La Commission européenne présentera, mardi 18 avril, sa stratégie pour lutter contre les cyberattaques ('Cyber Solidarity Act'). Le texte devrait comporter un ensemble de mesures importantes, notamment la création d’un ‘cyber bouclier’.
« Notre ambition est de créer un ‘bouclier cyber européen’ qui permettra de mieux détecter les attaques en amont », a déclaré le commissaire européen chargé du Marché intérieur, Thierry Breton, qui indique vouloir réduire le délai de détection des logiciels malveillants et autres attaques.
« Nous voulons réduire ce temps à quelques heures », a-t-il expliqué, mercredi 5 avril, lors du Forum international de la cybersécurité. Le délai moyen entre une attaque et sa détection est actuellement de 190 jours.
Le texte devrait aussi prévoir d’attribuer le rôle aux futurs Centres opérationnels de cybersécurité (SOC) de détecter les cyberattaques. Au nombre de cinq ou six à travers l’UE, ces centres opérationnels devraient constituer une constellation d’infrastructures. Les premiers centres devraient être opérationnels dès 2024 et représenter un investissement d’un milliard d’euros. Le montant de cette somme serait aux deux tiers issus des fonds de l’UE.
Outre ces SOC dotés de systèmes d’intelligence artificielle et de supercalculateurs, le futur 'Cyber Solidarity Act' devrait aussi impliquer la mise en place d’une 'réserve cyber' « constituée de plusieurs milliers d’intervenants », a déclaré M Breton.
Cette réserve serait composée d’experts issus des domaines public et privé, et serait, sur base du volontariat, mobilisable en cas d’urgence. Certains de ces experts pourraient être issus des rangs de la future ‘Cyber Skill Academy’, dont Thierry Breton a annoncé la création.
Des solutions pour revoir à la hausse la coopération entre les États membres devraient aussi faire partie du texte afin de réduire les risques de cyberattaques et d’améliorer la résilience des infrastructures importantes de l’UE, telles que les hôpitaux, les centrales d’énergie ou encore les réseaux numériques. Cette coopération reposerait, en partie, sur l’échange d’informations.
Le texte, qui sera présenté le 18 avril par la Commission, viendra compléter l’arsenal législatif de l’UE, déjà composé de plusieurs dossiers importants en matière de cybersécurité. En septembre dernier, la Commission européenne avait présenté sa proposition visant à augmenter le niveau de sécurité de tous les objets connectés (EUROPE 13122/16). Ce texte prévoit, entre autres, d’augmenter la part de responsabilité pesant sur les fabricants et fournisseurs d’objets connectés et d’améliorer les signalements des vulnérabilités et autres problèmes.
En novembre 2022, le Conseil de l’UE avait formellement adopté l’un des piliers majeurs de la lutte contre les cybermenaces, la directive révisée 'NIS 2' (EUROPE 13072/30), qui vise un niveau commun élevé de cybersécurité dans toute l’UE. Les dispositions de la directive 'NIS 2' devront être appliquées par les États membres au plus tard le 18 octobre 2024. (Thomas Mangin)