Agence nationale de cybersécurité. Précieux : « Des aspects supplémentaires sont nécessaires pour être mis en œuvre »

Vues

À une époque où les violations informatiques et les vols de données se multiplient et risquent d'immobiliser les fonctions économiques et sociales d'un État, notre pays a agence pour la Cybersécurité Nationale, dans le but de protéger les intérêts nationaux dans le domaine de la cybersécurité et la « résilience des services et fonctions essentielles de l'État face aux cybermenaces ».

Tâche principale: « Mettre en œuvre les mesures nécessaires pour se protéger contre les cyberattaques qui, en exploitant toutes les vulnérabilités matérielles et logicielles, pourraient provoquer le dysfonctionnement ou l'interruption de fonctions essentielles de l'État et des services publics avec de graves répercussions sur les citoyens, les entreprises et l'administration publique ».

L'agence doit donc :

  • développer des capacités nationales de prévention, de surveillance, de détection et d'atténuation pour faire face aux incidents de cybersécurité et aux cyberattaques, également par le biais de l'équipe italienne de réponse aux incidents de sécurité informatique (CSIRT) ;
  • contribuer au renforcement de la sécurité des systèmes de technologies de l'information et de la communication (TIC) des sujets inclus dans le périmètre national de cybersécurité, des administrations publiques, des opérateurs de services essentiels (OSE) et des fournisseurs de services numériques (FSD) ;
  • soutenir le développement des compétences industrielles, technologiques et scientifiques, promouvoir des projets d'innovation et de développement et visant en même temps à stimuler la croissance d'une main-d'œuvre nationale solide dans le domaine de la cybersécurité dans une perspective d'autonomie stratégique nationale dans le secteur ;
  • assumer les fonctions d'interlocuteur national unique pour les entités publiques et privées dans le domaine des mesures de sécurité et des activités d'inspection dans les domaines du périmètre de la cybersécurité nationale, de la sécurité des réseaux et des systèmes d'information (directive NIS), et de la communication électronique de sécurité des réseaux ;
  • participer à des exercices nationaux et internationaux concernant la simulation d'événements cybernétiques afin d'augmenter la résilience du pays.

A ce propos, pour mieux éclairer les idées sur le sujet, un article lucide et très proactif sur le sujet, publié sur ants.net, et rédigé par Général de Pasquale Preziosa, ancien chef deaéronautiques et aujourd'hui Presidente dell 'Observatoire permanent de la sécurité Eurispes. Il y a beaucoup de suggestions sur des questions à développer pour essayer de sécuriser notre pays, même si nous sommes très en retard.

Voici comment Preziosa a résumé sa contribution : Après le lancement de l'Agence nationale de cybersécurité, il y a au moins trois volets à mettre en œuvre pour assurer une pleine résilience au pays : réglementaire, structurel et en termes de renforcement des contrôles.

Air Force Général Pasquale Preziosa, chef d'état-major de l'armée de l'air jusqu'en 2016.

La nouvelle Agence Nationale de Cybersécurité, écrit Précieux, a fait sa première apparition institutionnelle. L'Agence ne pouvait pas faire partie des services secrets, qui se concentrent principalement sur les crises régionales, les menaces sur l'économie nationale, la subversion et l'extrémisme, la menace hybride, le terrorisme djihadiste, l'immigration illégale, le crime organisé, la cybermenace et plus encore.

Malheureusement, notre pays continue d'être à la cinquième place en Europe pour le nombre de cyberattaques. Lorsqu'elle sera pleinement opérationnelle, l'Agence complétera la résilience nationale déjà définie avec la mise en place du cyber périmètre de sécurité nationale, dans le but déclaré d'accroître la promotion de la culture de la cybersécurité, à travers une large autonomie réglementaire, administrative et patrimoniale. , organisationnelle, comptable et financière.

La mise en place de l'Agence ne sera pas le dernier changement structurel pour la cyber protection de notre pays, car il faudra renforcer d'urgence le secteur de la cyber prévention ce qui n'est pas faisable, pour le moment, avec le cadre réglementaire en vigueur.

Le cyberdomaine, avec les autres domaines consolidés dans le temps, sous-tend la concurrence stratégique en cours et représente l'outil indispensable pour être pertinent dans le nouvel ordre mondial. Il est utilisé à la fois par des organisations étatiques et non étatiques, et est un outil omniprésent, silencieux, presque inconnu dans la partie profonde et sombre, capable d'augmenter considérablement les performances dans le secteur des applications tout en étant capable de les détruire. Comme tous les domaines, il a besoin des piliers organisationnels pour fonctionner, c'est-à-dire la politique, la stratégie et la tactique.

Si l'objectif de la politique est représenté par l'atténuation du risque de cybersécurité d'une entité, la stratégie aura pour tâche d'aligner tous les moyens disponibles (capital réglementaire, financier, instrumental et humain) pour réduire le risque de cyberattaques susceptibles de dégrader la l'efficience et l'efficacité de l'institution. Le point de départ dans chaque domaine est la connaissance de qui s'intéresse à nous et avec quels buts et quels moyens possibles, c'est la connaissance qui permet la meilleure préparation des moyens de contraster la cybermenace.

En d'autres termes, nous devons avoir la soi-disant « conscience de la situation (SA) » pour notre domaine d'intérêt informatique, mis à jour à chaque instant, ou être capable de produire une analyse « Intelligence Cyber », nous devons avoir la capacité d'empêcher une cyber attaque, tout sabotage lancé contre nos capacités de production.

Le cybermonde étatique non italien a déjà créé des outils offensifs (cyber bombes et pièges) pour causer des dommages irréparables aux opposants. La cyberguerre est déjà en cours tant entre les États que dans la sphère privée. On ne peut le contrôler qu'avec la justice, dont les enquêtes sont déjà très complexes dans le domaine réel, mais dans le domaine cybernétique elles deviennent impossibles du fait de la difficulté d'« imputation » de l'attaque subie.

Une cyberattaque ciblée peut conduire à la faillite d'une entreprise. Même si les crypto-monnaies (un secteur non encore réglementé) ont récemment été la cible d'un gros coup d'une valeur de 600 millions de dollars (Poly Network), personne ne peut être considéré à l'abri de la possibilité de subir des cyberattaques. Sans une solide capacité de prévention de la cybercriminalité et sans structure de vérification des vulnérabilités des réseaux informatiques, les niveaux de risque pour la Nation seront très élevés avec des impacts importants sur les niveaux de sécurité nationale.

La cyber intelligence n'est pas exclusive au domaine public, avec la chute du mur de Berlin elle s'est étendue au secteur privé et est à la base de la concurrence industrielle en cours. La prévention des cyberattaques repose sur la cyberexploitation et éventuellement la cyberattaque, même préventive, activités qui doivent être prévues par la loi de l'Etat pour les organismes habilités dans le secteur spécifique. De nombreux États ont déjà autorisé les fonctions susmentionnées pour leurs propres agences de sécurité. Notre pays a un besoin urgent de combler ce vide réglementaire qui ne permet pas à la cyber intelligence d'exercer la fonction préventive (de la connaissance) à travers la cyber exploitation, et cela explique en partie pourquoi nous sommes à la cinquième place en Europe pour le nombre de cyberattaques contre nos pays et nous devons recourir aux pays alliés pour connaître l'origine des attentats.

Dans le cybermonde, nous devons garder à l'esprit qu'il n'y a pas de barrières éthiques : tout le monde espionne tout le monde. En termes de contrôles, beaucoup a déjà été fait par l'Agence pour l'Italie numérique mais ce n'est toujours pas suffisant. Les mesures minimales de sécurité TIC, bien qu'organisées à trois niveaux, reposent principalement sur l'auto-certification des organismes (module de mise en œuvre) malheureusement peu efficace. L'Agid prévoit également l'ABSC 4 ou l'évaluation continue et la correction de la vulnérabilité également par le biais de tests de résistance. L'adoption plus fréquente de contrôles par des tiers qualifiés (White Hat) pour les systèmes informatiques peut donner une plus grande confiance aux capacités de résilience du réseau.

Après le lancement de l'Agence, afin d'atteindre le minimum de suffisance et de s'aligner sur les autres Etats européens, il y a donc au moins trois volets à mettre en œuvre : réglementaire, structurel, en termes de cyber intelligence et de renforcement de l'efficacité des contrôles.

Agence nationale de cybersécurité. Précieux : « Des aspects supplémentaires sont nécessaires pour être mis en œuvre »