La stratégie de l'UE en matière de cybersécurité va être mise à jour

 

L’évolution du contexte sécuritaire l’impose :  la grande feuille de route en matière de cybersécurité va être révisée. Les Ministres du Conseil de l’UE ont adopté des conclusions en ce sens. Ce texte fait un bilan de l’action menée et dresse un ensemble d’orientations pour l’avenir. En particulier, il est prévu une meilleure inclusion du secteur privé, une refonte du cadre de certification en cybersécurité, le développement de l'Académie des compétences en matière de cybersécurité ou encore un renforcement du cadre institutionnel cyber européen.


Le point principal : la révision de la stratégie de l'UE en matière de cybersécurité

Le Conseil de l’UE conclut qu'à la lumière de l'évolution et de l'augmentation du niveau de menace, la stratégie de l'UE en matière de cybersécurité de décembre 2020 devrait être réexaminée,

• en actualisant ses objectifs et son approche,
• en établissant un cadre clair définissant les rôles et les responsabilités de tous les acteurs impliqués,
• en assurant une coordination efficace avec le secteur privé et le monde universitaire.

Par conséquent, le Conseil de l’UE invite la Commission et le Haute représentant à:

• évaluer les résultats de la stratégie actuelle ainsi que son impact,
• à présenter sans retard, une stratégie révisée.

Un renforcement du cadre institutionnel cyber

Le Conseil de l’UE se félicite, au cours des cinq dernières années,

• du renforcement des organismes de coopération déjà existantes en matière de cybersécurité, notamment le réseau CSIRT, le groupe de coopération NIS (NIS CG), l'équipe de réponse informatique d'urgence de l'UE (CERT-EU) et l’Agence de l'Union européenne pour la cybersécurité (ENISA),
• de la création de nouvelles structures ( : e Groupe européen de certification en matière de cybercurité (ECCG), le EU- CyCLONe (European Union- Cyber Crises Liaison Organisation Network), le Centre européen de compétences en matière de cybersécurité (ECCC), le réseau des nationaux de coordination (NCC) et le réseau opérationnel militaire CERT (MICNET).

La collaboration au menu de ce cadre institutionnel cyber

Le Conseil de l’UE appelle ces structures à mettre pleinement en œuvre leur mandat et, dans le contexte d'une complexité croissante de l'écosystème européen de cybersécurité, à renforcer la coopération pour éviter une éventuelle duplication des efforts.
Le Conseil de l’UE :

• invite les réseaux de coopération pilotés par les États membres,tels que le groupe de coopération NIS et, soutenus par l'ENISA, le réseau CSIRT et EU- CyCLONe, d'établir une perspective stratégique pluriannuelle.
• appelle la Commission et le Haut Représentant, à développer à travers domaines politiques un aperçu clair des rôles et des responsabilités de toutes parties prenantes, en incluant les réseaux de l'UE, tant civils que militaires, actifs dans le domaine de la cybersécurité.

Le rôle central du Centre européen de compétences en cybersécurité (ECCC)

Le Conseil de l’UE:

•  encourage les centres nationaux de coordination et l’ECCC développer la communauté des compétences en matière de cybersécurité, en tant que forum clé pour la collaboration avec l'industrie, les organismes universitaires et de recherche, les associations, et les organismes publiques.
• Le Conseil de l’UE appelle toutes les organismes de l'Union et tous les États membres à soutenir cet effort et à préserver le rôle central des ECCC dans la coordination de la stratégie d'investissement de l'UE en matière de cybersécurité.

Vers une plus grande inclusion du secteur privé

Compte tenu du rôle crucial et de l’expertise du secteur privé dans la sécurité et le numérique le Conseil de l’UE appelle les États membres et les organismes de l’UE, dont Europol, à s'engager de manière approfondie, ouverte et coordonnée avec le secteur privé pour formuler des stratégies solides pour atténuer les risques posés par les cybermenaces. Un tel engagement pourrait inclure des communautés de partage d'informations, un soutien aux PME ou des accords de coopération sur des projets opérationnels.


Eviter un effet de silo en matière de cybersécurité

Le Conseil de l’UE :

• appelle à continuer le travail sur des normes harmonisées en matière de cybersécurité, en s'appuyant sur les travaux des organismes de normalisation européens et internationaux.
• met fermement en garde contre la fragmentation, la duplication ou le chevauchement de la réglementation en matière de cybersécurité dans l'ensemble de l'Union par des initiatives sectorielles spécifiques. Selon lui, la cybersécurité n'est pas seulement un secteur mais aussi un domaine horizontal.
• souligne la cohérence inhérente entre la politique numérique et la politique de cybersécurité et, par conséquent, il exhorte la Commission à garantir une approche cohérente dans les initiatives futures.

Le cadre de certification en cybersécurité remis sur le métier

Le Conseil de l’UE se félicite du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).
Pourtant, le Conseil de l’UE exprime sa préoccupation face au développement lent et difficile des systèmes européens de certification de cybersécurité.
Le Conseil de l’UE souhaite une révision approfondie, complète et transparente du cadre européen de certification en matière de cybersécurité, afin de permettre une adoption plus rapide et plus transparente des systèmes de certification.


Davantage d'experts suffisamment qualifiés

Le Conseil de l’UE souligne la nécessité de disposer d'un nombre suffisant d'experts qualifiés pour tous les organismes nationaux et européens dans le domaine de la cybersécurité. Il demande de poursuivre le développement de l'Académie des compétences en matière de cybersécurité et de mettre en œuvre ses actions visant à renforcer les effectifs en matière de cybersécurité.

Le Conseil de l’UE appelle à exploiter les synergies avec le CEDIC (European Digital Infrastructure Consortium) sur ce sujet ainsi qu’avec le Collège européen de sécurité et de défense et le Collège européen de police (CEPOL), notamment son Académie de Cybercriminalité.
Compte tenu de l'ampleur et de la complexité des menaces liées à la cybersécurité, le Conseil de l’UE reconnaît en outre que le financement européen à lui seul n'est pas suffisant. C'est pourquoi le il souligne l'importance d'attirer et d'investir des capitaux privés.


Assurer une meilleure résilience des infrastructures et des réseaux de communications européens

Le Conseil de l’UE se félicite de l'évaluation des risques liés à la cybersécurité et à la résilience dans ce domaine réalisée par le groupe de coopération NIS.
Il souhaite aller plus loin en appelant la Commission, le haut représentant et l'ENISA, ainsi que ce groupe de coopération NIS, à élaborer rapidement une approche cohérente et globale dans tous les secteurs en matière d'évaluation des risques et d'élaboration de scénarios, sur la base d'une méthodologie commune.
Cela devrait inclure l'établissement de priorités, la minimisation des duplications, la garantie de la qualité de ces évaluations et la création de synergies, dans le cadre d'une approche tous risques.


Une inclusion du volet « cybercriminalité »

Le Conseil de l’UE réaffirme que services répressifs doivent pouvoir accéder aux données de manière licite et ciblée des communications. Ils doivent pouvoir le faire dans le plein respect des droits fondamentaux.
Le Conseil de l’UE réaffirme par ailleurs son soutien au développement, à la mise en œuvre et à l'utilisation d'un cryptage fort en tant que moyen nécessaire à la protection des droits fondamentaux et de la sécurité numérique des individus, des gouvernements, de l'industrie et de la société.
Il invite en outre les États membres et organismes de l'UE à collaborer avec les pays et les acteurs extérieurs pour améliorer la coopération contre la cybercriminalité.
Dans à cet égard, le Conseil de l’UE se félicite:

• des travaux de la Counter Ransomware Initiative (CRI),
• de l'engagement de l'UE et de ses États membres en faveur de la déclaration commune du CRI sur les paiements par ransomware,
• du travail mené en coopération avec des États tiers, notamment par le biais d'EMPACT.

 

Un plus grand soutien envers les technologies de rupture

Le Conseil de l’UE souligne que, du point de vue de la politique de cybersécurité de l'UE, l'attention doit être portée aux défis présentés par les technologies émergentes et de rupture qui sont essentielles à notre développement futur, telles que l'IA, la technologie quantique et la technologie 6G.
Par conséquent, il invite les États membres, la Commission, l'ENISA et le groupe de coopération NIS à envisager des initiatives non législatives concrètes fondées sur les risques, telles que des feuilles de route et des plans d'action, pour orienter davantage l'action de l'UE dans ce domaine, en encourageant l'innovation. 

traduction et synthèse du texte par Pierre Berthelet alias securiteinterieure.fr

• conclusions du Conseil de l'UE
  

A lire sur securiteinterieure.fr  : 

• Rapport sur la "stratégie de l'UE pour l'union de la sécurité" : des avancées tangibles en matière de cybersécurité et des progrès de la coopération policière
  
• Protection des infrastructures numériques : le cyberbouclier européen, son mécanisme de cyberurgence et sa "réserve de l'UE pour la cybersécurité"
  
• Le projet de cyberacadémie : le monde de la sécurité intérieure est aussi concerné
  
• Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques
• Cyberattaques contre les infrastructures essentielles, cyberespionnage et guerres hybrides, l'UE veut renforcer sa stratégie de cyberdéfense (1ère partie)
• Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques (2e partie)
• L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces
• Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
• La stratégie de cybersécurité de l’UE déplore un retard de l'Europe à l'heure des tensions géopolitiques croissantes et au moment où la criminalité numérique est galopante
  
• Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes 
• Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
• Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes