IncentAct

Société d'Avocat

La notification des pannes et la Directive NIS

Les pannes rencontrées étaient dues à des migrations ou des changements internes.

C’est ce que certains dirigeants ou opérationnels ont pu faire remarquer avant le développement en masse du piratage informatique. La loi n’obligeait pas les entreprises à faire procéder à la notification d’une panne d’un outil informatique du fait d’un virus, ni à publier l’incident dans les médias.

La maîtrise du traitement de la panne.

La panne et l’anticipation.

Qu’elle affecte un outil informatique ou par extension une unité industrielle, la panne est envisageable et donc réparable. La cause est identifiable. Les rapports d’incidents existent déjà dans le système d’information de l’entreprise. En cas de panne d’un outil industriel, l’entreprise fait déjà l’objet de nombreux rapports , contrôles, auprès des Drire et des autorités de Tutelle de l’entreprise, des DGCCRF,… selon le secteur d’activité.

Sur un plan contractuel, la mise en jeu de la responsabilité de l’entreprise ou la résolution d’une panne du fait d’un virus pouvait être anticipée et être encadrée. La panne est visée dans les dispositions contractuelles régissant les rapports entre l’entreprise, des sous-traitants ou des co-traitants. Ces dispositions anticipent les cas d’application de la garantie, les modalités de la réparation, les cas de maintenance préventive, évolutive ou les cas de gros entretiens de l’unité industrielle.

La remise en état pouvait être réalisée dans des délais déterminés. Ces sujets sont connus et maîtrisés par les juristes.

Ensuite, les changements internes, tels que le départ d’une personne spécialisée dans le domaine ou un changement d’organisation pouvaient également être anticipés.

Le virus informatique faisait partie du dommage et expliquait la cause de la panne mécanique ou de la panne du système d’information.

Le temps de la panne.

Visible, la panne était réparable dans des délais contractuels. Le virus (malware) quant à lui, s’est révélé être un outil qui peut se déployer sur plusieurs niveaux dans le système d’information de l’entreprise et dans un espace temps contrôlé par le hacker.
Rarement visible au moment du hacking ou mais plutôt postérieurement, au moment du dommage sur des installations (PC ou parties d’unités industrielles), il n’est pas contrôlable quand il s’est déployé dans le système d’information et tant que le dommage sur les installations n’est pas visible.

Le piratage, un art de haut vol, dans un environnement connu.

Plusieurs évènements devraient nous inviter à nous pencher sur la trop grande production de Directives et de lois, la généralité des articles de loi sans distinction entre l’objet acheté par le consommateur, l’unité industrielle et les incidences économiques, juridiques sur l’entreprise.

La multiplication des cas de piratage

L’un, en décembre 2015, a visé des installations de la société Prykarpattyaoblenergo situées en Ukraine qui ont subi une panne électrique, privant d’électicité 700 000 foyers. Un malware (blackenergy) serait en tout ou en partie à l’origine de l’arrêt de l’installation. Le malware serait chargé de détruire des portions de disques durs, et les données qui s’y trouvent. Il aurait été commandé pour se dissimuler dans un document Office puis aurait été déployé dans le système de l’opérateur électrique contrôlant et commandant les infrastructures industrielles. Le malware pouvait entraîner la panne électrique complète ou ralentir le redémarrage de l’installation industrielle.L’autre, en janvier 2016, tout aussi important, concerne le piratage d’un drone de la NASA et le vol des informations associées (missions effectuées, plans de vol, noms des employés). Le piratage aurait consisté à implanter un logiciel espion (le malware) au sein même du réseau local de la NASA (un cheval de Troie qui capte et envoie directement aux pirates les identifiants qui circulent sur le réseau). Le logiciel aurait permis aux pirates d’opérer un changement de trajectoire du drone. L’opérateur de la NASA affecté au vol du drone a cependant repris le contrôle manuel du drone avant qu’il ne touche terre.Un autre évènement a porté sur le dévoiement d’un drone espion américain qui survolait l’Iran, alors que des informations transmises au GPS par les Iraniens ont permis aux Iraniens de prendre le contrôle du drone, laissant cependant les opérateurs américains penser que la trajectoire était en partie respectée. Le malware s’est doublé d’un leurre. Ce leurre a empêché la reprise du contrôle manuel du drone par l’opérateur de la NASA.

En février, arriva ce qui était à craindre depuis un moment : l’hôpital Hollywood Presbyterian Medical Center de Los Angeles a été victime d’une attaque informatique, un ransomware. toutes les données ont été chiffrées, illisibles. Les patients ont dus être transférés dans d’autres établissements. Après avoir réclamé une rançon de 3,6 millions de dollars, l’hôpital aurait payé 17 000 dollars pour mettre fin à cette paralysie.

La liste risque d’être longue.

Le nouveau piratage : faiblesse du système ou des employés ?

Le piratage n’est plus un acte isolé, ni dédié à l’espionnage industriel mais il fait partie intégrante de stratégies s’appuyant sur des outils de piratage attractifs (un message simple à ouvrir (sous word, par exemple) dont l’unique objet est d’être visible puisqu’il cible un lecteur personne physique. Il cible une faiblesse du lecture Pourquoi ne pas ouvrir un fichier word ?. Ensuite, il prend le contrôle d’identifiants (clefs), afin d’accéder à de l’information, consulter certaines informations dans l’espace d’information de l’entreprise ; cet espace étant situé sur plusieurs territoires (siège, établissement, sous-traitant, outils industriels) et sur des serveurs quelque fois localisés à l’étranger.

La connaissance prise de ces informations permettra aux hackers d’adapter de nouvelles stratégies de pillage de données, de réclamations, de prendre des données personnelles entre autre, d’organiser la panne d’unités industrielles. Cette connaissance des informations de l’entreprise, de ses outils industriels peuvent constituer de véritables actes de déstabilisation de l’Etat, de ses institutions.

Pour l’instant, le repérage de l’intrusion semble difficilement détectable puisque chaque personne physique à son poste de travail ne va pas va tous les jours penser à son mot de passe et n’imaginera pas un seul instant ne pas devoir ouvrir des fichiers dont ils pourraient se révéler dangereux pour l’entreprise et son travail…

Un changement de comportement viendrait encore affecter les relations de travail.

Pour atténuer ce propos, une information auprès des départements de l’entreprise sur l’environnement des objets connectés et des lieux de travail de l’entreprise devrait être abordée de façon pratique.

L’authentification de l’identité des pirates est compliquée, sauf à transformer l’entreprise en société de sécurité et attendre des outils industriels des systèmes de sécurité différents.
Les systèmes de sécurité des outils industriels existaient déjà du fait des normes mais n’avaient pas pour finalité de se protéger contre un détournement de leurs fonctionnalités par un tiers. Les unités industrielles, dans chaque machine qu’elles intègrent, doivent respecter les normes sur la sécurité, connues par le monde de l’industrie. Une unité de production doit restituer une information fiable et journalière du cycle de production, de ses émissions,….

Face à cette problématique, le droit semble vouloir culpabiliser l’entreprise et la rendre responsable de tout type de dommages, de la perte de données personnelles, à l’arrêt d’exploitation d’unités industrielles. Les deux sont placés au même niveau.
Dire que l’entreprise est « la responsable », car incapable de sécuriser son enceinte, ses données, son personnel, ses contacts, serait une erreur car elle est la première victime du piratage de ses données.

Une réponse européenne : la Directive NIS et la Directive 2002/58/CE relative à la vie privée et aux communications électroniques, pour quoi faire ?

Entrée en vigueur

La directive appelée NIS qui doit entrer en vigueur avant 2018 ne semble pas apporter de réponses adéquates aux problèmes posés aux entreprises et à la société mais fait peser sur les entreprises une charge financière supplémentaire et un climat de suspicion peu propice à sa compétitivité.

Étendue

La Directive s’applique aux entreprises de l’UE qui sont des opérateurs des infrastructures critiques, telles que les transports, le gaz, l’électricité, l’eau, le nucléaire, prestataires du web…

La Directive ne s’applique pas à certains acteurs du web ! (yahoo…).

Objet

La Directive NIS déclare vouloir protéger les consommateurs des conséquences d’une cyber-attaque contre des infrastructures dites critiques, telles que les infrastructures de fourniture de gaz, les transports, l’électricité …par le biais de la notification des pannes.

Modalités

Pour parvenir à cette protection dite absolue, elle impose aux Etats d’adopter une stratégie de cyber-sécurité ;

  • et, pour y parvenir, elle impose aux Etats de rentrer dans un réseau de communication inter-étatique pour le reporting des incidents (CSIRT) ;
  • et, pour y parvenir, elle demande aux Etats de créer un organe qui va collecter les rapports (CERT)
  • et, pour obtenir des rapports, elle demande aux entreprises de reporter les incidents critiques auprès de la CERT ;
  • et pour comparer ces rapports et les bonnes pratiques, la Commission Européenne va rédiger des documents standards qui devront être appliqués par les entreprises.

Une fois les rapports obtenus, le CERT n’aura plus qu’à pointer du doigt des évidences du moment, la défaillance de l’entreprise ne venant ainsi que démontrer l’absence de sécurisation des outils industriels.

Le CERT national devra obtenir tous les pouvoirs pour auditer les entreprises. Cela revient à dire que des personnes qui n’ont pas l’expertise d’un domaine d’activité viendront contrôler l’entreprise, accompagnées d’experts ou non.

En France, les Opérateurs d’Importance Vitale (OIV) ont déjà l’obligation de notifier aux autorités compétentes toute attaque informatique auprès de l’ANSSI.

Quel est le coût de la notification pour les entreprises ?

  • Incidence sur les relations commerciales avec les sous-traitants : temps de négociation de clauses sans contrepartie en termes d’activité économique pour des sociétés industrielles.
  • Incidence sur le développement des entreprises de plus faible taille.
  • Incidence sur les comportements :évaluer le résultat en termes d’image sur l’entreprise est un raccourci marketing qui n’est pas à la portée des consommateurs et qui n’œuvre pas en faveur de l’intérêt général. La révélation d’une défaillance auprès des consommateurs ne fera qu’augmenter un sentiment d’insécurité et pourrait attiser l’audace de nouveaux hackers, réduira la compétitivité juridique et financière des entreprises.
  • Incidence sur le business : qui se traduit par une obligation supplémentaire de rédiger un triple rapport (rapport d’incidents envers son autorité de Tutelle, au CERT et du fait des incidents en matière de protection de données) ; Cf : Le Règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de donnés à caractère personnel en vertu de la Directive 2002/58/CE relative à la vie privée et aux communications électroniques oblige les fournisseurs de services d’informer la CNIL au plus tard 24 heures après le constat de l’incident des incidents sur la perte ou au vol de données des internautes.

Une panne est avant tout un problème technique, informatique ou mécanique; peu importe.

4 mars 2016- Global Security Mag- Risk Management

Celine

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *