ECSM - Recommendations for ALL - FR
Le mois européen de la cybersécurité (European Cyber Security Month, ECSM) est une campagne de sensibilisation de l’UE qui se déroule en octobre. Cette campagne vise à promouvoir la cybersécurité auprès des citoyens et à changer leur perception des cybermenaces au quotidien, dans le cadre professionnel ou privé.
Sécurité des réseaux et de l’information pour les éducateurs
Objectif
Sont visés les éducateurs, c'est-à-dire les formateurs, les enseignants et leurs homologues engagés dans l’éducation formelle et non formelle, y compris la formation tout au long de la vie. Les éducateurs jouent, dans le paysage des TIC, un rôle déterminant qu'il convient de ne pas négliger.
Conseils concernant l’éducation à la sécurité des réseaux et de l’information (SRI)
- Une enquête réalisée par l’ENISA révèle qu'un «bon cours» doit comporter les éléments suivants: brève présentation et ateliers pratiques; exemples et faits vécus; séance de formation en immersion complète pouvant comprendre des activités basées sur des jeux de rôle, des exercices de simulation, des activités faisant appel au travail en équipe; un jeu d’entreprise comme épreuve d’examen; un ensemble de vidéos de qualité.
-
Il convient de relever les défis suivants:
comprendre qu’utiliser la technologie implique des risques et que les risques revêtent non seulement une dimension personnelle, mais peuvent aussi avoir des répercussions sur autrui. Utiliser la technologie ne suffit pas, il faut la comprendre;
redéfinir ce qui constitue les vrais rapports et comportements humains sur Internet: concept de la «Netiquette»;
envisager la réalisation d’une expertise pluridisciplinaire (juridique, technique, organisationnelle, etc.). - Modèle adopté pour transmettre les connaissances en matière d’éducation à la SRI.
Recommendations
- Comportement volontariste des éducateurs et des élèves;
- Poursuite des partenariats public-privé en vue de financer et de créer des documents et des cours actualisés.
Complément d’information: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Sécurité des réseaux et de l’information: formation des employés
Objectif
La formation est essentielle pour tenir les experts en sécurité de l’information et les employés informés des dernières avancées dans ce domaine. Elle permet également d’améliorer les compétences en vue de lutter de manière rentable contre les menaces.
Conseils
- Aujourd'hui, la sécurité de l’information est un sujet brûlant. En effet, elle évolue très rapidement et touche, d’une façon ou d’une autre, la vie de chacun. Les gens doivent avoir accès aux ressources, aux tutoriels, aux conseils pratiques et aux formations permettant de maintenir un niveau acceptable de sécurité et de protection des données personnelles dans l’exercice de leurs activités quotidiennes, qui reposent de plus en plus sur les technologies de l’information.
- Les experts capables de résoudre les problèmes et de donner des conseils sont indispensables à la protection des services et des infrastructures de communication nationaux vitaux fournissant aux citoyens eau courante, électricité et moyens de communication. Dans les situations de crise, les services liés à la sécurité de l’information, assurant, par exemple, la gestion des incidents, l’envoi d’alertes et d’avertissements et l’analyse des artefacts, sont très demandés. Il est souvent nécessaire de faire appel à des équipes informatiques d’intervention d’urgence (Computer Emergency Response Team, CERT) (http://www.enisa.europa.eu/activities/cert/). Chaque équipe puisant sa force dans ses membres, il faut constamment tenir les employés et les intervenants informés et veiller à ce que les connaissances des formateurs soient à jour pour permettre de réagir aux menaces les plus récentes et de les limiter le plus rapidement et le plus efficacement possible.
- Sa fonction donne au formateur une excellente occasion de se rendre sur le «terrain» et de se faire une idée des différentes perceptions de la réalité, qui varient en fonction des points de vue, afin qu'une véritable communication puisse s'établir dans la salle de classe. Il est indispensable que le formateur dispose d’une expérience et de connaissances actualisées pour accroître sa crédibilité auprès des bénéficiaires de la formation. L'analyse des retours d'information sur les activités de formation montre que les élèves apprécient beaucoup les exemples basés sur des faits vécus et les cas réels.
- Pour transmettre les connaissances au public cible, différentes méthodes peuvent être utilisées, telles que l'organisation d'ateliers ou d'événements spécialisés ou la mise à disposition de matériel d’autoformation. Les deux approches présentent des avantages. L’autoformation offre une certaine souplesse et permet de réduire les coûts globaux. La formule de l’atelier encourage quant à elle la communication et offre aux élèves une excellente occasion de partager leur expérience et leurs connaissances.
Recommendations
L’ENISA dispense des formations sur site pour soutenir les équipes informatiques d’intervention d’urgence et renforcer les compétences d’autres communautés opérationnelles. Le matériel pédagogique est disponible sur le site Internet de l’ENISA.
Complément d’information: http://www.enisa.europa.eu/activities/cert/support/exercise
Mise à jour de logiciels
Objectif
L’ENISA met en garde contre les risques liés à l’utilisation de logiciels abandonnés parce que leur support n'est plus assuré, non seulement par l'éditeur, mais aussi par des tiers, comme les éditeurs de logiciels anti-programmes malveillants ou d’autres types de logiciels ou les fabricants de périphériques . En découle le risque persistant d’être confronté à des vulnérabilités et l’impossibilité de mettre à jour des périphériques ou des applications tierces.
Conseils
- Les risques liés à l’utilisation de logiciels abandonnés sont les suivants: impossibilité, pour les utilisateurs finaux , de vérifier l’intégrité du logiciel parce que les certificats de signature peuvent avoir expiré; impossibilité de vérifier l’intégrité du progiciel entraînant, pour l'utilisateur, le risque d'être exposé à un programme malveillant; risque de transmission d'une infection à l’ensemble du réseau par des systèmes potentiellement infectés; risque de non-respect des politiques de sécurité.
- Les conséquences de la suppression du support technique assuré auparavant par l'éditeur du logiciel abandonné peuvent être les suivantes: les utilisateurs des systèmes abandonnés ne peuvent plus bénéficier de mises à jour ni d’alertes de sécurité; les nouvelles vulnérabilités ne sont plus relevées, signalées ni analysées et les nouveaux correctifs de sécurité ne sont donc pas publiés; le logiciel abandonné risque ainsi de demeurer continuellement exposé à toutes ces vulnérabilités, comme s’il était un vecteur d’attaques dites «du jour zéro»; l’absence de support des fabricants de logiciels et de matériel tiers peut entraîner l’impossibilité d’utiliser la plate-forme, c’est-à-dire que des bogues inconnus peuvent empêcher le logiciel abandonné de fonctionner; l’incompatibilité des anciens systèmes d’exploitation avec les nouveaux dispositifs et l’indisponibilité des pilotes de nouvelles versions de périphériques peuvent empêcher les utilisateurs de mettre à jour ou de remplacer des dispositifs usagés ou endommagés; l'interruption du support des dispositifs existants sur la plate-forme abandonnée peut empêcher de continuer à utiliser le dispositif en cas de défaillance; l' interruption du support des fabricants tiers de logiciels installés peut également empêcher les clients de mettre à jour ou d’adapter un logiciel tiers à des versions plus récentes. Il en va de même pour les nouvelles applications. Cette situation peut se révéler particulièrement critique si les versions mises à jour de solutions anti-virus et anti-programmes malveillants sont inaccessibles.
Recommendations
-
Les directeurs informatiques doivent toujours veiller à ce que les correctifs de sécurité les plus récents soient installés. Il faut considérer les logiciels abandonnés comme un risque de sécurité important pour les composants informatiques critiques. Pour atténuer ce risque, il convient de migrer vers des solutions plus récentes ou vers d’autres plateformes. Dans le cas des systèmes d’infrastructure informatique critiques, le risque d’exposition peut s’étendre aux citoyens, ce qui accroît la responsabilité du directeur informatique.
-
Les fabricants doivent veiller à prévoir suffisamment de temps pour que la migration puisse être réalisée. Durant cette phase, l’ENISA recommande vivement d'avoir recours à des préavis et de procéder à une analyse approfondie des répercussions prévues sur la sécurité des utilisateurs après l’abandon du produit.
-
Les utilisateurs doivent s’assurer qu’ils connaissent et comprennent les risques qu’ils encourent en continuant d'utiliser un logiciel obsolète.
Complément d’information: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Cyber-exercices pour les experts techniques
Objectif
L’ENISA s’est engagée à faire office de facilitateur des cyber-exercices paneuropéens et, plus généralement, à soutenir l’échange de bonnes pratiques dans le domaine de la coopération et des exercices en matière de crises cybernétiques. L’ENISA est l'élément moteur de la série de cyber-exercices paneuropéens Cyber Europe, du cyber-exercice conjoint mené par l’UE et les États-Unis (Cyber Atlantic) et des Conférences internationales annuelles consacrées à des thèmes touchant à la coopération et aux exercices relatifs aux crises cybernétiques. À ce jour, deux exercices paneuropéens ont été organisés en matière de crises cybernétiques: Cyber Europe 2010 et Cyber Europe 2012. Un cyber-exercice UE-États-Unis, le «Cyber Atlantic», a été mené en 2011. Le troisième exercice paneuropéen en matière de crises cybernétiques, Cyber Europe 2014 (CE2014), est actuellement en cours. L’ensemble des parties prenantes des secteurs public et privé de l’UE et de l’AELE peuvent participer à ces exercices, y compris les institutions et les organes européens. Citons, par exemple, les autorités compétentes en matière de crises cybernétiques, telles que les agences de cybersécurité, les CERT nationales ou gouvernementales, les autorités réglementaires nationales, les entités du secteur privé et les experts en SRI.
Recommendations
- Cyber Europe 2012 s'est avéré être un outil précieux d'amélioration de la gestion paneuropéenne des cyber-incidents. Il est donc important de poursuivre les efforts et d'accroître l'ampleur du cyber-exercice européen. Les futurs cyber-exercices devraient explorer les dépendances intersectorielles et être davantage axés sur des communautés spécifiques.
- Cyber Europe 2012 a été l’occasion de renforcer la coopération au niveau international et la communauté européenne de gestion des incidents cybernétiques. Pour resserrer les liens de la coopération internationale, il est essentiel de faciliter l'échange des bonnes pratiques, de l'expérience et de l'expertise acquises en matière de cyber-exercices ainsi que l'organisation de conférences. Ces efforts contribueront à consolider une communauté capable de gérer les crises cybernétiques transnationales. Tous les acteurs intéressés par le domaine de la coopération internationale en matière de crises cybernétiques doivent être formés à l'utilisation des procédures afin de pouvoir travailler correctement avec celles-ci. L'implication d'organisations du secteur privé en tant qu'acteurs a valorisé cet exercice. Par conséquent, les États membres de l'UE et les pays de l'AELE doivent envisager la participation du secteur privé aux futurs exercices;
- La communauté européenne de gestion des incidents cybernétiques pourrait être renforcée grâce à la contribution d'autres secteurs européens vitaux (secteurs de la santé, des transports, etc.) pertinents pour le traitement des crises à grande échelle; Cyber Europe 2014: fondé sur les enseignements tirés des deux exercices paneuropéens précédents, CE2014 est un cyber-exercice très sophistiqué, organisé pendant toute l’année 2014, visant les objectifs suivants: tester les procédures de coopération et les mécanismes de gestion des crises cybernétiques actuels en Europe; renforcer les capacités au niveau national; examiner la coopération actuelle entre les secteurs public et privé; analyser les processus d’escalade et d’atténuation (au niveau technique, opérationnel et stratégique); comprendre les questions relevant des affaires publiques qui sont liées aux cyber-attaques à grande échelle.
Complément d’information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Sécurité de l’informatique en nuage pour tous les utilisateurs des services numériques
Objectif
Les agents chargés de la sécurité informatique des secteurs public et privé qui utilisent et ont intégré des services en nuage dans leur quotidien ou envisagent de se procurer ces services pour leurs activités commerciales. Sont également visés l’ensemble des utilisateurs des services numériques qui utilisent des services en nuage grand public et d’usage courant (médias sociaux, etc.) tels que Facebook, Dropbox, Instagram, Twitter et de nombreux autres, afin de leur apprendre la façon dont le modèle de l’informatique en nuage fonctionne, quels en sont les avantages et les inconvénients et de les aider à évaluer quel type d’informations ils devraient ou ne devraient pas placer dans le nuage. L’ENISA s'emploie plus particulièrement à aider les PME et les administrations publiques à évaluer la situation avant d’opter pour les services en nuage.
Conseils
L’ENISA propose à tous les utilisateurs potentiels de l’informatique en nuage d’examiner les services en nuage sur la base des questions suivantes:
- Quels sont les services pouvant être placés dans le nuage et quels sont les avantages de l’informatique en nuage qui faciliteront la vie quotidienne des utilisateurs (évolutivité, énorme potentiel de stockage, sauvegardes régulières ou interopérabilité)?
- Quel type d’informations sera placé dans le nuage et dans quelle mesure ces informations sont-elles importantes pour leurs propriétaires (données personnelles, sensibles ou commerciales)?
- Quels sont les inconvénients de l’informatique en nuage qui auraient d’importantes répercussions sur le travail quotidien des utilisateurs et par quels moyens les limiter?
- Comment prendre une décision éclairée sur le type de service en nuage dont les utilisateurs ont besoin (IaaS, PaaS ou SaaS) et s’informer sur les limites de leurs responsabilités pour chaque type de service?
- Les utilisateurs potentiels doivent également prendre le temps de discuter avec leur fournisseur de services en nuage et conclure avec ce dernier un accord commun en en faisant état dans l’accord de niveau de service (ANS).
Recommendations
- Les publications de l’ENISA concernant la sécurité de l’informatique en nuage constituent un guide précieux pour les clients des services en nuage souhaitant savoir comment protéger leur patrimoine et connaître leurs responsabilités et leurs droits en tant qu’utilisateurs de ces services.
- La sécurité que présente l’informatique en nuage du fait de son évolutivité doit être considérée comme un des plus grands avantages des services en nuage.
Complément d’information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Protection des données à caractère personnel de tous les utilisateurs des services numériques
Objectif
Sont visés tous les utilisateurs des services numériques. Les utilisateurs jouissent des mêmes droits, tant en ligne que hors ligne; ils doivent être conscients des droits dont ils jouissent en ligne. Les autorités nationales chargées de la protection des données ont pour mission de les soutenir.
«Toute personne a droit à la protection des données à caractère personnel la concernant» – article 16 du traité de Lisbonne.»
Conseils
- Conformément au cadre juridique établi par l’UE, les citoyens de l’UE jouissent d’une série de droits dans l’environnement numérique, tels que le droit à la protection des données personnelles et de la vie privée et le droit à la liberté d’expression et d’information.
- En ligne, les principes de la protection des données et de la vie privée ne sont pas toujours respectés. Selon l’enquête Eurobaromètre 2011 sur les attitudes à l'égard de la protection des données et de l'identité électronique dans l'Union européenne, 43 % des internautes déclarent que le nombre d'informations personnelles qui leur ont été demandées pour accéder à un service en ligne ou l'utiliser dépassait ce qui était nécessaire et 70 % des Européens craignent que leurs données à caractère personnel ne soient utilisées à des fins autres que celles qui étaient prévues lors de la collecte de ces données. 75 % des Européens souhaitent pouvoir supprimer leurs informations personnelles publiées sur un site Internet quand ils le décident.
- Défis à relever: les actes des individus ne reflètent pas toujours leurs préoccupations concernant le respect de la vie privée; même s'ils se préoccupent de la protection de leurs données à caractère personnel, certains utilisateurs peuvent décider de partager ces données pour obtenir des biens ou des services à prix réduit; seul un tiers (33 %) des Européens connaissent l’existence d’une autorité publique nationale chargée de protéger leurs droits en matière de données à caractère personnel.
- Enfin, il faut donner aux citoyens européens les moyens de repérer les pratiques qui enfreignent ces principes importants et de prendre des mesures appropriées, y compris en exerçant leurs droits en tant que personnes concernées à l’égard des responsables du traitement des données qui ne respectent pas les règles et en déposant plainte auprès des autorités compétentes, le cas échéant. Ces principes impliquent également une prise de conscience accrue de la personne concernée, la première étape consistant à s’assurer qu’elle connaît et comprend combien il est important que ses données soient protégées d'une divulgation injustifiée.
Recommendation
Nous recommandons aux utilisateurs de repérer les pratiques qui violent leurs droits en tant que personnes concernées et de prendre les mesures appropriées, y compris en déposant plainte auprès des autorités compétentes, le cas échéant. Les autorités chargées de la protection des données doivent viser à sensibiliser davantage l’utilisateur aux droits que lui confère la législation sur la protection des données et aux possibilités que lui offre le système juridique pour faire valoir ces droits, y compris en déposant plainte en cas de collecte et de stockage abusifs de ses données à caractère personnel.
Complément d’information
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMÈTRE 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Autorités nationales chargées de la protection des données: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Sécurisation des réseaux intelligents
Objectif
L’ensemble des recommandations sont adressées à la Commission européenne, aux États membres, au secteur privé et aux experts en infrastructures critiques.
Une infrastructure critique est un point, système ou partie de celui-ci, situé dans les États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l’arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions. Des recommandations concernant la sécurisation des réseaux intelligents sont présentées ci-dessous.
Recommendations
- La Commission européenne (CE) et les autorités compétentes des États membres (EM) devraient prendre des initiatives visant à améliorer le cadre réglementaire et politique de la sécurité Internet des réseaux intelligents aux niveaux national et européen.
- La CE devrait, en collaboration avec l’ENISA et les EM, favoriser la création d’un partenariat public-privé (PPP) visant à coordonner les initiatives relatives à la cybersécurité des réseaux intelligents.
- L’ENISA et la CE devraient encourager les initiatives de sensibilisation et de formation.
- La CE et les EM devraient, en collaboration avec l’ENISA, encourager les initiatives de diffusion et de partage des connaissances.
- La CE devrait, en collaboration avec l'ENISA, les EM et le secteur privé, élaborer un ensemble minimum de mesures de sécurité fondées sur des normes et directives en vigueur.
- La CE et les autorités compétentes des EM devraient promouvoir l’élaboration de systèmes de certification de sécurité pour les composants des réseaux intelligents, les produits et la sécurité organisationnelle.
- La CE et les autorités compétentes des EM devraient favoriser la mise sur pied de bancs d’essai et d’évaluations de la sécurité.
- La CE et les EM devraient, en collaboration avec l’ENISA, étudier plus avant et affiner les stratégies visant à coordonner les incidents cybernétiques paneuropéens à grande échelle touchant les réseaux électriques.
- Les autorités compétentes des EM devraient, en collaboration avec les CERT, entreprendre des activités favorisant la participation des CERT, en tant que conseiller, aux interventions en matière de cyber-sécurité des réseaux électriques.
- La CE et les autorités compétentes des EM devraient, en collaboration avec le monde universitaire et le secteur de la recherche et du développement, favoriser la recherche en matière de cybersécurité des réseaux intelligents sur la base des programmes de recherche existants.
Complément d’information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
Références:
ENISA
- Rapports relatifs à l’éducation http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- Documentation concernant les CERT http://www.enisa.europa.eu/activities/cert/support/exercise
- Notes flash http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Cyber Exercises http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Rapports relatifs à l’informatique en nuage http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Protection des données à caractère personnel http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Rapports relatifs aux réseaux intelligents http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
AUTRES
- EUROBAROMÈTRE 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Autorités nationales chargées de la protection des données http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm