Protection des infrastructures numériques : le cyberbouclier européen, son mécanisme de cyberurgence et sa "réserve de l'UE pour la cybersécurité"

 

C’est un secret pour personne : les cyberattaques menacent la stabilité de l’UE et de ses Etats membres, notamment en mettant en péril leurs infrastructures critiques. Une proposition de règlement vient d’être présentée pour renforcer la cybersécurité. Ce « Cybersolidarity Act », présenté en même temps que le projet de cyberacadémie, entend développer la solidarité au niveau de l'Union afin de mieux détecter, préparer et répondre aux menaces et incidents de cybersécurité.

• A lire sur securiteinterieure.fr  : Le projet de cyberacadémie : le monde de la sécurité intérieure est aussi concerné

Une telle initiative législative vient étoffer un paysage institutionnel déjà fourni. Elle entend renforcer les capacités communes de détection, de connaissance de la situation et de réaction de l'UE, afin de constituer progressivement une réserve de cybersécurité au niveau de l'UE avec des services de fournisseurs privés de confiance. Elle vise à contribuer ainsi à la souveraineté technologique européenne dans le domaine de la cybersécurité.
L’idée ? Déployer un mécanisme de cyberurgence en cas d’attaques brutales et à grande ampleur et mettre en place une « réserve de l'UE pour la cybersécurité » destiné à fournir les renforts nécessaires pour réagir efficacement.

• A lire sur securiteinterieure.fr  : Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"

De quoi parle-t-on ? Le cyberbouclier européen

Le cyberbouclier européen, ou « bouclier cybernétique européen » est une infrastructure paneuropéenne interconnectée de centres d'opérations de sécurité. Son but est de développer des capacités avancées permettant à l'Union de détecter, d'analyser et de traiter les données sur les cybermenaces et les incidents dans l'Union.
Il se compose de tous les centres d'opérations de sécurité nationaux («SOC nationaux») et de tous les centres d'opérations de sécurité transfrontaliers («SOC transfrontaliers»).


Pourquoi une cyberbouclier ? Assurer une réaction urgente pour contrer un risque d’un incident majeur

L’adoption accrue des technologies numériques augmente l'exposition aux incidents de cybersécurité. Dans le même temps, les États membres sont confrontés à des risques croissants en matière de cybersécurité et à un paysage global de menaces complexes.
Le risque est une propagation rapide des cyberincidents d'un État membre à d'autres.

• A lire sur securiteinterieure.fr  : La stratégie de cybersécurité de l’UE déplore un retard de l'Europe à l'heure des tensions géopolitiques croissantes et au moment où la criminalité numérique est galopante

De plus, les cyberopérations sont de plus en plus intégrées dans des stratégies hybrides et de guerre, avec des effets importants sur la cible.
En particulier, l'agression militaire de la Russie contre l'Ukraine a été précédée et s'accompagne d'une stratégie de cyber-opérations hostiles.

Ceci change la donne pour la perception et l'évaluation de la préparation collective de l'UE à la gestion des crises de cybersécurité.
La menace d'un éventuel incident à grande échelle causant des perturbations et des dommages importants aux infrastructures critiques exige une préparation accrue à tous les niveaux de l'écosystème de cybersécurité de l'UE.


La nécessité d’une réponse européenne face à un risque qui dépasse le cadre national

La menace d'un incident majeur va au-delà de l'agression militaire et comprend des cybermenaces continues d'acteurs étatiques et non étatiques, compte tenu de la multiplicité des acteurs criminels et des hacktivistes impliqués dans les tensions géopolitiques actuelles.
Ces dernières années, le nombre de cyberattaques a considérablement augmenté.
Cela concerne les attaques de la chaîne d'approvisionnement, le cyberespionnage et les rançongiciels.
Ainsi, en 2020, l'attaque de la chaîne d'approvisionnement de SolarWinds a touché plus de 18 000 organisations dans le monde.

Or, les incidents de cybersécurité importants peuvent être trop perturbateurs pour qu'un seul ou plusieurs États membres concernés puissent les gérer seuls.
C'est pourquoi une solidarité renforcée au niveau de l'Union est nécessaire pour mieux détecter, préparer et réagir aux menaces et incidents de cybersécurité.

Alors que de nombreuses menaces et incidents de cybersécurité ont une dimension transfrontière potentielle, en raison de l'interconnexion des infrastructures numériques, le partage d'informations pertinentes entre les États membres reste limité.
Construire un réseau de centres d'opérations de sécurité (SOC) transfrontaliers pour améliorer les capacités de détection et de réponse vise à aider à résoudre ce problème.


D’où vient-on ?

En ce qui concerne la préparation et la réaction aux incidents de cybersécurité, le soutien au niveau de l'Union et la solidarité entre les États membres sont actuellement limités.
Les conclusions du Conseil d'octobre 2021 ont souligné la nécessité de combler ces lacunes.

• A lire sur securiteinterieure.fr  : Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité
  

Le cadre de l'UE comprend plusieurs législations déjà en place ou en cours. Ces initiatives visent à réduire les vulnérabilités, à accroître la résilience des entités critiques face aux risques de cybersécurité et à soutenir la gestion coordonnée des incidents à grande échelle. Il s’agit notamment de :

• la directive relative à des mesures pour un environnement niveau de sécurité des réseaux et des systèmes d'information dans l'Union (directive SRI2),
• le Cybersecurity act,
  
• la directive sur les attaques contre les systèmes d'information,
• la recommandation de la Commission du 13 septembre 2017 relative à une réponse coordonnée aux incidents et crises de cybersécurité à grande échelle.
  
  

• A lire sur securiteinterieure.fr  : Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité 

La stratégie de cybersécurité de l'UE adoptée en décembre 2020 avait a annoncé la création d' un cyberbouclier européen, renforçant les capacités de détection des cybermenaces et de partage d'informations dans l'Union européenne par le biais d'une mise en réseaux de centres d'opérations de sécurité (SOC) nationaux et transfrontaliers.


Quel est l’objectif du Cybersolidarity Act ?

L'objectif global du cyberbouclier européen, qui est de développer des capacités avancées permettant à l'Union de détecter, d'analyser et de traiter les données sur les cybermenaces et les incidents dans l'Union. Il compose objectifs opérationnels spécifiques:

• renforcer la détection commune de l'UE et la connaissance de la situation des cybermenaces et des incidents;
• renforcer la préparation des entités critiques dans l'ensemble de l'UE
• développer des capacités de réaction communes contre les incidents de cybersécurité significatifs ou à grande échelle;
• examiner et évaluer les incidents significatifs ou à grande échelle, y compris en tirant les leçons de l'expérience et, le cas échéant, en formulant des recommandations.

Ces objectifs seront mis en œuvre à travers:

• Le déploiement d'une infrastructure paneuropéenne de SOC (European Cyber Shield) pour construire et améliorer des capacités communes de détection et de connaissance de la situation.
• La création d'un mécanisme d'urgence cybernétique pour aider les États membres à se préparer, à réagir et à se rétablir immédiatement après des incidents de cybersécurité importants et à grande échelle. Un soutien à la réaction aux incidents est également mis à la disposition des institutions européennes, organes, offices et agences de l'Union,
• La mise en place d'un mécanisme européen d'examen des incidents de cybersécurité pour examiner et évaluer des incidents spécifiques significatifs ou à grande échelle.

Le cœur battant du cyberbouclier : les centres d'opérations de sécurité

Le bouclier se compose de centres d'opérations de sécurité nationaux («SOC nationaux»). Un SOC national est désigné par chaque État membre participant.
Celui-ci servira de point de référence et de passerelle vers d'autres organisations publiques et privées au niveau national pour la collecte et l'analyse d'informations sur les menaces et incidents de cybersécurité et la contribution à un SOC transfrontalier.

• A lire sur securiteinterieure.fr  : L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces

Afin de participer au cyberbouclier européen, chaque État membre désigne au moins un SOC national. Le SOC national est un organisme public.
Il doit avoir la capacité de servir de point de référence et de passerelle vers d'autres organisations publiques et privées pour collecter et analyser des informations sur les menaces et incidents de cybersécurité.
Il doit être équipé de technologies de pointe capables de détecter, d'agréger et d'analyser les données relatives aux menaces et aux incidents de cybersécurité.


Des liens étroits entre les SOC et le EU-CyCLONe

Le Cybersolidarity Act s'appuiera et soutiendra notamment les cadres existants de coopération opérationnelle et de gestion de crise en matière de cybersécurité, en particulier le réseau européen des organisations de liaison en cas de crise cybernétique (EU-CyCLONe) et le réseau des équipes de réponse aux incidents de sécurité informatique (CSIRT).

• A lire sur securiteinterieure.fr  : Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber

Lorsque les SOC transfrontaliers obtiennent des informations relatives à un incident de cybersécurité à grande échelle potentiel ou en cours, ils fournissent les informations pertinentes à EU CyCLONe, au réseau des CSIRT et à la Commission, compte tenu de leurs rôles respectifs de gestion de crise conformément à la directive (UE) 2022/2555.

• A lire sur securiteinterieure.fr  : Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes

À la demande de la Commission, de l'EU-CyCLONe ou du réseau des CSIRT, l'ENISA devrait examiner et évaluer les menaces.
Il doit apprécier les vulnérabilités et les mesures d'atténuation. L'examen et l'évaluation doivent être fournis par l'ENISA sous la forme d'un rapport d'examen d'incident au réseau des CSIRT, à l'EU-CyCLONe et à la Commission.
Lorsque l'incident concerne un pays tiers, le rapport doit être partagé par la Commission avec le haut représentant.


Les nouveaux nés : les SOC transfrontaliers et les plates-formes transfrontalières des SOC

Le bouclier se compose de «SOC nationaux» ainsi que de centres d'opérations de sécurité transfrontaliers («SOC transfrontaliers»).
À la suite d'un appel à manifestation d'intérêt, les SOC nationaux sont sélectionnés par le Centre européen de compétences en matière de cybersécurité («ECCC») pour participer à un marché commun d'outils et d'infrastructures avec l'ECCC.

Les SOC transfrontaliers sont constitués d'un consortium d'au moins trois États membres, représentés par des SOC nationaux, qui s'engagent à travailler ensemble pour coordonner leurs activités de cyberdétection et de surveillance des menaces.
Les SOC nationaux participant à un SOC transfrontalier doivent partager entre eux les informations liées aux cybermenaces.

• A lire sur securiteinterieure.fr  : L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces

Quant aux plates-formes transfrontalières des SOC, ils devraient constituer une nouvelle capacité complémentaire au réseau des CSIRT :

• en mettant en commun et en partageant les données sur les menaces de cybersécurité provenant d'entités publiques et privées,
• en valorisant ces données grâce à des analyses d'experts et à des outils de pointe,
• en contribuant au développement des capacités et de la souveraineté technologique de l'Union.

La création d’un mécanisme de cyberurgence comprenant des tests concoctés par l’ENISA

Un mécanisme de cyberurgence est instauré pour améliorer la résilience de l'Union face aux menaces majeures en matière de cybersécurité.
Le mécanisme prévoit des actions pour soutenir la préparation, y compris des tests coordonnés d'entités opérant dans des secteurs hautement critiques, une réponse et un rétablissement immédiat à la suite d'incidents de cybersécurité importants ou à grande échelle ou pour atténuer les cybermenaces importantes et des actions d'assistance mutuelle.

Les actions de préparation du mécanisme d'urgence cybernétique comprennent les tests de préparation coordonnés des entités opérant dans des secteurs hautement critiques.
La Commission, après consultation du groupe de coopération SRI et de l'ENISA, identifie les secteurs à partir desquels les entités peuvent être soumises aux tests.
Le groupe de coopération SRI, en coopération avec la Commission, l'ENISA et le haut représentant, élabore des scénarios de risque communs et des méthodologies pour les exercices d'essai coordonnés.


La création d’une « réserve de l'UE pour la cybersécurité »

Cette initiative législative établit une réserve de cybersécurité de l'UE afin d'aider les utilisateurs à réagir aux incidents de cybersécurité à grande échelle.
Cette réserve est composée de services de réaction aux incidents fournis par des fournisseurs de confiance. Ces fournisseurs sont sélectionnés conformément aux critères définis dans cette initiative.

Les utilisateurs des services de la réserve de cybersécurité de l'UE comprennent notamment les autorités de gestion des crises cybernétiques des États membres et les CSIRT.
Les utilisateurs emploient les services de la réserve de cybersécurité de l'UE pour assurer le rétablissement immédiat en cas d'incidents significatifs ou à grande échelle affectant des entités opérant dans des secteurs critiques ou hautement critiques.

Les utilisateurs des services de la réserve de cybersécurité de l'UE comprennent les autorités de gestion des crises cybernétiques des États membres et les CSIRT ainsi que les institutions, organes et agences de l'Union.
La Commission assume la responsabilité globale de la mise en œuvre de la réserve de cybersécurité de l'UE. 

Elle peut confier, en tout ou en partie, à l'ENISA le fonctionnement et l'administration de la réserve de cybersécurité de l'UE.
D’ailleurs, afin d'aider la Commission à établir la réserve de cybersécurité de l'UE, l'ENISA prépare une cartographie des services nécessaires.


Un mécanisme de cyberurgence subsidiaire au mécanisme européen de protection civile

Le mécanisme d'urgence cybernétique devrait également fournir un soutien aux actions de réponse aux incidents afin d'atténuer l'impact d'incidents de cybersécurité significatifs. Le cas échéant, il devrait compléter le MPCU afin d'assurer une approche globale pour répondre aux impacts des cyberincidents sur les citoyens.

• A lire sur securiteinterieure.fr  : Protection civile : un sauf qualitatif majeur est en vue

Plus généralement, le dispositif ainsi conçu complète le mécanisme de protection civile de l'Union (MPCU) établi en décembre 2013 et complété par une nouvelle législation adoptée en mai 2021, qui renforce les piliers de prévention, de préparation et de réaction du MPCU et donne à l'UE des capacités supplémentaires pour répondre aux nouvelles risques en Europe et dans le monde et renforce la réserve rescEU.


Un mécanisme subsidiaire dispositifs intégrés de réaction aux crises politiques

Dans les cas où des incidents de cybersécurité significatifs ou à grande échelle ont pour origine ou entraînent des catastrophes, les dispositifs intégrés de réaction aux crises politiques (IPCR) sont déclenchés.
L'aide fournie est alors gérée conformément aux protocoles et procédures applicables au titre de l'IPCR.

traduction et synthèse du texte par Pierre Berthelet alias securiteinterieure.fr

• proposition de règlement

 

A lire sur securiteinterieure.fr  : 

• Le projet de cyberacadémie : le monde de la sécurité intérieure est aussi concerné
  
• Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques
• Cyberattaques contre les infrastructures essentielles, cyberespionnage et guerres hybrides, l'UE veut renforcer sa stratégie de cyberdéfense (1ère partie)
• Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques (2e partie)
• Guerre en Ukraine : suite à l’attaque des pipelines, déployer des "équipes d'intervention européennes" pour protéger les infrastructures essentielles de grande dimension?
• Intelligence artificielle : l’Union européenne entend renforcer sa diplomatie numérique
• Désinformation, cyberattaques et guerres hybrides : dans une résolution sur l'IA, le Parlement européen réclame plus de fermeté face aux Etats qui parrainent les cybercrimes
• L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces
• Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
• La stratégie de cybersécurité de l’UE déplore un retard de l'Europe à l'heure des tensions géopolitiques croissantes et au moment où la criminalité numérique est galopante
  
• Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes 
• Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
•  Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes
• Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité