rapporter aux autorités compétentes tout incident informatique, qu’il s’agisse d’une intrusion, cyber-attaque ou perte de données relatives aux données personnelles de leurs clients. Mis en débat auprès des instances communautaires et des Etats-Membres, le projet de la future directive NIS (Network and Information Security) suscite des avis divers. Si un grand nombre de consommateurs y seront favorables car en cas de vols de données massives, ils veulent en être informés au plus tôt. Quant aux entreprises du numérique, elles craignent que l’obligation de notifier des failles de sécurité nuise à leur compétitivité. Robert Griffin, Chief Security Architect chez RSA, division sécurité de l’américain EMC, souligne le risque de divulguer des failles avant qu’elles aient été comprises : « Alors que de nouvelles règles en matière de sécurité informatique sont actuellement en cours de discussions au sein de l’Union européenne, il est essentiel que ces débats prennent en considération l’équilibre requis autour du signalement des failles de sécurité ». Ce dernier estime d’un côté l’importance de partager les informations sur les failles afin de réduire le risque pour les autres entreprises d’être attaquées ainsi que de soutenir la recherche commune autour des cibles, stratégies et outils des pirates informatiques. « D’un autre côté, il y a des risques, cette fois-ci provenant de la divulgation de ces failles avant d’avoir compris ce qu’il s’était passé et l’impact qu’elles ont eu ». En vue des changements à venir en matière de régulations européennes liées à la confidentialité, il est important pour les entreprises d’aller au-delà de la simple mise en conformité avec ces règles. Il s’agit de réfléchir à l’impact concret sur leur productivité. Pour le Chief Security Architect,« dans cette optique, ces dernières doivent élaborer une stratégie cohérente pour tous les services internes – en gardant à l’esprit que la sécurité numérique est une affaire concernant toute l’entreprise et pas uniquement le service informatique”. Il recommande d’« établir un équilibre en matière de signalement doit prendre en compte trois aspects essentiels : les besoins de l’entreprise en matière de rétention d’information, l’impact sur l’entreprise de cette divulgation d’informations ainsi que l’approche stratégique plus générale adoptée par l’entreprise en matière de sécurité ».
http://actualitesdudroit.lamy.fr/Accueil/Articles/tabid/88/articleType/ArticleView/articleId/126788/Default.aspx