L’Europe veut concilier autonomie stratégique et économie ouverte
L’Union multiplie les dispositifs pour renforcer la résilience de ses États, ses entreprises et ses citoyens face aux cybermenaces. Mais elle demeure une cible privilégiée pour les pirates.
C’est en 2016 qu’est prise la première mesure législative à l’échelle de l’Union européenne pour intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité, au travers d’une directive sur la sécurité des réseaux et des systèmes d’information (SRI). Il faut attendre juin 2019 pour voir le règlement de l’UE sur la cybersécurité entrer en vigueur, introduire un schéma de certification et un nouveau mandat renforcé pour l’Agence de l’Union pour la cybersécurité (ENISA, en anglais). Mais la véritable stratégie anti-criminalité européenne date de 2020, portée par la Commission européenne et le Service européen pour l’action extérieure (SEAE). En substance, les États membres entendent, sur la période 2020-2025, renforcer la résilience de l’Europe face aux cybermenaces et faire en sorte que tous les citoyens et toutes les entreprises puissent bénéficier pleinement de services et d’outils numériques fiables et dignes de confiance. Parmi les actions phares : l’établissement de « règles communes en matière de sécurité de l’information et de cybersécurité pour l’ensemble des institutions, organes et organismes de l’UE ». Le 22 mars 2021, le Conseil fixe comme objectif clé de parvenir à une autonomie stratégique tout en préservant une économie ouverte.
Vers un Cyber Resilience Act (CRA)
La rapide succession de règlements encadrant, depuis deux ans, la stratégie européenne en matière cyber reflète, à elle seule, l’urgence dans laquelle la montée en puissance de la criminalité numérique place l’Union. Après le Digital Service Act (DSA), le Digital Market Act (DMA) et le Data Gouvernance Act (DGA), la Commission européenne a annoncé en septembre 2022 la présentation au Conseil et au Parlement européen du futur Cyber Resilience Act (CRA).
Une équipe d’experts prête
à intervenir en cas d’attaque de l’UE
Toutes ces dispositions ont des visées complémentaires : enjoindre les opérateurs numériques à agir à la suite de la demande d’un État, quel que soit le pays où sont hébergées les données ; consolider la stratégie européenne face aux grandes plateformes, en limitant les nombreux avantages grâce auxquels les contrôleurs d’accès peuvent conserver une position dominante sur le marché ; harmoniser les législations nationales des États membres, notamment dans le domaine de l’expression des contenus haineux et le développement de produits illicites. Mais la volonté politique doit s’accompagner du financement de la recherche et l’innovation. La cybersécurité constitue désormais un élément important des programmes-cadres de l’UE dans ce domaine, à savoir Horizon 2020 et son successeur Horizon Europe. En mai 2020, l’Union a engagé 49 millions d’euros pour stimuler l’innovation dans le domaine de la cybersécurité et des systèmes de protection de la vie privée. Dans le cadre du programme pour une Europe numérique pour la période 2021-2027, l’UE s’est engagée à investir 1,6 milliard d’euros dans la capacité de réaction en matière de cybersécurité et le déploiement à grande échelle d’infrastructures et d’outils de cybersécurité dans l’ensemble de l’UE, pour les administrations publiques, les entreprises et les particuliers.
Un centre européen de compétences à Bucarest
Comme les entreprises, l’UE dispose d’un Computer Emergency Response Team (CERT), une équipe d’experts informatiques prête à intervenir en cas d’attaque ou de projet criminel. Autre acteur en place : le réseau Cyber Crisis Liaison Organisation Network (CyCLONe) créé en 2020. Il rassemble au niveau opérationnel les agences en charge de la gestion de crise cyber des États membres pour répondre à deux enjeux : le partage sur les stratégies de réponses nationales en cas de crise cyber et la coordination d’une analyse consolidée de la crise. En 2021, le Conseil de l’Europe a en outre donné son feu vert pour la création du Centre européen de compétences en matière de cybersécurité, basé à Bucarest, qui travaillera en coopération avec un réseau de centres nationaux de coordination désignés par les États membres.
La cybersécurité, un marché de poids
• Les pays européens occupent 18 des 20 premières places de l’indice de cybersécurité dans le monde.
• La valeur du marché européen de la cybersécurité est estimée à plus de 130 milliards d’euros et progresse à un rythme de 17 % par an.
• L’UE compte plus de 60 000 entreprises dans le secteur de la cybersécurité et plus de 660 centres d’expertise en cybersécurité.
Source : Conseil europée
L’UE dans le viseur des pirates
Théâtres d’échanges diplomatiques, de plans de financement, de projets politiques, les 65 IOAUE (pour Institutions, organes et agences de l’Union européenne) constituent une cible privilégiée des hackeurs. Entre 2018 et 2021, le nombre d’attaques visant ces places fortes de l’Union a plus que décuplé. Sur plus de 1 000 incidents, 22 ont été qualifiés d’importants, parmi lesquels l’attaque de l’Agence européenne des médicaments, en décembre 2020, qui a provoqué une fuite de données ensuite exploitées pour semer la défiance contre les vaccins anti-Covid.
Selon un rapport de la Cour des comptes européenne publié en 2022, l’UE manquerait de moyens pour contrer les cyberattaques. Les principaux organes chargés de la promotion de la cybersécurité seraient en sous-effectif et sous-financés. Seuls 38 IOAUE disposeraient d’une stratégie dans ce domaine, a minima d’un plan de sécurité informatique dûment formalisé.
LIRE AUSSI :
Japon : Au Japon, l’étonnante efficience des services ferroviaires- La loi sur la sécurité intérieure et la lutte contre le terrorisme
- Les matières recyclées ne sont pas assez rentables et c’est un problème
- Gilets jaunes, le début de la fin mais…
- Les projets d’infrastructures remis en cause
- L’ÉDITO DE JEAN-MICHEL ARNAUD
- Questions à… Frédéric Guilleray
