La Confédération propose aux entreprises un outil d’évaluation de leur résilience IT
Dévoilée par l'Office fédéral pour l'approvisionnement économique du pays (OFAE), une nouvelle norme TIC fournit aux entreprises plus d’une centaine d’indications pour se prémunir contre les cyber-risques, ainsi qu’un outil d’évaluation de leur résilience informatique.
La Confédération a élaboré une norme minimale pour les TIC, qui fournit aux entreprises suisses des indications pour améliorer la résilience de leurs systèmes et infrastructures informatiques face aux cyber-risques. Dévoilée par l'Office fédéral pour l'approvisionnement économique du pays (OFAE), la norme regroupe un guide de référence fournissant des informations, d'ordre organisationnel ou technique, sur les principes de base pour se prémunir contre les cybermenaces. Elle fournit en outre un outil qui permet aux entreprises d'évaluer le degré de leur résilience informatique (ou de le faire auditer) par des externes. De même qu’un cadre (framework) proposant aux utilisateurs une série de mesures concrètes à mettre en œuvre.
Les prochaines étapes de développement de cette norme TIC prévoient de créer une banque de données pour l'évaluation, afin de permettre à une entreprise de se comparer anonymement à d’autres, dans sa branche. Il existe d'ores et déjà une norme pour la branche électricité. L’élaboration d’un standard de sécurité IT minimum pour les fournisseurs d’énergie est perçue comme un moyen d’atténuer vulnérabilité du secteur énergétique suisse, face à des cyberattaques qui pourraient engendrer un cyber-blackout. Après celle de l’électricité, d'autres branches vont suivre, dont l’évacuation des eaux usées, l’alimentation en gaz, la logistique et la télécommunication.
Le framework publié par OFAE est subdivisé en cinq thèmes: identifier, protéger, détecter, réagir et récupérer. Dans la chapitre «détecter», le document stipule par exemple de mettre en place une surveillance permanente du réseau pour détecter les incidents de cybersécurité potentiels. Mais aussi de veiller à pouvoir détecter les maliciels. Au chapitre «réagir», le framework indique aux entreprises notamment de s’assurez que les enseignements tirés des précédents incidents de cybersécurité sont intégrés à leurs plans d’intervention. Des indications qui ont une résonnance particulière et un brin cocasse alors que le Ministère public de la Confédération vient de suspendre la procédure pénale, entamée en 2015, concernant les cyberattaques contre Ruag. A noter que cette norme TIC est plus spécialement destinée aux exploitants d'infrastructures critiques en Suisse. Mais toute entreprise peut l'appliquer, précise l’OFAE, qui résume en outre les caractéristiques de la norme TIC dans la vidéo ci-dessous.