Une nouvelle étude menée par des universitaires du Cloud Legal Project de l'Université Queen Mary de Londres a révélé que les normes de cybersécurité actuelles fixées par l'Union européenne, connue sous le nom de directive SRI, ne vont pas assez loin et pourraient potentiellement être compromis.

Le règlement NIS 2018, qui mettent en œuvre la directive NIS au Royaume-Uni, visent à garantir que les opérateurs de services essentiels sont protégés contre les perturbations, en les obligeant à prendre des mesures « appropriées et proportionnées » en matière de cybersécurité.

La conformité est subjective

La recherche, qui se concentrait sur des aéroports comme Heathrow et des compagnies aériennes comme British Airways, constaté que pour se conformer à la réglementation, les opérateurs de services doivent identifier, évaluer, puis aborder les cyber-risques auxquels ils sont confrontés. Cependant, une telle gestion des risques implique inévitablement un niveau de jugement subjectif et de compromis.

Selon les chercheurs, les exigences de la directive sont trop vagues et sujettes à interprétation, ce qui signifie que certains aéroports et compagnies aériennes ne peuvent mettre en place que les mesures de sécurité qu'ils considèrent comme étant dans leur propre intérêt commercial. Les fournisseurs de services pourraient même aller jusqu'à abuser de leur pouvoir discrétionnaire en s'engageant dans une « conformité papier » – en créant de nombreux documents de sécurité pour montrer aux régulateurs, sans changer significativement leur approche, faire passer efficacement les profits avant la cybersécurité.

Les besoins vagues sont difficiles à mesurer

La recherche a également révélé que la nature vague de la directive SRI peut compliquer la tâche des régulateurs, comme l'Autorité de l'aviation civile, pour contrôler efficacement si les exigences de sécurité sont respectées ou non. L'étude intervient après plusieurs problèmes informatiques de grande envergure dans l'industrie du transport aérien.

Dave Michels, Chercheur au Queen Mary's Center for Commercial Law Studies, et le co-auteur de l'article a déclaré:"Les régulateurs devront surveiller attentivement les aéroports et les compagnies aériennes et remettre en question leurs approches si nécessaire. Cela les obligera à embaucher des experts en cybersécurité pour le faire efficacement."

Ian Walden, Le professeur de droit de l'information et des communications et co-auteur de l'étude a ajouté :« Le Brexit pourrait encore compliquer les choses en raison du départ du Royaume-Uni de l'Agence européenne pour la cybersécurité, qui joue un rôle important en fournissant des lignes directrices pour la conformité et en partageant les meilleures pratiques."