Le gouvernement indien a publié de nouvelles directives obligeant les organisations à signaler les incidents de cybersécurité au CERT-IN dans les six heures, même si ces incidents sont des analyses de port ou de vulnérabilité des systèmes informatiques.
Cette exigence a été promue par l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In), qui déclare avoir identifié des lacunes spécifiques causant des difficultés dans l’analyse et la réponse aux incidents de sécurité, et pour y remédier, elle doit imposer des mesures plus agressives.
Ces mesures et diverses autres dispositions ont été publiées via un avis hier et ont été intégrés à l’article 70B de la loi de 2000 sur les technologies de l’information (TI), de sorte qu’ils font partie de la loi indienne et entrent en vigueur dans 60 jours.
Notification instantanée des incidents
La nouvelle exigence la plus notable est que tout fournisseur de services Internet, intermédiaire, centre de données ou organisation gouvernementale doit signaler ces incidents à CERT-In dans les six heures suivant leur détection.
Il en va de même pour les incidents signalés à ces entités par des tiers, de sorte que ces fournisseurs de services doivent s’assurer que les conseils entrants ne sont pas perdus ou ignorés, mais traités et évalués en temps opportun.
Les types d’incidents de cybersécurité qui devront être signalés au CERT-In sont les suivants :
- Analyse/sondage ciblés des réseaux/systèmes critiques
- Compromis des systèmes/informations critiques
- Accès non autorisé aux systèmes/données informatiques
- Défiguration du site Web ou intrusion dans un site Web et modifications non autorisées telles que l’insertion de liens de code malveillant vers des sites Web externes, etc.
- Attaques de code malveillant telles que la propagation de virus/vers/chevaux de Troie/bots/logiciels espions/ransomwares/cryptomineurs
- Attaque sur les serveurs tels que la base de données, la messagerie et le DNS et les périphériques réseau tels que les routeurs
- Attaques d’usurpation d’identité, d’usurpation d’identité et de phishing
- Attaques par déni de service (DoS) et par déni de service distribué (DDoS)
- Attaques contre les infrastructures critiques, les systèmes SCADA et de technologie opérationnelle, et les réseaux sans fil
- Attaques sur des applications telles que E-Governance, E-Commerce, etc.
- Violation de données
- Fuite de données
- Attaques contre les appareils de l’Internet des objets (IoT) et les systèmes, réseaux, logiciels et serveurs associés
- Attaques ou incidents affectant les systèmes de paiement numérique
- Attaques via des applications mobiles malveillantes
- Fausses applications mobiles
- Accès non autorisé aux comptes de médias sociaux
- Attaques ou activités malveillantes/suspectes affectant les systèmes/serveurs/logiciels/applications de cloud computing
- Attaques ou activités malveillantes/suspectes affectant les systèmes/serveurs/réseaux/logiciels/applications liés au Big Data, Blockchain, actifs virtuels, échanges d’actifs virtuels, portefeuilles dépositaires, robotique, impression 3D et 4D, fabrication additive et drones
Pour une bonne coordination, toutes les entités mentionnées ci-dessus devront se connecter au serveur NTP du National Informatics Center (NIC) ou à celui du National Physical Laboratory (NPL) et synchroniser leurs horloges système avec eux.
Enfin, tous les journaux système des fournisseurs de services susmentionnés doivent être conservés en toute sécurité dans la juridiction indienne pendant une période continue de 180 jours et doivent être fournis à CERT-In avec tout rapport d’incident de sécurité ou à la demande de l’agence.
Conservation des données utilisateur
Le nouvelles directives comprennent également une section sur les fournisseurs de services VPS (serveur privé virtuel) et VPN (réseau privé virtuel), qui seront désormais tenus de conserver un enregistrement de leurs utilisateurs.
La période d’acquisition des données s’étend sur cinq ans après l’annulation ou le retrait de l’enregistrement de l’utilisateur, ou même plus si la réglementation future l’exige.
Les données qui seront conservées comprennent les éléments suivants :
- Noms validés des abonnés/clients recrutant les services
- Période de location, y compris les dates
- IP attribuées à / utilisées par les membres
- Adresse e-mail et adresse IP, et horodatage utilisé au moment de l’inscription / de l’intégration
- Le but de l’engagement des services
- Adresse et numéros de contact validés
- Schéma de propriété des abonnés/clients louant des services
Il en sera de même pour les fournisseurs de services d’actifs virtuels (crypto-monnaie), y compris les échanges et les services de gestion de portefeuille, qui conserveront désormais les détails des clients pendant au moins cinq ans.
EZpublish-france.fr a discuté de l’impact potentiel de ces nouvelles exigences avec Beenu Arora, le fondateur de Cyble, une société de cyber-intelligence fortement présente en Inde, et il s’attend à une mise en œuvre difficile.
Bien que l’intention du gouvernement soit digne de mention, se conformer à cette directive ne sera pas une tâche facile car elle obligera les organisations à nommer du personnel supplémentaire et à consacrer un temps de gestion important pour répondre aux exigences en matière de rapports.
L’industrie est déjà aux prises avec une pénurie massive de professionnels qualifiés en cybersécurité, et étant donné qu’une organisation type subit quotidiennement plusieurs cyberattaques, signaler chacune de ces attaques au CERT-IN dans un format prescrit pourrait poser un défi opérationnel.
Une plate-forme de signalement d’incidents automatisée qui permet aux organisations individuelles de soumettre leurs rapports d’incidents de manière transparente au CERT-IN pourrait contribuer à assurer une mise en œuvre plus efficace. – Beenu Arora