1. Accueil
  2. Infos sécurité
  3. Archives infos sécurité
  4. L’obligation de déclaration d’incident :...

L’obligation de déclaration d’incident : état des lieux

Écrit par HASSID Olivier

15 avril 2013

Face à la recrudescence des incidents de cybersécurité enregistrés dans le monde, nombre de pays s’efforcent d’imaginer des stratégies de sécurisation des systèmes et données de leurs entreprises, infrastructures critiques et gouvernements.

Le partage d’informations gouvernement-secteur privé est l’une des pistes proposées pour produire une image plus précise de la «menace » et y répondre de manière plus efficace. A cet égard plusieurs pays mettent en place des moyens autorisant ce partage d’information : le Royaume-Uni a créé fin mars 2013 le CISP (Cyber Security Information Sharing Partnership)[[1https://www.gov.uk/government/news/government-launches-information-sharing-partnership-on-cyber-security]] ; l’administration américaine [[2 DHS, Cyber Security Task Force: Public Private Information Sharing, Washington, Etats-Unis, 24 pages, juillet 2012, http://bipartisanpolicy.org/sites/default/files/Public-Private%20Information%20Sharing.pdf Juillet 2012]] souhaite proposer un cadre réglementaire facilitant ces échanges dans des conditions optimales de sécurité tant pour les entreprises que les acteurs publics (les démocrates rencontrent à cet égard une opposition républicaine, hostile à toute forme de réglementation qui viendrait accroître le poids des normes pesant sur les entreprises). Le plus souvent, les solutions de partage d’information reposent sur le volontariat et n’ont donc aucun caractère contraignant.

Complémentaire, l’obligation de déclaration d’incident s’inscrit dans la même logique de renforcement de la sécurité par une meilleure connaissance de l’environnement. En France, une telle obligation relèverait par exemple de la même démarche qui s’impose aux exploitants des installations classées, contraints de déclarer dans les meilleurs délais les incidents et accidents survenus au sein de leurs installations (art.R512-69 du Code de l’environnement).

En voulant imposer aux entreprises une obligation de déclaration de cyber incident (qui semble s’avérer nécessaire en raison de la réticence de ces dernières à communiquer sur ces sujets [[3Voir la recommandation n°17 du rapport sur la cyberdéfense (Sénateur Jean Marie Bockel) qui souhaite rendre obligatoire la déclaration des incidents de cybersécurité subis par les entreprises. ]]) , les autorités visent plusieurs objectifs :
– Placer les entreprises face à leurs responsabilités en matière de sécurité;
– Assurer la protection des consommateurs ;
– Permettre aux autorités de cybersécurité de mieux enquêter (par exemple établir des relations entre incidents qui paraîtraient isolés de prime abord) ;
– Mieux connaître la menace (cybercriminalité et cyberattaques étatiques ; modes opératoires), affiner les statistiques (ampleur du phénomène), pour adapter les politiques nationales de cybersécurité, mais aussi agir plus efficacement dans le cadre de la coopération régionale et internationale. Neelie Kroes, commissaire européenne en charge de la société numérique, s’est déclarée favorable à des mesures incitant les entreprises à plus de transparence [[ http://www.lemagit.fr/divers/2013/02/08/leurope-met-en-ordre-de-marche-sa-cyber-securite/]].

Plusieurs interrogations demeurent quant à la faisabilité et à l’efficacité d’une telle démarche :
– La « connaissance » de nouveaux faits permettra-t-elle d’améliorer véritablement la sécurité dans son ensemble ?
– Quel niveau de gravité, quel type de cyber incident, déclenchera l’obligation ?
– La loi devra-t-elle prévoir de nouvelles sanctions contre les entreprises ne se soumettant pas à l’obligation ?
– Doit-on privilégier le volontariat, l’incitation ou l’obligation ?

Daniel Ventre, CNRS (Cesdip/Gern), Titulaire de la Chaire de Cyber sécurité et Cyber défense (Saint-Cyr / Sogeti / Thales)

Ces articles pourraient vous intéresser

L’Agence fédérale de la protection de l’environnement des Etats-Unis (EPA) vient de décider...

Le secteur de la sécurité privée est encadré par une loi, la loi...

Pour les directeurs sécurité avertis, la solution retenue dans l’arrêt du 7 décembre...

Commissions et groupes de travail

Les commissions et groupes de travail du CDSE, ouverts à tous les membres, sont le cœur de la réflexion du Club sur l’ensemble des problématiques qui impactent la sécurité-sûreté des entreprises.

Le réseau CDSE

Le CDSE a étendu son réseau auprès d’acteurs privés, publics et académiques qui participent à ses travaux. Il représente en outre les « donneurs d’ordre » et les « utilisateurs » au sein de différentes instances.

Les statuts

Le CDSE est une association loi 1901 à but non lucratif créée en 1995. Retrouvez la dernière version des statuts du CDSE adoptée par l’Assemblée générale extraordinaire du 15 septembre 2020.

Le règlement intérieur

Le CDSE s’est doté d’un règlement intérieur adopté par l’Assemblée générale extraordinaire du 20 septembre 2017 régissant différents points notamment en matière d’éthique et de déontologie.