La Cour des comptes européenne a publié, mardi 29 mars, un rapport spécial dans lequel elle pointe la préparation insuffisante des institutions, organes et agences de l’UE (IOAUE) face aux menaces en matière de cybersécurité.
Le rapport spécial souligne que le niveau de préparation face aux cybermenaces diffère selon les institutions, organes et agences de l’UE, mais qu’il n’est « globalement jamais à la hauteur », alors que les menaces « toujours plus complexes ont décuplé entre 2018 et 2021 ».
En outre, la « forte » interconnexion entre les différentes entités - y compris avec des acteurs publics ou privés situés dans les États membres - peut provoquer un effet ‘domino’ en cas d’attaque, détaille le rapport.
La Cour des comptes européenne estime également que, faute de ressources suffisantes, l'équipe d'intervention en cas d'urgence informatique pour les OAIUE (CERT-UE) et l'Agence de l'Union européenne pour la cybersécurité (ENISA) n’ont pas été en mesure de fournir une assistance efficace en matière de cybersécurité.
La Cour des comptes émet plusieurs recommandations pour résoudre cette absence « d’approche cohérente » imputée, entre autres, au manque de formation et de partage des informations entre institutions, organes et agences de l’UE, ainsi qu’à une affectation des ressources variant fortement en leur sein.
Le rapport plaide ainsi pour que l’ENISA et la CERT-UE se concentrent davantage sur les OIAUE les moins avancées dans le domaine de la cybersécurité. Le rapport invite aussi la Commission à améliorer la préparation des IOAUE en « proposant un texte législatif qui instaurerait des règles contraignantes communes » et à revoir les ressources à la hausse.
La Commission avait pris les devants sur ce sujet en présentant, le 22 mars dernier, deux propositions législatives visant à rendre l’ensemble des institutions et organes de l’UE plus résilients face aux cyberattaques (EUROPE 12916/21).
Voir le rapport : https://aeur.eu/f/10w (Thomas Mangin)