Rapport sur la cybersécurité et la résilience des infrastructures et réseaux de communication de l’UE

Dans le prolongement de l’appel Nevers du 9 mars 2022 et en s’appuyant sur les travaux coordonnés déjà menés au niveau de l’UE pour renforcer la sécurité des réseaux 5G, les États membres ont procédé à une évaluation des risques concernant les infrastructures et réseaux de communication européens. 

Cette évaluation des risques a identifié un certain nombre de menaces pour les réseaux et infrastructures de communication, telles que les essuie-glaces, les attaques de ransomware, les attaques de chaîne d’approvisionnement, les attaques physiques, les sabotages, etc. Ces menaces, en tirant parti des vulnérabilités, pourraient représenter un risque important pour la sécurité et la résilience de l’infrastructure de connectivité. Sur la base de ces conclusions et en plus des neuf scénarios de risque déjà recensés dans l’évaluation des risques des réseaux 5G de l’UE, le rapport élabore dix scénarios de risque d’importance stratégique pour l’Union, tels qu’une attaque à la chaîne d’approvisionnement pour accéder à l’infrastructure des opérateurs ou une attaque coordonnée de sabotage physique contre les infrastructures numériques.

Afin d’atténuer ces risques, le rapport présente un certain nombre de recommandations stratégiques et techniques à l’intention des États membres, de la Commission et de l’ENISA, qui seront mises en œuvre avec le soutien de l’Organe des régulateurs européens des communications électroniques. En ce qui concerne les aspects stratégiques, le rapport recommande:

• Évaluer la résilience des interconnexions internationales;
• Évaluer la criticité, la résilience et la redondance des infrastructures Internet de base, telles que les câbles sous-marins;
• Mettre en œuvre les recommandations relatives aux fournisseurs dans le deuxième rapport sur l’état d’avancement de la mise en œuvre de la boîte à outils de l’UE;
• Créer la transparence sur le paysage des fournisseurs et des prestataires de services gérés ou des prestataires de services de sécurité gérés utilisés pour les réseaux fixes, la technologie de la fibre optique, les câbles sous-marins, les réseaux satellitaires et d’autres fournisseurs importants de TIC;
• Associer le secteur des communications électroniques aux cyberexercices et à la collaboration opérationnelle;
• Favoriser le partage d’informations et améliorer la connaissance de la situation concernant les menaces pour les opérateurs;
• Fournir un soutien financier aux opérateurs pour des mesures techniques contre les cyberattaques sur leurs réseaux;
• Échanger les bonnes pratiques entre les autorités nationales en ce qui concerne les attaques physiques contre les infrastructures numériques;
• Étendre les tests de résistance physique des infrastructures critiques à l’infrastructure numérique.

Compte tenu de la criticité des infrastructures et des réseaux dans le champ d’application du présent rapport et compte tenu de l’évolution rapide du paysage des menaces, et sans préjudice des compétences des États membres en matière de sécurité nationale, les États membres, la Commission et l’ENISA sont encouragés à mettre en œuvre ces mesures visant à renforcer la résilience dès que possible, sur la base des travaux déjà entamés sur la mise en œuvre de certaines des recommandations.

Contexte

Le 9 mars 2022, la réunion informelle du Conseil des ministres des télécommunications organisée à Nevers (France) a donné lieu à un appel conjoint visant à renforcer les capacités de l’UE en matière de cybersécurité. Le point 4 de l’appel demande aux autorités nationales compétentes, telles que l’Organe des régulateurs européens des communications électroniques (ORECE), l’ENISA, et le groupe de coopération SRI, de formuler des recommandations aux États membres de l’UE et à la Commission sur la base d’une évaluation des risques afin de renforcer la résilience des infrastructures et des réseaux de communication de l’UE.