Finies les prises de contrôle hostiles
Avec la loi sur la sécurité informatique, le gouvernement fédéral veut faire de l'Allemagne un précurseur en matière de protection numérique des personnes. Pour cela, les processus informatiques des infrastructures dites critiques doivent être davantage contrôlés. Cela concerne plus de 2000 entreprises dans toute l'Allemagne. Si des risques apparaissent, les données personnelles peuvent également être mises en danger. Mais à quelles entreprises cela s'applique-t-il concrètement et à quoi doivent-elles se préparer maintenant ?
L'Allemagne doit mieux se protéger contre les attaques criminelles sur le Web. Cela n'a pas attendu les cyberattaques répétées contre le réseau du Bundestag pour être connu. Ces incidents confirment toutefois l'urgence de la question. Selon une récente Étude Bitkom les attaques numériques coûtent à l'économie environ 51 milliards d'euros par an. Les secteurs les plus touchés sont les constructeurs automobiles, l'industrie chimique et le secteur financier.
Plus de confiance dans la sécurité des données
La loi sur la sécurité informatique prévoit de mieux contrôler les entreprises disposant d'infrastructures critiques. Il s'agit d'entreprises dans les domaines de la finance, des transports, de la santé et de l'informatique. Les données personnelles doivent ainsi être mieux protégées et la confiance des citoyens dans la numérisation doit être renforcée. Ce dernier point est important, par exemple pour faire progresser le commerce en ligne. Aujourd'hui encore, de nombreux cyberacheteurs voient d'un mauvais œil la communication de leurs données personnelles lors du processus de commande. En outre, la loi confère davantage de droits à l'Office fédéral de la sécurité des technologies de l'information (BSI) et à l'Office fédéral de la police criminelle (BKA). Cela est nécessaire pour garantir des dispositions uniformes. De nombreuses entreprises pensent encore que leur informatique est capable de résister à de futures attaques de réseau. Selon le Verizon's Rapport d'enquête sur les violations de donnéesMais dans près de 70% des cas, il faut même des mois pour que les incidents soient identifiés.
Les secteurs concernés devront à l'avenir prouver au BSI et au BKA que leur informatique répond aux exigences minimales requises par la loi. En principe, ils doivent veiller à ce que les attaques, quelle que soit leur nature, soient impossibles. La plupart du temps, la réalité est toutefois différente, car les pirates informatiques criminels ne cessent bien entendu de s'améliorer. C'est pourquoi le gouvernement fédéral exige un minimum de précautions de la part des entreprises. Les responsables devraient donc se demander ce qui se passe en cas de cyberattaque, quels sont les enjeux ? Est-ce que seuls des systèmes inoffensifs sont touchés ou l'entreprise est-elle paralysée pendant des semaines ? Selon les cas, il convient de planifier et de mettre en œuvre des améliorations dès maintenant.
Réaction rapide en cas de manquement à la sécurité
La loi ne dit rien sur l'état de la technique et les efforts nécessaires à sa mise en œuvre. Les entreprises doivent faire rapport tous les deux ans au BSI sur les mesures prises et les lacunes détectées. Le BSI peut exiger que les défauts soient corrigés.
Si une attaque numérique se produit effectivement, les responsables doivent signaler les incidents par écrit au BSI le plus rapidement possible. Pour cela, il faut des protocoles détaillés qui se réfèrent à la technique, à la cause et au déroulement. Le BSI doit pouvoir en déduire des avertissements publics, par exemple sur les erreurs de logiciel. Les obligations de notification sont certes anonymes, mais ceux qui ne les respectent pas et qui provoquent éventuellement de graves failles de sécurité doivent s'attendre à des amendes à six chiffres.
Ce que les entreprises concernées peuvent faire pour améliorer leur informatique conformément à la nouvelle loi sur la sécurité est ici peut être consulté.
Communiqué de presse Interflex
