Une nouvelle stratégie de cybersécurité pour l’Union européenne

En septembre 2017, la Commission européenne a dévoilé de nouvelles propositions visant à renforcer les structures de cybersécurité de l’Union européenne (UE), à équiper l’Europe d’outils adéquats pour réagir aux cyberattaques et à maintenir une autonomie stratégique dans ce domaine.

Une nouvelle stratégie de cybersécurité pour l’Union européenne

En septembre 2017, la Commission européenne a dévoilé de nouvelles propositions visant à renforcer les structures de cybersécurité de l’Union européenne (UE), à équiper l’Europe d’outils adéquats pour réagir aux cyberattaques et à maintenir une autonomie stratégique dans ce domaine.

La cybersécurité revêt une signification particulière alors que l’Estonie exerce la présidence du Conseil de l’UE. En effet, l’Estonie a connu en 2007 une vague de cyberattaques, désormais reconnue comme la première cyber guerre dans le monde. Le paysage du risque cyber a changé depuis ces attaques en Europe et la cybersécurité ne constitue plus un sujet isolé, compris et abordé par une seule petite poignée d’experts.
Outre les réformes législatives, les cyberattaques de grande envergure telles que WannaCry et NotPetya ont porté les enjeux de la cybersécurité à l’attention du grand public. Les chiffres récents confirment cette tendance : 80% des entreprises européennes ont subi au moins une cyberattaque l’année passée ;les utilisateurs européens d’Internet reçoivent plus de 4 000 « rançongiciels » (ransomware) par jour. Alors que nos vies quotidiennes et nos économies dépendent de plus en plus des nouvelles technologies, il est devenu vital de s’assurer que nos terminaux mobiles et nos réseaux sont mieux protégés et équipés pour prévenir les cyberattaques.

En révisant la précédente stratégie cybersécurité de 2013, la Commission manifeste sa volonté d’adapter la législation aux besoins et menaces actuelles et de de travailler avec l’industrie, à travers des partenariats public-privé. Cet article vous aidera à décrypter les nouvelles propositions de la Commission européenne en matière de cybersécurité.

Le paquet cybersécurité en bref

Ce paquet repose sur trois piliers: résilience, dissuasion et défense. En d’autres termes, la Commission souhaite mettre l’accent sur le développement des capacités techniques, la nécessité de l’autonomie stratégique, les compétences numériques et la sensibilisation des citoyens européens ainsi que la création d’un marché unique dans le domaine de la cybersécurité.

Une plus grande résilience

La Commission insiste tout d’abord sur la transposition de la directive NIS (Network and Information Security) par les Etats Membres. Elle la considère comme une condition sine qua non pour le développement de la cyber-résilience. La directive NIS est le premier texte législatif au niveau européen en matière de cybersécurité et sa date limite de transposition approche : elle a été fixée à mai 2018. L’un des changements introduits par cette directive est la demande faite aux fournisseurs de services numériques de notifier aux autorités compétentes tout incident ayant un impact substantiel sur la fourniture de service en ligne. La Commissison souhaite aussi mettre l’accent sur l’’hygiène numérique’ des utilisateurs. La Commission demande aux Etats Membres d’inclure un volet cybersécurité dans les programmes scolaires secondaires et supérieurs, qu’ils soient professionnalisant ou non. Elle recommande également la généralisation de campagnes d’information visant à partager les bonnes pratiques en matière de cybersécurité. De plus, la Commission a soumis l’idée de la création d’un guichet unique permettant de signaler les cyberattaques et de fournir une assistance ou tout simplement d’informer en amont les utilisateurs.

Par ailleurs, la Commission propose de créer un Centre européen de recherche et de compétence afin de pallier la pénurie de compétences et de maintenir une certaine autonomie stratégique. Cette initiative inclurait la mise en place de systèmes d’apprentissage professionnel pour les PME, s’inspirant d’initiatives déjà existantes au niveau national. Du côté de l’industrie, la Commission préconise une approche ‘security by design’ (ou en français l’intégration de la sécurité dès la conception). Une autre disposition également discutée pour accroitre le niveau de confiance des utilisateurs envers leurs terminaux digitaux serait la mise en place de cadres européens de certification de cybersécurité. De tels labels informeraient et rassureraient les utilisateurs européens selon la Commission. Ce cadre serait piloté par l’ENISA (l’agence européenne de la sécurité des réseaux et de l’information) laquelle recevrait un mandat renforcé. Ce nouveau mandat inclurait également un rôle de conseiller consolidé pour l’agence sur la mise en oeuvre de la politique européenne en la matière. ENISA pourrait également servir de Centre de Crise Cybersécurité, au profit des Centres nationaux de réponses aux urgences informatiques (CSIRTs).

Dissuader les cyber attaquants

On entend par dissuasion le fait de décourager ses adversaires et attaquants malveillants d’agir : cela peut se faire par exemple en instillant en l’attaquant un doute vis-à-vis de ses capacités ou même en lui faisant craindre les conséquences de son attaque. Les instruments de dissuasion incluent des mesures efficaces de poursuites et de répression en cas d’entorse à la loi, s’appuyant sur le soutien de cyber experts judiciaires. La dissuasion passe également par des habitudes digitales et l’utilisation d’outils adéquats.

A cet effet, la Commission encourage la transition vers et l’utilisation du nouveau protocole internet, IPv6, qui offre l’avantage d’affecter à chaque utilisateur une adresse IP unique à des fins d’identification et de géolocalisation précises. Si cette pratique était généralisée, elle faciliterait les procédures d’enquêtes en ligne et l’identification d’individus malveillants.

La Commission considère également le rôle du cryptage des données dans le cadre d’enquêtes criminelles afin d’améliorer les procédures standards d’enquêtes judiciaires et la collecte d’e-preuves. Par ailleurs, la multiplication de cas d’utilisations frauduleuses de cartes de crédit en ligne est une autre activité cybercriminelle redoutée par les utilisateurs. Afin de dissuader celle-ci, la Commission présente une directive de lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces.

Une vision globale pour la stratégie cybersécurité et la coopération en matière de défense

Puisque le monde numérique ne connaît pas de frontières, la Commission met l’accent sur le partage d’informations transfrontalier en Europe et au-delà, la promotion d’une coopération internationale renforcée afin de faciliter la prévention et la dissuasion de cyberattaques. La Commission souhaite construire et entretenir des alliances avec des pays tiers pour promouvoir une stabilité globale sur le Net. Réciproquement, la création d’une ‘boite à outils cyberdiplomatique’, dans le cadre des instruments de la Politique étrangère et de sécurité commune, montre que l’UE est prête à répondre avec un éventail de mesures, incluant des sanctions, si des acteurs étatiques ou non menaçaient l’intégrité du cyber espace européen. Concernant la coopération en cyber défense, la Commission souhaite voir le rapprochement UE-OTAN se concrétiser à travers des entraînements et exercices communs ainsi que l’interopérabilité des normes de cybersécurité entre les deux entités.

La Commission européenne a exprimé le souhait de voir cette nouvelle stratégie adoptée avant la fin de son mandat, en 2019.

Orange et la cybersécurité

Orange Business Services assure une offre de services de sécurité dans 160 pays et territoires, opérationnels 24/7/365. Nous comptons plus de 100 experts, travaillant ensemble dans nos six Security Operations Centers (SoC) répartis dans le monde. Nous assurons la sécurité de plus de 600 entreprises multinationales et de leurs 400 000 utilisateurs à distance. De plus, nous nous appuyons sur nos laboratoires R&D et un laboratoire d’épidémiologie qui étudie et intègre chaque jour la menace de 20 000 à 30 000 logiciels malveillants non encore détectés par les solutions standard de sécurité.