"L’agence européenne de sécurité des réseaux doit être une tête de pont de la cybersécurité européenne, pas un donneur d’ordre aux agences nationales". Voici ce que déclare l'Assemblée nationale évoquant l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).
Ce rapport d’information, qui souhaite que cette agence européenne située en Grèce soit complémentaire aux agences nationales - l’ANSSI en France -, évoque les grands enjeux de la cybersécurité en Europe.
Synthèse du rapport d'information présenté dans l'optique du Forum international sur la cybersécurité (FIC), les 28, 29 & 30 janvier à Lille Grand Palais.
D’où vient-on ?
En 2013 est véritablement consacrée la cybersécurité comme priorité stratégique de l’Union, et la Commission européenne publie, en liaison avec la Haute représentante de l’Union pour les affaires étrangères et la politique de sécurité, une stratégie en matière de cybersécurité ainsi qu’une proposition de directive de la Commission concernant la sécurité des réseaux et de l’information (dite directive SRI ou NIS selon l’acronyme anglais).
La stratégie de 2013 appelait à une évaluation des besoins pour mener à bien une stratégie efficace de cybersécurité au niveau de la défense européenne. En termes opérationnels : il s’agissait de disposer d’une vision claire des capacités opérationnelles et technologies requises pour adresser tous les défis, en termes d’organisation, de personnel, de formation, d’infrastructures, d’interopérabilité au sein de l’Union.
La directive SRI adoptée en 2016 est entrée en vigueur le 9 mai 2018. La directive SRI s’est inscrite pour la France dans le prolongement du dispositif pionnier de cybersécurité des opérateurs d’importance vitale (OIV) mis en place dans le cadre de la loi de programmation militaire de 2013.
- A lire sur securiteinterieure.fr : L'UE présente un plan sur la cybersécurité
La France s’était par ailleurs déjà doté d’une stratégie nationale, et dispose d’une autorité nationale de cybersécurité, l’Agence nationale de sécurité des systèmes d’information (ANSSI), à la pointe au niveau mondial, et largement reconnue comme telle.
- A lire sur securiteinterieure.fr : Cybersécurité : un rapport préconise d’avoir une vision plus harmonisée des opérateurs de services essentiels (OES)
A priori, la transposition ne nécessitait donc que des adaptations à la marge, ayant essentiellement pour but de favoriser la coopération européenne.
La France, via la loi du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, a néanmoins, selon l'Assemblée nationale, fait le choix d’une transposition ambitieuse, en incluant dans la liste des OSE des secteurs non prévus dans l’annexe II de la directive.
Avancées et limites….
À ce titre, le groupe de coopération de la directive SRI constitue, selon l'Assemblée nationale, une vraie réussite.
Créé pour permettre d’harmoniser la mise en œuvre de la directive, il s’avère un carrefour de coopération très précieux en réunissant les autorités nationales référentes, l’ENISA et la Commission européenne.
Ce groupe de coopération a su devenir un forum efficace en vue de fournir des orientations au réseau des CSIRT européens. Également créé par la directive, celui-ci réunit les CSIRT (« Computer Security Incident Response Team ») nationaux dont les États ont depuis 2018 l’obligation de se doter, et le CERT-EU, organe équivalent de l’Union européenne.
- A lire sur securiteinterieure.fr : Cybersécurité : un rapport préconise d’avoir une vision plus harmonisée des opérateurs de services essentiels (OES)
Ces deux réseaux de coopération permettent de lier un espace de réflexion et d’élaboration de stratégies concertées avec le groupe de coopération d’une part, et un espace à la dimension plus opérationnelle avec le réseau des CSIRT/CERT-EU d’autre part.
La directive SRI constitue une avancée majeure pour la structuration des différents niveaux de gouvernance de la cybersécurité européenne : elle n’a toutefois pas vocation à une harmonisation totale des modèles nationaux, qui ne serait ni possible, ni souhaitable.
La désignation d’autorités pour la cybersécurité et de points de contact nationaux a incontestablement poussé les États membres à accroître leur effort dans ce domaine.
Cet effort avait déjà été bien entamé dans certains États membres, qui disposent d’une expérience reconnue et font figure de modèles : la France peut ainsi se targuer de l’excellence de son Agence nationale de sécurité des systèmes d’information (ANSSI).
Mais ces éléments n’ont pour autant pas conduit à une uniformisation très poussée des modèles d’organisation de la cybersécurité dans les États de l’Union.
À la difficulté qui se pose pour identifier dans chaque pays de l’Union l’acteur qui pilote réellement de la cybersécurité nationale s’ajoute la différence évidente des moyens dont sont dotés ces organes selon les États.
Or, la force d’une chaîne se mesure à l’aune de celle de son maillon le plus faible : force est de constater que si la diversité des modèles n’est pas en soi un obstacle à une cybersécurité européenne robuste, l’effort (budgétaire, mais aussi politique) consacré par chaque pays dans ce champ d’action pèse irrévocablement sur la solidité de toute la cybersécurité européenne.
- A lire sur securiteinterieure.fr : Cybersécurité : préparation à un cyberincident majeur, refonte de l’agence de sécurité des réseaux, évaluation du risque... l’UE veut aller vite et fort !
Dans un rapport publié le 28 octobre 2018, la Commission tire un premier bilan de l’application ; L’harmonisation minimale que demande une directive (qui impose une obligation de résultat mais non une obligation de moyens) rend plus complexe la confrontation des données issues des différents pays. si la mise en œuvre de la directive SRI constitue bien un catalyseur pour la cybersécurité européenne, Elle agit en outre comme le révélateur de faiblesses intrinsèques à certains États membres, qu’il s’agit de corriger rapidement.
Le système de certification européen : un véritable gisement de croissance.
L’autre innovation majeure de l’Acte de cybersécurité réside dans la mise en œuvre d’un système de certification européen, dont la coordination est confiée à l’ENISA.
Un tel système pourrait conférer un véritable avantage de compétitivité à l’Union européenne sur le marché mondial de la cybersécurité.
Selon le rapport de l’Assemblée nationale, ce système de certification européenne doit conduire à une meilleure lisibilité pour les utilisateurs et à une montée des exigences pour tous : il ne s’agit pas de mettre certains pays en mesure de délivrer des « certificats de complaisance » en se prévalant d’un standard européen.
La certification européenne ne doit pas mener à un nivellement par le bas mais bien entraîner l’ensemble des acteurs vers les niveaux de normes les plus élevés déjà pratiqués par les acteurs les plus exigeants.
- A lire sur securiteinterieure.fr : Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité
L’ENISA est une agence facilitatrice, mais non un organe supranational de cybersécurité de l’Union
Depuis sa création, l’Agence a gagné en maturité et acquis une expertise reconnue dans le milieu de la cybersécurité.
Face aux risques de morcellement national et à la sensibilité des questions de souveraineté que soulève l’enjeu de cybersécurité, l’Acte de cybersécurité apporte en effet selon votre rapporteur une pièce majeure à l’édification d’une architecture solide, appuyé par la stratégie de cybersécurité de 201.
Définitivement adopté le 7 juin 2019, le règlement Cybersecurity Act consacre une véritable autonomie stratégique de l’Union pour la cybersécurité.
Il fait de l’ENISA la pierre angulaire de la cybersécurité européenne en rendant son mandat permanent et en prévoyant que ses moyens et ses objectifs pourront faire l’objet d’une réévaluation régulière.
Les auteurs du rapport souhaitent que l’ENISA doit à son sens agir comme créatrice de liens entre les États membres et être le fer de lance d’un réseau.
- A lire sur securiteinterieure.fr : L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"
En outre, le futur Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, le rapport de l’Assemblée nationale rappelle qu’il doit rester la plus légère possible afin de ne pas faire doublon avec l’ENISA) renforcée par l’Acte de Cybersécurité, ou avec les initiatives prises dans le cadre du partenariat public-privé de l’Union sur la cybersécurité.
3 défis pour la cybersécurité européenne
a. La multiplication des enceintes
Le domaine de la cybersécurité recouvre des enjeux très transverses et ses acteurs sont naturellement très divers et fragmentés.
Or, sous couvert d’implication maximale des acteurs, le règlement de cybersécurité introduit encore de nouveaux groupes et de nouvelles enceintes de discussion qui contribuent à une complexification et un manque de lisibilité institutionnels.
Ainsi, la création d’un groupe consultatif créé l’Acte de cybersécurité en faveur de l’ENISA risque de nuire à la lisibilité de la nouvelle organisation de l’agence, alors même que les groupes et institutions sont déjà fortement éparpillés dans le domaine de la cybersécurité.
De la même façon, pour le versant certification du règlement, un groupe des parties prenantes pour la certification est également institué.
Le règlement ne fixant pas les règles inhérentes à la constitution du groupe des parties prenantes, il conviendra de rester attentif à ses règles de composition.
Un tel groupe doit atteindre l’équilibre délicat entre la fourniture d’une expertise adaptée et l’adéquation aux besoins réels du marché, sans pour autant pouvoir être soupçonné de conflit d’intérêts en représentant tel ou tel secteur concerné par les enjeux de cybersécurité.
Selon le rapporteur du rapport de l’Assemblée nationale, l’ENISA exerce le mieux ses missions lorsqu’elle réussit à mobiliser des réseaux d’experts et à faire travailler ensemble des communautés, nationales, ou sectorielles, déjà constituées mais se parlant peu.
Mais il s’interroge sur la coordination qui adviendra avec d’autres cercles, comme le groupe de coopération institué par la directive SRI, qui fonctionnait déjà bien, et de la pertinence à les multiplier
b. La prise en compte des schémas de certification de sécurité existants
Dans plusieurs États membres, il existe déjà des schémas horizontaux ou sectoriels. Ces schémas se sont encore développés depuis la directive SRI, qui imposait des obligations spécifiques de sécurité aux opérateurs de services essentiels.
Le règlement examine l’articulation entre les schémas nationaux et les schémas européens.
Par exemple, dans le cas où un ou des États membres souhaiterait créer un schéma de certification national sur un secteur non couvert par un schéma européen, il devrait en informer la Commission et le Groupe européen de certification de cybersécurité.
Une initiative pourrait alors être prise pour créer un tel schéma plutôt au niveau européen en l’incluant dans un programme de travail modifié.
La question demeure toutefois de l’harmonisation qui sera effectuée pour que des schémas européens succèdent à des schémas nationaux existants.
Ces schémas nationaux conserveraient des particularités ou exigences nationales spécifiques, en dépit des cadres d’harmonisation internationaux.
Le rapporteur du rapport de l’Assemblée nationale met en évidence le gain de tous les acteurs européens à « jouer collectif » pour que les standards communs s’imposent et deviennent la signature d’une qualité européenne compétitive au niveau mondial.
Pour la certification, la prospérité espérée se joue :
- au niveau interne, avec le potentiel d’approfondissement du marché unique du numérique qu’emporte la simplification d’une reconnaissance mutuelle,
- au niveau externe, avec l’affichage sur la scène mondiale d’un label d’excellence européen en matière de cybersécurité.
d. La difficile conciliation entre réactivité et stabilité des schémas de certification
Cet équilibre à trouver pose également la question de la temporalité de la certification de cybersécurité.
Le règlement pose des jalons très larges : un programme de travail glissant mis à jour au moins tous les trois ans (« et plus souvent si nécessaire » et une évaluation des schémas adoptés par l’ENISA « au moins tous les cinq ans ».
Mais le règlement reste trop imprécis sur la nécessaire célérité avec laquelle l’élaboration des schémas de certification devra être menée pour leur donner une valeur véritablement opérationnelle sur le marché.
En outre, la question importante des mises à jour et de la possible révision partielle des schémas de certification comporte également des problématiques de délai et de réactivité.
Les produits et systèmes des technologies de l’information et de la communication progressent en effet souvent de façon incrémentale, par ajouts successifs, modifications et correction d’erreurs.
Il est donc peu envisageable de reprendre à chaque étape un processus assez contraignant de certification. En outre, la part logicielle de l’exposition aux cyberattaques rend cette problématique particulièrement aiguë.
Pour que la certification devienne un atout de compétitivité de l’Europe en garantissant des produits plus surs, il faut à tout le moins qu’elle permette une mise sur le marché dans des délais rendant possible la compétition avec d’autres produits.
synthèse du texte par Pierre Berthelet alias securiteinterieure.fr
A lire sur securiteinterieure.fr :
- Cybersécurité : un rapport préconise d’avoir une vision plus harmonisée des opérateurs de services essentiels (OES)
- L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"
- Rançonlogiciels, hameçonnage et attaques par ordinateurs zombie : 3 menaces sur le podium de la cybersécurité cette année (iOCTA2019)
- Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité
- Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement
- Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité
- L'Assemblée nationale plaide en faveur d'un "Livre blanc européen sur la Défense
Votre attention est le carburant de ma passion.
Merci pour votre fidélité !
Merci pour votre fidélité !
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.