Pages

jeudi 10 novembre 2022

Guerre en Ukraine : suite à l’attaque des pipelines, déployer des "équipes d'intervention européennes" pour protéger les infrastructures essentielles de grande dimension?

 


Améliorer la capacité opérationnelle pour faire face aux effets de perturbations majeures de services essentiels. C’est dans ce contexte que s’inscrit le projet de développement des capacités de réaction d’urgence déployables. Concrètement, il s’agit d’assurer une réaction transsectorielle, coordonnée et rapide aux perturbations majeures de la fourniture de services essentiels tels que l’eau, l’Internet, ou l’énergie.

Une proposition de recommandation est présentée visant à anticiper les nouvelles menaces découlant de la guerre d’agression livrée par la Russie à l’Ukraine, à les prévenir et à répondre. Le constat ? il est urgent d’agir pour renforcer la capacité de l’UE à faire face à d’éventuelles attaques contre des infrastructures critiques de dimension transnationale, principalement sur son sol, mais aussi, le cas échéant, dans son voisinage direct.

Reste que si les Etats membres sont d'accord avec le constat, ils divergent sur la méthode. Cette proposition fait en effet débat. 

De quoi parle-t-on ?

La recommandation du Conseil vise à accélérer les travaux visant à protéger les actifs, installations et systèmes nécessaires au fonctionnement de l’économie et à la fourniture de services essentiels au marché intérieur.
Il s’agit aussi d’atténuer les effets de toute attaque en permettant un rétablissement le plus rapide possible.

Elle entend à :

  • intensifier le soutien de l’UE au renforcement de la résilience des infrastructures critiques ;
  • garantir une coordination de la préparation et de la réaction au niveau de l’UE.,

Les recommandations que le texte contient ont donc pour principale finalité de parer aux risques et aux menaces pour la sécurité des infrastructures critiques. 


Le contexte : une guerre Ukraine-Russie qui a un impacte direct sur les infrastructures critiques de l’UE

La guerre d’agression livrée par la Russie à l’Ukraine a engendré de nouveaux risques, qui se combinent souvent pour former une menace hybride.
L’un d’entre eux est le risque de perturbation des services essentiels fournis par les entités exploitant des infrastructures critiques en Europe. Ce risque est devenu encore plus évident avec le sabotage apparent des gazoducs Nord Stream et d’autres incidents récents.
La société dépend fortement des infrastructures tant physiques que numériques, et l’interruption de services essentiels, que ce soit à la suite d’attaques physiques conventionnelles, de cyberattaques ou d’une combinaison des deux, peut avoir de graves conséquences.

S’il est vrai que toutes ces infrastructures devraient être protégées, les secteurs de l’énergie, des infrastructures numériques, des transports et de l’espace revêtent actuellement la plus haute priorité, en raison de leur caractère particulièrement horizontal pour la société et l’économie et au vu des évaluations actuelles des risques.


Pourquoi une intervention européenne ?

L’UE a un rôle particulier à jouer en ce qui concerne les infrastructures qui franchissent des frontières terrestres ou maritimes et touchent aux intérêts de plusieurs États membres.
Les infrastructures critiques d’importance pour plusieurs États membres peuvent toutefois se situer dans un seul État membre, voire en dehors du territoire de ces États membres; c’est, par exemple, le cas des câbles ou des gazoducs sous-marins.
 Il est dans l’intérêt de tous les États membres et de l’UE dans son ensemble d’identifier clairement les infrastructures critiques et les entités qui les exploitent, ainsi que les risques auxquelles elles sont exposées, et de s’engager collectivement à protéger ces infrastructures et entités.


D’où vient-on ?

Le Parlement européen et le Conseil sont déjà parvenus à un accord politique sur la nécessité d’approfondir le cadre législatif de l’UE afin de contribuer à renforcer la résilience des entités exploitant des infrastructures critiques. À l’été 2022, des accords ont ainsi été trouvés sur :

  • la directive sur la résilience des infrastructures critiques («directive CER»),
  • la directive révisée sur la sécurité des réseaux et des systèmes d’information («directive SRI 2»).

La nouvelle directive CER propose un nouveau cadre de coopération et imposera aux États membres et aux entités critiques des obligations visant à renforcer la résilience physique et non cyber, face aux menaces naturelles et d’origine humaine, de ces entités qui fournissent des services essentiels au marché intérieur, dans 11 secteurs donnés. 

La directive sur sécurité des réseaux et des systèmes d’information dans l’Union  («directive SRI 2») donnera aux obligations en matière de cybersécurité une large couverture sectorielle. À ce titre, les États membres seront notamment tenus d’inclure les câbles sous-marins dans leur stratégie de cybersécurité.

La nouvelle législation devrait entrer en vigueur fin 2022 ou début 2023, et les États membres devraient accorder la priorité à sa transposition et à sa mise en application, dans le respect du droit de l’Union.


Où va-t-on ? Anticiper le droit en cours d’adoption

En ce qui concerne la cybersécurité, le Conseil, dans les conclusions sur la posture cyber de l’Union européenne qu’il a adoptées à l’été 2022, a déjà invité la Commission, le haut représentant et le groupe de coopération SRI à travailler à des évaluations des risques et des scénarios du point de vue de la cybersécurité. 

Le 5 octobre 2022, la présidente von der Leyen a présenté un plan en cinq points, proposant une approche coordonnée des nécessaires travaux à venir.
Ses principaux éléments étaient notamment de soumettre leurs infrastructures critiques à des tests de résistance, et accroître la capacité de réaction, notamment dans le cadre du mécanisme de protection civile de l’Union.

La recommandation anticipe et complète la directive CER en invitant déjà les États membres à accorder la priorité à la transposition en temps voulu de la directive CER, en prévoyant une coopération dans le cadre des réunions d’experts convoquées au titre du plan en cinq points annoncé par la Commission et en prévoyant une coordination en vue d’une approche commune pour la réalisation des tests de résistance sur les infrastructures critiques de l’UE.

La recommandation appelle à démarrer rapidement les travaux de transposition et de mise en œuvre de la future directive SRI 2, qui abrogera la directive SRI.
Elle reflète aussi l’appel conjoint de Nevers de mars 2022 et les conclusions du Conseil de mai 2022 sur la posture cyber de l’UE en ce qui concerne la demande adressée par les États membres à la Commission de procéder à des évaluations des risques et à élaborer des scénarios de risque.

Axe 1 : renforcer la capacité de résilience des infrastructures critiques 

Les États membres sont invités à :

  • effectuer ou à actualiser leur évaluation des risques concernant la résilience des entités exploitant des infrastructures critiques européennes désignées, conformément à la directive du 8 décembre 2008, dans les secteurs des transports et de l’énergie,
  • accélérer leurs préparatifs pour transposer et appliquer dès que possible la nouvelle directive CER notamment en accélérant l’adoption ou la mise à jour de stratégies nationales visant à renforcer la résilience des entités exploitant des infrastructures critiques,
  • à soumettre les entités exploitant des infrastructures critiques à des tests de résistance, en particulier, dans le secteur de l’énergie.

Du point de vue de l’Union, le Service européen d’action extérieure (SEAE) est invité à organiser, en particulier par l’intermédiaire du Centre de situation et du renseignement de l’UE (INTCEN) et de sa cellule de fusion contre les menaces hybrides (HFC), des séances d’information sur les menaces qui pèsent sur les infrastructures critiques de l’UE, afin d’améliorer l’appréciation qu’on peut porter sur une situation donnée.

La Commission va : 

  • soutenir la définition de principes communs pour la réalisation par les États membres des tests de résistance, qui commenceront par des tests sur les risques d’origine humaine dans le secteur de l’énergie, puis dans d’autres secteurs clés comme les infrastructures numériques,
  • fournir une plateforme sécurisée permettant de de partager les bonnes pratiques, les enseignements tirés des expériences nationales relatives à cette forme de résilience, notamment sur la réalisation de ces tests de résistance et la traduction de leurs résultats en protocoles et en plans d’urgence,
  • épaulera les États membres en leur fournissant des manuels et des lignes directrices, par exemple un manuel sur la protection des infrastructures critiques et des espaces publics contre les systèmes d’aéronefs sans pilote, ainsi que des outils d’évaluation des risques.


Axe 2 : rehausser le niveau de cybersécurité

Les États membres sont encouragés à :

  • accélérer leurs travaux préparatoires en vue de la transposition de la directive SRI 2, en commençant immédiatement à renforcer les capacités des centres nationaux de réponse aux incidents de sécurité informatique (CSIRT) au vu des nouvelles tâches confiées à ces centres et du nombre accru d’entités opérant dans de nouveaux secteurs. Il s’agit :
    • d’actualiser rapidement leurs stratégies de cybersécurité,
    • d’adopter dès que possible des plans nationaux de réponse aux incidents et aux crises en matière de cybersécurité,
    • de profiter des services de préparation en matière de cybersécurité offerts par le programme de soutien à court terme que la Commission met en œuvre avec l’ENISA, notamment des tests de pénétration destinés à détecter les vulnérabilités, 
  • dans ce contexte, donner la priorité aux entités qui exploitent des infrastructures critiques dans les secteurs de l’énergie, des infrastructures numériques et des transports,
  • finir d’urgence de mettre en œuvre les mesures recommandées dans la boîte à outils de l’UE sur la cybersécurité des réseaux 5G. Les États membres qui n’ont pas encore imposé de restrictions visant les fournisseurs à haut risque devraient le faire sans plus tarder.

  • A lire sur securiteinterieure.fr: L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces


Axe 2 : et du point de vue de l’Union

La Commission va accélérer ses activités d’aide à la préparation des États membres et à la réponse aux incidents de cybersécurité majeurs. Elle va notamment:

  • réaliser une étude complète dressant l’état des lieux de l’infrastructure de câbles sous-marins qui relie les États membres entre eux,
  • soutenir la préparation des États membres et la capacité de réponse des institutions, organes et agences de l’UE (EUIBA) à des incidents de cybersécurité majeurs.


Axe 3 : Améliorer la gestion des crises majeures

Les États membres devraient coordonner leur réaction dans le cadre du mécanisme de gestion de crise du Conseil (IPCR), pour les infrastructures critiques ayant une dimension transfrontière. Ils doivent le faire dans le cadre du schéma directeur sur les incidents et crises de cybersécurité majeurs ou, en cas de campagnes hybrides, au sein du cadre pour une réponse coordonnée de l’UE aux campagnes hybrides.

Du point de vue de l’Union, la Commission, élaborera un schéma directeur sur les incidents et les crises pouvant affecter les infrastructures critiques. Ce schéma définira et décrira les objectifs et les modalités de la coopération dans le cadre de la réaction aux incidents touchant des infrastructures critiques, en particulier lorsque ceux-ci entraînent des perturbations majeures de la fourniture de services essentiels pour le marché intérieur. 


Axe 4 : Favoriser une meilleure coordination en matière de protection civile ?

Les États membres devraient:

  • accroître les échanges d’informations dans le cadre du mécanisme de protection civile de l’Union (MPCU), afin de favoriser le lancement d’alertes précoces et de coordonner leur réaction au sein de ce mécanisme en cas de perturbations majeures de cet ordre, 
  • accroître leur capacité à réagir, grâce au MPCU, à de telles perturbations majeures, en particulier si elles sont susceptibles d’avoir d’importantes implications transfrontières, voire paneuropéennes, et des implications transsectorielles,
  • travailler avec la Commission à la poursuite du développement de capacités de réaction adaptées dans le cadre de la réserve européenne de protection civile (ECPP) et de rescEU;


Axe 4 : et du point de vue de l’Union ?

La Commission intensifiera ses travaux sur des mesures d’anticipation à visée prospective, sous la forme d’une planification d’urgence destinée à soutenir la préparation opérationnelle du centre de coordination de la réaction d’urgence.

En particulier, la Commission s’engage à renforcer l’échange de bonnes pratiques en utilisant les structures et l’expertise existantes, comme le réseau européen de connaissances en matière de protection civile.

La Commission coopérera étroitement avec les États membres pour continuer à développer des capacités de réaction d’urgence déployables, incluant des experts et des réserves rescEU dans le cadre du MPCU. Il s’agit d’améliorer la capacité opérationnelle à faire face aux effets immédiats et indirects de perturbations majeures de la fourniture de services essentiels par les entités exploitant des infrastructures critiques.

La Commission, dans le cadre du MPCU:

  • continuera de développer l’ERCC, en tant que plateforme transsectorielle de crise au niveau de l’UE pour la coordination du soutien aux États membres touchés,
  • collaborera avec les parties prenantes et les experts pour poursuivre la définition des plans d’urgence et des scénarios de risques et les travaux menés sur la résilience de l’Union face aux catastrophes dans le cadre du mécanisme de protection civile de l’Union.


synthèse du texte par Pierre Berthelet alias securiteinterieure.fr 



A lire sur securiteinterieure.fr:

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.