Règlement européen sur la cyber-solidarité
Mai 2023
L’Œil du gf2i – Le Règlement européen sur la cyber-solidarité
L’œil du gf2i – Le Règlement sur la cyber-solidarité, dernière brique du rempart européen contre les cyberattaques
Le Cyber Solidarity Act (ou Règlement sur la cyber-solidarité) est un nouveau projet de règlement européen que la Commission a présenté le 18 avril dernier. Ce projet traduit la volonté de l’Union Européenne de renforcer la coopération des Etats européens en matière de lutte contre les cyberattaques importantes, ces dernières étant de nature à ignorer les frontières.
Il s’inscrit donc dans le plus large plan réglementaire de l’Union Européenne de cybersécurité comprenant des textes comme le Cybersecurity Act ou encore le Cyber Resilience Act que nous avions déjà présenté dans un précédent Œil du gf2i. Avec ce nouveau projet, c’est 1,1 milliard d’euros que la Commission européenne va ajouter à son budget alloué à la cybersécurité qui commence véritablement à prendre de l’ampleur. L’UE s’étant déjà bien dotée en matière de cybersécurité sur les dernières années, il est nécessaire de comprendre les apports potentiels de ce projet aux règlements existants.
Quel rôle va jouer ce nouveau règlement dans le vaste plan européen de cyber protection ?
Ce nouveau texte vise particulièrement à renforcer la préparation des pays européens et leur capacité de réaction aux cyberattaques. Cela englobe la détection des attaques, leur notification entre les différentes instances nationales et le déploiement de la protection. Ce projet est donc très ambitieux et a pour originalité d’apporter un double niveau de coopération : d’abord une coopération entre les différents Etats membres, mais également entre les secteurs publics et privés.
Pour cela, ce règlement prévoit la mise en place d’une réserve de cybersécurité composée d’entreprise privées expertes en sécurité informatique, prêtes à intervenir en cas d’attaques majeures. Ces dernières seront certifiées au préalable afin de garantir leur efficacité et leur confiance. En outre, l’UE souhaite également se doter de procédures permettant de tester la vulnérabilité des infrastructures vitales des Etats comme l’énergie, la santé ou encore les transports afin de s’assurer qu’elles sont suffisamment protégées. Une procédure d’étude des précédentes cyberattaques pourrait également être mis en place, ce qui permettrait également d’identifier les potentielles failles et de les combler.
L’autre volet majeur de ce projet repose sur la mise en place d’un cyber-bouclier (CyberShield) que Thierry Breton, commissaire européen chargé du numérique, a présenté comme un dispositif de détection des menaces. Il consiste en un déploiement de multiples centres d’opérations de sécurité sur l’ensemble du territoire de l’Union qui permettront de créer du liant entre les centres de cybersécurité nationaux et de renforcer la coordination des Etats contre des attaques généralisées. Ce bouclier permettra ainsi de remédier au manque d’efficacité des systèmes de détection et de notification actuels que plusieurs experts jugent insuffisants, en raison notamment du manque de communication entre les différentes instances nationales.
Ce bouclier ne constitue pas un dispositif de riposte directe aux cyberattaques, mais plutôt un moyen de renforcer la posture de défense et de résilience de l’Union face aux menaces de grande ampleur. Il permet de répondre de manière plus efficace et coordonnée en cas d’incidents et ainsi de réduire l’impact potentiel des attaques sur les Etats membres.
De telles initiatives font-elles l’unanimité ?
Ce programme reste néanmoins contesté au sein de l’Union. Mis à part le trio France – République Tchèque – Suède qui constitue les 3 dernières présidences du Conseil de l’UE, le reste des Etats membres ne sont pas convaincus et craignent de perdre la main sur le déploiement des dispositifs de sécurité numérique. La Commission s’appuie pourtant sur le conflit russo-ukrainien, source de nombreuses attaques qui pourraient déborder sur le reste de l’Europe, pour justifier l’urgence d’un tel projet dont une partie des initiatives a d’ailleurs déjà pu être testées en Ukraine.
La Commission va encore devoir préciser ses intentions, bien qu’elle prévoie un déploiement des premières infrastructures du CyberShield dès 2024. Néanmoins, tout comme pour le reste du paquet législatif européen sur la cybersécurité, il faut dès à présent que les professionnels prennent bien connaissance de ces textes et se forment aux enjeux de la sécurité informatique pour être en capacité de lutter contre ces attaques, qui vont à l’avenir se multiplier et se diversifier. C’est d’ailleurs dans cette optique que la création d’une académie européenne de la cybersécurité a été annoncée, qui contribuera à former des experts compétents pour construire le paysage de la cybersécurité européenne de demain.
Dans cet effort commun, le gf2i a ouvert un nouvel atelier intitulé « Risque Cyber et Données » auquel nous vous invitons à participer afin de vous former aux enjeux de la cybersécurité et de partager vos réflexions sur le sujet.