Articles

L’ENISA publie le compte rendu d’activité de l’exercice « Cyber Europe 2014 »

L’ENISA publie aujourd’hui dans sa version publique le compte-rendu d’activité de l’exercice pan-Européen de cyber-sécurité  Cyber Europe 2014  (CE2014).  Le rapport, qui a été validé par les États-membres, donne un panorama détaillé de cet exercice de cyber-sécurité très complexe qui a été mené en 2014.

Le  principal  objectif  de  Cyber  Europe  2014  était  d’apprendre  aux  États-membres  à  coopérer  dans l’éventualité  d’une  cyber-crise.  L’exercice,  qui  s’est  déroulé  sur  trois  phases,  a  tout  d’abord  permis  de mesurer  l’efficacité  des  procédures  de  coopération  et  de  remonter  des  informations  en  cas  de  cyber-incident  transfrontalier  menaçant  la  sécurité  de  services  et  d’infrastructures  stratégiques.  Il  également permis de tester les capacités nationales et les plans de secours en place avec la collaboration des secteurs public et privé.

L’exercice,  mis en place  tous les deux ans par l’ENISA,  a été  organisé conjointement par des représentants des pays participants et a nécessité six (6) réunions de préparation  à travers l’Europe. Cet exercice, auquel ont participé plus de 1 500 participants venus de 29 États-membres de l’UE et de l’AELE, a couvert pour la première fois l’intégralité des trois (3) phases de la procédure de réponse aux cyber-incidents – les phases technique, opérationnelle  et stratégique,  conçues pour être déployées successivement selon la gravité de l’incident :

– Phase 1 –  niveau technique (28-30 avril 2014, 49 heures) : détection de l’incident, analyse et limitation des dommages, échanges d’information.

– Phase  2  –  niveau  opérationnel (30  octobre  2014,  10  heures) :  alerte,  coopération,  limitation  des dommages  à  court  terme,  développement  d’un  aperçu  collectif  de  la  situation.

– Phase 3 –  niveau stratégique –  testé pour la première fois  (25 février 2015) : prise de décisions à partir d’un  aperçu collectif de la situation, débats politiques de haut niveau sur les stratégies à adopter pour limiter les dommages à long terme.
Le rapport montre que notre capacité commune à faire face à des incidents de cyber-sécurité de grande échelle  en  Europe  s’est  considérablement  améliorée  depuis  2010,  année  du  premier  exercice  Cyber Europe. Le partage en temps réel d’informations entre les pays s’est avéré un outil précieux pour accélérer la prise de décisions. Les Procédures Opérationnelles Standard de l’UE (POS-UE) créées en complément de ces  activités  de  coopération  apportent  aux  États-membres  des  consignes  à  suivre  en  cas  d’incident  de cyber-sécurité  de  grande  échelle.  Les  POS  continueront  d’être  perfectionnées  selon  les  évolutions  du contexte politique autour de la cyber-sécurité en Europe.
Le  rapport  montre  que  la  coopération  est  essentielle :  elle  permet  de  développer  une  meilleure compréhension des situations, de renforcer la confiance et de répondre plus rapidement en cas de crise. La Plateforme  de  Cyber  Exercice  (PCE)  développée  par  l’ENISA  pour  la  préparation,  la  mise  en  œuvre  et l’évaluation  de  l’exercice  s’est  avérée  être  un  outil  efficace.   L’ENISA  poursuit  actuellement  le développement  de  la  PCE  afin  d’accueillir  de  nouveaux  cyber-exercices  et  de  tester  des  scénarios techniques. Quatre-vingt dix huit pour cent (98%) des participants à la phase technique  ont déclaré  qu’ils souhaitaient participer à l’exercice suivant.

Lire la suite

Sécuriser les données personnelles : Les directives de l’ENISA relatives aux solutions cryptographiques

L’ENISA lance aujourd’hui deux rapports. Le rapport de 2014 « Algorithmes, taille clé et paramètres » est le document de référence fournissant un ensemble de directives aux preneurs de décisions, en particulier, les spécialistes qui conçoivent et mettent en œuvre les solutions cryptographiques pour la protection des données personnelles au sein des organisations commerciales ou des services gouvernementaux pour les citoyens. L’ « étude sur les protocoles cryptographiques » fournit une perspective de mise en œuvre, en couvrant les directives relatives aux protocoles exigées pour protéger les communications commerciales en ligne contenant des données personnelles.

« Algorithmes, taille clé et paramètres »

Ce rapport est un ensemble de propositions sous une forme facile à utiliser, mettant l’accent sur les services commerciaux en ligne qui recueillent, conservent et traitent les données personnelles des citoyens de l’Union européenne. Il fournit une mise à jour du rapport 2013, sur les directives cryptographiques relatives aux mesures de sécurité exigées pour protéger les données personnelles dans les systèmes en ligne. Par rapport à l’édition 2013, le rapport a été étendu pour inclure une section sur les canaux latéraux de matériel informatique et de logiciels, la génération de nombres aléatoires, une gestion clé de la durée de vie, alors que la partie sur les protocoles est étendue pour 2014 et est une étude indépendante sur les protocoles cryptographiques.

Le rapport explique deux aspects des mécanismes cryptographiques :

Si des données primitives ou un programme peuvent être envisagés pour être utilisés actuellement, dans le cas où ils sont déjà déployés ; si des données primitives ou un programme conviennent en vue d’un déploiement dans des systèmes nouveaux ou à venir.

Les questions de conservation des données à long terme sont analysées avec un nombre de problèmes généraux liés au déploiement des données primitives et des programmes. L’ensemble des mécanismes abordés dans ce rapport sont jusqu’à un certain point normalisés, et ils ont été soit déployés ou il est prévu de les déployer, dans les systèmes réels.

« Étude sur les protocoles cryptographiques »

Le second rapport se concentre sur le statut actuel dans les protocoles cryptographiques et encourage une recherche plus approfondie. Un bref aperçu est présenté sur les protocoles qui sont utilisés dans des domaines d’application relativement limités, tels que le domaine sans fil, les communications mobiles, le domaine bancaire ((Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) et des environnements spécifiques mettant l’accent sur le « cloud computing ».

L’accent principal du rapport porte sur les directives aux chercheurs et aux organisations dans le domaine, qui comprennent :

Les protocoles de sécurité et cryptographiques, qui doivent être conçus par les experts en matière de protocole cryptographique, plutôt que jusqu’à présent par le réseautage et les experts en matière de protocole. De plus, les chercheurs doivent simplifier l’analyse et permettre aux outils automatisés pour fournir des garanties informatiques solides.
Une attention plus soutenue requise pour la vérification automatisée, afin que la mise en œuvre d’un protocole puissent répondre aux objectifs en matière de sécurité, et examine la manière dont les outils automatisés peuvent garantir la mise en œuvre correcte de la conception d’un protocole.
De petits changements insignifiants dans les protocoles peuvent avoir pour effet l’invalidation des preuves de garantie.
Les protocoles futurs doivent être conçus en utilisant des principes d’ingénierie solides et bien établis, faciliter l’analyse de sécurité officielle, et en conjonction avec des preuves de sécurité officielle, conçus dans la cryptanalyse de leurs constituants primitifs.
Les protocoles futurs ne doivent plus être plus complexes qu’ils n’ont besoin de l’être.
De plus amples travaux doivent être réalisés sur la vérification des API pour les protocoles d’application.

Udo Helmbrecht a déclara à propos de ce rapport : « Ce qui est mis en exergue est le besoin de programmes de certification dans toutes les phases du cycle de vie technologique. Les processus et les produits intégrés de « sécurité par la conception ou par défaut », sont des principes de base pour la confiance. La normalisation des processus est un élément essentiel dans l’assurance de l’application correcte de la réforme de protection des données dans le service aux citoyens européens et son marché intérieur. Les directives de l’ENISA s’efforcent de fournir le cadre adéquat dans la sécurisation des systèmes en ligne. »

Le règlement CE 611/2013 référence l’ENISA en tant que corps consultatif, dans le processus d’établissement d’une liste des mesures de protection cryptographiques appropriée pour la protection des données personnelles. Les directives cryptographiques de l’ENISA doivent servir de documents de référence. Dans cette optique, les principes directeurs sont relativement conservateurs, fondés sur la recherche de pointe actuelle, en abordant la construction de nouveaux systèmes commerciaux avec un long cycle de vie.

Pour les rapports complets : « Algorithmes, taille clé et paramètres » & « Étude sur les protocoles cryptographiques »

Retrouvez ce communiqué de presse sur le site de l’ENISA : http://www.enisa.europa.eu/media/press-releases/securiser-les-donnees-personnelles-les-directives-de-l-ENISA-relatives-aux-solutions-cryptographiques

Lutte contre la cybercriminalité: Signature d’un accord de coopération stratégique entre l’ENISA et Europol

Les dirigeants de l’ENISA et d’Europol ont signé aujourd’hui, dans les locaux du siège d’Europol à La Haye, un accord de coopération stratégique qui facilitera la collaboration et les échanges d’expertise dans le domaine de la lutte contre la cybercriminalité.

PORTÉE

L’accord a pour but de renforcer la coopération entre Europol, son Centre européen de lutte contre la cybercriminalité (EC3) et l’ENISA, afin de soutenir les Etats membres et les institutions de l’UE dans la prévention et la lutte contre la cybercriminalité. L’accord ne comprend par les échanges de données personnelles.

La coopération pourra notamment comprendre :

des échanges d’expertise et de connaissances spécialisées, la production de rapports de situation d’ordre général, des rapports découlant d’analyses stratégiques et de bonnes pratiques, le renforcement des capacités de ces institutions, grâce à des formations et des campagnes de sensibilisation, afin d’assurer la sécurité des réseaux et de l’information au niveau européen.

L’ENISA fait partie du comité au programme du centre EC3. Le centre EC3 fait à son tour partie du groupe permanent des parties prenantes de l’ENISA qui conseille le directeur de l’Agence quant au programme de travaille annuel et quant à ses priorités. L’ENISA et le centre EC3 ont toujours travaillé main dans la main au profit du renforcement de la cybersécurité et de la lutte contre la cybercriminalité à l’échelle européenne. A titre d’exemples, cette collaboration a jusqu’à présent inclus : la production conjointe d’un document sur l’atténuation des attaques de botnets (armées de robots logiciels), la participation des deux entités au Mois européen de la cybersécurité, des exercices cybernétiques tels que propose CyberEurope, la production d’un manuel de bonnes pratiques pour les CERT ainsi que le renforcement de la coopération entre ces dernières et les institutions policières au travers d’ateliers et de conférences.

Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht et le directeur d’Europol, Rob Wainwright, ont publié une déclaration commune : « Cet accord est une étape importante de la lutte contre des cybercriminels toujours plus doués et qui investissent toujours plus de temps, d’argent et de personnel sur des attaques ciblés. Il prouve notre profond engagement à apporter une contribution commune dans nos domaines d’expertise respectifs et à se soutenir les uns les autres quant à notre objectif de sécurisation des réseaux internet européens. Les pertes induites par la cybercriminalité sur l’économie mondiale sont estimées à plus de 400 milliards de dollars par an. Par une coopération plus étroite et l’échange d’expertise, nous renforçons les capacités de lutte contre la cybercriminalité de l’Europe ».

 

Retrouvez ce communiqué sur le site de l’ENISA [ici]

L’ ENISA établit la liste des menaces cybernétiques les plus fréquentes dans son Rapport sur les menaces cybernétiques de cette année

L’Agence européenne de cybersécurité ENISA a publié son Rapport annuel sur les menaces cybernétiques 2013, où elle analyse plus de 200 rapports et articles accessibles au public. Les questions posées sont les suivantes : Quelles sont les menaces cybernétiques les plus fréquentes ? Qui sont les malfaiteurs ? Quelles sont les tendances lourdes des menaces cybernétiques dans l’environnement digital ? Parmi les conclusions principales du rapport, l’on peut souligner que les menaces cybernétiques sont devenues mobiles et que l’application de mesures de sécurité par les utilisateurs finals permettrait de réduire le nombre d’incidents cybernétiques de 50% à l’échelle de la planète. Cette étude est publiée en même temps que la réunion de haut niveau annuelle de l’Agence se tenant à Bruxelles le 11 décembre.

Le rapport sur les menaces cybernétiques de l’ENISA présente les menaces cybernétiques les plus fréquemment survenues en 2013 et identifie les tendances émergentes. En 2013, d’importantes nouveautés, des changements significatifs et des succès remarquables ont laissé leur emprunte dans le paysage des menaces cybernétiques. Des évolutions négatives mais aussi positives ont façonné ces tendances, notamment :

Les tendances négatives de 2013 :

  • Les responsables des menaces ont sophistiqué leurs attaques et leurs outils.
  • De toute évidence, les activités cybernétiques ne concernent pas seulement une poignée d’Etats-nations ; de nombreux Etats ont ainsi développé de très bonnes capacités pour infiltrer les cibles gouvernementales mais aussi privées.
  • Les menaces cybernétiques deviennent mobiles : les schémas d’attaques et les outils visant les PC développés il y a quelques années ont désormais évolué vers l’environnement mobile.
  • Deux nouvelles batailles digitales ont émergé : les big data et l’Internet des objets.

Les évolutions positives dans les tendances des menaces cybernétiques en 2013 comprennent :

  • D’importants succès en ce qui concerne l’application de la loi ; l’arrestation par la police de la bande criminelle responsable du virus « gendarmerie » (Police Virus) ; l’opérateur de la « Route de la soie » (Silky Road) ainsi que le développeur et l’opérateur du « Trou noir » (Blackhole), le kit d’outils d’exploitation le plus populaire, ont également été arrêtés.
  • La qualité mais aussi le nombre de rapports ainsi que les données concernant les menaces cybernétiques ont augmenté.
  • Les fournisseurs ont gagné en rapidité en corrigeant leurs produits grâce à des patchs pour répondre à ces nouvelles vulnérabilités.

Un tableau des menaces les plus fréquentes et de leurs tendances établit les trois menaces principales : 1. les téléchargements « Drive-by » (Drive-by downloads), 2. les vers/les Chevaux de Troie et 3. les injections de code.

Les questions prioritaires restant ouvertes sont :

  • Les utilisateurs finaux manquent de connaissances mais devraient toutefois être mieux impliqués. L’application de mesures de sécurité simples par les utilisateurs finals réduit le nombre d’incidents cybernétiques de 50% à l’échelle mondiale !
  • De nombreux acteurs travaillent à la résolution des mêmes problèmes de collecte de l’information concernant les menaces et de leur analyse. Une meilleure coordination de la collecte de l’information, de son analyse, de son évaluation et de sa validation au sein des organisations concernées est nécessaire.
  • L’importance d’accélérer la vitesse de la détection et de la dissémination des menaces en réduisant les cycles d’évaluation a été soulignée.

Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht, fait remarquer que : « L’analyse des menaces fournit une information indispensable pour la communauté de la cybersécurité concernant les menaces principales qui touchent le cyberespace, les tendances de ces menaces et la façon dont les malfaiteurs mettent leurs attaques au point en usant de ces menaces ».

 

Voir le rapport complet [ici]

Retrouvez ce communiqué de presse sur le site de l’ENISA [ici]

Rapport sur le plus grand exercice de cyber-sécurité « Cyber Europe 2012 »

L’ENISA a publié le nouveau rapport sur le plus grand exercice de cyber-sécurité paneuropéen jamais conduit, Cyber Europe 2012, qui est disponible en 23 langues.

Près de 600 joueurs individuels ont participé, y compris des acteurs du secteur privé (finance, télécommunications et internet), pour la première fois. La conclusion: pour une réponse rapide et efficace aux cyber-incidents, la connaissance des procédures et des flux d’information est cruciale.
La portée, l’ampleur et la complexité du «Cyber Europe 2012» en quelques chiffres: Vingt neuf États membres de l’UE (Union européenne) et de l’AELE (Association européenne de libre échange) ont participé à l’exercice, vingt-cinq en tant que joueurs actifs et quatre en tant qu’observateurs. En outre, plusieurs institutions de l’UE ont également participé. Dans l’ensemble, 339 organisations ont participé, totalisant 571 joueurs individuels qui sont exposés à des milliers d’incidents («injects»). Ils comprenaient: des agences et organisations de cyber-sécurité, des ministères concernés, des services d’e-gouvernement, des institutions financières (60), des fournisseurs de services Internet (FSI) (60) et des opérateurs de télécommunication. La majorité (88%) des joueurs de l’exercice lui ont donné une note positive. Cyber Europe 2012 a attiré une attention considérable des médias mondiaux : plus de 600 articles ont été publiés dans 19 langues.

Principales conclusions (extraits)

• La connaissance des procédures et des flux d’information est cruciale pour une réponse rapide et efficace
• Une coopération fréquente et un échange d’informations régulier entre les acteurs publics et privés sont nécessaires
•Les structures de coopération public-privé diffèrent selon les pays. En parallèle, et parfois se chevauchant, les procédures publiques et privées au niveau national remettent en questions la coopération au niveau national
• Les pays ont des difficultés à prendre des décisions de gestion de crise, même si ce paramètre n’a pas été inclus dans les objectifs de l’exercice (par exemple, les décisions doivent être prises à des niveaux plus stratégiques)
• L’extensibilité des procédures opérationnelles a représenté un défi, en raison du nombre important de pays
• Des infrastructures techniques et des outils mis à jour ont été essentiels pour une coopération efficace
• La planification efficace est cruciale pour la réalisation d’exercices à grande échelle

Les principales recommandations

• Plus d’exercices de cyber sécurité paneuropéens et nationaux sont nécessaires pour améliorer la coopération entre les pays dans les cas de cyber crise, que le Guide de Bonnes Pratiques sur les Exercices Nationaux de l’ENISA soutient.
• Les États membres de l’UE et les pays de l’AELE devraient améliorer l’efficacité, l’évolutivité et la connaissance des mécanismes, procédures et flux d’informations pour la coopération nationale et internationale
• Davantage de formations dans les procédures de crise sont nécessaires pour toutes les parties prenantes des cyber-crises
• Une participation accrue du secteur privé au niveau national devrait être envisagée pour les exercices futurs
• Une contribution d’autres secteurs européens essentiels (énergie, transport) est une bonne étape suivante.

Le directeur exécutif de l’ENISA, Professeur Udo Helmbrecht, conclut: «Cyber Europe 2012 a été une étape importante pour bâtir la confiance, pour mieux comprendre les mécanismes de cyber coopération européens existants, et pour renforcer le management de l’Europe dans la gestion des cyber-incidents »

Retrouvez ce communiqué sur le site de l’ENISA [ici] et le rapport en Français [ici]

Nouveau rapport sur les tendances majeures du premier panorama des cyber menaces, développé par l’ENISA

L’agence de  Cybersécurité européenne – l’ENISA – a publié la première et la plus complète analyse du panorama des cyber-menaces de l’année 2012, résumant plus de 120 rapports de menaces. Le rapport identifie et énumère les principales menaces et leurs tendances, et conclut que les attaques de type « drive-by » sont devenues les principales menaces cybernétiques.

Le rapport de l’ENISA concernant le panorama des menaces résume 120 rapports récents de 2011 et 2012 provenant de l’industrie de la sécurité, des réseaux d’excellence, des organismes de normalisation et d’autres tierces parties indépendantes, faisant de ce rapport la plus complète synthèse disponible au monde actuellement. Le rapport propose un aperçu indépendant des menaces observées et des risques ainsi que les principales menaces actuelles, et les nouvelles tendances des cyber-menaces. En outre, le rapport analyse « le cyber ennemi » ; l’identification ainsi que le top 10 (sur un total de seize) des menaces dans le domaine des technologies émergentes. Les zones étudiées sont l’informatique mobile, les médias sociaux, les infrastructures essentielles, les infrastructures de fiducie, le Cloud et le Big Data.

Le top 10 des menaces identifiées est :

1. Les attaques « Drive-by » (code malveillant injecté afin d’exploiter les vulnérabilités du navigateur Web

2. Les virus Vers / Trojans

3. Les attaques d’injection de code

4. Les Kits d’exploitation (programme prêt à l’emploi afin d’automatiser le cyber-crime)

5. Les Botnets (ordinateurs hackés contrôlés à distance)

6. Les Attaques par déni de service (DDoS/DoS)

7. Le Phishing (fraude via courriels et sites internet)

8. La compromission des informations confidentielles (violation de données)

9. Rogue ou scareware

10. Les courriers indésirables

Enfin, l’Agence apporte un certain nombre de conclusions pour l’industrie et ses intervenants sur la façon de mieux lutter contre les cyber menaces pour les entreprises, les citoyens et l’économie numérique au sens large:

  • Utiliser une terminologie commune dans les rapports de menaces
  • Prendre en compte la perspective de l’utilisateur final
  • Simuler des cas d’utilisation pour les panoramas de menaces
  • Recueillir les renseignements des incidents de sécurité, y compris le point de départ et la cible d’une taque
  • Effectuer un changement dans les contrôles de sécurité pour tenir compte des tendances des menaces émergentes
  • Recueillir et élaborer de meilleures preuves concernant les vecteurs d’attaque (méthodes) afin de comprendre les flux de travail d’attaque
  • Recueillir et élaborer de meilleures preuves concernant l’impact atteint par les attaquants
  • Recueillir et conserver des informations plus qualitatives sur les agents de menace

Le directeur exécutif de l’ENISA, le Professeur Udo Helmbrecht a déclaré : « Je suis fier que l’Agence s’engage dans ce travail d’envergure afin de mieux comprendre la composition des cyber menaces actuelles. C’est la première et la plus complète analyse sur les menaces cybernétiques connues à ce jour et un point de référence pour les cyber décideurs en termes de politique de sécurité pour toutes les parties prenantes.»

Retrouvez le rapport complet [ici] et ce communiqué sur le site de l’ENISA [ici]

L’ENISA révèle les lacunes de l’application de la législation sur la cyber-sécurité

L’agence européenne ENISA révèle les lacunes de l’application de la législation sur la cyber-sécurité: les incidents ne sont pas détectés, voire non signalés.

Dans un nouveau rapport, l’agence européenne ENISA en charge de la sécurité informatique fait un bilan de la législation existante et future de l’Union Européenne concernant les mesures de sécurité et les déclarations d’incidents. L’analyse souligne des avancées importantes, mais identifie également des lacunes dans la mise en oeuvre nationale des mesures, comme la plupart des incidents ne sont pas signalés.

Les incidents de cyber-sécurité ont un impact significatif sur la société. Voici cinq exemples bien connus:
– En 2012, des millions de mots de passe de réseaux d’affaires ont été exposés
– En 2011, la tempête Dagmar a détruit des millions de liaisons de communication scandinaves
– En 2011, la défaillance d’un centre de données britannique a interrompu des millions de communications d’affaires/d’entreprises dans le monde entier.
– En 2011, un organisme de certification a été piraté, exposant ainsi les communications de millions d’utilisateurs
– En 2010, un fournisseur de télécommunications chinois a détourné 15% du trafic Internet mondial pendant 20 minutes

A chaque fois, des millions de citoyens et d’entreprises ont été gravement touchés. Mais la plupart des incidents ne sont pas signalés, voire même pas détectés. Le Dr Marnix Dekker et M. Chris Karsberg, les co-auteurs de ce rapport, affirment que: «Les incidents informatiques sont le plus souvent tenus secrets lors de leur découverte, laissant les clients et les responsables politiques dans l’ignorance concernant la fréquence, l’impact et leurs causes profondes. »

Le nouveau rapport “Cyber Incident Reporting in the EU” donne un aperçu de la législation existante et de celle à venir (voir le graphique ci-joint) concernant les clauses de déclaration obligatoire d’incidents de l’article 13a du paquet Télécom et de l’article 4 de la directive de confidentialité en ligne, l’article 15 pour le projet de régulation électronique de l’ID ainsi que les articles 30, 31, 32 de la réforme de la protection des données. L’étude montre des points communs et des différences entre les articles et se tourne vers l’avenir incarné par la stratégie européenne de sécurité en ligne. L’étude identifie également les points qui sont à améliorer. Par exemple, un seul des incidents mentionnés ci-dessus entrait dans le cadre du mandat des organismes de réglementation nationaux, ce qui indique qu’il existe des lacunes dans la réglementation. Ainsi, à l’échelle européenne, le partage des rapports d’incidents devrait être amélioré.

Beaucoup de progrès ont été accomplis récemment: Un groupe de travail de l’ENISA a développé pour les organismes de réglementation nationaux un socle commun de mesures de sécurité ainsi qu’un modèle de rapport d’incident. Cela permettra une mise en œuvre plus uniforme de l’article 13a. L’ENISA vient de recevoir des rapports sur les 51 incidents importants, envoyés par des organismes de réglementation et décrivant l’impact, les causes profondes, les mesures prises et les enseignements retenus lors de ces incidents. Ces outils seront utilisés comme une base de données pour la stratégie européenne de sécurité informatique et pour l’ Exercice européen de cyber-sécurité. Le directeur exécutif de l’ENISA, le Professeur Udo Helmbrecht, a déclaré: « Le signalement des incidents est essentiel pour obtenir une image réelle et concrète de la sécurité informatique. La stratégie européenne de cyber-sécurité est une étape importante et l’un de ses objectifs est d’étendre le concept de « rapports à disposition » telles que l’article 13a le stipule au-delà du secteur des télécommunications. »

Source [http://www.enisa.europa.eu/media/press-releases/lagence-europeenne-enisa-revele-les-lacunes-de-l-application-de-la-legislation-sur-la-cyber-securite]

Retrouvez le rapport [ici]

L’ENISA présente les cyber-stratégies des différents Etats

Dans un environnement virtuel en constante évolution, les États membres de l’UE doivent avoir des stratégies souples et dynamiques en matière de cyber-sécurité pour répondre aux nouvelles menaces mondiales.

L’ENISA vient de publier un document sur ​​les stratégies nationales de cyber-sécurité. Le document comprend une brève analyse de la situation actuelle des stratégies en matière de cyber-sécurité au sein de l’Union européenne et en dehors. Il identifie également les thèmes communs et les différences, et se termine par une série d’observations et de recommandations.

Le document est fondé sur les conclusions préliminaires et des analyses à partir d’un projet de l’ENISA, qui travaille à développer un Guide de bonnes pratiques sur la façon de développer, implémenter et maintenir une stratégie de cyber-sécurité nationale. Le Guide de bonnes pratiques est destiné à être un outil utile et offrant des  conseils pratiques pour ceux qui sont responsables et impliqués dans les stratégies en matière de cyber-sécurité.

Le projet fait intervenir des experts du secteur public et les intervenants du secteur privé à travers l’Europe et il sera finalisé au 4ème trimestre 2012.

La France a définie sa stratégie, dans un document publié en Février 2011 par l’ANSSI intitulé « Défense et sécurité des systèmes d’information- Stratégie de la France », autour de 4 objectifs :

  • Être une puissance mondiale de cyber-défense
  • Garantir la liberté de décision de la France par la protection de l’information de souveraineté
  • Renforcer la cyber-sécurité des infrastructures vitales nationales
  • Assurer la sécurité dans le cyberespace

Retrouvez le document de l’ENISA [ici]

Le nouveau guide de l’ENISA sur le contrôle des contrats des services de Cloud Computing

L’achat de services de cloud computing (stockage de données à distance) représente une tâche de plus en plus importante pour les gouvernements et les entreprises de l’UE.

La sécurité des informations est particulièrement problématique. Pour aider à résoudre ce problème, l’agence européenne de cyber sécurité, ENISA, lance aujourd’hui un nouveau guide pratique pour les équipes responsables des achats informatiques. Ce guide met l’accent sur le contrôle continu de la sécurité pendant toute la durée des contrats portant sur les services de cloud computing.

Cette publication s’appuie sur le travail de fond effectué par l’ENISA à partir de 2009, date à laquelle l’agence a produit une structure de garantie et une boite a outils pour que les équipes informatiques puissent évaluer la fiabilité des fournisseurs de services avant de décider d’utiliser ou non les services en cloud. L’ENISA franchit une nouvelle étape avec ce guide de suivi qui détaille comment contrôler la sécurité des services de cloud pendant toute la durée d’un contrat. Le nouveau guide se concentre sur les contrats publics qui représentent presque 20% du produit intérieur brut européen et environ 2.2 milliards de milliards d’euros (Eurostat 2009)

Le Directeur général d’ENISA, le professeur Udo Helmbrecht déclare : « Les citoyens européens font confiance aux institutions publiques et privées pour protéger leurs données. Avec de plus en plus d’organisations choisissant de travailler avec des services de cloud computing, le nouveau guide produit par l’ENISA arrive à temps pour donner des indications concernant un secteur complètement nouveau pour beaucoup d’acheteurs. »

Une récente étude d’ENISA sur les accords de prestation de services (SLA) a montré que beaucoup de responsables informatiques et réseaux travaillant pour des organisations publiques ne reçoivent presque jamais de directives à propos des facteurs de sécurité les plus importants comme la disponibilité des services ou la vulnérabilité des logiciels. Le guide ‘Acheter de façon sécurisée’ aide les consommateurs à préparer le contrôle continu de la sécurité des données. « Le guide ENISA souligne l’importance du contrôle continue de la sécurité en plus des processus de certification et d’accréditation » déclare Giles Hogben, rédacteur du rapport.

Le guide ENISA comprend une liste de contrôles pour les équipes d’achat et une description détaillée de chaque paramètre de sécurité, ce qu’il faut mesurer et comment le mesurer. Les paramètres de sécurité considérés sont les suivants : la disponibilité du service, la réponse aux incidents, l’élasticité du service et la tolérance de téléchargement ; la gestion du cycle de vie des données ; la conformité technique et la gestion de la vulnérabilité ; la gestion du changement ; l’isolation des données ; et la gestion de la connexion et l’expertise judiciaire en informatique.

Ce guide vient compléter un certain nombre de papiers publiés par ENISA sur le stockage des données via le cloud, parmi lesquels un rapport qui a été publié en 2009 et qui a connu beaucoup de succès : Cloud Computing : Avantages, Risques et Recommandations pour la Sécurité de l’Information.

Le rapport sera présenté en détails à la SecureCloud 2012, la seule conférence européenne sur la sécurité et le cloud computing.

Retrouvez le communiqué de presse d’origine [ici] et le guide « Procure Secure » [ici]

L’ENISA bientôt à la tête d’un CERT Européen

Un projet de Loi pour renforcer le rôle de l’ENISA a été approuvé par le comité de l’ITRE (Industry, Research, and Energy Committee).

L’ENISA a été créée en 2004, pour une période initiale de cinq ans, afin d’assurer un niveau élevé et efficace de sécurité de l’information au sein de l’UE. Son mandat actuel expire en Septembre 2013.

La nouvelle proposition vise à étendre et à renforcer le mandat de l’ENISA pour aider l’UE, les États membres et les acteurs privés à développer leurs capacités et leurs préparations visant à prévenir, détecter et répondre aux problèmes de sécurité de l’information et des incidents.

La proposition requiert que l’ENISA soutienne la création et le fonctionnement d’un CERT Européen afin de lutter contre les cyber-attaques visant les Institutions de l’UE. L’Agence Européenne devra également promouvoir et soutenir la coopération entre les CERT nationaux des différents Etats membres en cas d’attaques ou de perturbations sur les infrastructures qu’ils gèrent.

Pour permettre à l’ENISA de remplir convenablement sa mission, le texte vise à établir un mandat de sept ans avec effet au 13 Septembre 2013.