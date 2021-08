Les données sont une ressource nationale et le maximum de données est échangé via le cyberespace.

Par le colonel Sanjeev Relia (retraité),

En tant que nation, nous continuons à mener des batailles pour protéger notre souveraineté, notre juridiction et notre vie privée contre les menaces intrusives et anonymes qui dominent dans l’arène du cyberespace.

Le début de la pandémie l’année dernière a entraîné une plus grande dépendance à l’égard de la technologie, associée à une adoption plus poussée des appareils interconnectés et des environnements de travail hybrides. Cela nous rend plus vulnérables numériquement que jamais. Les données du gouvernement indien ont enregistré 1,16 million de cas de cybersécurité en 2020, un pic 3 fois supérieur à celui de l’année précédente.

Comme dans d’autres pays, les cyberattaques en Inde mettent en péril la sécurité nationale en accédant à des infrastructures gouvernementales sensibles. Le mois dernier, des pirates informatiques ont supprimé le système d’authentification à deux facteurs utilisé par le gouvernement indien pour sécuriser son réseau de messagerie – trois fois, compromettant les e-mails de nombreux responsables gouvernementaux. Malheureusement, ceux qui sont derrière l’attaque et le modus operandi n’ont pas encore été confirmés.

Nous assistons chaque mois à des incidents de violation de données. Au début de 2021, certains sites Web du gouvernement ont divulgué les résultats des tests de laboratoire COVID-19 de milliers de citoyens indiens. Une cyberattaque contre les systèmes d’un fournisseur de services de données d’une compagnie aérienne, en mai 21, a entraîné la fuite des données personnelles de 4,5 millions de passagers de la compagnie aérienne. Le même mois, les informations personnellement identifiables et les résultats des tests de 190 000 candidats au test d’admission commun 2020 ont été divulgués et mis en vente. En avril 21, un million d’enregistrements de cartes de crédit et les détails de 180 millions de commandes de pizza prises, y compris les noms, numéros de téléphone et adresses e-mail des clients ont été divulgués. Bien qu’il s’agisse de certains des cas connus, le nombre réel, pour la plupart non signalé, peut être très important.

Quelle organisation responsable de la cybersécurité pourrait être ?

Alors que les menaces émanant du cyberespace sont bien connues, ironiquement au niveau national, nous n’avons toujours pas de stratégie définissant les lignes directrices pour y faire face. Il n’y a pas de cadre essentiel formel pour protéger l’infrastructure d’information critique et d’autres actifs nationaux ; celui qui établit une politique de réponse dans l’éventualité où l’un des deux serait attaqué par un adversaire.

La politique nationale de cybersécurité (NCSP) publiée par le gouvernement indien en 2013 avait défini plusieurs stratégies pour contrer les menaces de sécurité du cyberespace. Alors que huit ans se sont écoulés, une mise en œuvre limitée a eu lieu et notre pays reste parmi les nations les plus ciblées. L’absence d’une stratégie/politique globale de cybersécurité est manifeste et augmente la vulnérabilité.

Il semble y avoir une lumière au bout du tunnel pour l’Inde. Avant de nous lancer dans 2022, l’Inde aurait reçu une politique nationale sur la cybersécurité du Département de l’électronique et des technologies de l’information (DeitY).

Le gouvernement a déjà partagé sa vision pour assurer un cyberespace sûr, sécurisé, résilient, dynamique et fiable, grâce à une nouvelle stratégie qui servirait de ligne directrice pour gérer les données en tant que ressource nationale, renforcer les capacités locales et pour les cyberaudits.

Cependant, en matière de cybersécurité, l’Inde doit élaborer une stratégie et mettre en place une approche collaborative pour parvenir à la stabilité et à la sécurité. La politique de cybersécurité révisée de 2021 devrait inclure trois domaines cruciaux :

1. Cadre juridique – Bien que l’Inde n’ait pas de loi dédiée à la cybersécurité, la loi de 2000 sur les technologies de l’information (IT) traite de la cybersécurité et de la cybercriminalité associée. Certaines dispositions relatives à la cybersécurité sont incluses dans le Code pénal indien de 1860 (qui punit les infractions, y compris celles commises dans le cyberespace) et dans les règles de 2014 sur les sociétés (gestion et administration) encadrées par la loi sur les sociétés de 2013. En outre, des réglementations spécifiques au secteur émis par des régulateurs tels que la RBI, l’IRDA Act 1999, le DOT et le SEBI demandent que les normes de cybersécurité soient maintenues par leurs entités réglementées – banques, compagnies d’assurance, fournisseurs de services de télécommunications et entités cotées.

Cependant, beaucoup de choses ont changé dans la façon dont les entreprises fonctionnent et dont les crimes sont déclenchés à partir du cyberespace. Prenons un exemple : l’essor des paiements numériques a considérablement accru les cybercrimes complexes impliquant des transactions de paiement numérique. Les sociétés de crédit offrent des expériences de paiement instantanées et fluides à leurs consommateurs, ce qui laisse aux banques et aux entités opérant dans l’écosystème des paiements beaucoup moins de temps pour identifier et répondre aux cybermenaces. Par conséquent, l’IT Act 2000, amendé en 2008, doit probablement être mis à jour, mettant en place des normes de cybersécurité adaptées à la nature des actifs informationnels gérés par des types spécifiques d’entités.

2. Entité de réponse cyber – Toute organisation responsable de la gestion du cyberespace au niveau national doit disposer d’une ligne hiérarchique claire, afin que toutes les ressources existantes puissent être utilisées de manière optimale. Malheureusement, un tel cadre n’existe pas. Il existe plusieurs agences gouvernementales en Inde qui traitent de divers aspects de la cybersécurité. Chacun de nos services de défense a ses propres cyber-experts et même la police d’État a ses cyber-enquêteurs. Il est urgent de mettre en synergie les efforts des experts, travaillant sous des ministères et départements gouvernementaux distincts vers un objectif commun. Le gouvernement pourrait mettre sur pied une organisation comme un National Cyber ​​Command.

3. Protection des données – Les données sont une ressource nationale et le maximum de données est échangé via le cyberespace. La plupart des pays dont les gouvernements et les citoyens dépendent du cyberespace pour diverses fonctions de routine ont une loi sur la protection des données. L’Union européenne a le GDPR et les États-Unis ont le California Consumer Privacy Act. Le projet de loi sur la protection des données a été déposé au Parlement indien en 2019 et malgré la perte de données par de nombreux Indiens à plusieurs reprises (bien souligné dans les médias), il n’y avait aucune urgence à adopter le projet de loi.

Personne ne peut douter de l’engagement des entreprises indiennes et du gouvernement à renouveler les pratiques de cybersécurité en Inde. Le secteur privé indien devra intensifier son engagement avec le gouvernement compte tenu du volume accru de transactions financières numériques et du taux actuel de cyberattaques dans le pays.

L’approche ciblée du gouvernement en matière de préparation et de sensibilisation à la cybersécurité a le pouvoir de changer la donne !

(L’auteur est un vétéran de l’armée indienne ayant servi dans le Corps of Signals. Il est l’auteur d’un livre intitulé Cyber ​​Warfare: Its Implications on National Security et est certifié Ethical Hacker. Il est actuellement conseiller principal et responsable de la pratique de la cybersécurité. chez Alea Consulting. Les opinions exprimées ici sont personnelles et ne reflètent pas la position ou la politique officielle de Financial Express Online.)

