Cybersécurité : l’Europe veut un « cyber bouclier »

Cybersécurité : l’Europe veut un « cyber bouclier »

Le sujet du numérique est au centre des préoccupations de la Commission européenne cette semaine. Après avoir présenté hier sa nouvelle proposition en matière de régulation des plateformes, la Commission annonce aujourd’hui ses plans en matière de cybersécurité européenne. Dans une tribune publiée par Ouest France, les commissaires européens Thierry Breton et Margaritis Schinas reviennent sur les ambitions de ce nouveau plan d’action : « Il est urgent pour l’Europe de renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur, qui toucherait simultanément plusieurs pays de l’Union. Nos objectifs sont clairs : détecter, défendre, dissuader ».

publicité

Un nouveau cadre

La stratégie de la Commission passe tout d’abord par deux propositions de directives.

Il s’agit tout d’abord d’une refonte de la directive NIS/SRI (Network and Information Security ou sécurité des réseaux et des systèmes d’information en français) : ce texte, adopté par les institutions européennes en 2016, définit les obligations qui s’appliquent pour les « opérateurs de services essentiels » définis dans la directive. La commission souhaite donc proposer une refonte de cette directive, une directive NIS2 ou SRI2 dans sa version française, « renforce les exigences de sécurité imposées aux entreprises, traite de la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs, rationalise les obligations de déclaration, introduit des mesures de surveillance plus strictes pour les autorités nationales, renforce les exigences relatives à l’application de la législation et vise à harmoniser les régimes de sanctions dans tous les États membres ». La nouvelle version de la directive proposée par la Commission entend également se doter d’un pouvoir de sanction administrative pour punir les entreprises qui ne se conforment pas aux dispositions prévues par le texte.

Une seconde directive relative à la résilience des entités critiques, directive CER, viendra compléter le dispositif. Cette directive est une refonte de la directive de 2008 sur les infrastructures critiques européennes. La nouvelle version proposée par la Commission vise à élargir le champ d’application de cette directive à de nouveaux secteurs d’activités : « l’énergie, les transports, les services bancaires, les infrastructures de marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique et l’espace. » Cette nouvelle directive prévoit également que les états membres adoptent « une stratégie nationale visant à garantir la résilience des entités critiques. »

Réorganiser les troupes

En marge de ces deux textes, la Commission veut mettre en œuvre « un réseau de centres des opérations de sécurité (…) capable de détecter les signes d’une cyberattaque suffisamment tôt et de permettre une action proactive, avant que des dommages ne soient causés. » C’est ce que la Commission désigne en parlant de « bouclier de cybersécurité européen » et que la tribune de Thierry Breton et Margaritis Schinas décrit comme « une sorte de réseau de « gardes-frontières cyber ».

La proposition met également l’accent sur le développement de la coopération en matière de cybersécurité entre les états membres, au travers de la mise en œuvre d’une « Unité Conjointe de Cyber » qui sera mise en œuvre en début d’année prochaine. Cette unité aura pour rôle de favoriser la coopération et l’échange de renseignement sur les sujets cyber entre les différents états membres.

Au niveau européen, l’Enisa est l’organisme chargé de veiller à la sécurité des institutions européennes et d’accompagner les états membres en matière de politique de cybersécurité. L’Europe a également annoncé récemment la mise en œuvre du réseau CyClone, un réseaux d’agences de cybersécurité européennes pour la préparation et la gestion des crises cyber par les états membres.

Dans la tribune publiée dans la presse, les commissaires européens font part de leur volonté « d’aller plus loin », notamment en améliorant la capacité d’attribution des cyberattaques. Cet été, la Commission européenne avait désigné et sanctionné plusieurs organisations et individus accusés d’avoir été impliqués dans les cyberattaques WannaCry et NotPetya. Les commissaires européens évoquent également dans leur tribune la question d’éventuelles capacités offensives : « nous devrons – et c’est délicat – nous poser la question du développement de capacités opérationnelles, défensives et offensives en matière de cyberdéfense », un sujet qui restait pour l’instant plutôt le pré carré des états.

Les éléments ne relevant pas de textes réglementaires, tel que la mise en œuvre de l’unité conjointe cyber et du réseau de SOC seront mis en œuvre dans les prochains mois. Les deux directives proposées devront être amendées et adoptées par le parlement européen et le Conseil de l’UE, avant d’être transposées dans le droit national par les états membres dans un délai de 18 mois.

Leave a Reply

Your email address will not be published. Required fields are marked *