Les technologies de l'information et de la communication (TIC) progressent actuellement plus vite que la réglementation ne peut les suivre, ce qui pose des problèmes. Lorsque la gouvernance devient obsolète en raison de changements dans le niveau de menace ou de l'évolution des systèmes, notre capacité à sécuriser nos systèmes diminue.
Il est clair qu'au lieu de nous efforcer frénétiquement de mettre à jour la réglementation pour l'adapter au niveau technologique actuel, nous devrions plutôt nous efforcer de la rendre plus flexible. En termes de cybersécurité, cela signifie intégrer la sûreté, la résilience et la sécurité dès la conception de la réglementation. Examinons de plus près le problème de la tentative de rendre la réglementation plus efficace :
Nos réglementations actuellement adoptées
Le plus souvent, un produit doit être « homologué » pour confirmer qu'il est fabriqué conformément aux normes techniques. Mais que se passe-t-il lorsque les spécifications du produit TIC ont changé et sont désormais différentes de celles stipulées dans la réglementation ?
Le Royaume-Uni a connu certains de ces problèmes après avoir choisi de quitter l’UE, car il doit décider quoi faire des réglementations européennes qu’il utilise. Les règles ne changent pas assez vite pour s’adapter à l’évolution fulgurante des technologies, il faut donc adopter une approche différente.
Les conflits de sécurité et de sûreté dans la réglementation actuelle
L'un des principaux problèmes de la réglementation actuelle est le conflit fréquent entre les normes de sécurité et de sûreté. Par exemple, dans les affaires de sûreté, on suppose que toute défaillance indépendante d'une fonction de sûreté se produit de manière indépendante, ce qui n'est pas le cas en cas de cyberattaque. Il arrive également fréquemment que la sécurité exige un accès là où la sécurité le restreint, car ces deux aspects des actions réglementaires utilisent deux approches très différentes.
Malheureusement, ce type de division est contreproductif, car elles limitent la portée de chacune d’entre elles et font obstacle à une approche intégrée qui serait plus efficace.
Directives contradictoires
Les directives contradictoires compliquent encore davantage le problème, car la confusion et le respect partiel de ces directives créent des failles dans la sécurité des systèmes. Les entreprises ont tendance à éviter les directives et réglementations spécifiques et à concevoir uniquement des produits qui correspondent à une seule directive , ce qui enfreint les règles de sécurité.
Pour éliminer les directives contradictoires, il faut procéder à une révision complète des réglementations, en particulier dans les secteurs où les entreprises maintiennent déjà un niveau de sécurité élevé, comme celui des soins de santé. L’étude viserait à déterminer dans quels domaines la résilience et la cybersécurité pourraient être intégrées dans les réglementations, de manière suffisamment flexible pour ne pas nécessiter de changements constants.
Certification en cybersécurité et avenir de la réglementation
Certaines divergences proviennent des organismes de réglementation, des consortiums industriels tels qu'Eurosmart et des agences de cybersécurité telles que Red Alert Labs, qui ont une vision différente du problème de la cybersécurité et de la certification. Pour les consortiums et les agences, l'accent est mis sur les problèmes des consommateurs et la commodité. C'est pourquoi nous avons besoin de plus d'expertise technique au sein des organismes de réglementation et de personnes capables d'examiner les réglementations de sécurité en tenant compte des menaces de cybersécurité. De plus, elles doivent être capables de s'acquitter de leurs tâches de résilience et de proposer de nouvelles approches pour garantir l'intégration des pratiques de sécurité et de résilience.
L'Europe a toujours été leader dans le domaine de la certification et de la sécurité des technologies. La législation est une opportunité pour avoir un marché harmonisé de la sécurité, avec le règlement eiDAS pour la gestion des identités, le RGPD ou le Cybersecurity Act. Ces législations apportent tout un champ de travail, mettant les consommateurs et les citoyens au centre des réflexions des entreprises.
Principaux points à retenir
La nouvelle loi sur la cybersécurité de l'UE vise à améliorer la cyber-résilience et la réponse de l'UE en s'appuyant sur les instruments existants qui assurent la sécurité des réseaux et des systèmes d'information.
Le cadre de certification de cybersécurité de l'UE permettra aux fabricants et développeurs de TIC de servir plus facilement le marché de l'UE. Un cadre de certification unifié dans toute l'UE réduira les effets d'un marché fragmenté sur l'économie en ligne.
Eurosmart mène une grande initiative visant à innover dans le concept de système de certification et à protéger le consommateur en définissant un cadre de certification de niveau substantiel pour les appareils IoT. Ces appareils IoT seront intégrés dans des machines telles que des téléviseurs intelligents, des caméras connectées, des serrures intelligentes et des systèmes de chauffage intelligents, qui devraient ensuite faire l'objet d'une certification de sécurité pour garantir que le produit n'a pas d'impact sur la santé de l'utilisateur.
Enfin, il devient de plus en plus essentiel de créer des réglementations et des systèmes de certification solides qui ne seraient pas rendus obsolètes par l’évolution de nos technologies. Une approche qui unifierait les principes essentiels de sûreté, de sécurité et de résilience au lieu de continuer à les opposer les uns aux autres est attendue depuis longtemps. Cela facilitera grandement la garantie de la cybersécurité de tous nos systèmes à grande échelle.