Échange d'informations dans le domaine de la cybersécurité à l'échelle nationale

Pour renforcer la capacité numérique des parties publiques et privées aux Pays-Bas, ces dernières années, des efforts ont été déployés pour créer un système national de réseaux de coopération en matière de cybersécurité. Ce système vise à partager de manière plus large, efficace et efficace des informations sur la cybersécurité. Avec le Centre national de cybersécurité (NCSC, faisant partie du ministère de la Justice et de la Sécurité), le Centre de confiance numérique (DTC, faisant partie du ministère des Affaires économiques et du Climat) et le nombre croissant de réseaux de coopération, ce système national de couverture complète devient de plus en plus une réalité. Cependant, il y a encore des groupes cibles dans le secteur non vital (comme les PME) qui ne reçoivent pas certaines informations souhaitées ou ne parviennent pas à les trouver, ce qui constitue un risque pour la cybersécurité de ces parties. Dialogic a étudié cette question pour le compte du WODC. L'étude a fait la distinction entre deux types d'informations en matière de cybersécurité: les informations de sensibilisation (informations et conseils sur la cyber-résilience) et les informations sur les menaces (informations sur les menaces ou les vulnérabilités concernant certaines entreprises ou logiciels). Les groupes cibles, les besoins et les contraintes juridiques associés à ces deux types d'informations étant différents, les conclusions et les mesures possibles diffèrent également. Besoin d'informations de sensibilisation L'étude a révélé que les PME et les travailleurs indépendants ont besoin d'informations et de conseils en matière de cybersécurité, tels qu'un balayage de base de leur cybersécurité. Il apparaît également que le DTC peut actuellement répondre à une partie importante de ce besoin, mais que les parties ne sont pas informées de cette possibilité. Une des recommandations de l'étude est donc de développer une stratégie de communication pour accroître la notoriété et la visibilité du DTC en tant que guichet central pour la cybersécurité. Besoin d'informations sur les menaces Le partage d'informations sur les menaces est souvent problématique en raison des contraintes légales liées au partage de données personnelles et d'informations confidentielles pouvant être retracées. Les informations sur les menaces pertinentes pour le secteur non vital restent donc "bloquées" au NCSC. En fin de compte, en ce moment, le groupe d'entreprises non vitales et matures sur le plan de la cybersécurité ne reçoit pas correctement les informations souhaitées. Ce groupe a un accès limité aux informations dont ils estiment avoir besoin pour garantir leur résilience face aux cybermenaces. Évolutions juridiques Sur le long terme, le DTC pourrait devenir l'acteur principal en matière d'informations sur les menaces pour les parties non vitales, en veillant à ce que le DTC reçoive les informations du NCSC et les transmette aux entreprises et aux réseaux de coopération concernés. Cependant, il n'est pas clair quand le fondement juridique nécessaire pour le DTC sera établi et quand l'échange d'informations pourra réellement commencer : début 2021 est peut-être réalisable, mais un an plus tard n'est pas exclu. Les informations sur les menaces peuvent également être directement transmises du NCSC à d'autres réseaux de coopération, sans passer par le DTC, mais là aussi, des obstacles juridiques et des incertitudes sont présents. On peut s'attendre à ce que des clarifications sur ce point soient apportées à court ou moyen terme, rendant l'échange d'informations plus facile. Le rapport d'étude a été envoyé à la Deuxième Chambre le 17 novembre 2020. Consultez ici la lettre correspondante au Parlement.