Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De la transparence à la confiance dans le nuage : ENISA propose ses conseils pour rapporter les incidents dans le cadre de l’informatique dématérialisée

janvier 2014 par ENISA

L’ENISA souligne l’importance des rapports d’incidents dans l’informatique dématérialisée, en particulier dans les secteurs les plus critiques, afin de mieux comprendre la sécurité et de cultiver la confiance. ENISA présente une approche pratique qui apporte des avantages à la fois pour les usagers et pour les prestataires.

Les incidents de sécurité qui se produisent dans le domaine de l’informatique dématérialisée attirent souvent l’attention des médias, car elles affectent un grand nombre d’usagers ; par exemple récemment, un important prestataire de services de stockage a subi une panne qui a duré deux jours. Cependant, à cause du manque de systèmes cohérents pour rapporter les incidents de sécurité dans le secteur de l’informatique dématérialisée, il est difficile de comprendre les causes et les effets de tels incidents. Pour mieux comprendre la résilience et la sécurité des services d’informatique dématérialisée, il est important que cette question soit abordée avec l’industrie et les gouvernements, afin d’arriver à un accord en ce qui concerne les systèmes en place pour rapporter les incidents, et d’apporter ainsi les informations nécessaires aux usagers et aux autorités gouvernementales.

Le Directeur exécutif de l’ENISA, le Professeur Udo Heimbrecht, remarque : « Le rapport des incidents est essentiel pour permettre une meilleure compréhension de la sécurité et de la résilience des infrastructures stratégiques d’information en Europe. L’informatique dématérialisée est en train de devenir un des piliers de notre société digitale : il est important que les prestataires du nuage améliorent la transparence et la confiance en adoptant des systèmes de rapport efficaces. »

Le rapport traite quatre cas de figure différents susceptibles de survenir dans l’informatique dématérialisée, et examine la manière dont des systèmes de rapport pourraient être mis en place avec les prestataires de services, les clients, les opérateurs d’infrastructures stratégiques et les autorités gouvernementales :

A. Le service dématérialisé est utilisé par un opérateur d’infrastructure d’information stratégique ;
B. Le service dématérialisé est utilisé par des usagers dans de nombreux secteurs stratégiques différents ;
C. Le service dématérialisé est utilisé par le gouvernement et l’administration publique (un « gov-cloud ») ;
D. Le service dématérialisé est utilisé par les PME et les citoyens.

Grâce à des enquêtes et à des entretiens avec des experts, nous avons identifié des questions-clés :

Dans la plupart des Etats-membres de l’UE, il n’existe pas d’autorité nationale capable de mesurer le degré d’importance stratégique des services dématérialisés.
Les services dématérialisés sont souvent basés sur d’autres services dématérialisés. Cela complexifie la situation, et complique le rapport des incidents.
Les usagers du nuage omettent souvent de faire figurer les obligations concernant les rapports d’incidents dans leurs contrats de service d’informatique dématérialisée.

Le rapport contient plusieurs recommandations d’experts de l’informatique dématérialisée au service de l’industrie et des gouvernements :

Il n’existe quasiment pas de systèmes pour le rapport volontaire des incidents, et des règlements semblent nécessaires pour que les opérateurs des secteurs stratégiques rapportent les incidents de sécurité.

Les autorités gouvernementales doivent inclure les obligations de rapport dans leurs critères de sélection lors de l’attribution des marchés.
Les opérateurs stratégiques du secteur doivent inclure le rapport des incidents dans leurs contrats.

Les systèmes de rapport des incidents peuvent apporter des avantages à la fois pour les prestataires et pour les usagers en améliorant la transparence et en créant ainsi une plus grande confiance.
Les prestataires doivent donner l’exemple et mettre en place des systèmes de rapport des incidents volontaires, efficaces et performants.

Le texte intégral du rapport

Le contexte : La Directive NIS proposée L’agence de cyber-sécurité de l’UE


Voir les articles précédents

    

Voir les articles suivants