Pages

mardi 19 avril 2022

L’Europe va (enfin) se doter d’un "centre pour la cybersécurité" qui travaille 24h/24

 


Les institutions de l’UE sont la cible d’attaques nombreuses et malveillantes, d’organisation désireuses de faire main basse sur certaines informations. Face à cela, l’UE est mal outillée. Un rapport de la Cour des comptes européenne dresse un constat affligeant : un sous-investissement chronique, un manque de personnel qualifié et un centre spécialisé (CERT-UE) qui ne travaille qu’aux heures ouvrées. C'est bien connu, les cybercriminels ne travaillent ni la nuit, ni le dimanche, ni les jours fériés.

Pour remédier à ces lacunes graves, une proposition de règlement est à l’étude visant à renforcer ce centre et à le transformer en « centre pour la cybersécurité ». La proposition va plus loin en définissant un socle commun de règles en matière de cyberprotection applicable à l’ensemble des organismes de l’Union. L’objectif ? Renforcer le niveau général de sécurité et diffuser une culture de cyberprotection.



Quelle est la situation ?

Entre 2019 et 2021, le nombre d’incidents importants perpétrés par des acteurs de menaces persistantes avancées (APT) et touchant les organismes de l’Union et perpétrés a considérablement augmenté. Au cours du premier semestre de 2021, on a enregistré autant d’incidents importants que sur l’ensemble de l’année 2020. En outre, le nombre d’incidents importants a été multiplié par plus de dix depuis 2018.

Les volumes sont toujours plus conséquents concernant les informations sensibles qui circulent au sein de l’Union européenne, qu’elles soient classifiées ou non. En parallèle, il est possible d’observer une évolution spectaculaire des menaces. L’administration européenne est exposée à des attaques dans tous ses domaines d’activité. 


Les informations traitées par les institutions européennes intéressent au plus haut point les acteurs malveillants, et elles doivent être correctement protégées, ce qui nécessite une action rapide afin d’améliorer leur protection. Or ce n’est pas le cas.


D’où vient-on ?

Dans ses conclusions, le Conseil européen a invité les institutions de l’UE:

  • à améliorer la culture de sécurité de l’UE face aux menaces cyber et hybrides émanant de l’extérieur de l’UE, 
  • à mieux protéger les réseaux d’information et de communication de l’UE contre les actes de malveillance de tout type.

Dans le même ordre d’idées, le Conseil des affaires générales de décembre 2019 a conclu que les institutions de l’UE devraient mettre en œuvre un ensemble complet de mesures visant à garantir leur sécurité. 


La CERT-UE, une réponse existante

La CERT-UE est une plateforme d'échange d'informations et de coordination des réponses aux incidents dans le domaine de la cybersécurité pour les organismes de l’Union. 

En septembre 2012, la Commission a adopté une décision portant création de l'équipe d'intervention en cas d'urgence informatique (CERT-UE). Elle relève administrativement de la Commission européenne (direction générale de l'informatique (Commission européenne (DG DIGIT)), qui lui fournit un soutien logistique et administratif. Elle a pour but de rendre le système d’information et de communication plus sûr. La CERT-UE dispose d'un effectif de 40 agents, organisés en équipes de spécialistes en renseignements sur les menaces, en criminalistique informatique et en réponse aux incidents.


Quel est le problème rencontré?

La Cour des comptes rapporte que, selon la direction de la CERT-UE, au sein de l’Union, l'informations sur des incidents importants n’est pas toujours échangé en temps utile. Cette situation a nui au rôle de la CERT-UE.

Les différents acteurs concernés ne partagent pas non plus rapidement avec la CERT-UE des informations sur les menaces et les vulnérabilités concernant leur cybersécurité, alors que l’accord institutionnel exige qu'elles le fassent. 

En outre, plus des deux tiers des agents de la CERT-UE sont sous contrat temporaire. Leur salaire n'est pas très compétitif sur le marché des experts en cybersécurité et, selon la direction de la CERT-UE, il devient de plus en plus difficile de les recruter et de les fidéliser. 

La direction de la CERT-UE a souligné qu'à l'heure actuelle, son équipe chargée de la criminalistique informatique et de la réponse aux incidents était fréquemment surchargée et que ses autres équipes ne parvenaient pas à donner suite à toutes les demandes.

La CERT-UE est donc contrainte de réduire ses activités. 

Il y a pire : la CERT-UE doit disposer d'une capacité opérationnelle vingt-quatre heures sur vingt-quatre et sept jours sur sept. Actuellement, la CERT-UE ne possède pas les ressources nécessaires, notamment humaines, pour fonctionner de manière permanente et structurée en dehors des heures de bureau, bien que les cyberattaques ne se produisent pas que dans ces créneaux horaires.


Quelle solution préconisée ?

La proposition modernise le cadre juridique existant de l’équipe d’intervention en cas d’urgence informatique (CERT UE). Elle tient compte:

  • de l’évolution et de l’intensification de la transformation numérique au sein des institutions de l’Union ces dernières années ;
  • de l’évolution du paysage des menaces qui pèsent sur la cybersécurité. 

La proposition prévoit que l’«équipe d’intervention en cas d’urgence informatique» (la CERT-UE) sera désormais dénommée «centre pour la cybersécurité», pour faire écho à l’évolution observée dans les États membres et au niveau mondial, où de nombreuses CERT ont été renommées «centres de cybersécurité». 


S’attaquer en profondeur au problème identifié

Une analyse menée par la Commission fait apparaître des disparités considérables en ce qui concerne leur gouvernance, leur hygiène informatique, leurs capacités globales et leur maturité. 

Actuellement, les organismes de l’Union possèdent leurs propres règles en matière de sécurité de l’information. Ces règles sont fondées sur leur règlement de procédure ou leur acte fondateur. Parfois, ils ne disposent d’aucune règle en la matière. C’est surtout le cas de certaines petites entités, qui ne possèdent aucune politique officielle en matière de sécurité de l’information. 

Jusqu’à présent, aucun acte législatif de l’Union n’a été axé sur la cybersécurité des institutions, organes et organismes de l’Union ni n’a abordé de manière exhaustive le paysage des menaces qui pèsent sur la cybersécurité et les risques informatiques émergents liés à la transformation numérique.

Par conséquent, pour remédier à cette hétérogénéité des niveaux de maturité et pour amener l’ensemble des organismes de l’Union à un niveau élevé commun de cybersécurité, il est essentiel d’exiger de l’ensemble de ces organismes qu’ils mettent en œuvre une base de référence en cybersécurité.

Dès lors, la proposition présentée vise à rationaliser les différents cadres juridiques des organismes de l’Union.

Afin d’accroître la protection des informations traitées par l’administration européenne, cette initiative rationaliser les cadres juridiques grâce à :

  • la définition de catégories communes d’informations exhaustives et harmonisées,
  • la définition règles communes à toutes ces organismes en matière de traitement; 
  • un système rationalisé de coopération entre les institutions et organes de l’Union dans le domaine de la sécurité de l’information, capable de favoriser une culture cohérente de la sécurité de l’information dans l’ensemble de l’administration européenne;
  • la modernisation des politiques en matière de sécurité de l’information à tous les niveaux de classification/de catégorisation. Cette modernisation s’applique pour l’ensemble des organes de l’Union, en tenant compte du télétravail en tant que pratique structurelle.



synthèse du rapport et de la proposition par Pierre Berthelet alias securiteinterieure.fr





A lire  sur securiteinterieure.fr  : 

 

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.