Notification d’incidents de cybersécurité : l’Inde met la barre très haut

Six heures. C’est le délai qu’auront, dans deux mois, les entreprises et administrations indiennes pour signaler au Cert national, le CERT-In, les incidents de sécurité informatique, selon une nouvelle directive. Le signalement pourra se faire par e-mail, téléphone ou fax, suivant des formats qui seront précisés ultérieurement.

Sur demande du CERT-In, il pourra être requis de fournir les journaux d’activité (logs). Ceux-ci doivent être conservés pour une période de 180 jours glissants, sous juridiction indienne. Les horloges des systèmes informatiques doivent être synchronisées sur les serveurs NTP nationaux.

La notion d’incident de cybersécurité est particulièrement vaste. Le CERT-In en fournit la liste : analyse ciblée de systèmes/réseaux critiques, accès non autorisé à des systèmes/données, dégradation de site Web – y compris par l’infection de code malveillant –, attaque avec logiciel malveillant – virus, ver, cheval de Troie, bot, logiciel espion, ransomware, cryptomineur –, attaque des serveurs de bases de données, de messagerie électronique, DNS ou « équipements réseau tels que des routeurs », usurpation d’identité et phishing, DDoS, attaque sur des infrastructures critiques ou des applications de e-commerce, brèche/fuite de données, ou encore fausses applications mobiles, etc. Les objets connectés, les drones, les systèmes industriels sont également concernés.

Les opérateurs de centres de calcul, les hébergeurs fournissant des serveurs privés virtuels, les opérateurs de services de réseau privé virtuel (VPN) ou encore les prestataires cloud devront quant à eux conserver durant 5 ans les « noms validés des abonnés/clients », les dates de recours aux services, les adresses IP allouées, les adresses e-mail et IP utilisées au moment de la souscription, le motif de recours aux services, ou encore l’adresse physique et les numéros de téléphone « validés » des clients.

La même durée de conservation des données s’appliquera aux opérateurs de plateformes de gestion et d’échange d’actifs financiers, y compris en cryptodevises.

Ces dispositions risquent de s’avérer particulièrement contraignantes pour les administrations et entreprises implantées en Inde, avec deux risques : celui de voir le CERT-In submergé, mais aussi celui de ne pas atteindre l’effet escompté en matière de notifications. En France, seuls les opérateurs d’infrastructures vitales (OIV), de services essentiels (OSE) ou encore les organismes de santé sont tenus de signaler les incidents de cybersécurité sans délai. Et encore ne s’agit-il que de ceux qui sont considérés comme « graves », à savoir notamment ceux « affectant la sécurité ou le fonctionnement de leurs systèmes d’information d’importance vitale » pour les OIV. De son côté, le RGPD donne 72h pour signaler une violation de données personnelles.