Stratégie de cybersécurité
Le moment est venu d’adopter une nouvelle vision et un nouveau plan de l’UE en matière de cybersécurité, et ce pour trois raisons. Tout d'abord, de plus en plus de services critiques et essentiels, ainsi que des milliards d'objets quotidiens supplémentaires à la maison et dans la fabrication se connectent à Internet. Les attaques visant à exploiter les vulnérabilités de ces produits et services prolifèrent également en nombre et deviennent de plus en plus complexes. La transformation numérique verte est une priorité absolue pour l’UE, qui ne peut réussir que si la sécurité est intégrée à tous les investissements prévus, faute de quoi il n’y aura pas de confiance dans la technologie. Deuxièmement, le cyberespace est le théâtre d'un concours géopolitique et l'idée d'un Internet mondial ouvert et d'un cadre normatif international est constamment remise en question. Enfin, la pandémie a accéléré notre dépendance à l’égard de ces outils et services numériques. La société et l'économie ne reviendront pas aux normes d'avant le confinement. Des investissements majeurs sont nécessaires dans le domaine de la cybersécurité et pour faire en sorte que l’Europe soit stratégiquement autonome à cet égard, en menant le développement de technologies sécurisées tout au long de la chaîne d’approvisionnement numérique.
La stratégie décrit comment l’UE peut exploiter et renforcer tous ses outils et ressources pour être technologiquement souveraine et stratégiquement autonome. Il décrit également comment l’UE peut intensifier sa coopération avec des partenaires du monde entier qui partagent nos valeurs de démocratie, d’état de droit et de droits de l’homme. Cette autonomie stratégique doit être fondée sur la résilience de tous les services et produits connectés. Les quatre cybercommunautés — celles qui s’occupent du marché intérieur, des services répressifs, de la diplomatie et de la défense — doivent travailler plus étroitement en vue d’une prise de conscience commune des menaces. En outre, ils doivent être prêts à réagir collectivement lorsqu'une attaque se matérialise, afin que l'UE puisse être plus forte que la somme de ses parties.
Un certain nombre de nouvelles initiatives stratégiques ont été annoncées. Il s’agit notamment d’un cyberbouclier à l’échelle de l’UE composé de centres d’opérations de sécurité qui utilisent l’IA et l’apprentissage automatique pour détecter les premiers signaux de cyberattaques imminentes et permettre d’agir avant que des dommages ne soient causés, d’une unité conjointe de cybersécurité qui réunira toutes les communautés de cybersécurité afin de partager la sensibilisation aux menaces et de réagir collectivement aux incidents et aux menaces, et de solutions européennes pour renforcer la sécurité de l’internet à l’échelle mondiale, y compris une réglementation sur les services de résolution de systèmes de noms de domaine public de l’UE afin de garantir un internet des objets sécurisés. La stratégie instaure des cyberdialogues plus nombreux et plus solides avec les pays tiers et les organisations régionales et internationales, y compris l’OTAN, un programme d’action des Nations unies pour la sécurité internationale dans le cyberespace et une boîte à outils renforcée de la cyberdiplomatie de l’UE pour prévenir et décourager les cyberattaques et y réagir. Il y aura également un programme de renforcement des cybercapacités externes de l’UE et un comité interinstitutionnel de renforcement des cybercapacités de l’UE afin d’accroître l’efficacité et l’efficience du renforcement des cybercapacités externes de l’UE.
L’UE a besoin de moyens agiles pour détecter et dévier les cyberattaques de plus en plus complexes et fréquentes. À l’heure actuelle, les centres d’échange et d’analyse d’informations (ISAC) aident les parties prenantes de l’industrie et les autorités publiques à échanger des informations sur les menaces. Mais nous devons surveiller en permanence les réseaux et les systèmes informatiques pour détecter les intrusions et les anomalies en temps réel. De nombreuses entreprises privées, organisations publiques et autorités nationales le font par l'intermédiaire de centres d'opérations de sécurité. C'est un travail très exigeant et rapide, c'est pourquoi l'IA, et en particulier les techniques d'apprentissage automatique, peuvent fournir un soutien inestimable aux praticiens. La Commission propose de mettre en place un réseau de centres d'opérations de sécurité dans l'ensemble de l'UE et de soutenir l'amélioration des centres existants et la création de nouveaux centres. Il appuiera la formation et le perfectionnement du personnel qui exploite ces centres. Ce réseau fournira des alertes en temps utile sur les incidents de cybersécurité aux autorités et à toutes les parties prenantes intéressées, y compris l’unité conjointe de cybersécurité, comme un maillage de tours de guet.
Les investissements dans l’ensemble de la chaîne d’approvisionnement en technologies numériques, qui contribuent à la transition numérique ou à relever les défis qui en découlent, devraient s’élever à au moins 20 %, soit l’équivalent de 134,5 milliards d’euros, de la facilité pour la reprise et la résilience de 672,5 milliards d’euros, constituée de subventions et de prêts. Un financement de l’UE au titre du cadre financier pluriannuel 2021-2027 est envisagé pour la cybersécurité dans le cadre du programme pour une Europe numérique. Dans le même temps, un financement de la recherche sur la cybersécurité est prévu dans le cadre d’Horizon Europe, en mettant particulièrement l’accent sur le soutien aux PME. Au total, ce montant pourrait s’élever à 2 milliards d’euros, auxquels s’ajouteraient les investissements des États membres et de l’industrie. Le Fonds européen de la défense (FED) soutiendra les solutions européennes de cyberdéfense dans le cadre de la base industrielle et technologique de défense européenne. La cybersécurité est incluse dans les instruments financiers extérieurs pour soutenir nos partenaires, notamment l’instrument de voisinage, de coopération au développement et de coopération internationale.
L’unité conjointe de cybersécurité est une plateforme qui contribuera à mieux protéger l’UE contre les attaques de cybersécurité les plus graves, en particulier les attaques transfrontières. Il repose sur l’idée que le partage d’informations entre les parties prenantes européennes et nationales concernées peut donner un élan significatif à la réponse de l’UE aux risques et menaces en matière de cybersécurité, conformément à l’appel lancé par la présidente de la Commission dans ses orientations politiques de 2019. Cela s’applique en particulier à l’ensemble des communautés, telles que la défense, les civils, les forces de l’ordre et l’action extérieure. Ainsi, l'Unité conjointe de cybersécurité pourrait aider les participants à acquérir une compréhension commune du paysage des menaces et les aider à coordonner leur réponse. Nous avons besoin de l'unité conjointe de cybersécurité pour de nombreuses raisons. Premièrement, l’UE ne dispose pas actuellement d’espaces pour faciliter une coopération structurée entre les États membres et l’ensemble des institutions, organes et agences compétents de l’UE en matière de cybersécurité. Deuxièmement, les réseaux et communautés existants doivent exploiter pleinement leur potentiel et intensifier l'échange d'informations, y compris avec le secteur privé. C'est quelque chose qui ne se produit pas assez aujourd'hui. Troisièmement, l’unité conjointe de cybersécurité comblerait les lacunes du cadre existant de coopération entre les institutions, organes et agences de l’UE et les autorités des États membres en cas de cyberincidents ou de menaces transfrontières majeurs et donnerait un coup de fouet à ce cadre. Enfin, le Groupe offrirait un espace permettant aux communautés civiles, diplomatiques, chargées de l'application de la loi et de la cybersécurité dans le domaine de la défense de travailler ensemble. En outre, cela donnerait aux parties prenantes de la cybersécurité, y compris les fournisseurs de produits de cybersécurité et les partenaires de pays tiers, un point focal pour le partage d’informations sur les menaces. L’unité conjointe de cybersécurité ne serait pas un organe autonome supplémentaire ni n’affecterait le rôle et les fonctions des autorités existantes, mais elle contribuerait à les rassembler et à tirer parti de l’expertise des autres.
La mise en place de l'unité est envisagée en quatre étapes: 1. définir et cartographier les capacités disponibles; 2. établir un cadre de coopération et d'assistance structurées; 3. la mise en œuvre du cadre; 4. accroître les capacités, avec la contribution de l'industrie et des partenaires.
La mise en place d’une plateforme opérationnelle commune nécessite la confiance et la participation adéquate de tous les participants concernés. Cela ne peut se faire du jour au lendemain et doit être soigneusement défini et préparé avant que toutes les capacités de l'unité ne soient déployées. En outre, il est nécessaire de créer d’abord des mécanismes fonctionnant correctement parmi les parties prenantes institutionnelles de l’UE, principalement les États membres, avant de pouvoir les étendre aux parties prenantes du secteur privé. Conformément à ce qui a été fait au cours des derniers mois, d'ici février, la Commission continuera de consulter les parties prenantes concernées afin de déterminer le processus, les étapes et les calendriers les plus appropriés pour la réalisation de l'unité.
Chaque chose connectée contient des vulnérabilités qui peuvent être exploitées et affecter d'autres services, réseaux ou même des économies entières. Les règles du marché intérieur comprennent des garanties contre les produits et services non sécurisés. La certification au titre du règlement sur la cybersécurité vise à encourager la sécurité des produits et services sans compromettre les performances. Le premier programme de travail glissant de l’Union, qui sera adopté au premier trimestre 2021, permettra à l’industrie, aux autorités nationales et aux organismes de normalisation de se préparer aux futurs systèmes européens de certification de cybersécurité. Cependant, nous avons besoin d'une approche encore plus globale. La Commission prévoit déjà de mettre à jour les règles prévues par la directive sur les équipements radioélectriques. Elle envisagera également de nouvelles règles horizontales pour tous les produits connectés et services associés, y compris un nouveau devoir de diligence pour les fabricants d’appareils connectés afin de remédier aux vulnérabilités logicielles, nécessitant la poursuite des mises à jour logicielles et de sécurité ainsi que la suppression, en fin de vie, des données personnelles et autres données sensibles. Cela compléterait à la fois le règlement sur la sécurité générale des produits (qui doit être mis à jour en 2021 mais ne traite pas directement de la cybersécurité) et l’initiative relative au «droit de réparation des logiciels obsolètes» présentée dans le plan d’action en faveur de l’économie circulaire.
Si vous souhaitez accéder à une ressource — comme une page web — sous un nom de domaine particulier tel que .eu ou .com sur l’internet, votre demande doit être traduite ou «résolue» du nom du site vers un numéro. Plus précisément, l'adresse IP (Internet Protocol) numérique. Un service de résolution renverra ensuite la demande aux serveurs du système de noms de domaine (DNS) afin que vous puissiez accéder à la page Web. Cependant, la structure de base d'Internet, ainsi que ses protocoles de base et son infrastructure de soutien, sont vulnérables aux attaques et aux perturbations. Cela inclut le système de noms de domaine (DNS). La plupart des entreprises de l’UE dépendent de quelques résolveurs DNS publics exploités par des entités de pays tiers. Si l’un de ces services de résolution est perturbé, il devient beaucoup plus difficile pour les autorités de l’UE de faire face à d’éventuelles cyberattaques malveillantes et à des incidents géopolitiques et techniques majeurs. C'est pourquoi la Commission encourage les entreprises de l'UE, les fournisseurs de services internet et les fournisseurs de navigateurs à diversifier leur dépendance à l'égard des services de résolution DNS. Pour les aider davantage, la Commission soutiendra le développement d'un service public européen de résolution de DNS. «DNS4EU» offrira un autre service européen pour accéder à l’internet mondial. Il sera transparent, conforme aux normes et règles les plus récentes en matière de sécurité, de protection des données et de respect de la vie privée dès la conception et par défaut, et fera partie de l’Alliance industrielle européenne pour les données et l’informatique en nuage.
Related content
La stratégie de cybersécurité de l’UE vise à renforcer la résilience face aux cybermenaces et à faire en sorte que les citoyens et les entreprises bénéficient de technologies numériques dignes de confiance.