Cybersécurité : préparation à un cyberincident majeur, refonte de l’agence de sécurité des réseaux, évaluation du risque... l’UE veut aller vite et fort !

Deuxième volet de la communication sur la cybersécurité (pour le premier volet, lire sur securiteinterieure.fr : Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité) : la Commission a présenté dans ce texte une panoplie de mesures dans la perspective de l’adoption prochaine de la directive sur la sécurité des réseaux et de l’information (SRI).
Préparation à un cyberincident majeur, refonte de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), évaluation de grande ampleur évaluation européenne du risque résultant de cyberincidents dans des secteurs stratégiques… l’UE veut aller vite et fort en matière de cybersécurité/cyber-résilience.
Comme en matière de lutte contre le financement du terrorisme, l’UE ne veut pas perdre de temps. L’encre est à peine sèche que se dessinent de nouvelles perspectives.

Quel est l’enjeu actuel ?

L’UE reste vulnérable en cas de cyberincident, ce qui pourrait nuire au marché unique numérique et à la vie économique et sociale dans son ensemble. Des cyberincidents peuvent aussi avoir des répercussions au-delà du secteur économique. En cas de menaces hybrides, les cyberattaques peuvent être utilisées en coordination avec d’autres activités pour déstabiliser un pays ou contester les institutions politiques.

Quel est le contexte juridique ?

La stratégie de cybersécurité de l’Union européenne pour 2013 et sa composante principale, la directive sur la sécurité des réseaux et de l’information (SRI) qui doit être adoptée prochainement, forment, avec la directive 2013/40/UE relative aux attaques visant les systèmes d’information, le noyau dur des mesures prises à ce jour par l’Union européenne pour répondre à ces défis en matière de cybersécurité.

L’UE a également à sa disposition des entités spécialisées telles que l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), le Centre européen de lutte contre la cybercriminalité (EC3) au sein d’Europol et l’équipe d’intervention en cas d’urgence informatique de l'UE (CERT-UE).
Récemment, plusieurs initiatives sectorielles ont également été lancées (par exemple, dans le domaine de l’énergie et des transports) afin de renforcer la cybersécurité dans différents secteurs cruciaux.

La mesure phare du texte : un plan d'action en matière de préparation à un cyberincident de grande ampleur

Étant donné la nature et la multitude des cybermenaces, une coopération transfrontalière en matière de préparation à un cyberincident de grande ampleur plus poussée en vue d'un cyberincident majeur bénéficierait d’une approche coordonnée de la coopération en cas de crise entre les différents éléments du cyberécosystème.
Une telle approche peut être définie dans un «plan d'action», qui devrait également garantir des synergies et une cohérence avec les mécanismes existants de gestion des crises. Ce plan d'action devrait ensuite être régulièrement éprouvé dans le cadre d'exercices de gestion de crises dans le domaine de la cybersécurité et autres.

Il préciserait le rôle des organismes européens tels que l’ENISA, la CERT-EU et le Centre européen de lutte contre la cybercriminalité (EC3, au sein d'Europol), ainsi que l'utilisation d'outils développés dans le cadre du réseau des CSIRT. Au premier semestre 2017, la Commission présentera ce plan de coopération pour examen au groupe de coopération, au réseau des CSIRT et aux autres parties intéressées.

Les perspectives ?

Garantir, dans le même temps, la résilience des cyberinfrastructures critiques dans l’ensemble de l’UE exigera des efforts soutenus pour trouver des synergies intersectorielles et intégrer les exigences en matière de cybersécurité dans toutes les politiques pertinentes de l’UE.
La Commission réfléchira à la nécessité d'une mise à jour prochaine de la stratégie de cybersécurité de l’UE de 2013.

S’orienter vers l'agence européenne de sécurité des réseaux de 2e génération (ENISA 2.0)

Actuellement, les connaissances et l’expertise en matière de cybersécurité existent au niveau de l’Union, mais d’une manière dispersée et non structurée.
Pour soutenir les mécanismes de coopération prévus par la directive sur la sécurité des réseaux et de l’information, les informations devraient être regroupées au sein d'un «pôle d’information» de façon que tous les États membres puissent y accéder rapidement sur demande.
Ce «pôle» deviendrait un point central permettant aux institutions de l’UE et aux États membres d’échanger au besoin des informations.

La réflexion sur le mandat de l’ENISA tiendrait également compte des nouvelles responsabilités dévolues à l’Agence en vertu de la directive sur la sécurité des réseaux et de l’information, des nouveaux objectifs stratégiques de soutien à l’industrie de la cybersécurité (la stratégie pour le marché unique numérique et, en particulier, le partenariat public-privé contractuel), de l’évolution des besoins dans la sécurisation des secteurs critiques et des nouveaux défis liés à des incidents transfrontières, y compris une réponse coordonnée aux cybercrises.

La Commission entend:

• présenter pour examen un plan de coopération pour la gestion des cyberincidents de grande ampleur au niveau de l’UE au cours du premier semestre de 2017;
• faciliter la création d’un «pôle d’information», afin de favoriser l’échange d’informations entre les organes de l’UE et les États membres;
• créer un groupe consultatif de haut niveau sur la cybersécurité; et
• finaliser l'évaluation de l'ENISA d'ici la fin de 2017. Cette évaluation portera sur la nécessité de modifier ou de prolonger le mandat de l'ENISA en vue de présenter une éventuelle proposition dès que possible. 

Intensifier les efforts dans le domaine de la formation

Les compétences et la formation adéquates, en ce qui concerne à la fois la prévention des cyberincidents ainsi que leur gestion et l'atténuation de leurs impacts, font partie des aspects fondamentaux pour parvenir à la résilience en matière de cybersécurité.

La Commission entend:

• travailler en étroite coopération avec les États membres, l’ENISA, le service européen d’action extérieure (SEAE) et les autres organes compétents de l’UE en vue de la mise en place d'une plateforme de formation en matière de cybersécurité.

Favoriser la résilience des infrastructures de réseau publiques essentielles 

La capacité de chaque secteur à détecter les cyberincidents, à s'y préparer et à y réagir est, par ailleurs, une condition préalable et nécessaire pour faire face aux risques intersectoriels.
La Commission évaluera le risque résultant de cyberincidents dans des secteurs hautement interdépendants à l'intérieur et au-delà des frontières nationales, en particulier dans les secteurs couverts par la directive sur la sécurité des réseaux et de l’information.
Une fois cette évaluation effectuée, la Commission déterminera s'il est nécessaire d’établir des dispositions spécifiques et/ou des lignes directrices supplémentaires concernant la préparation aux cyber-risques pour ces secteurs cruciaux.

La Commission étudiera dès lors les conditions juridiques et organisationnelles requises pour permettre aux autorités réglementaires nationales, en coopération avec les autorités nationales compétentes en matière de cybersécurité, de demander aux CSIRT de procéder régulièrement à des contrôles de vulnérabilité des infrastructures de réseau publiques.
Les CSIRT nationaux devraient être encouragés à coopérer, dans le cadre du réseau des CSIRT, sur les meilleures pratiques en matière de surveillance des réseaux, ce qui favorisera la prévention d’accidents à grande échelle.

La Commission entend:

• favoriser la mise en place d’une coopération européenne des centres sectoriels d'échange et d’analyse d’informations (centres ISAC), soutenir leur collaboration avec les équipes de réaction aux incidents touchant la sécurité informatique (CSIRT) et faire en sorte de supprimer les obstacles qui empêchent les acteurs du marché de partager leurs informations;
• étudier les risques stratégiques/systémiques résultant de cyberincidents dans des secteurs très interdépendants à l'intérieur et au-delà des frontières nationales;
• apprécier la nécessité de règles et/ou de lignes directrices supplémentaires concernant la préparation aux cyber-risques destinées aux secteurs critiques et, le cas échéant, réfléchir à leur définition;
• promouvoir l'intégration de mesures de cybersécurité dans les politiques européennes sectorielles;
• examiner les conditions requises pour que les autorités nationales puissent demander aux CSIRT de procéder à des contrôles réguliers des infrastructures de réseau essentielles.

synthèse du texte ci-dessous par Pierre Berthelet alias securiteinterieure.fr 

• Communication de la Commission

A lire sur securiteinterieure.fr :

• Des rapports entre l’Union européenne et l’industrie de la sécurité au beau fixe
• Une veille européenne des technologies de sécurité pour la politique de recherche et industrielle
• Un plan d'action européen pour rendre le secteur de la sécurité plus compétitif  
• "Horizon 2020" : des centaines de millions d’euros pour la sécurité intérieure
   

Et vous êtes sûr de n'avoir rien oublié ? 

 

 

De retrouver securiteinterieure.fr sur twitter par exemple ?

@securitepointfr

 

Ou encore l'auteur de securiteinterieure.fr, Pierre Berthelet sur Linkedin!