Le 1er mai 2023, la modification de la Loi sur la sécurité informatique 2.0 entrera en vigueur. À l'expiration de la période de transition, le BSI exige de nouvelles exigences de la part des opérateurs d'infrastructures critiques. Qu'est-ce que cela sera en détail, qui sera concerné et quelles mesures devront être prises d'ici là. Un commentaire de Radar cybersécurité.
Les cybercriminels ciblent de plus en plus les opérateurs d'infrastructures critiques et les entreprises ayant une importance économique particulière. Cela peut non seulement entraîner des pertes de production valant des millions et des goulots d'étranglement de l'approvisionnement, mais dans le pire des cas, cela peut mettre en danger la sécurité publique. De plus, les opérateurs de KRITIS ne doivent pas seulement se protéger contre les tentatives de chantage motivées par l'argent. Les attaques à motivation politique dans le cadre de la guerre hybride sont également devenues une menace réelle.
ITSig 2.0 – Loi sur la sécurité informatique 2.0 de mai 2023
Le législateur allemand a réagi à ces dangers dès 2021 avec la deuxième loi visant à renforcer la sécurité des systèmes informatiques - en bref : la loi sur la sécurité informatique 2.0. Avec cela, la loi BSI existante a été complétée par d'autres points. Une deuxième directive sur la sécurité des réseaux et de l'information (NIS 2) suivra également au niveau de l'UE.
Outre les opérateurs traditionnels de KRITIS, les entreprises dites « d'intérêt public particulier », telles que les fabricants d'armement ou les entreprises à poids économique particulièrement important, doivent désormais également mettre en œuvre certaines mesures de sécurité informatique. En conséquence, le cercle des infrastructures critiques a été élargi pour inclure des secteurs tels que l'élimination des déchets et la production d'armements.
IT Security Act 2.0 : les nouvelles exigences en un coup d'œil
- Les opérateurs d'infrastructures critiques doivent mettre en place des systèmes de détection d'attaques au plus tard le 1er mai 2023.
- Les opérateurs KRITIS doivent informer le ministère fédéral de l'Intérieur de l'utilisation initiale prévue de composants critiques, par exemple si le fabricant est contrôlé par un pays tiers ou contredit les objectifs de la politique de sécurité du gouvernement fédéral allemand, de l'UE ou de l'OTAN.
- Les entreprises d'intérêt public particulier sont tenues de déposer régulièrement une auto-déclaration. Ils doivent expliquer quelles certifications dans le domaine de la sécurité informatique ont été réalisées au cours des deux dernières années et comment leurs systèmes informatiques ont été sécurisés.
Des mesures pour protéger les infrastructures critiques
Les opérateurs et entreprises KRITIS qui ont besoin de protéger leur technologie informatique et de contrôle contre les cyberattaques ont besoin de solutions intégrées conformes à la loi sur la sécurité informatique 2.0, la loi BSI et la norme ISO 27001 sur la sécurité de l'information. Les modules de détection suivants doivent donc être utilisés côté technologie :
- Analyse des données de journal (LDA) / gestion des informations et des événements de sécurité (SIEM) : cela signifie la collecte, l'analyse et la corrélation des journaux à partir d'une grande variété de sources. Il en résulte des alertes pour les problèmes de sécurité ou les risques potentiels.
- Gestion des vulnérabilités et conformité (VMC) : la gestion des vulnérabilités permet une analyse continue, interne et externe des vulnérabilités avec une détection complète, des contrôles de conformité et des tests pour une couverture complète. Dans le cadre de la conformité des logiciels, l'utilisation autorisée des logiciels pour chaque serveur ou groupe de serveurs est déterminée à l'aide d'un ensemble de règles et d'une analyse continue. Les logiciels manipulés peuvent être reconnus rapidement.
- Surveillance de l'état du réseau (module OT) : cela signale les communications en temps réel qui indiquent une interruption du fonctionnement sans erreur. Les conditions de surcharge technique, les dommages physiques, les erreurs de configuration et la détérioration des performances du réseau sont ainsi immédiatement reconnus et les sources d'erreur sont identifiées directement.
- Network Behavior Analytics (NBA) : grâce à l'analyse du comportement du réseau, la détection de logiciels malveillants dangereux, d'anomalies et d'autres risques dans le trafic réseau est possible grâce à des moteurs de détection basés sur les signatures et le comportement.
- Endpoint Detection & Response (EDR) : Endpoint Detection and Response signifie l'analyse, la surveillance et la détection des anomalies sur les ordinateurs (hôtes). Avec EDR, des actions de protection actives et des alertes instantanées sont fournies.
🔎 Partie 1 : Acte de sécurité informatique 2.0 pour Kritis (Image : Radar Cyber Security).
En raison de la complexité, le traitement ultérieur des informations relatives à la sécurité de ces modules est effectué par des spécialistes de la sécurité. Ils évaluent et hiérarchisent les connaissances acquises automatiquement à partir d'une énorme collecte de données. Les résultats de cette analyse constituent la base pour lancer les bonnes contre-mesures par des spécialistes internes.
Afin d'assurer la meilleure sécurité possible des données, il est également recommandé de mettre en place des solutions sur site comme forme de déploiement la plus sécurisée. Même si la tendance est de plus en plus vers le cloud, cela pose problème au regard du haut niveau de sensibilité des données dans le domaine de KRITIS.
Des centres de cyberdéfense (CDC) pour protéger les infrastructures critiques
Avec un Cyber Defense Center (CDC) - également appelé Security Operations Center (SOC) - les opérateurs et les entreprises KRITIS peuvent mettre en œuvre efficacement tous les points ci-dessus afin de mettre en œuvre un concept de sécurité cohérent et intégré pour leur infrastructure IT et OT . Un CDC englobe des technologies, des processus et des experts chargés de surveiller, d'analyser et de maintenir la sécurité des informations d'une organisation. Le CDC collecte des données en temps réel à partir des réseaux, serveurs, terminaux et autres actifs numériques de l'organisation et utilise une automatisation intelligente pour détecter, hiérarchiser et répondre aux menaces potentielles de cybersécurité - XNUMXh/XNUMX et XNUMXj/XNUMX. Cela permet de contenir et de neutraliser rapidement les menaces.
🔎 Partie 2 : Acte de sécurité informatique 2.0 pour Kritis (Image : Radar Cyber Security).
En outre, l'utilisation des technologies de sécurité européennes pour les opérateurs KRITIS et les entreprises d'intérêt public particulier est recommandée. De cette manière, les exigences légales en matière de protection des données peuvent être facilement satisfaites. Celles-ci incluent, par exemple, les exigences du règlement général sur la protection des données de l'UE (RGPD) et l'exigence de la loi BSI pour une preuve appropriée de vos précautions pour éviter les perturbations de la disponibilité, de l'intégrité, de l'authenticité et de la confidentialité de vos systèmes informatiques, composants ou processus nécessaires à la fonctionnalité des infrastructures critiques qu'ils exploitent sont pertinents.
Les attaques contre le KRITIS européen vont augmenter
L'utilisation de la technologie de sécurité européenne permet également au BSI de vérifier plus facilement les composants critiques afin de s'assurer que les acteurs de pays tiers ne peuvent à aucun moment accéder aux informations sensibles en violation de la protection des données de l'UE. Ceci est d'autant plus important à une époque où le Privacy Act entre les États-Unis et l'Europe est inactif.
Il faut s'attendre à ce que les attaques contre les infrastructures critiques de l'Europe continuent d'augmenter à l'avenir et cela est particulièrement évident sur la scène géopolitique avec la guerre en Ukraine. Avec une solution holistique de centre de cyberdéfense, les opérateurs allemands de KRITIS peuvent augmenter considérablement leur cyber-résilience afin de se défendre contre les attaques.
Plus sur RadarCS.com
À propos de Radar Cyber Security Radar Cyber Security exploite l'un des plus grands centres de cyberdéfense d'Europe au cœur de Vienne, basé sur la technologie propriétaire Cyber Detection Platform. Poussée par la forte combinaison d'expertise et d'expérience humaines, associée aux derniers développements technologiques issus de dix années de travail de recherche et développement, la société combine des solutions complètes pour les défis liés à la sécurité informatique et OT dans ses produits RADAR Services et RADAR Solutions.