L’Europe renforce sa cybersécurité
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
L’année 2020 a été riche en termes d’annonces de l’Union européenne, relatives à la transformation numérique. En février-mars 2020, au moment où la crise de la Covid-19 accapare les esprits, la Commission publie trois communications : Façonner l’avenir numérique de l’Europe (COM (2020) 0067), Une stratégie européenne pour les données (COM (2020) 0066), Livre blanc sur l’intelligence artificielle – une approche européenne de l’excellence et de la confiance (COM (2020) 0065). Quelques jours plus tard, le 10 mars, Une nouvelle stratégie industrielle pour une Europe verte et numérique (COM (2020) 102) fixe les grandes lignes d’une ambition résumée par Thierry Breton : « Gérer les transitions verte et numérique et éviter les dépendances à l’égard de l’extérieur dans un nouveau contexte géopolitique exige un changement radical qui doit commencer dès à présent ». Depuis, trois rapports non contraignants du Parlement européen, relatifs à l’intelligence artificielle (20 octobre 2020) et l’énoncé par ce dernier des lignes directrices pour l’utilisation militaire et non militaire de l’IA, en particulier dans des domaines comme l’armée, la justice et la santé (20 janvier 2021), sont venus enrichir le corpus relatif à l’Europe du numérique. Malheureusement, la crise de la Covid-19 a modifié le centre de gravité des priorités. Depuis quelques jours, une certaine reprise est observée, avec la publication de plusieurs documents structurants qui ont une incidence directe sur la stratégie de cybersécurité.
La création du Centre de compétences en matière de cybersécurité
L’approbation du règlement relatif au Centre de compétences en matière de cybersécurité, par le Conseil de l’UE, le 20 avril 2021, devrait être suivie par l’adoption définitive du texte par le Parlement européen.
Le Centre de compétences en matière de cybersécurité sera basé à Bucarest. Il réunira les principales parties prenantes européennes, notamment des entreprises, des organisations universitaires et de recherche et d’autres associations de la société civile concernées, afin de constituer une communauté de compétences en matière de cybersécurité destinée à renforcer et diffuser l’expertise en matière de cybersécurité dans toute l’Union. Il a pour objectif de renforcer la sécurité de l’internet ainsi que d’autres réseaux et systèmes d’information critiques en mettant en commun les investissements dans la recherche, les technologies et le développement industriel en matière de cybersécurité.
Le Centre européen de compétences industrielles, technologiques et de recherche en matière de la cybersécurité travaillera en coopération avec un réseau de centres nationaux de coordination désignés par les États membres. Il affectera notamment les financements liés à la cybersécurité issus du programme Horizon Europe et du programme pour une Europe numérique (voir ci-après). Le centre sera établi pour la période allant de l’entrée en vigueur du règlement au 31 décembre 2029. Il sera ensuite liquidé, à moins que son mandat ne soit prolongé à la suite d’une évaluation et, éventuellement, d’une proposition législative de la Commission. Les activités du nouveau Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité compléteront les missions de l’ENISA.
Le programme pour une Europe numérique
Le règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 fixe l’enveloppe financière du programme pour une Europe numérique pour la période 2021-2027. Ce programme est structuré en cinq objectifs spécifiques qui correspondent à des domaines politiques clés :
- Calcul à haute performance ;
- Intelligence artificielle ;
- Cybersécurité et confiance ;
- Compétences numériques avancées ;
- Déploiement et meilleure utilisation des capacités numériques – Interopérabilité.
Les pôles européens d’innovation numérique doivent servir de points d’accès aux toutes dernières capacités numériques, parmi lesquelles le calcul à haute performance (CHP), l’IA, la cybersécurité, ainsi qu’à d’autres technologies innovantes existantes comme les technologies clés génériques, également disponibles dans les ateliers de fabrication collaboratifs ou les laboratoires numériques.
Selon le règlement, « La cybersécurité représente un défi pour l’Union dans son ensemble, que l’on ne peut pas relever dans le seul cadre d’initiatives nationales. La capacité de l’Europe en matière de cybersécurité devrait être renforcée de façon à la doter des moyens nécessaires pour protéger ses citoyens, ses administrations publiques et ses entreprises contre les cybermenaces. En outre, les consommateurs devraient être protégés lorsqu’ils utilisent des produits connectés qui peuvent être piratés et compromettre leur sécurité. Cette protection devrait être réalisée avec les États membres et le secteur privé, en développant des projets destinés à renforcer les capacités de l’Europe en matière de cybersécurité, en assurant la coordination entre ces programmes et en assurant un large déploiement dans tous les secteurs économiques des solutions de cybersécurité les plus récentes, y compris les projets, services, compétences et applications à double usage, ainsi qu’en agrégeant les compétences dans ce domaine pour atteindre une masse critique et un niveau d’excellence ».
Dans cet esprit, l’objectif spécifique « Cybersécurité et confiance » a pour ambition de :
– Soutenir, avec les États membres, le développement et l’acquisition d’équipements, d’outils et d’infrastructures de données de cybersécurité avancés afin d’atteindre un niveau commun élevé de cybersécurité à l’échelon européen, dans le strict respect de la législation en matière de protection des données et des droits fondamentaux, tout en garantissant l’autonomie stratégique de l’Union ;
– Soutenir le développement et la meilleure utilisation possible des connaissances, capacités et compétences européennes en matière de cybersécurité, ainsi que le partage et l’intégration des meilleures pratiques ;
– Assurer un large déploiement, dans l’ensemble de l’économie européenne, de solutions de cybersécurité de pointe efficaces, une attention particulière étant portée aux autorités publiques et aux PME ;
– Renforcer les capacités au sein des États membres et du secteur privé pour les aider à se conformer à la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI ou NIS), y compris grâce à des mesures visant à favoriser l’adoption de bonnes pratiques en matière de cybersécurité ;
– Améliorer la résilience face aux cyberattaques, contribuer à accroître la sensibilisation aux risques et la connaissance des processus de cybersécurité, aider les organismes publics et privés à atteindre les niveaux de base de la cybersécurité, par exemple en déployant le chiffrement de bout en bout des données et des mises à jour logicielles;
– Renforcer la coopération entre les sphères civile et militaire en ce qui concerne les projets, services, compétences et applications à double usage dans le domaine de la cybersécurité, conformément à un règlement établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination (cf. règlement relatif au Centre de compétences en matière de cybersécurité).
L’enveloppe financière pour l’exécution du programme pour la période du 1er janvier 2021 au 31 décembre 2027 est établie à 7 588 000 000 EUR en prix courants (1 649 566 000 EUR) pour l’objectif spécifique « Cybersécurité et confiance ».
L’engagement de l’UE est essentiel mais ne saurait remplacer l’ardente obligation de chaque Etat membre à renforcer sa propre stratégie de cybersécurité. L’augmentation exponentielle des cyberattaques, observée depuis un an, conduit certains observateurs à « découvrir » ce que le FIC annonce depuis 2007 : « la cybercriminalité est la criminalité du XXIe siècle ». Pour lutter contre ce phénomène, l’idée de « bouclier » européen a été avancée. En vérité, il faut réaliser la « tortue romaine », chaque Etat devant avoir son propre bouclier, tandis que l’UE favorise l’uniformité et la cohérence de l’ensemble.