Close
  • Français
  • English

22/03/2013« An Open, Safe and Secure Cyberspace » – La stratégie de cybersécurité européenne [Par Barbara Louis-Sidney, CEIS]

Le 7 février 2013, la Commission européenne a dévoilé, dans un document intitulé « An Open, Safe and Secure Cyberspace », sa stratégie en matière de cybersécurité. Une prise en compte nécessaire de la part des autorités européennes tandis que les cyberattaques à l’encontre des particuliers, entreprises ou organismes publics européens se sont multipliées.

Trois grandes nouveautés sont à souligner. Le document recommande le vote d’une directive qui obligerait les Etats membres de l’UE à adopter une stratégie en matière de sécurité des réseaux d’information (SRI ou NIS) et à désigner des autorités nationales compétentes en la matière. La cyberstratégie appelle également à la création d’un mécanisme de coopération entre les Etats membres et la Commission qui permettrait de diffuser des messages d’alerte rapides ainsi que les incidents rencontrés. Enfin, les opérateurs d’infrastructures de secteurs clés, qu’il s’agisse des services financiers, des transports, de la santé ou de l’énergie, devront adopter des mesures de gestion des risques et signaler les incidents importants dont ils sont victimes aux autorités nationales chargées de la SRI. Cette cyberstratégie survient à une époque où les précédentes améliorations faites en matière de cybersécurité, notamment avec l’instauration du CIIP, apparaissent datées.

L’ENISA comme acteur majeur de la stratégie européenne
Le texte annonce rapidement la volonté de la Commission de moderniser les fonctions de l’ENISA. Volonté illustrée sur la presque totalité des axes de la stratégie. L’ENISA est en effet perçue comme premier interlocuteur, noyau d’expertise et de soutien. L’Agence sera chargée entre autres : d’assister les principaux acteurs nationaux dans le développement de capacités de cybersécurité, de proposer une feuille de route de formation et d’entrainement, d’organiser des challenges et championnats ainsi qu’un mois dédié à la cybersécurité. En confiant à l’Agence un rôle si déterminant dans la mise en application de sa stratégie, l’Europe vient redorer le blason d’une institution au rôle effectif parfois décrié.

Pour un meilleur partage de l’information entre acteurs publics et privés et une mise à niveau des Etats membres
Afin d’assurer une « NIS » efficiente, la Commission européenne s’appuie sur le développement du partage d’information. Partage d’information ne pouvant être mené qu’après la mise à niveau des Etats en matière de cybersécurité. C’est là l’objectif premier de la directive accompagnant le document stratégique : contraindre les Etats membres à assurer un haut niveau de cybersécurité ; à créer de l’information (à travers l’obligation de notification d’incidents majeurs) et à la partager entre interlocuteurs qualifiés (création de CERT et d’institution nationale compétente). Le tout accompagné d’exercices européens encadrés par l’ENISA.
La Commission européenne reconnait en effet que malgré les efforts de certains Etats membres, les écarts de maturité sont encore importants. Nombreux sont les Etats à ne pas bénéficier de capacités de cybersécurité et de cyberdéfense développées (absence de document stratégique identifiant les enjeux, absence d’autorité nationale compétente et bénéficiant des moyens nécessaires, etc.).
Considérant que l’harmonisation des niveaux de cybersécurité de chaque Etat membre est un préalable impératif au développement d’une stratégie européenne, la Commission préconise au sein de son projet de directive l’adoption des mesures structurantes. Citons :

Chaque Etat membre devra adopter une stratégie de cybersécurité (NIS) et un plan de coopération.
Chaque Etat membre devra désigner une autorité nationale compétente en matière de cybersécurité (ou NIS). Ils devront lui fournir les moyens nécessaires (financiers, humains…) à son bon fonctionnement. C’est cette autorité qui réceptionnera les notifications d’incidents adressées par les acteurs publics et privés concernés.
Chaque Etat devra désigner/créer un CERT national, chapeauté par l’autorité nationale compétente en NIS.
L’obligation de notification d’incidents de sécurité informatique est étendue. Extension excluant les « micro-entreprises » : « entreprise dont l’effectif est inférieur à 10 personnes et dont le chiffre d’affaires ou le total du bilan annuel n’excède pas 2 millions d’euros ». Ces acteurs devront notifier à l’autorité nationale compétente les incidents ayant un impact significatif sur leur réseau, leur SI et donc leur coeur d’activité. Le texte accorde une place importante à l’ « état de l’art » qui devra constituer le levier d’appréciation des mesures mises en oeuvre par les entreprises et administrations.

.

Vers un marché unique européen appliqué à la cybersécurité

Afin d’éviter tout risque de dépendance excessive de l’Union européenne aux prestataires non-européens en matière d’outils de cybersécurité, la Commission européenne propose une série de mesures. Objectif : s’assurer que les composants et logiciels exploités dans les infrastructures européennes soient « dignes de confiance, sécurisés et [garantissent] la protection des données personnelles ».
Au nombre des mesures envisagées :

[list style=’check’]
[list_item] Le développement de « labels » pouvant devenir de véritables arguments commerciaux ; [/list_item]
[list_item] L’amélioration de la coopération et de la transparence sur la sécurité des produits IT ; [/list_item]

[list_item] LLa création d’ici 2013 d’une plateforme rassemblant les principaux acteurs publics et privés afin d’identifier les bonnes pratiques à assurer tout au long de la chaine de production ; [/list_item]

[list_item] Adopter d’ici 2014 des standards de sécurité et déboucher sur la création d’une certification à l’échelle européenne.[/list_item]

[/list]

Une stratégie critiquée

De nombreuses personnalités du secteur industriel ont pu critiquer l’extension – voire la « généralisation » de l’obligation de notification d’incident de sécurité, craignant pour leur image et les coûts de communication engendrés.
D’autres voient dans cette cyberstratégie un « patchwork » de plusieurs actions disparates allant à l’encontre d’une vision d’ensemble de la cybersécurité de l’UE. Ce reproche souligne la diversité des mesures annoncées dans la stratégie, qui viennent s’ajouter à la création récente d’un Centre européen de lutte contre la cybercriminalité, la proposition de mesures législatives relatives aux attaques visant les systèmes d’information, ou encore le lancement de l’Alliance mondiale contre les abus sexuels commis contre des enfants via Internet.
Mais surtout, la cyberdéfense reste la grande absente de la stratégie européenne. Si le document précise vouloir développer une politique et des moyens de cyberdéfense, en liaison avec la politique de sécurité et de défense commune (PSDC), il reste muet sur les modalités de ce développement.