Pour l'Espagne, c'est une menace sérieuse « le nombre, l'ampleur, la sophistication, la fréquence et les effets des incidents de nature cybernétique »et c'est la raison pour laquelle le Conseil des ministres a approuvé ce mardi le projet de loi relative à la coordination et à la gouvernance de la cybersécurité.
Les mots viennent de Ministre de l'Intérieur, Fernando Grande-Marlaskaqui s'est présenté ce mardi à la Moncloa après la réunion de l'Exécutif pour annoncer ce qui n'est pour l'instant qu'un projet de loi, un début, mais qui aboutira à la transposition de la loi dans le système juridique espagnol. Directive européenne NIS-2 (ou 2022/2555), ce qui est attendu – et aussi redouté, en raison des exigences qu'il implique – en des milliers d'entreprises et d'entités publiques et privées d'Espagne.
Le nouveau texte juridique est une proposition conjointe des ministères du Intérieur, Défense et Transformation Numériqueet le blindage le plus sévère proposé jusqu'à présent dans ce pays de tous types de réseaux ouverts et intranet, de fichiers de données, de listes d'utilisateurs et de clients, de nuages d'informations, de trafic de courrier électronique et de pages Web… l'océan de données avec lequel l'espagnol est proposé. société opère, et qui a fait l’objet en 2023 de plus de deux millions de tentatives d’intrusion, selon les données du Centre national cryptologique.
Centre de cybersécurité
Cet organisme de cybersécurité dépendant du CNI et du ministère de la Défense – qui a récemment alerté sur l'aggravation de la menace, comme le rapporte ce journal – est appelé à être l'une des autorités chargées d'examiner le respect des mesures de sécurité proposées.
L'avant-projet prévoit le création d'un Centre National de Cybersécurité coordonner les actions en la matière. Il est prévu que la nouvelle entité rendra compte au Secrétariat général de la présidence du gouvernement et sera le gestionnaire et l'interlocuteur avec l'Europe en cas d'incident cybernétique pertinent.
Les autres organismes que la future loi désigne comme autorités de contrôleoutre le CCN, se trouvent le Bureau de coordination de la cybersécurité du ministère de À l'intérieur et le secrétaire d'État chargé des télécommunications et des infrastructures numériques et de la numérisation et de l'intelligence artificielle du ministère de Transformation numérique.
Secteurs concernés
« L'utilisation des réseaux et des systèmes d'information est devenue cruciale pour le développement de la grande majorité de nos activités sociales et économiques », a prévenu Marlaska, qui voit ces activités « soumises à de graves menaces et à de nouveaux défis » dans lesquels « de graves dommages à l'économie et la sécurité nationale » pourraient être subies.
Après avoir demandé des rapports au Trésor, à la Partie Espagnole, à l'Agence de Protection des Données et au Département de Sécurité Nationale, cette transposition législative sera réalisée selon la procédure d'urgence, dans laquelle aucun obstacle parlementaire majeur n'est attendu. Le plan dans le cas espagnol est avant tout la protection des secteurs dits « à haute criticité »qui sont des entreprises espagnoles et étrangères clés qui opèrent ici dans le chaînes d'approvisionnement, banque, marchés financiers, transports, énergie, santé, approvisionnement et qualité de l'eau… Ils sont les cibles privilégiées des cyberattaques majeures subies en Espagne et en Europe.
Mais non seulement les entreprises et les entités les plus actives en Espagne sont appelées à s'armer, mais aussi les secteurs moins critiquescomme les coursiers, les usines chimiques, le secteur alimentaire, la sécurité privée, la gestion des déchets et la recherche scientifique, entre autres.
Plus de 12 000 entreprises dont les systèmes de cybersécurité sont actuellement déficients Ils devront apporter des améliorations comme le prévoit la directive NIS-2, expliquent à ce journal des sources de la Sécurité de l'État. Chaque entité, comme Marlaska l'a annoncé ce mardi, doit évaluer les risques liés à son activité avant de se conformer à une nouvelle obligation : garantir que ses réseaux informatiques sont sécurisés et peuvent prévenir les attaques.
Obligation de déclaration
Lorsque le projet devient loi, la coutume de garder le silence sur une cyberattaque subie pour sauvegarder son prestige ou l'image d'une entreprise ou d'une marque, puisqu'il sera obligatoire – et non plus volontaire – de notifier au Centre de Cybersécurité tout incident pertinent, et « sans délai », a prévenu Marlaska.
Le projet envisage également l'obligation d'avoir un responsable de la cybersécurité dans les entités et entreprises des secteurs concernés, ou qui opèrent avec des entités publiques dans ces domaines. Pour travailler, ce responsable doit avoir une accréditation, une attestation de préparation, délivrée par l'Administration.
Dans le monde de la cybersécurité, l’utilité essentielle de partager des informations. Sur la base d'expériences partagées, différentes équipes de réponse – ou CERT – agiront en cas d'attaques d'importance nationale et pour assister les entités qui en feront la demande. Ces appareils feront également office de haut-parleurs. alertes internationales et détection des menaces du pays ou des vulnérabilités que l’État a pu détecter.
