L'augmentation importante des cyber-menaces envers les infrastructures et services critiques

 appelle une coopération accrue entre les parties prenantes des secteurs public et privé.

Dans une étude sur les Infrastructures critiques d’information, l’ENISA analyse les pratiques actuelles de protection des infrastructures critiques d'information et les modèles de gouvernance déployés à travers les États Membres de l'UE. Cette étude contribue à la promulgation et la mise en œuvre future de la directive NIS.

Les citoyens et entreprises dépendent de l'infrastructure de l’information et des communications pour le maintien de certains services connectés stratégiques (par ex. l'énergie, les télécommunications, les soins médicaux). Des cyber-menaces accrues pouvant impacter fortement la prestation de services entraineraient une perte d'argent et nuiraient à la réputation des entreprises.

De même, les États Membres de l'UE et le secteur privé ont besoin de travailler de concert s'ils veulent aujourd'hui faire face efficacement à ces menaces. À ce jour, seule la moitié des pays étudiés a constitué de tels modèles de coopération en tant que partenariats public-privé, groupes de travails et forums de discussion. 

Du fait que certains secteurs, tels la finance, les télécommunications et l'énergie sont plus étroitement contrôlés que d'autres, les exigences en termes de sécurité varient considérablement entre les secteurs et selon les différents types d'opérateurs d’Infrastructures critiques de communication. Seul un petit nombre de pays a mis en œuvre des exigences de sécurité obligatoires dans tous les secteurs.

Cette étude montre, que peu de pays, surtout ceux qui ont une approche de protection des infrastructures critiques d'information plus décentralisée, délèguent leur évaluation nationale du risque à des organes spécifiques au secteur ou à des opérateurs des Infrastructures critiques d'information. Certains pays pensent que la pression du marché va donner aux opérateurs des Infrastructures critiques de communication une incitation suffisante pour investir dans des mesures de sécurité supplémentaires. Cependant, pratiquement aucun des États Membres étudiés n'a mis en œuvre des incitations pour les pousser à investir dans des mesures relatives à la sécurité.

Suite aux résultats validés de l'étude, l’ENISA propose aux États Membres et à la Commission européenne de :

• procéder à une évaluation  approfondie du risque national,
• établir une coopération entre les parties prenantes publiques et privées,
• définir les exigences de sécurité de base afin de soutenir le développement de la Protection  des infrastructures critiques d'information dans les États Membres,
• mettre en œuvre des incitations qui puissent motiver les opérateurs d’Infrastructures critiques d'information à investir davantage dans des mesures de sécurité.

L’ENISA apporte un conseil, des recommandations et une aide aux États Membres de l'UE en mettant en œuvre une législation pertinente. L'agence engage les parties prenantes et l'industrie à échanger des bonnes pratiques, des informations et des idées pour une progression de la Protection des infrastructures critiques d’information en Europe.

A la lumière de la prochaine directive NIS et en se basant sur les constatations de ce rapport, l’ENISA va continuer à travailler sur le sujet de la Protection des infrastructures critiques d’information, en engageant des parties prenantes publiques et privées à définir les exigences de sécurité de base et une approche harmonisée  des déclarations d'incidents.

Rapport complet : Plus d'observations et une information complémentaire concernant l'étude
Pour une information technique :  Anna Sarri, agent du NIS, Anna.sarri@enisa.europa.eu

Pour tout entretien et requête des médias, veuillez contacter press@enisa.europa.eu, Tél : +30 2814 409576

Tags: