Les récentes évolutions législatives en matière de cybersécurité marquent un tournant dans la manière d’aborder cette matière. En effet, jusqu’à récemment, les textes se focalisaient avant tout sur les aspects purement techniques de la cybersécurité. Cependant, afin de s’adapter à la réalité de la menace, le législateur européen vise désormais le facteur humain et plus spécifiquement les vulnérabilités humaines. Quand on sait que 80% des cyberattaques ont pour source l’exploitation des vulnérabilités humaines, on comprend aisément pourquoi il a été nécessaire de prendre en compte ce facteur en droit de la cybersécurité.
Premier point clé : Vulnérabilité, cybermenace et risque
Avant de s’attarder sur les dispositions de DORA et NIS 2, il est utile de faire un point de vocabulaire sur les notions de vulnérabilité, cybermenace et risque. Ces textes contiennent tous ces termes : ils sont étroitement associés sans pour autant se confondre.
Une vulnérabilité représente ce qui peut être exploité par une cybermenace, et qui, en conséquence, fait encourir un risque à la personne ou à l’organisation. Une vulnérabilité est soit un élément purement technique (une faille dans un logiciel), soit quelque chose d’humain (des situations de vulnérabilités humaines apparaissent en raison de l’étendue de l’exposition numérique des collaborateurs et dirigeants d’une entreprise, les exposant davantage aux attaques par ingénierie sociale).
L’exemple suivant illustre les liens entre ces trois termes :
- Un employé clique sur un lien d’hameçonnage (phishing) : c’est une vulnérabilité humaine qui sera d’autant plus grande que les données accessibles sur cet employé sont disponibles pour les cyberdélinquants ;
- Cette vulnérabilité humaine est exploitée par une cybermenace : la cybermenace en l’occurrence est un cyberdélinquant qui vole les identifiants grâce au hameçonnage réalisé préalablement ;
- Et cela créé un risque pour l’entreprise ou l’institution concernée : il peut s’agir d’un risque d’intrusion dans le système d’information de l’entreprise, menant à des vols de données en série, et de l’espionnage industriel en conséquence.
Maintenant que l’on a compris cela, la bonne nouvelle est que les récents textes européens en matière de cybersécurité englobent les vulnérabilités humaines et il devient obligatoire de mettre en œuvre des mesures permettant de les réduire.
Deuxième point clé : DORA et NIS 2, de quoi s’agit-il ?
NIS 2 est une directive européenne. Cela signifie que chaque Etat membre de l’Union Européenne doit adopter une loi pour transposer le contenu de cette directive dans son ordre juridique national. Actuellement, la directive est en cours de transposition en France.
Concernant DORA, il ne s’agit pas d’un seul texte mais d’un paquet législatif qui contient donc plusieurs éléments : un règlement (directement applicable dans tous les Etats membres de l’Union européenne depuis le 17 janvier), une directive (en cours de transposition) et des mesures d’application (nommées RTS, ITS et lignes directrices).
Troisième point clé : Les vulnérabilités humaines dans NIS 2
Il y a de nombreux exemples de prise en compte des vulnérabilités humaines dans NIS 2. En voici quelques-uns : ce texte impose de prendre des « mesures de gestion des risques »[1] qui doivent porter sur « tous les risques d’incident »[2], les « prévenir, repérer et réagir »[3] et prévoir « une analyse qui tienne compte du facteur humain»[4]. Les solutions proposées par ANOZR WAY permettent de prévenir, repérer et réagir aux risques liés à l’exploitation des vulnérabilités humaines.
NIS 2 impose également de prendre en compte tous les risques lors de l’application des mesures de gestion de risques, y compris « la prévention des erreurs humaines et des actes malveillants »[5]. Cela concerne nécessairement les risques liés à l’exploitation des vulnérabilités humaines, qui – rappelons-le – sont à l’origine de 80% des cyberattaques.
NIS 2 impose également aux entités de mettre en place des mesures telles que la sensibilisation des utilisateurs à l’hameçonnage et aux techniques d’ingénierie sociale. Enfin pour donner un dernier exemple, aux termes de NIS 2 il convient de déployer une stratégie de cyberprotection active qui passe par des actions de « prévention, détection, surveillance, analyse et atténuation »[6]. Nos solutions permettent de mettre en œuvre ces actions car elles opèrent une stratégie de prévention et de diminution des risques liés à l’exploitation des vulnérabilités humaines, par la détection, la surveillance, l’analyse et l’atténuation de ce type de vulnérabilité.
Quatrième point clé : Les vulnérabilités humaines dans DORA
Au sein du règlement DORA, il est écrit que le secteur financier est exposé à un fort risque systémique. Cela signifie que l’exploitation d’une vulnérabilité chez une seule entité financière, peut rapidement se propager et provoquer la réalisation de risques en chaîne pour un grand nombre d’entités, ce qui pourrait avoir des conséquences sur la stabilité du système financier de l’Union européenne.
Pour cette raison, les entités financières doivent identifier, de manière continue, toutes les sources de risque et lister les différentes vulnérabilités qui exploitent par exemple les actifs informationnels[7] : les données des collaborateurs sont des actifs informationnels qui créent des vulnérabilités humaines.
Le règlement DORA dispose aussi que les entités financières doivent posséder des capacités et des effectifs nécessaires pour recueillir des informations sur les vulnérabilités et analyser leurs potentielles incidences[8].
Ce règlement impose par ailleurs aux entités financières de mener des tests pour évaluer et analyser les vulnérabilités, y compris en procédant à des analyses en sources ouvertes[9]. On se situe clairement ici au niveau de l’analyse des données en sources ouvertes liées aux collaborateurs et dirigeants et qui pourraient être exploitées au cours d’un hameçonnage. Enfin, une des mesures d’application du règlement DORA précise que les entités financières doivent « détecter les fuites de données »[10], ce qui implique de mettre en œuvre des solutions permettant de repérer les données susceptibles de constituer des vulnérabilités humaines. Nos solutions permettent de détecter les données fuitées de l’utilisateur et de l’alerter dès qu’une nouvelle fuite est identifiée.
Besoin de plus d’informations sur NIS 2 ou DORA ?
Ne laissez pas les cybermenaces compromettre vos données et votre organisation. Nos experts vous accompagnent pour identifier vos vulnérabilités et renforcer votre protection.
Conclusion
Cet article brosse rapidement les quelques points clés de ces textes, par lesquels on distingue clairement l’obligation de prendre en compte les vulnérabilités humaines en matière de cybersécurité. Ces textes marquent une avancée majeure et un pas supplémentaire vers la résilience de l’Union européenne en matière de cybersécurité. Cette évolution normative appelle les organisations à mettre en œuvre des mesures concrètes. ANOZR WAY vous accompagne dans cette démarche, en intégrant pleinement le facteur humain à votre stratégie de cybersécurité.
[1] Cons. 78
[2] Ibid.
[3] Ibid.
[4] Ibid.
[5] Cons. 70, chap. 4
[6] Cons. 57
[7] Art. 8, 2°
[8] Art. 13
[9] Art. 25
[10] RTS on ICT risk management framework, art. 14 et 24.
Ecrit par Dr Emilie Musso – Docteure droit privé et sciences criminelles | Droit de la cybersécurité | Responsable juridique chez ANOZR WAY
Comment réduire l’exposition cyber des VIP ?
Cibles convoitées par les hackers, les dirigeants et membres de COMEX/CODIR sont 12 fois plus ciblés que les autres collaborateurs, et ce, par tout type d’attaques : phishing, compromission de compte, usurpation d’identité, fraude financière, chantage, etc. Et 70% des dirigeants et hauts cadres ont une exposition cyber à haut risque !
