Politiques de cybersécurité

Nouvelle stratégie

La Commission européenne et la haute représentante de l’Union pour les affaires étrangères et la politique de sécurité ont présenté une nouvelle stratégie de cybersécurité de l’UE à la fin de 2020.

La stratégie couvre la sécurité des services essentiels tels que les hôpitaux, les réseaux énergétiques et les chemins de fer. Il couvre également la sécurité du nombre toujours croissant d’objets connectés dans nos maisons, bureaux et usines.

La stratégie met l’accent sur le renforcement des capacités collectives pour répondre aux cyberattaques majeures et sur la collaboration avec des partenaires du monde entier pour assurer la sécurité et la stabilité internationales dans le cyberespace. Il décrit comment une unité conjointe de cybersécurité peut assurer la réponse la plus efficace aux cybermenaces en utilisant les ressources collectives et l’expertise dont disposent l’UE et les États membres.

Législation et certification

Directive relative à la sécurité des réseaux et des systèmes d’information (directive SRI)

Les menaces de cybersécurité sont presque toujours transfrontières, et une cyberattaque contre les installations critiques d’un pays peut affecter l’UE dans son ensemble. Les pays de l’UE doivent disposer d’organes gouvernementaux solides qui supervisent la cybersécurité dans leur pays et qui collaborent avec leurs homologues d’autres États membres en partageant des informations. C’est particulièrement important pour les secteurs qui sont essentiels pour nos sociétés.

La directive SRI, que tous les pays ont maintenant mise en œuvre, garantit la création et la coopération de ces organes gouvernementaux. Cette directive a été réexaminée à la fin de 2020.

À l’issue du processus de réexamen, la Commission a présenté la proposition de directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dansl’ensemble de l’Union (directiveSRI2) le 16 décembre 2020.

ENISA — Agence européenne de cybersécurité

L’ENISA («Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information») est l’agence de l’UE qui s’occupe de la cybersécurité. Il apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, y compris la mise en œuvre de la directive SRI.

Loi sur la cybersécurité

La loi sur la cybersécurité renforce le rôle de l’ENISA. L’agence est désormais dotée d’un mandat permanent et est habilitée à contribuer à renforcer à la fois la coopération opérationnelle et la gestion des crises dans l’ensemble de l’UE. Il dispose également de plus de ressources financières et humaines qu’auparavant.

Certification

Nos vies numériques ne peuvent bien fonctionner que s’il y a confiance du grand public dans la cybersécurité des produits et services informatiques. Il est important que nous puissions voir qu’un produit a été vérifié et certifié pour se conformer à des normes de cybersécurité élevées. Il existe actuellement différents systèmes de certification de sécurité pour les produits informatiques dans toute l’UE. Il serait plus facile et plus clair pour tout le monde de disposer d’un système commun unique de certification.

La Commission travaille donc à l’élaboration d’un cadre de certification à l’échelle de l’UE, dont l’ENISA est au cœur. La Loi sur la cybersécurité décrit le processus de réalisation de ce cadre.

Investissement

Plan de rétablissement

La cybersécurité est l’une des priorités de la Commission dans sa réponse à la crise du coronavirus, étant donné l’augmentation des cyberattaques pendant le confinement. Le plan de relance pour l’Europe prévoit des investissements supplémentaires dans la cybersécurité.

Soutien à la recherche et à l’innovation: Horizon 2020 et cPPP; Horizon Europe

La recherche sur la sécurité numérique est essentielle pour construire des solutions innovantes qui peuvent nous protéger contre les cybermenaces les plus récentes et les plus avancées. C’est pourquoi la cybersécurité est un élément important d’Horizon 2020 et de son successeur Horizon Europe. 

Dans le cadre d’Horizon Europe, pour la période 2021-2027, la cybersécurité fait partie du pôle «Sécurité civile pour la société». Le programme de travail 2021-2022 est actuellement en préparation.

Dans le cadre d’Horizon 2020, la Commission a cofinancé la recherche et l’innovation dans des domaines tels que la préparation à la cybersécurité par le biais de la cybersécurité et de la simulation, la cybersécurité pour les petites et moyennes entreprises, la cybersécurité dans les systèmes d’électricité et d’énergie et la cybersécurité et la protection des données dans les secteurs critiques. Ces thèmes relèvent du pôle «Sociétés sûres — Protéger la liberté et la sécurité de l’Europe et de ses citoyens».

En 2016, le partenariat public-privé contractuel (cPPP) d’Horizon 2020 sur la cybersécurité a été mis en place entre la Commission européenne et l’ Organisation européenne pour la cybersécurité (ECSO), une association composée de membres de l’industrie informatique, du monde universitaire, des administrations publiques et plus encore.

Soutien aux cybercapacités et déploiement

Nos infrastructures physiques et numériques sont étroitement liées. Par conséquent, la Commission a également investi dans la cybersécurité dans le cadre de son programme de financement des investissements dans les infrastructures, le mécanisme pour l’interconnexion en Europe (MIE), pour la période 2014-2020.

Le soutien du MIE est allé aux équipes d’intervention en cas d’incidents de sécurité informatique, aux opérateurs de services essentiels (OES), aux fournisseurs de services numériques (DSP), aux points de contact uniques (SPOC) et aux autorités nationales compétentes (ANC). Cela renforce les capacités en matière de cybersécurité et la collaboration transfrontalière au sein de l’UE, en soutenant la mise en œuvre de la stratégie de cybersécurité de l’UE.

Le programme pour une Europe numérique, pour la période 2021-2027, est un programme ambitieux qui prévoit d’investir 1,9 milliard d’euros dans la capacité de cybersécurité et le déploiement à grande échelle d’infrastructures et d’outils de cybersécurité dans toute l’UE pour les administrations publiques, les entreprises et les particuliers.

La cybersécurité fait également partie d’ InvestEU. InvestEU est un programme général qui rassemble de nombreux instruments financiers et utilise les investissements publics pour obtenir de nouveaux investissements du secteur privé. Sa facilité d’investissement stratégique soutiendra les chaînes de valeur clés en matière de cybersécurité. Il s’agit d’un élément important du train de mesures de relance en réponse à la crise du coronavirus.

Centre et réseau de compétences en matière de cybersécurité; Atlas

Le centre européen de compétences en matière d’industrie, de technologie et de recherche en matière de cybersécurité mettra en commun l’expertise et alignera le développement et le déploiement européens des technologies de cybersécurité. Il travaillera avec l’industrie, la communauté universitaire et d’autres acteurs pour élaborer un programme commun d’investissements dans la cybersécurité et décider des priorités de financement pour la recherche, le développement et le déploiement de solutions de cybersécurité dans le cadre des programmes Horizon Europe et pour une Europe numérique.

Actuellement, quatre projets pilotes sont en cours pour jeter les bases du Centre de compétences et du réseau. Ils impliquent plus de 170 partenaires.

Pour une meilleure vue d’ensemble de l’expertise et des capacités en matière de cybersécurité dans l’ensemble de l’UE, la Commission a mis au point une plateforme complète appelée « Atlas de la cybersécurité».

Orientations politiques

Plan d’action pour une réponse coordonnée aux cyberattaques majeures

Le plan d’intervention rapide de la Commission prévoit un plan en cas d’incident ou de crise transfrontière de grande ampleur. Il définit les objectifs et les modes de coopération entre les États membres et les institutions de l’UE pour faire face à de tels incidents et crises. Il explique comment les mécanismes existants de gestion des crises peuvent tirer pleinement parti des entités de cybersécurité existantes au niveau de l’UE.

Unité conjointe Cyber

À titre de suivi, la présidente de la Commission, Ursula von der Leyen, a annoncé une proposition de création d’une unité conjointe de cybersécurité à l’échelle de l’UE. La recommandation relative à la création de l’unité conjointe de cybersécurité annoncée par la Commission le 23 juin 2021 constitue une étape importante vers l’achèvement du cadre européen de gestion des crises en matière de cybersécurité. Il s’agit d’un résultat concret de la stratégie de l’ UE en matière de cybersécurité et de la stratégie de l’UE pour l’union de la sécurité, qui contribue à une économie et à une société numériques sûres.

L’ unité conjointe de cybersécurité servira de plate-forme pour assurer une réponse coordonnée de l’UE aux incidents et crises cybernétiques à grande échelle, ainsi que pour aider à se remettre de ces attaques.

Déploiement sécurisé de la 5G dans l’UE

Il est prévu de déployer des réseaux 5G dans toute l’UE. Ils offriront d’énormes avantages, mais auront également plus de points d’entrée potentiels pour les attaquants en raison de la nature moins centralisée de leur architecture, d’un plus grand nombre d’antennes et d’une dépendance accrue aux logiciels. La boîte à outils de l’UE sur la 5G définit des mesures visant à renforcer les exigences de sécurité applicables aux réseaux 5G, à appliquer des restrictions pertinentes pour les fournisseurs considérés comme à haut risque et à garantir la diversification des fournisseurs.

Assurer le processus électoral

Nos démocraties européennes sont devenues de plus en plus numériques: les campagnes politiques ont lieu en ligne et les élections elles-mêmes se déroulent par le biais du vote électronique dans de nombreux pays. 

La Commission a émis des recommandations pour la cybersécurité des élections au Parlement européen, dans le cadre d’un ensemble plus large de recommandations visant à soutenir des élections européennes libres et équitables. Un mois avant les élections européennes de 2019, le Parlement européen, les pays de l’UE, la Commission et l’ENISA ont effectué un test réel de leur préparation.

Compétences et sensibilisation

Compétences

Nous ne pouvons assurer la sécurité numérique que si nous avons des experts possédant les bonnes connaissances et compétences, et il n’y en a actuellement pas assez. C’est pourquoi la Commission prend des mesures pour stimuler le développement des compétences en cybersécurité.

La Commission a élaboré un appel en faveur d’un cadre cohérent pour l’enseignement des compétences en cybersécurité dans l’enseignement universitaire et professionnel. Les quatre projets pilotes qui préparent le centre et le réseau de compétences en matière de cybersécurité par l’ECSO travaillent actuellement à ce sujet. Il existe également des initiatives récurrentes destinées directement aux étudiants, telles que le défi annuel européen en matière de cybersécurité.

Les compétences en cybersécurité relèvent de la stratégie générale de la Commission en matière de compétences numériques. Ils font également partie des efforts de financement au titre d’Horizon 2020, d’Horizon Europe et du programme pour une Europe numérique. Un exemple est le financement des «cyber-gammes», qui sont des environnements de simulation en direct de cybermenaces pour la formation.

Prise de conscience

Le facteur humain est souvent le maillon faible de la cybersécurité: Quelqu’un qui clique sur un lien de phishing peut avoir d’énormes conséquences. Par conséquent, la Commission sensibilise le grand public à la cybersécurité et promeut les bonnes pratiques. Par exemple, une fois par an, elle organise le Mois européen de la cybersécurité avec l’ENISA.

Cybercommunauté

ENISA — Agence européenne de cybersécurité

L’ENISA est l’agence de l’UE qui s’occupe de la cybersécurité. Il apporte un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, y compris la mise en œuvre de la directive SRI.

ISACs

Les centres de partage et d’analyse de l’information (ISAC) favorisent la collaboration entre la communauté de la cybersécurité dans différents secteurs de l’économie. La poursuite du développement des CASI tant au niveau de l’UE qu’au niveau national est une priorité pour la Commission. En collaboration avec l’ENISA, la Commission encourage également la création de nouveaux CASI dans des secteurs qui ne sont pas couverts. Le consortium ISACs de l’UE, supervisé par la Commission, fournit un soutien juridique, technique et organisationnel aux CASI.

JRC

Le Centre commun de recherche (CCR) de la Commission contribue activement à la cybersécurité dans l’UE. Par exemple, le CCR a mis au point une taxonomie de cybersécurité. Cela permet d’aligner la terminologie utilisée dans le domaine de la cybersécurité afin que nous puissions avoir une vue d’ensemble plus claire des capacités en matière de cybersécurité dans l’UE.

Le CCR a également récemment publié un rapport qui donne un aperçu du paysage actuel de la cybersécurité de l’UE et de son histoire, intitulé «Cybersécurité — notre point d’ancrage numérique».

CSIRT/CERT

En vertu de la directive SRI, les États membres de l’UE sont tenus de veiller à ce qu’ils disposent d’équipes d’intervention en cas d’incidents de sécurité informatique (CSIRT), également appelées équipes d’intervention en cas d’urgence informatique (CERT). Ces équipes traitent les incidents et les risques de cybersécurité dans la pratique. Ils coopèrent entre eux au niveau de l’UE et collaborent également avec le secteur privé. Tous les types d’opérateurs de services essentiels et de fournisseurs de services numériques doivent être couverts par des CSIRT désignés.

Les principales tâches des CSIRT sont les suivantes:

• surveiller les incidents au niveau national;
• la fourniture d’alertes précoces, d’alertes, d’annonces et d’autres informations sur les risques et les incidents aux parties prenantes concernées;
• répondre aux incidents;
• fournir une analyse dynamique des risques et des incidents et une connaissance de la situation;
• participation au réseau des CSIRT.

ECSO

L’Organisation européenne pour la cybersécurité (ECSO) a été créée en 2016 afin d’agir en tant que contrepartie de la Commission dans le cadre d’un partenariat public-privé contractuel couvrant Horizon 2020 pour les années 2016 à 2020. La majorité des 250 membres de l’ECSO appartiennent soit à l’industrie de la cybersécurité, soit à des institutions de recherche et d’enseignement dans le domaine. Dans une moindre mesure, les membres de l’ECSO comprennent également des acteurs du secteur public et des industries axées sur la demande.

En plus de formuler des recommandations sur Horizon 2020, ECSO mène diverses activités visant à la construction communautaire et au développement industriel au niveau européen.

Women4Cyber

Il est important de souligner le rôle des femmes dans la communauté de la cybersécurité, qui sont sous-représentées. C’est pourquoi la Commission a créé le registre Women4Cyber, en coopération avec l’initiative Women4Cyber d’ECSO. Cela permet aux médias, aux organisateurs d’événements et à d’autres de trouver plus facilement les nombreuses femmes talentueuses qui travaillent dans le domaine de la cybersécurité, de sorte que ces femmes deviennent plus visibles et influentes dans la cybercommunauté et le débat public.

Autres domaines d’action en matière de cybersécurité

Cybercriminalité

Les criminels ordinaires ont recours à des cyberattaques qui menacent les Européens. Le service des migrations et des affaires intérieures de la Commission surveille et actualise la législation de l’UE en matière de cybercriminalité et soutient les capacités répressives. La Commission collabore également avec le Centre européen de lutte contre la cybercriminalité d’Europol.

Cyberdiplomatie

L’UE s’efforce de se protéger contre les cybermenaces extérieures à ses frontières. Dans ce cadre, la Commission collabore avec le Service européen pour l’action extérieure et les États membres à la mise en œuvre d’une réponse diplomatique commune aux activités informatiques malveillantes (la «boîte à outils cyberdiplomatie»). Cette réponse comprend une coopération et un dialogue diplomatiques, des mesures préventives contre les cyberattaques et des sanctions à l’encontre des personnes impliquées dans des cyberattaques menaçant l’UE.

La Commission contribue à la prise de décision sur la réponse aux cybermenaces externes, le cas échéant. Elle finance également directement l’initiative européenne de soutien à la cyberdiplomatie en cours.

Défense

L’UE coopère dans le domaine de la défense dans le cyberespace par le biais des activités de l’Agence européenne de défense, de l’ENISA, d’Europol et de la direction générale de la Commission chargée de l’industrie de la défense.

Renforcement des capacités en matière de cybersécurité dans les pays tiers

L’UE coopère avec d’autres pays pour aider à renforcer leur capacité à se défendre contre les menaces de cybersécurité. La Commission soutient divers programmes de cybersécurité dans les Balkans occidentaux et dans les six pays du partenariat oriental du voisinage immédiat de l’UE, ainsi que dans d’autres pays du monde entier par l’intermédiaire de son service de coopération internationale et de développement.