Pages

dimanche 15 octobre 2017

Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité


C’est certainement un document majeur de la cybersécurité. La haute représentante pour les affaires étrangères et la Commission européenne ont présenté une nouvelle stratégie en la matière qui vise à la fois à agréger les initiatives existantes et à définir les axes à venir de l’action de l’UE dans ce domaine : 1. assurer la résilience 2. créer une cyberdissuasion 3. renforcer la coopération internationale


Le constat : une aggravation continuelle des menaces

Les risques se multiplient de façon exponentielle. Selon certaines études, l’incidence économique de la cybercriminalité a quintuplé entre 2013 et 2017, et pourrait quadrupler encore d’ici à 2019. L’utilisation de rançongiciels est particulièrement en hausse et les dernières attaques traduisent une augmentation spectaculaire de la cybercriminalité.
La menace criminelle est accentuée par l’effacement progressif de la frontière entre cybercriminalité et criminalité «traditionnelle», les criminels utilisant l’internet à la fois pour étendre leurs activités et pour y puiser de nouvelles méthodes et de nouveaux outils en vue de commettre des délits.

Simultanément, certains acteurs étatiques poursuivent de plus en plus souvent leurs objectifs géopolitiques en employant non seulement les méthodes traditionnelles telles que la force militaire, mais aussi des outils informatiques plus discrets, y compris en interférant dans les processus démocratiques nationaux.
De nos jours, l’utilisation du cyberespace comme une zone de guerre, soit exclusivement, soit dans le cadre d’approches hybrides, est de notoriété publique.
Ce risque va aller croissant, parallèlement à la transformation numérique. Des dizaines de milliards de dispositifs reliés à l’«internet des objets» devraient être connectés à l’internet d’ici à 2020, mais la cybersécurité n'est pas encore une priorité dans leur conception.

D’où vient-on ?

En 2013, l’UE a présenté une stratégie de cybersécurité comportant plusieurs axes de travail essentiels destinés à améliorer la cyber-résilience. Ses principaux objectifs et principes, qui sont de favoriser l’émergence d’un cyberecosystème ouvert, sûr et fiable, restent valables.
Vu la portée de ses politiques et les instruments, les structures et les capacités à sa disposition, l’Union européenne est bien placée pour traiter les problèmes de cybersécurité.
Si les États membres demeurent responsables de la sécurité nationale, l’ampleur et la nature transfrontière de la menace plaident nettement en faveur d’une action de l’UE fournissant encouragement et soutien aux États membres afin qu’ils développent et maintiennent des capacités nationales en matière de cybersécurité à la fois plus nombreuses et de meilleure qualité, tout en renforçant les capacités au niveau de l’Union.

L’approche présentée comporte des mesures concrètes d’aide à la détection, à l’instruction et éventuellement aux poursuites judiciaires, pour tous les types de cyberincidents visant l’UE et ses États membres.

1er axe : assurer la résilience face aux cyberattaques
  • Mise en œuvre intégrale d’ici à mai 2018 de la directive relative à la sécurité des réseaux et des systèmes d’information;
  • Adoption rapide par le Parlement européen et le Conseil du règlement définissant un nouveau mandat pour l’ENISA et un cadre européen de certification;
  • Une initiative conjointe entre la Commission et l’industrie pour définir un principe de «devoir de vigilance» afin de réduire les vulnérabilités des produits et logiciels et de promouvoir la «sécurité dès la conception»;
  • Mise en œuvre rapide du cadre de réponse aux incidents transfrontières majeurs; 
  • Lancement d’une analyse d’impact afin d’étudier la possibilité pour la Commission de proposer en 2018 la mise en place d’un réseau de centres de compétence en matière de cybersécurité et d'un centre européen de recherche et de compétences en cybersécurité, sur la base d’une étape pilote prenant débutant immédiatement;
  • Soutien aux États membres dans la détermination des domaines dans lesquels des projets communs en cybersécurité seraient susceptibles de recevoir un soutien du Fonds européen de la défense;
  • Un guichet unique en niveau de l’Union destiné aux victimes de cyberattaques, qui leur proposent des informations sur les menaces les plus récentes ainsi que des conseils pratiques et des outils de cybersécurité;
  • Des mesures par les États membres visant à intégrer la cybersécurité dans les programmes d’acquisition des compétences, l’administration en ligne et les campagnes de sensibilisation;
  • Des mesures par l’industrie pour améliorer la formation en matière de cybersécurité dispensée aux employés et adopter l’approche de «sécurité dès la conception» pour leurs produits, leurs services et leurs procédures.

2e axe : créer une cyberdissuasion européenne efficace

  • Une initiative de la Commission pour améliorer l’accès transfrontière aux preuves électroniques (début 2018).
  • L’adoption rapide par le Parlement européen et par le Conseil de la proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces.
  • L’introduction de clauses imposant le protocole IPv6 dans les marchés publics et le financement des projets et de la recherche de l’UE; la conclusion d’accords volontaires entre les États membres et les fournisseurs de service internet pour stimuler l’adoption du protocole IPv6.
  • Une attention renouvelée et renforcée d’Europol à la cybercriminalistique et à la surveillance du darknet.
  • La mise en œuvre du cadre pour une réponse diplomatique conjointe de l’UE aux actes de cybermalveillance.
  • L’accroissement du soutien financier accordé à des projets nationaux et transnationaux destinés à améliorer la justice pénale dans le cyberespace.
  • La mise en place en 2018 d’une plateforme de formation en lien avec la cybersécurité visant à remédier à l’actuel déficit de compétences en matière de cybersécurité et de cyberdéfense.

3e axe : renforcer la coopération internationale en matière de cybersécurité

  • Promouvoir le cadre stratégique de prévention des conflits et la stabilité dans le cyberespace;
  • Développer un nouveau réseau pour le renforcement des capacités afin d’améliorer la capacité des pays tiers à faire face aux cybermenaces et élaborer des lignes directrices de l’UE sur le renforcement des capacités en matière de cybersécurité qui permettront à l’UE de mieux définir les domaines sur lesquels ses efforts devront porter en priorité;
  • Approfondir la coopération entre l’UE et l’OTAN, notamment par la participation à des exercices parallèles et coordonnés et le renforcement de l’interopérabilité des normes en matière de cybersécurité.

1er exemple du 1er axe : créer un cadre européen de certification de cybersécurité


La croissance du marché de la cybersécurité dans l’Union - en termes de produits, de services et de processus - est freinée de diverses façons.
L’un des principaux facteurs est l’absence de systèmes de certification de cybersécurité reconnus dans toute l’Union, qui permettraient d’incorporer des normes de résilience plus strictes dans les produits et de consolider la confiance du marché à l’échelle de l’UE.

C’est pourquoi la Commission présente une proposition visant à instaurer un cadre européen de certification de cybersécurité. Ce cadre spécifiera la procédure de création de systèmes de certification de cybersécurité à l’échelle de l’UE, portant sur les produits, les services et/ou les systèmes.
Il évitera aux entreprises de devoir subir plusieurs processus de certification dans le cadre de leurs activités commerciales à l’international, limitant les coûts administratifs et financiers.

2e exemple du 1er axe : organiser la résilience grâce à une réaction d’urgence rapide

En ce qui concerne la réaction des institutions de l’UE, il convient en premier lieu que les aspects relatifs à la cybersécurité soient intégrés dans les mécanismes de gestion des crises qui existent déjà au niveau de l’UE: le dispositif intégré de l’UE pour une réaction au niveau politique dans les situations de crise, coordonné par la présidence du Conseil, et les systèmes généraux d’alerte rapide de l’UE.
La nécessité de réagir à un cyberincident ou à une cyberattaque de nature particulièrement grave pourrait constituer un motif suffisant pour qu’un État membre invoque la clause de solidarité de l’UE.

Une réaction rapide et efficace s’appuie également sur un mécanisme d’échange rapide des informations entre tous les acteurs clés au niveau national et européen,
Un plan d’action, présenté dans une recommandation, explique comment la cybersécurité est intégrée dans les mécanismes de gestion des crises qui existent à l’échelle de l’UE. La recommandation demande également aux États membres et aux institutions de l’UE de créer un cadre de l’UE pour la réaction aux crises de cybersécurité afin de traduire le plan d’action en mesures concrètes.
Celui-ci sera régulièrement testé lors d’exercices de gestion de crises dans le domaine de la cybersécurité, et mis à jour si nécessaire.
Une option consisterait à examiner la possibilité de créer un fonds d’intervention pour les urgences en matière de cybersécurité, sur l’exemple d’autres mécanismes de crise de cette nature dans d’autres domaines d’action de l’UE.
Un tel fonds, qui compléterait les mécanismes de gestion des crises qui existent déjà au niveau de l’UE, pourrait permettre de financer des actions spécifiques d’intervention d’urgence telles que le remplacement du matériel compromis ou le déploiement d’outils d’atténuation ou de réaction, en tirant parti de l’expertise nationale comme dans le cas du mécanisme de protection civile de l’UE.

3e exemple du 1er axe : Un réseau de compétences en cybersécurité et un centre européen de recherche et de compétences en cybersécurité

Un partenariat public-privé sur la cybersécurité lancé en 2016 a constitué une première étape importante en donnant lieu à des investissements de 1,8 milliard d’euros d’ici à 2020.
Une nouvelle étape consisterait à renforcer les capacités de l’UE en matière de cybersécurité en la dotant d’un réseau de centres de compétences en cybersécurité, au cœur duquel figurerait un centre européen de recherche et de compétences en cybersécurité.

Cela donnerait un nouvel élan à l’innovation et à la compétitivité de l’industrie de l’Union sur la scène mondiale dans le développement de la prochaine génération de technologies numériques, y compris l’intelligence artificielle, l'informatique quantique, les chaînes de blocs et les identités numériques sécurisées, ainsi que pour assurer aux entreprises établies dans l’UE un accès aux données de masse, autant d’éléments clés pour la cybersécurité à l’avenir.
Ce nouveau centre pourrait également s’appuyer sur les travaux de l’UE en vue de consolider de calcul à haute performance, ce qui est essentiel pour l’analyse de grandes quantités de données, le cryptage et le décryptage rapides de données, la vérification des identités, la simulation de cyberattaques et l’analyse de matériel vidéo.

Un tel centre viserait à assurer des normes de cybersécurité. À cet effet, il renforcerait les capacités en cybersécurité au niveau de l’UE et s’appuierait sur des synergies, notamment avec l’ENISA, la CERT-EU, Europol, l’éventuel futur Fonds d’intervention pour les urgences de cybersécurité et les centres nationaux de réponses aux urgences informatiques (CSIRT).
L’un des points sur lesquels les travaux du réseau de compétence doivent mettre l’accent est le manque de capacités européennes en matière de cryptage des produits et des services utilisés par les citoyens, les entreprises et les administrations.

1e exemple du 2e axe : Identifier les acteurs malveillants et renforcer la répression

La découverte d’informations utiles pour les enquêtes sur la cybercriminalité, principalement sous la forme de traces numériques, constitue un défi majeur pour les autorités répressives.
En raison de la pratique répandue qui consiste à connecter de nombreux utilisateurs (parfois des milliers) derrière une adresse IP, il est techniquement très difficile d’enquêter sur les comportements malveillants en ligne.
L’UE encouragera donc l’adoption du nouveau protocole internet (IPv6) car il permet d’attribuer une adresse IP unique à chaque utilisateur, ce qui présente des avantages évidents en matière de répression et d’enquêtes sur la cybersécurité.

En outre, la Commission présentera, au début de 2018, des propositions visant à faciliter l’accès transfrontière aux preuves électroniques.
Dans le même temps, ellemettra en œuvre des mesures concrètes visant à améliorer l’accès transfrontière aux preuves électroniques dans les enquêtes pénales, notamment en finançant la formation en matière de coopération transfrontière, en élaborant une plateforme électronique pour l’échange d’informations au sein de l’UE et en standardisant les formes de coopération judiciaire utilisées entre les États membres.

Les différences dans les procédures de police scientifique pour la collecte de preuves électroniques liées aux enquêtes sur la cybercriminalité menées dans les États membres constituent un autre obstacle à l’efficacité des poursuites.
Une possibilité consiste à examiner comment l’utilisation abusive du cryptage par les criminels pose d’importants problèmes dans le cadre de la lutte contre les formes graves de criminalité, y compris le terrorisme et la cybercriminalité. La Commission présentera les résultats des réflexions actuelles sur le rôle du cryptage dans les enquêtes pénales, d’ici ce mois d’octobre 2017.

2e exemple du 2e axe  favoriser la coopération public-privé contre la cybercriminalité


L’efficacité des mécanismes répressifs traditionnels est remise en cause par les caractéristiques du monde numérique, qui se compose pour l’essentiel d’infrastructures privées et d’une multitude d’acteurs qui relèvent de juridictions différentes. Par exemple, il conviendrait de conforter le rôle des cellules de renseignement financier (CRF) dans la lutte contre la cybercriminalité.

Certains États membres ont déjà pris des mesures marquantes. Aux Pays‑Bas, les établissements financiers et les services répressifs travaillent main dans la main pour traquer la fraude en ligne et les cybercriminels au sein d’une équipe spéciale de lutte contre la criminalité électronique (Electronic Crime Task Force).
Le centre de compétence allemand contre la cybercriminalité (German Competence Centre against Cyber Crime) fournit la plateforme opérationnelle qui permet à ses membres d’échanger des informations en collaboration étroite avec l’Office fédéral de police criminelle et d’élaborer des mesures visant à garantir la protection contre la cybercriminalité.
16 États membres ont créé des centres d’excellence de lutte contre la cybercriminalité, afin de faciliter la coopération entre les autorités répressives, le milieu universitaire et les partenaires privés pour élaborer et échanger de bonnes pratiques, et pour renforcer la formation et les capacités.

La Commission soutient la mise en place de partenariats et de mécanismes de coopération public‑privé à travers des projets ciblés tels que le réseau d’experts en cybersécurité et centre de lutte contre la fraude en ligne (Online Fraud Cyber Centre and Experts Network, OF2CEN), et la mise en œuvre du modèle et de la norme de partage des informations afin d’analyser et d’atténuer les risques des crimes électroniques et la fraude en ligne.

L’initiative OF2CEN vise à permettre le partage systématique à l’échelle de l’UE des informations relatives aux fraudes sur l’internet entre les banques et les services répressifs, afin d’empêcher les paiements aux fraudeurs et aux passeurs d’argent, et de favoriser les enquêtes sur les auteurs d’infractions et leur poursuite.
Elle est cofinancée par l’UE (instrument de soutien à la police du Fonds pour la sécurité intérieure).

3e exemple du 2e axe  : renforcer la dissuasion grâce aux capacités de défense

Les États membres dont les capacités de cybersécurité sont les plus avancées et qui seraient désireux de les réunir avec d’autres pourraient envisager d’intégrer la cybersécurité dans une «coopération structurée permanente» (CSP).
Il s’agirait d’encourager les capacités industrielles et l’autonomie stratégique de l’Union européenne.
L’UE peut également favoriser l’interopérabilité, y compris en facilitant le renforcement des capacités, la coordination de la formation et de l’éducation, et les efforts de standardisation des biens et des technologies à double usage.

L’UE donnera une nouvelle impulsion au cadre stratégique de cyberdéfense de 2014, en tant qu’outil pour poursuivre l’intégration de la cybersécurité et de la défense dans la politique de sécurité et de défense commune (PSDC).
La cyber‑résilience des missions et des opérations de la PSDC elles‑mêmes est essentielle: des procédures normalisées et des capacités techniques seront mises en place, qui pourront soutenir le déploiement de missions et d’opérations civiles comme militaires, ainsi que leurs structures respectives de capacités de planification et de conduite et les prestataires de services informatiques du service européen d’action extérieure (SEAE).

L’Agence européenne de défense et le SEAE, en coopération avec les services de la Commission, favoriseront la participation au niveau stratégique des décideurs politiques des différents États membres en matière de cyberdéfense.
L’UE soutiendra également la mise en place de solutions européennes en matière de cybersécurité dans le cadre de ses efforts en faveur d’une base industrielle et technologique de défense européenne, ce qui inclut aussi la promotion de pôles régionaux d’excellence en matière de cybersécurité et de défense.

Enfin, les services de la Commission, en étroite coopération avec le service européen d’action extérieure (SEAE), les États membres et les autres organes pertinents de l’UE, mettront en place d’ici à 2018 une plateforme de formation et d'enseignement en matière de cyberdéfense visant à combler le manque actuel de compétences dans le domaine de la cyberdéfense.

Mesure phase du 3e axe : une plus grande coopération UE-OTAN

Forte des progrès considérables déjà accomplis, l’UE approfondira sa coopération avec l’OTAN dans les domaines de la cybersécurité, de la lutte contre les menaces hybrides et de la défense, ainsi que le prévoit la déclaration commune du 8 juillet 2016.

L’UE et l’OTAN favoriseront également la coopération en matière de recherche et d’innovation dans le domaine de la cyberdéfense et continueront à développer l’actuel arrangement technique pour le partage d’informations concernant la cybersécurité entre leurs organismes compétents respectifs.

Les efforts communs déployés récemment pour lutter contre les menaces hybrides, notamment la coopération entre la cellule de fusion de l’UE contre les menaces hybrides et la branche d’analyse des menaces hybrides de l’OTAN, devraient être davantage exploités pour renforcer la résilience et la réaction aux cybercrises.
La poursuite de la coopération entre l’UE et l’OTAN sera encouragée au moyen d’exercices de cyberdéfense auxquels participeront le Service européen d’action extérieure (SEAE) et d’autres entités de l’Union et leurs homologues de l’OTAN, dont le centre coopératif d’excellence pour la cyberdéfense de l’OTAN à Tallinn.


(synthèse du texte par securiteinterieure.fr)


 A lire aussi :

A lire également sur securiteinterieure.fr :





Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?


Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.