La Commission européenne a procédé, mardi 19 septembre, à la présentation officielle de sa stratégie en matière de cybersécurité. Celle-ci vise notamment à renforcer le mandat de l’Agence de cybersécurité (ENISA), coordonner la réponse des États membres, préparer les professionnels du secteur et certifier les produits résistants.
Ces mesures – détaillées dans un bulletin précédent (EUROPE 11861) - ont été adoptées la semaine passée à Strasbourg, dans le cadre du discours sur l’état de l’Union du président de la Commission européenne, Jean-Claude Juncker. Leur présentation à Bruxelles a donc surtout été l’occasion pour le vice-président Andrus Ansip (Marché unique numérique) et les commissaires Julian King (Union de la sécurité) et Mariya Gabriel (Société et économie numériques) de présenter leurs priorités respectives à la presse. Tous ont souligné l’urgence de répondre ensemble aux cybermenaces : rien qu’en 2016, l’UE a enregistré plus de 4 000 attaques par rançongiciel par jour et 80% des entreprises européennes ont connu au moins un incident lié à la cybersécurité.
Les cybermonnaies encadrées
Le commissaire Julian King a mis l’emphase sur la proposition de directive pour lutter contre la fraude et la contrefaçon des moyens de paiement autres que les espèces. « Ces monnaies sont une importante source de revenus pour la criminalité organisée et sont propices à d’autres activités criminelles comme le terrorisme, le trafic de stupéfiants et la traite des êtres humains », a-t-il noté. La proposition élargit aux monnaies virtuelles le champ de l’actuelle décision-cadre du Conseil 2001/413/JAI incriminant la fraude aux moyens de paiement autres que les espèces. Parmi les autres changements, elle précise l'étendue de la compétence juridictionnelle des États membres en ce qui concerne ces infractions, introduit des règles communes relatives au niveau des peines (de 2 à 5 ans pour les peines les plus élevées) et garantit les droits des victimes de la cybercriminalité.
Certification et qualifications
La commissaire Mariya Gabriel a, quant à elle, insisté sur les changements apportés au fonctionnement de l’Agence européenne de cybersécurité (ENISA). Elle a indiqué que la proposition de règlement allait pérenniser le mandat de l’agence, augmenter son personnel de moitié et accroître ses missions, notamment par l’organisation d’exercices annuels de cybersécurité paneuropéens ou encore la création de centres d'échange et d'analyse d'informations. À noter que cette même proposition de règlement suggère la mise en place d'un cadre européen de certification « pour garantir que les produits et les services répondent à toutes les exigences de cybersécurité applicables ». Ce système volontaire sera développé de concert avec l'industrie et les États membres sur base de trois priorités européennes, à savoir : la sécurité accrue des applications critiques ou à haut risque ; la cybersécurité des produits/réseaux/systèmes/services numériques utilisés par les secteurs privé et public pour se défendre contre les attaques ; l'utilisation de méthodes de « sécurité lors de la conception » pour les objets connectés fortement utilisés.
Parallèlement, la Commission lancera un projet pilote en 2018 pour développer un centre européen de recherche et de compétences en matière de cybersécurité.
Un mécanisme de réaction coordonné
Troisième et dernière initiative législative présentée dans le cadre de la nouvelle stratégie : une proposition de recommandation visant à garantir une réaction rapide de l'UE et des États membres en cas de cyberattaque de grande ampleur. Cette recommandation demande parallèlement aux États membres et aux institutions de l'UE de créer un cadre de l'UE pour la réaction aux crises de cybersécurité afin de traduire le plan d'action en mesures concrètes. Ce plan devra ensuite être régulièrement mis à l'épreuve dans le cadre d'exercices de gestion de crise dans le domaine de la cybersécurité et d'autres domaines.
La communication qui accompagne la stratégie va plus loin en envisageant la possibilité de créer un fonds d'intervention pour les urgences en matière de cybersécurité. Ce fonds pourrait venir en aide aux États membres qui ont appliqué de manière responsable l'ensemble des mesures de cybersécurité prescrites par la législation de l'UE et victimes de cyberattaques.
Réactions
L’association DIGITALEUROPE s’est félicitée, dans un communiqué, de la proposition de règlement concernant la libre circulation des données non personnelles dans l'UE. « Mettre fin à la localisation forcée des données non personnelles est une nette amélioration du fonctionnement du marché unique de l'UE qui est actuellement trop fragmenté pour l'économie numérique », écrit l’association. DIGITALEUROPE appelle maintenant les colégislateurs à rester concentrés sur les impacts économiques et sociétaux positifs de la proposition et à limiter clairement les mesures justifiées de localisation des données à ce qui est strictement nécessaire à la sécurité du public.
Du côté du PE, la stratégie a été plutôt bien reçue, le député allemand Jan Philipp Albrecht (Verts/ALE) rappelant que la confiance des citoyens dans le marché unique numérique se gagne avec « la sécurité du Net ». « Nous avons besoin de règles claires et de normes de sécurité informatique pour les fabricants de matériel et de logiciels. Les fournisseurs de logiciels commerciaux devront être entièrement responsables des lacunes de sécurité dans leurs produits et offrir des mises à jour dès que possible. La directive européenne sur la responsabilité concernant les produits doit également s'appliquer aux logiciels », écrit le député. Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht, a aussi salué ces propositions qui renforcent le mandat de son agence. Ces initiatives amélioreront le marché unique et renforceront l’industrie numérique européenne, a-t-il souligné dans un communiqué. [lien vers les documents : https://ec.europa.eu/digital-single-market/en/policies/cybersecurity #usefullinks] (Sophie Petitjean avec Solenn Paulic)