Loi sur la sécurité informatique 2.0 : Les opérateurs d'infrastructures critiques (KRITIS) sont légalement tenus de prendre des "précautions organisationnelles et techniques raisonnables" pour prévenir les cyberattaques. Avec l'adoption du "IT Security Act 2.0" (ITSiG 2.0) au printemps 2021, ces obligations ont été à nouveau renforcées. Dès mai 2023, les opérateurs d'infrastructures critiques doivent les mettre en œuvre et surtout disposer de « systèmes de détection d'attaques ».
Sophos, en tant que fournisseur de services de réponse APT (Advanced Persistent Threat) officiellement qualifié par le BSI, a donc créé un dossier de solution pour KRITIS qui aide les entreprises et les organisations à adapter leurs mesures de sécurité en temps utile conformément aux nouvelles exigences.
144 millions de nouveaux programmes malveillants en 2021
Les activités cybercriminelles se concentrent sur les entreprises et les institutions publiques, principalement pour paralyser les opérations ou pour voler l'argent du chantage. Les faits montrent que la situation des risques est tendue : selon le BSI, environ 2021 millions de nouveaux programmes malveillants ont été identifiés en 144. Environ 25 % des entreprises et organisations touchées ont considéré les attaques comme une menace sérieuse ou existentielle.
Ce risque potentiel est d'autant plus sérieux lorsque des infrastructures critiques sont la cible de cybercriminels, par exemple dans le secteur de la santé, dans les domaines de l'approvisionnement en énergie et en eau ou dans l'approvisionnement alimentaire. Pour cette raison, les opérateurs d'infrastructures critiques (KRITIS) sont légalement tenus de prendre des "précautions organisationnelles et techniques raisonnables" pour prévenir les cyberattaques. Avec l'adoption de la loi sur la sécurité informatique 2.0 au printemps 2021, ces obligations ont été à nouveau renforcées. Dès mai 2023, les opérateurs d'infrastructures critiques doivent les mettre en œuvre et surtout disposer de « systèmes de détection d'attaques ».
Nouvelles éditions mais peu de recommandations concrètes pour l'action
Comme par le passé, les autorités qui exigent la sécurité à KRITIS ont également des idées précises sur la manière dont les violations doivent être punies et punies avec la nouvelle édition du règlement. Cependant, ils donnent aux entreprises et aux organisations une large marge de manœuvre dans la mise en œuvre de la sécurité informatique. Le raisonnement : des recommandations d'action concrètes pourraient entraver l'innovation progressive dans le domaine des technologies de l'information et conduire à ce que les obligations légales redeviennent rapidement obsolètes avec l'émergence de nouvelles technologies. Du point de vue des instances de contrôle, cette démarche est compréhensible, mais n'aide pas les entreprises dans la mise en œuvre concrète de la loi sur la sécurité informatique 2.0.
Approche solution de sécurité pour KRITIS
En tant que fournisseur de services de réponse APT (Advanced Persistent Threat) officiellement qualifié par le BSI a créé un dossier de solution pour KRITIS qui aide les entreprises et les organisations à adapter leurs mesures de sécurité en temps utile aux nouvelles exigences. Pour déterminer plus en détail les mesures nécessaires, les entreprises et organisations KRITIS peuvent utiliser deux points de référence : les "normes de sécurité spécifiques à l'industrie" qui ont été développées par les associations industrielles individuelles des secteurs concernés et les directives actuelles du BSI.
Alors que les normes de sécurité spécifiques à l'industrie ne s'appliquent qu'au secteur respectif, le document du BSI propose des exigences générales applicables à tous les secteurs et industries. Dans ce catalogue d'exigences, le BSI définit 100 sujets pertinents et explique les précautions de sécurité respectives.
Catalogue des exigences du BSI
Dans le Solution Brief, Sophos décrit quels sujets du catalogue d'exigences du BSI peuvent être traités avec quels composants de sécurité afin de mettre en œuvre les précautions de sécurité requises - en particulier dans le cadre de la nouvelle loi sur la sécurité informatique 2.0 - ITSiG 2.0. L'un des objectifs des nouvelles lois est la détection des attaques. Les entreprises et organisations KRITIS doivent être en mesure de comparer en permanence les données traitées dans l'informatique avec des informations et des modèles techniques afin d'identifier les attaques potentielles. Pour ce faire, les paramètres et les caractéristiques pendant le fonctionnement doivent être enregistrés en continu et automatiquement et, surtout, évalués.
La sophistication et le développement rapide des cybercriminels nécessitent une combinaison de sécurité automatisée enrichie d'intelligence artificielle et d'expertise humaine. La sécurité technique et la sécurité humaine doivent être réunies dans un écosystème afin d'éviter les menaces et surtout d'éliminer au plus vite les perturbations survenues.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.