L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"

C’était attendu, la proposition de règlement instituant un « Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité » et de « Réseau de compétences en cybersécurité » est sur la table du législateur européen. L’objectif est de : 

• fournir contribution aux décideurs en matière d’éducation pour améliorer les compétences en cybersécurité,
• assurer le renforcement des capacités industrielles pour soutenir l’innovation en matière de cybersécurité,
• surmonter la fragmentation de ces capacités réparties dans l’ensemble de l’Union,
• soutenir la recherche pour faciliter et accélérer les processus de normalisation et de certification.

Ce projet destiné à faciliter le processus de normalisation et de certification, notamment ceux liés aux systèmes de certification de cybersécurité fait écho au Cyberact, projet actuellement entre les mains de ce même législateur européen.

De quoi parle-t-on ?

La communication conjointe de 2017 intitulée «Résilience, dissuasion et défense: doter l’UE d’une cybersécurité solide» a examiné la possibilité de renforcer les capacités de l’Union en matière de cybersécurité au moyen d’un Réseau de centres de compétences en cybersécurité ayant comme pierre angulaire un Centre de compétences européen en matière de cybersécurité.

• à lire sur securiteinterieure.fr : Cyberpreuves : l’UE réfléchit à une injonction judiciaire à l’encontre des plate-formes en ligne et des réseaux sociaux 

Il s’agirait de compléter les efforts actuels de renforcement des capacités dans ce domaine au niveau de l’Union et au niveau national.
Dans la communication conjointe, la Commission a exprimé son intention de lancer une analyse d’impact en 2018 afin d’examiner les options disponibles en vue de la mise en place de la structure.

Dans un premier temps, et pour alimenter la réflexion, la Commission a lancé une phase pilote dans le cadre d’Horizon 2020 afin de contribuer à la mise en réseau des centres nationaux pour insuffler un nouvel élan en ce qui concerne le développement des compétences et des technologies en matière de cybersécurité.

Lors du sommet numérique de Tallinn, en septembre 2017, les chefs d’État et de gouvernement ont enjoint l’Union de devenir «un acteur mondial de premier plan dans le domaine de la cybersécurité d’ici à 2025, afin de s’assurer de la confiance de nos citoyens, consommateurs et entreprises, d’assurer leur protection en ligne et de permettre un internet libre et réglementé».
Dans ses conclusions adoptées en novembre 2017, le Conseil a invité la Commission à fournir rapidement une analyse d’impact sur les options envisageables et à proposer, d’ici la mi-2018, l’instrument juridique pertinent pour la mise en œuvre de l’initiative.

Pourquoi cette proposition ?

Selon la proposition, l’Union doit être en mesure d’assurer de façon autonome la sécurité de ses actifs numériques et d’être compétitive sur le marché mondial de la cybersécurité.
À l’heure actuelle, l’Union est un importateur net de produits et de solutions de cybersécurité et dépend dans une large mesure de fournisseurs non européens. Sur le plan mondial, le marché de la cybersécurité, qui pèse 600 milliards d’euros, devrait croître d’environ 17 % en moyenne au cours des cinq prochaines années en matière de ventes, de nombre d’entreprises et d’emplois.
Cependant, parmi les 20 pays à la pointe en matière de cybersécurité du point de vue du marché, on ne recense que 6 États membres.

Dans le même temps, l’Union dispose d’une expertise et d’une expérience considérables en matière de cybersécurité: plus de 660 organisations de toute l’UE ont participé à la récente enquête de la Commission répertoriant les centres d’expertise en cybersécurité.
Cette expertise, si elle est transformée en produits et solutions commercialisables, pourrait permettre à l’Union de couvrir l’ensemble de la chaîne de valeur de la cybersécurité.

Pour autant, les efforts de la communauté scientifique et des milieux industriels sont fragmentés, non harmonisés et caractérisés par l’absence d’une mission commune, ce qui entrave la compétitivité de l’UE dans ce domaine ainsi que sa capacité à sécuriser ses actifs numériques.

Les secteurs de la cybersécurité (par exemple, l’énergie, l’espace, la défense, les transports) et les sous-domaines concernés ne bénéficient pas, à l’heure actuelle, d’un soutien suffisant.
Les synergies entre les secteurs civil et militaire de la cybersécurité ne sont pas non plus pleinement exploitées en Europe.

Toutefois, l’Union peut réaliser des investissements à plus grande échelle et doit disposer d’un mécanisme plus efficace qui permettrait de:

•  renforcer durablement les capacités, 
• mettre en commun les efforts et les compétences,
• stimuler le développement de solutions innovantes pour relever les défis industriels en matière de cybersécurité dans 
• le domaine des nouvelles technologies à usages multiples (par exemple, l’intelligence artificielle, l’informatique quantique, les chaînes de blocs et les identités numériques sûres);
• dans des secteurs essentiels (par exemple, les transports, l’énergie, la santé, les services financiers, l’administration, les télécommunications, l’industrie manufacturière, la défense, l’espace). 

Quels problèmes sont identifiés ?

Pus exactement, cette proposition entend résoudre différents problèmes :

• Coopération insuffisante entre les secteurs de la demande et de l’offre de cybersécurité. Les entreprises européennes doivent relever le défi de la sécurité et de l’offre de produits et de services sûrs à leurs clients. Or, les principaux actifs dans le domaine de la cybersécurité sont souvent trop coûteux pour être développés et mis en place par des acteurs individuels ;
• Absence de mécanisme de coopération efficace entre les États membres pour le renforcement des capacités industrielles pour soutenir l’innovation en matière de cybersécurité ;
• Coopération insuffisante au sein des communautés de la recherche et de l’industrie et entre celles-ci. Malgré la capacité théorique de l’Europe de couvrir l’ensemble de la chaîne de valeur de la cybersécurité, certains secteurs (par exemple, l’énergie, l’espace, la défense, les transports) sont aujourd’hui insuffisamment soutenus par la communauté scientifique ;
• Coopération insuffisante entre les communautés civile et militaire dans le domaine de la recherche et de l’innovation en matière de cybersécurité. Cette situation s’accompagne de capacités financières limitées sur le marché européen de la cybersécurité, notamment de fonds insuffisants pour soutenir l’innovation. 

Une 1e étape : le partenariat public-privé sur la cybersécurité (PPPc)

La création, en 2016, du partenariat public-privé sur la cybersécurité (PPPc) dans l’Union a constitué une première étape rassemblant les communautés de la recherche, de l’industrie et du secteur public afin de faciliter la recherche et l’innovation dans le domaine de la cybersécurité et, dans les limites du cadre financier 2014-2020, les résultats obtenus dans le domaine de la recherche et de l’innovation devraient être plus ciblés.
Le PPPc a permis aux partenaires industriels de prendre des engagements à l’égard de leurs dépenses individuelles dans les domaines définis dans le programme stratégique de recherche et d’innovation du partenariat.

Le PPPc aura généré jusqu’à 1,8 milliard d’euros d’investissements d’ici à 2020. Toutefois, l’ampleur des investissements en cours dans d’autres parties du monde (par exemple, les États-Unis ont investi 19 milliards de dollars dans la cybersécurité rien qu’en 2017) montre que l’UE doit redoubler d’efforts pour atteindre une masse critique d’investissement.

La mise en place d’un réseau et d’un centre

Cette proposition de règlement propose la création d’un Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, associé à un Réseau des centres nationaux de coordination.
Le Réseau et le centre européen apporteront un soutien supplémentaire aux dispositions et aux acteurs existants en matière de politique de cybersécurité.

Pour stimuler l’écosystème industriel et technologique de la cybersécurité en Europe, le Centre de compétence :

• facilitera et aidera à coordonner les travaux du Réseau et à dynamiser la communauté des compétences en matière de cybersécurité, en faisant progresser l’agenda technologique ;
• mettra notamment en œuvre des parties pertinentes des programmes Europe numérique et Horizon Europe, à travers l’attribution de subventions et la passation de marchés ;
• serait le principal organe de mise en œuvre des ressources financières de l’UE consacrées à la cybersécurité dans le cadre du programme pour une Europe numérique et du programme «Horizon Europe» ;
• pourrait également jouer le rôle de gestionnaire de projet, notamment en ce qui concerne le Fonds européen de la défense.

Compte tenu des investissements considérables consacrés à la cybersécurité dans d’autres parties du monde, et de la nécessité de coordonner et de mettre en commun les ressources pertinentes en Europe, le Centre de compétences se fera sous la forme d’un partenariat européen, ce qui facilitera des investissements conjoints de la part de l’Union, des États membres et/ou de l’industrie.

Quant au réseau des centres nationaux il fera intervenir un groupe important et varié d’acteurs associés au développement des technologies de cybersécurité, tels que les entités de recherche, les secteurs de l’offre, les secteurs de la demande et le secteur public.

Enfin, le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, ainsi que le Réseau de compétences en cybersécurité, œuvreront également à soutenir la recherche pour faciliter et accélérer les processus de normalisation et de certification, en particulier ceux liés aux systèmes de certification de cybersécurité.

Quelle gouvernance du centre ?

L’organe décisionnel principal est le conseil de direction, où tous les États membres sont représentés. Cependant, seuls les États membres qui participent financièrement disposent du droit de vote.
Le mécanisme de vote au sein du conseil de direction suit le principe d'une double majorité, exigeant 75 % des contributions financières et 75 % des voix. En raison de sa responsabilité à l’égard du budget de l’Union, la Commission détient 50 % des voix.

Pour les besoins de ses tâches au conseil de direction, la Commission fera appel, s’il y a lieu, à l’expertise du Service européen pour l’action extérieure.
Le conseil de direction est assisté d’un comité consultatif industriel et scientifique, afin d’assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs et les autres parties prenantes concernées.

Compte tenu de ses compétences particulières et de sa représentation large et pertinente des parties prenantes, l’Organisation européenne pour la cybersécurité, qui est l’homologue de la Commission dans le cadre du partenariat public-privé contractuel en matière de cybersécurité au titre d’Horizon 2020, devrait être invitée à contribuer aux travaux du Centre et du Réseau.

Des liens entre le Centre européen de compétences industrielle et l’ENISA

Le mandat du centre complétera les efforts déployés par l’ENISA, mais il a une orientation différente et fait appel à un autre ensemble de compétences.
Bien que le mandat de l’ENISA prévoie un rôle de conseil en matière de recherche et d’innovation dans le domaine de la cybersécurité dans l’Union européenne, le mandat proposé se concentre avant tout sur d’autres tâches essentielles au renforcement de la résilience en matière de cybersécurité dans l’Union.

En outre, le mandat de l’ENISA ne prévoit pas les types d’activités qui seraient les tâches essentielles du Centre et du Réseau, à savoir stimuler le développement et le déploiement des technologies en matière de cybersécurité et compléter les efforts de renforcement des capacités dans ce domaine au niveau de l’Union et au niveau national.

Un lien avec la cyberdéfense

Cette initiative permettra d’élaborer des programmes de formation en matière de cybersécurité dans les systèmes éducatifs civils et militaires. Il s’agira de contribuer au développement d’une main-d’œuvre qualifiée dans le domaine de la cybersécurité au niveau de l’Union, un atout majeur pour les entreprises de cybersécurité ainsi que pour d’autres secteurs concernés par la cybersécurité.
En ce qui concerne la formation et l’éducation à la cyberdéfense.
Une telle initiative complètera les travaux qui se déroulent actuellement sur la plateforme d’éducation, de formation et d’exercices dans le domaine de la cyberdéfense créée dans le cadre du Collège européen de sécurité et de défense.


synthèse du rapport par Pierre Berthelet alias securiteinterieure.fr 

• proposition de règlement

 A lire également :

• les textes complémentaires accompagnant la proposition
• Questions & Réponses
• Synthèse
• Fiche de présentation

A lire sur securiteinterieure.fr :

• Suppression en 1 heure de la propagande terroriste : les plateformes en ligne désormais au pied du mur
• Pour lutter contre les "fake news", l’Europe va se doter d’un "Forum plurilatéral sur la désinformation"
• Cyberdéfense européenne : les députés européens plaident en faveur d’un livre blanc et d’un commandement commun
• Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité 
• Cyberpreuves : l’UE réfléchit à une injonction judiciaire à l’encontre des plate-formes en ligne et des réseaux sociaux 
• Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement

Votre attention est le carburant de ma passion.

  Merci pour votre fidélité !