#cyberisques Vers un nouveau label européen en cybersécurité ?

 
 
 
Vers un nouveau label européen en cybersécurité ?
 
 
 

La Commission européenne a proposé mardi une série de mesures pour mieux protéger l'UE contre les cyberattaques, avec la création d'une agence dédiée et d'un label européen de cybersécurité pour les acteurs du monde numérique. Une idée proposée à l'origine par l'ENISA (lire plus bas le CP officiel de mai 2017)

En 2016, plus de 4.000 attaques par "rançongiciel" ("ransomware" en anglais) par jour ont été enregistrées dans l'UE et "80 % des entreprises européennes ont connu au moins un incident lié à la cybersécurité", a fait valoir l'exécutif européen. Une tendance qui préoccupent les Ministres de la Défense de l 'UE qui ont "joué" à la cyberguerre lors d'un exercice de simulation à Talinn (cf notre section BONIUS). Bref une sensibilisation au plus haut niveau, mais pour quoi faire ?  

Qu'ils s'agissent d'attaques DdoS (come pour OVH) ou de ransomwares (section BONUS nos liens sur le sujet) les datas et le business des entreprises européennes compme des institutions sont mencés.

L'avenement du RGPD pour la protection des données à caractere personnel constitue un premier pas pour le renforcement de la protection au niveau des citoyens européens ( http://www.cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo ) Reste les autres datas, les réseaux, les applications, les IoT... Vaste chantier qui incite la CE a faire évoluer l'actuelle agence ENISA. 

Selon Jean-Yves Le Drian, la France compte 2 600 cyber-combattants, des white hackers aux «personnes que nous faisons monter en compétence ». Le ministère considère que la France a  déjoué 24 000 cyberattaques en France en 2016

"C'est une question économique clé, mais aussi une question politique", a déclaré devant la presse le commissaire en charge de la sécurité, Julian King, insistant sur le fait que les cyberattaques "peuvent aussi viser nos institutions démocratiques".

Le Commission propose notamment de transformer en véritable "Agence de cybersécurité de l'UE" l'actuelle agence européenne ENISA, basée en Grèce, dont le rôle se limite actuellement à fournir une expertise et des conseils.

Avec un "mandat permanent", des "ressources supplémentaires" et des "compétences renforcées", cet organisme doit améliorer selon elle "la préparation de l'UE en cas d'attaques".

L'agence serait notamment chargée d'organiser chaque année des "exercices de cybersécurité paneuropéens" et de favoriser le partage d'informations sur les menaces entre Etats membres.

Elle devra aussi avoir un rôle clé dans le système de "certification de cybersécurité" que propose de créer la Commission pour les produits et services numériques.

Les "acteurs du marché seront libres d'utiliser ou non" ce nouveau label, qui garantira le respect de "normes élevées en matière de cybersécurité", et pourrait "ainsi devenir un avantage concurrentiel" pour les entreprises qui y auront recours.

Ce texte prévoit d'étendre le champ des infractions liées aux systèmes d'information "à toutes les opérations de paiement, y compris celles réalisées au moyen de monnaies virtuelles", comme le bitcoin. Il introduit aussi des règles communes pour le niveau des peines encourues.

La Commission a indiqué qu'elle soumettrait début 2018 des propositions pour "faciliter l'accès transfrontalier aux preuves électroniques" et qu'elle prévoyait de publier dans les prochaines semaines "les résultats de ses réflexions sur le rôle du cryptage dans les enquêtes pénales".

 © 2017 AFP

The EU Agency for Network and Information security – ENISA – together with industry recently reached a common position on cybersecurity, that reflects the concerns of industry and provides a set of suggestions for policy makers. The paper focuses on four main areas actively debated at the EU level: standardisation and certification, security processes and services, security requirements and implementation, and the economic dimensions.

The paper identifies key challenges and recommendations identified for the European Commission to:

  • define a policy framework for ensuring minimal security requirements for connected devices. The development of European security standards needs to become more efficient and/or adapted to new circumstances related to Internet of Things (IoT). Based on those requirements, a European scheme for certification and the development of an associated trust label should be evaluated.

  • ensure that reliable security processes and services are being developed to support industry in implementing security features in their products (e.g. through providing information and training about state-of-the art security solutions).

  • encourage the development of mandatory staged requirements for security and privacy in the IoT, including some minimal requirements. These common principles should be considered in future revisions and new legislative initiatives.

  • create a level playing field for cybersecurity and look into incentives similar to the Digital Security Bonus in order to reward the use of good security practices.

ENISA’s Executive Director Udo Helmbrecht said: “Trusted solutions and a common defined level for the security and privacy of connected and smart devices is both recommended and needed, to allow Europe to reap the benefits of soon to become ubiquitous technologies. As such, standardisation and certification have been identified as a priority, to accelerate the level playing field for the entire industry and reflect the trust of citizens, consumers and businesses in the connected environment”.

Pervasive connectivity over the Internet of Things means that security is becoming an important issue for just about all citizens – whether they be using a computing device, TV or washing machine. The European policy framework is set to define easy-to-use measures that will give industry the guidance it requires and consumers the transparency they need,” said Dr. Stefan Hofschen, Division President Chip Card & Security at Infineon Technologies. “On the product side, security solutions based on certified, hardware security trust anchors are already available today to serve the increasing security requirements.”

 “The growth in IoT and connected devices creates a tremendous amount of opportunity for businesses and consumers. How the industry comes together, agrees on common principles to address complex concerns like security, can break down the barriers of adoption and is key to fostering this market,” said Rüdiger Stroh, ‎Executive Vice President & General Manager of Security and Connectivity at NXP® Semiconductors. “Security and privacy by design, a proven approach that grew business streams for mobile phones, cars and wearable manufacturers, help build trust between businesses and consumers. Our vision is to help grow the IoT market and bring this quality of security to other IoT applications.”   

This initiative will increase the much-needed awareness for security in IoT devices and organize a collective effort to establish important standards to help deliver it, which will ultimately bring big benefits to consumers and businesses,” said Marie-France Florentin Group Vice President & General Manager of Secure Microcontroller Division at STMicroelectronics. “With its long history and valuable expertise in embedded security, ST is in a strong position to make vital contributions to this key framework.”

The common position was developed by Infineon, NXP, and STMicroelectronics, supported by ENISA. The Agency aims at working further with industry and seeks the support of more actors in the semi-conductor and chip-product manufacturer field, application and service providers.

Furthermore, ENISA is working alongside the Commission and cooperates with the recently formed cPPP (contractual Public-Private Partnership) in order to define a roadmap on NIS Certification, and looks forward to supporting the Commission in the NIS Certification policy area.

BONUS: 

https://www.enisa.europa.eu/news/enisa-news/european-defence-ministers-meet-for-cyber-exercise-supported-by-enisa

https://www.enisa.europa.eu/news/enisa-news/enisa-works-together-with-european-semiconductor-industry-on-key-cybersecurity-areas

https://www.flashpoint-intel.com/

https://insights.hpe.com/articles/the-rise-of-ransomware-1709.html?jumpid=em_2xdyq6h1ef_aid-510339415

 
 
 
 
 

92f48dd1-879b-4bbf-a03b-bde8b9b9e86d

 
 
 
 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires