La stratégie de cybersécurité de l’UE déplore un retard de l'Europe à l'heure des tensions géopolitiques croissantes et au moment où la criminalité numérique est galopante

 

securiteinterieure.fr revient sur la nouvelle stratégie de cybersécurité de l’UE. La situation qui y est dépeinte n'est pas reluisante : l'Europe est à la traine au moment des rivalités géopolitiques entre la Chine et les Etats-Unis et du développement exponentiel de la cybercriminalité.
Bon nombre d'entreprises sont mal outillées et mal préparées en matière de cybersécurité et beaucoup de postes de professionnels dans ce domaine restent à pourvoir.
Mais il y a plus grave. : il n'existe toujours pas de panorama global des cybermenaces faute d'échange approprié d'informations entre Etats membres, de même qu'entre autorités publiques et secteur privé.  Quant à une réponse coordonnée en cas de cyberincident transfrontière de portée majeure, elle est encore à l'état de gestation. 

• Voici donc la 1e partie de la synthèse. Pour la deuxième partie, lire sur securiteinterieure.fr : Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
  

De quoi parle-ton ?

La nouvelle stratégie de cybersécurité de l’UE pour la décennie numérique constitue un élément clé :

• de la stratégie «Façonner l’avenir numérique de l’Europe»,
• du plan de relance pour l’Europe de la Commission,
• de la stratégie pour l’union de la sécurité 2020-2025,
• de la stratégie globale pour la politique étrangère et de sécurité de l’UE
• du programme stratégique 2019-2024 du Conseil européen.

Elle :

• expose la manière dont l’UE protégera ses citoyens, ses entreprises et ses institutions contre les cybermenaces,
• vise à  progresser la coopération internationale.

Elle considère que l’UE à ce propos devrait fixer des normes pour des solutions mondiales et des normes de cybersécurité pour les services essentiels et les infrastructures critiques, ainsi que pour la mise au point et l’application de nouvelles technologies.

• A lire sur securiteinterieure.fr :  Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber

Quels sont les 3 axes de la stratégie ?

• Cette stratégie vise à garantir un internet ouvert et mondial doté de solides garde-fous pour faire face aux risques pour la sécurité et les libertés et droits fondamentaux des citoyens en Europe.
• Ensuite, cette stratégie vise par la mise en œuvre intégrale des outils réglementaires, la mobilisation et la coopération, à aider les États membres à défendre leurs citoyens, ainsi que leurs intérêts économiques et nationaux en matière de sécurité, dans le plein respect des libertés et droits fondamentaux et de l’état de droit.
• Enfin, cette stratégie vise à promouvoir une collaboration entre l’UE les pays tiers, les organisations internationales et la communauté pluripartite. Il s’agit d’élaborer et de mettre en œuvre une politique internationale cohérente et globale relative au cyberespace. La stratégie rappelle que l’UE, en tant que bloc économique et commercial fort, fondé sur des valeurs démocratiques essentielles, le respect de l’état de droit et des droits fondamentaux, occupe aussi une position unique pour jouer un rôle moteur dans la définition et la promotion de normes et règles internationales.

• A lire sur securiteinterieure.fr :   Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes

Et où va-t-on ?

La mise en œuvre concertée de cette stratégie contribuera à une décennie numérique cybersécurisée pour l’UE, à la réalisation d’une union de la sécurité et au renforcement de la position de l’UE à l’échelle mondiale.
La Commission et le haut représentant, en fonction de leurs compétences respectives, suivront les progrès réalisés dans le cadre de la présente stratégie et élaboreront des critères d’évaluation. Ce suivi s’appuiera sur les rapports de l’ENISA et les rapports réguliers de la Commission sur l’union de la sécurité. Les résultats nourriront les prochains objectifs de la décennie numérique.
La Commission et le haut représentant :

• continueront de dialoguer avec les États membres en vue de définir des mesures pratiques pour rapprocher les quatre communautés de la cybersécurité dans l’UE
• celle des infrastructures critiques,
• celle de la résilience du marché intérieur,
• celle de la justice et des services répressifs,
• celle de la cyberdiplomatie et de la cyberdéfense.
• poursuivront leurs échanges avec la communauté multipartite

•  A lire sur securiteinterieure.fr : L'UE présente un plan sur la cybersécurité

 

Quel est le constat dressé ? Un monde toujours plus connecté

L’augmentation de l’utilisation de l’internet et l’évolution des modèles dues à la pandémie ont mis davantage en lumière la fragilité des chaînes d’approvisionnement qui dépendent de cette infrastructure numérique. Les transports, l’énergie et la santé, les télécommunications, la finance, la sécurité, les processus démocratiques, l’espace et la défense dépendent fortement de réseaux et de systèmes d’information de plus en plus interconnectés.
Le paysage industriel de l’UE est de plus en plus numérisé et connecté; cela signifie également que les cyberattaques peuvent avoir un impact bien plus important que jamais sur les industries et les écosystèmes.

Le nombre d’appareils connectés dépasse déjà le nombre d’habitants de notre planète et devrait atteindre 25 milliards d’ici à 2025. Or, un quart de ces appareils se trouveront en Europe.
La numérisation des formes de travail accroît les vulnérabilités aux cyberattaques. 

• A lire sur securiteinterieure.fr : Pour le Sénat, si l'UE est déjà une colonie du monde numérique, elle ne doit pas devenir une colonie de l'intelligence artificielle

Des tensions géopolitiques croissantes

Le panorama de la menace se double de tensions pesant sur l’internet mondial et ouvert et sur le contrôle des technologies tout au long de la chaîne d’approvisionnement.
Ces tensions se reflètent dans l’augmentation du nombre d’États-nations érigeant des frontières numériques.

Selon la stratégie, le cyberespace est de plus en plus exploité à des fins politiques et idéologiques, et la polarisation accrue au niveau international entrave le multilatéralisme effectif.
Les menaces hybrides combinent des campagnes de désinformation avec des cyberattaques contre les infrastructures, les processus économiques et les institutions démocratiques, avec pour effets possibles de causer des dommages physiques, de permettre un accès illicite aux données à caractère personnel, de faciliter le vol de secrets industriels ou d’État, de semer la méfiance et d’affaiblir la cohésion sociale.

Quant au ciblage malveillant des infrastructures critiques, ce phénomène constitue un risque majeur à l’échelle mondiale.
L’économie et la société européennes sont ainsi exposées aux perturbations géopolitiques ou techniques qui touchent le cœur de l’internet (système de noms de domaine (DNS), communications, hébergement.

Une criminalité numérique galopante

En 2019, la stratégie estime à 700 millions le nombre de nouveaux échantillons de logiciels malveillants, le moyen le plus fréquent de faciliter une cyberattaque.
Le coût annuel de la cybercriminalité pour l’économie mondiale en 2020 est estimé à 5,5 milliards d’euros, soit le double de 2015.
Il s’agit du plus grand transfert de richesse économique de l’histoire, avant le commerce mondial de drogue.
Un incident majeur, l’attaque perpétrée à l'aide du logiciel rançonneur Wannacry en 2017, a généré un coût pour l’économie mondiale estimé à plus de 6,5 milliards d’euros.

• A lire sur securiteinterieure.fr :   Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes

Des chiffres inquiétants

Selon la stratégie, 450 incidents de cybersécurité en 2019, qui ont touché des infrastructures critiques européennes telles que la finance et l’énergie. Les organisations de soins de santé et les professionnels de la santé ont été particulièrement touchés pendant la pandémie.
Environ deux cinquièmes des utilisateurs de l’UE ont rencontré des problèmes liés à la sécurité et trois cinquièmes se sentent incapables de se protéger contre la cybercriminalité.

Un tiers d’entre eux des utilisateurs a reçu des courriels frauduleux ou des appels téléphoniques demandant des informations personnelles au cours des trois dernières années.
Or :

• 83 % n’ont jamais signalé d’acte de cybercriminalité. Une entreprise sur huit a été touchée par des cyberattaques,
• plus de la moitié des ordinateurs personnels d’entreprises et de particuliers qui ont été infectés une fois par des logiciels malveillants sont réinfectés au cours de la même année.
• des centaines de millions d’enregistrements sont perdus chaque année à la suite de violations de données. Le coût moyen d’une violation pour une seule entreprise est passé à plus de 3,5 millions d’euros en 2018.

Des lacunes encore plus inquiétants

Toujours d'après la stratégie, plus de deux tiers des entreprises, en particulier les PME, sont considérées comme des «novices» en matière de cybersécurité et les entreprises européennes sont considérées comme moins bien préparées que les entreprises d’Asie et d’Amérique.
En outre, 291 000 postes de professionnels de la cybersécurité restent à pourvoir en Europe.

L’UE ne dispose pas d’une connaissance collective de la situation en matière de cybermenaces.
Cela s’explique par le fait que les autorités nationales ne collectent et ne partagent pas systématiquement les informations - telles que celles disponibles dans le secteur privé - qui pourraient aider à évaluer l’état de la cybersécurité dans l’UE.

Seule une partie des incidents est signalée par les États membres et le partage d’informations n’est ni systématique ni exhaustif; les cyberattaques  peuvent n’être qu’une facette d’attaques malveillantes concertées contre les sociétés européennes.

Il n’existe actuellement qu’une assistance opérationnelle mutuelle limitée entre les États membres et aucun mécanisme opérationnel n’est en place entre les États membres et les institutions, agences et organes de l’UE pour faire face à d’éventuels incidents de cybersécurité ou crises transfrontières de grande ampleur.

• à lire sur securiteinterieure.fr : L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"

Quelles initiatives à prendre ?
 

Selon la stratégie, l’UE devrait veiller à:

• adopter la directive sur la sécurité des réseaux et de l’information (SRI) révisée;
• adopter des mesures réglementaires pour un internet des objets sécurisés;
• atteindre, grâce à l’investissement du Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et du Réseau de centres nationaux de coordination (CCCN), jusqu’à 4,5 milliards d’EUR d’investissements publics et privés sur la période 2021-2027;
• mettre en place un réseau européen de centres des opérations de sécurité reposant sur l’IA et une infrastructure de communication ultrasécurisée exploitant les technologies quantiques;
• favoriser l’adoption généralisée des technologies de cybersécurité grâce à un soutien spécifique aux PME dans le cadre des pôles d’innovation numérique;
• mettre au point un service de résolution de noms de domaine de l’UE en tant que solution de remplacement sûre et ouverte d’accès à l’internet pour les citoyens, les entreprises et les administrations publiques de l’UE;
• achever la mise en œuvre de la «boîte à outils» de la 5G d’ici le deuxième trimestre de 2021.

•  à lire sur securiteinterieure.fr : "L’agence européenne de cybersécurité ne doit pas être un donneur d’ordre aux agences nationales"

En outre, l’UE devrait:

• achever le cadre européen de gestion des crises en matière de cybersécurité
• définir le processus, les étapes et un calendrier pour la mise en place de l’unité conjointe de cybersécurité;
• poursuivre la mise en œuvre du programme en matière de cybercriminalité dans le cadre de la stratégie pour l’union de la sécurité;
• encourager et faciliter la mise en place d’un groupe de travail des États membres sur le cyber-renseignement au sein de l’INTCEN de l’UE;
• faire progresser la position de l’UE en matière de cyberdissuasion pour empêcher les actes de cybermalveillance, les décourager, les prévenir et y faire face;
• réexaminer le cadre stratégique de cyberdéfense;
• faciliter l’élaboration des «stratégie et vision militaires de l’UE sur le cyberespace en tant que domaine d’opérations» pour les missions et opérations militaires de la PSDC;
• soutenir les synergies entre les industries civile, de la défense et de l’espace;
• renforcer la cybersécurité des infrastructures spatiales critiques dans le cadre du programme spatial.

Par ailleurs, la stratégie préconise de :

• définir un ensemble d’objectifs pour les processus internationaux de normalisation et les promouvoir au niveau international;
• faire progresser la sécurité et la stabilité internationales dans le cyberespace, notamment grâce à la proposition de l’UE visant à renforcer le comportement responsable des États dans le cyberespace au sein des Nations unies;
• renforcer et promouvoir la convention de Budapest sur la cybercriminalité, en particulier à travers ses travaux sur le deuxième protocole additionnel à la convention de Budapest;
• élargir le dialogue de l’UE sur le cyberespace avec les pays tiers et les organisations régionales et internationales, notamment au moyen d’un réseau européen informel de cyberdiplomatie;
• renforcer les échanges avec la communauté multipartite, notamment grâce à des échanges réguliers et structurés avec le secteur privé, le monde universitaire et la société civile;
• proposer un programme de renforcement des cybercapacités externes de l’UE et un comité européen pour le renforcement des cybercapacités.

synthèse du texte par Pierre Berthelet alias securiteinterieure.fr

• stratégie européenne de cybersécurité

 

et à lire également :

• communiqué de presse 
• Fiche d'information
• Questions/réponses

 

A lire sur securiteinterieure.fr  : 

•  Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
•  Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes
• Rançonlogiciels, hameçonnage et attaques par ordinateurs zombie : 3 menaces sur le podium de la cybersécurité cette année (iOCTA2019)  
• Cybersécurité : un rapport du Sénat note une très bonne collaboration entre la France (ANSSI & Gendarmerie) et les agences européennes
• Crise du Covid-19 : selon Europol, le cybervirus se répand de manière exponentielle
• "Espace européen des données" : pas de liberté, sans (cyber)sécurité 
  
• Accès aux preuves électroniques : l’Europe pose ses conditions pour un accord international avec les Etats-Unis
• "L’agence européenne de cybersécurité ne doit pas être un donneur d’ordre aux agences nationales" 
• Cybercriminalité : vers une nouvelle législation européenne sur l’accès et la conservation des données aux fins d’enquête
• Cyberpreuves : l’UE réfléchit à une injonction judiciaire à l’encontre des plate-formes en ligne et des réseaux sociaux
• Pour l’Assemblée nationale, il est urgent que l’Europe s’implique davantage pour promouvoir l’innovation de rupture dans la compétition mondiale
• Cybersécurité : un rapport préconise d’avoir une vision plus harmonisée des opérateurs de services essentiels (OES)
• Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement
• L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"
• Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité 
• Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement
• Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité 
• L'Assemblée nationale plaide en faveur d'un "Livre blanc européen sur la Défense