Menaces informatiques : l'Europe se prémunit de façon disparate

Par 21 mai 2010
Mots-clés : Smart city, Europe

Les Etats-membres s'organisent de manière inégale en matière de sécurité des systèmes d'information. Mais l'ensemble des pays a désormais mis en place des instances de contrôle et de prévention.

Si la plupart des pays européens n'ont pas encore mis en place une stratégie structurée en matière de sécurité des réseaux d'information (NIS), de nombreuses initiatives ont été prises en ce sens, qui démontrent les efforts effectués par les pays membres de l'Union européenne. C'est ce qu'indique une étude menée par Deloitte pour le compte de l'ENISA, l'agence européenne chargée de la sécurité des réseaux d'information. C'est le cas de l'Autriche, par exemple, où ces questions sont prises en compte dans les stratégies menées en matière d'e-gouvernement, d'e-sécurité, d'e-business, etc. "En général, ce sont les gouvernements et les autorités publiques qui jouent un rôle central et proactif dans la définition des stratégies nationales de sécurité des systèmes d'information", constatent les chercheurs. Le niveau d'implication des autres acteurs potentiels - industrie, ONG, universités… - variant en fonction des pays.
Le rôle fondamental des CERT
Sur la question des rapports fournis à propos des incidents IT, par exemple. L'ensemble des pays européens rapporte les incidents de sécurité qu'ils détectent à leurs propres CERT*. Ces organismes officiels sont des centres d'alerte qui assurent la prévention contre les attaques informatiques. Tous les Etats-membres passent par ce biais pour faire remonter des comptes-rendus qui établissent les risques informatiques. Mais le niveau de prise en compte est différent d'un pays à l'autre, selon les chercheurs. La raison ? Très souvent, il n'y a aucune obligation légale de faire état des incidents de sécurité survenus, et la procédure est inégalement suivie. Parmi les bonnes pratiques observées, les chercheurs citent l'exemple de la Hongrie, qui utilise le TLP (Traffic Light Protocol) pour reporter les incidents de manière sécurisée. Les autorités hongroises partageant les informations avec les départements gouvernementaux, le plus rigoureusement possible.
Faire remonter l'information en fonction du degré de la menace
Et, le cas échéant, quand l'incident est de nature criminelle, par exemple, avec la presse. Ce qui se retrouve dans d'autres pays de l'Union européenne. Lorsque les incidents sont liés à la fraude ou à la criminalité informatique, les Etats-membres tiennent très souvent à faire remonter l'information. C'est le cas pour la Roumanie et la Bulgarie, par exemples, qui ont mis en place des procédures spécifiques pour ces situations. Le Royaume-Uni et l'Allemagne publient quant à eux régulièrement des rapports relatant les risques en matière de sécurité des systèmes d'information : une pratique que louent les chercheurs dans leur étude. En France, l'Agence nationale de la Sécurité des systèmes d'information, placée sous l'autorité du Premier ministre, s'occupe de répertorier les menaces informatiques, et propose également des comptes-rendus sur cette question.
* Computer Emergency Response Team

Mentions légales © L’Atelier BNP Paribas