Très attendue, la révision du cadre législatif européen de cybersécurité (Cybersecurity Act, CSA) a été présentée à Strasbourg, mardi 20 janvier, par la Commission européenne. Le texte devait répondre aux inquiétudes européennes sur les risques posés par certains opérateurs et fournisseurs issus de pays tiers, jugés comme potentiellement à risque pour la souveraineté et l'intégrité de l'Union (EUROPE 13786/14).
La Chine dans le viseur
Dans les faits, le texte révisé propose effectivement un cadre pour permettre à la Commission européenne et aux États membres d'imposer des restrictions (accès aux marchés publics, à certains programmes européens, aux organismes de standardisation ou aux certifications de cybersécurité), voire une exclusion de fait à certains fournisseurs ou équipementiers, qui seraient intégrés dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC) de l'UE, ou dans son secteur des télécommunications.
Bien qu'aucun pays tiers ni fournisseur, équipementier ou opérateur ne soit désigné dans le texte, l'idée est bien de construire un cadre juridique pour légitimer l'exclusion de certains acteurs du marché de l'UE sur des bases de sécurité nationale et transnationale.
La Chine fait office d'‘usual suspect’ dans cette affaire, mais cette interdiction pourrait potentiellement s'étendre à tout acteur ou pays cochant un ou plusieurs des critères détaillés dans le texte et qui serait désigné par la Commission.
Cette désignation interviendrait à l'issue du processus législatif, après plusieurs analyses de risques dédiées dans chaque secteur prioritaire, tels que les systèmes d'approvisionnement en eau, les services de 'cloud' ou les équipements de surveillance. Ces analyses pourraient être initiées à la demande de la Commission seule ou de trois États membres au minimum.
Si, au bout de six mois, le risque soupçonné est avéré, la Commission aura le pouvoir, par un acte d'exécution, d'inscrire le pays concerné sur la liste des pays ‘à haut risque’ pour la cybersécurité des chaînes d'approvisionnement des TIC de l'Union.
À partir de là, toute entité issue de ce pays, ou contrôlée par ce pays, pourrait se voir infliger des restrictions, voire une exclusion dans les cas jugés les plus dangereux pour la cybersécurité européenne.
Sur le plan particulier des télécommunications, le texte est construit sur la base de la 'boîte à outils 5G', qui date de 2020 (EUROPE 13202/3). À l'époque, la Commission européenne avait avalisé l'éviction volontaire de Huawei et ZTE du secteur européen des télécommunications par une dizaine d'États membres. Les deux entreprises avaient été désignées comme étant des ‘fournisseurs à haut risque’ en raison de leur soumission à « des lois très intrusives de pays tiers en matière de renseignement national et de sécurité des données ».
Toutefois, le compte est loin d'y être : l'Espagne a récemment signé un contrat avec Huawei « pour la fourniture de serveurs destinés à stocker les écoutes téléphoniques autorisées par les tribunaux espagnols », une décision qui a fait réagir assez durement la commissaire chargée de la Souveraineté technologique, Henna Virkkunen, - qui a dit craindre « le risque accru d'ingérence étrangère » (EUROPE 13711/12) - et qui a joué dans la révision du CSA.
« La 'boîte à outils 5G' était essentielle et recommandait d'exclure les fournisseurs à haut risque, mais cela ne fonctionne pas sur une base volontaire, c'est pourquoi nous proposons cette législation », a détaillé la commissaire européenne.
Certification européenne de cybersécurité
La révision du texte remet aussi au goût du jour un autre vieux chantier européen, celui des 'Schémas de certification de cybersécurité', avec un ‘Cadre européen renouvelé de certification en matière de cybersécurité’ (ECCF).
Dans le détail, ces schémas devraient « assurer une protection contre le stockage, le traitement, l'accès ou les fuites accidentels ou non autorisés », contre « toute manipulation ou modification non autorisée » et assurer que les produits, services et processus TIC « ne contiennent pas de vulnérabilités exploitables connues ».
Le nouveau texte élargit le champ d'action de ces schémas, qui concernerait désormais toute la chaîne TIC. Ce retour en force préfigure une reprise du débat autour de l'ambition des schémas et des exigences spécifiques et techniques à leur obtention, tels que la localisation des données ou la protection contre l'extraterritorialité de certaines lois étrangères (EUROPE 13394/9).
Enfin, comme déjà rapporté dans nos lignes, l'ENISA se voit confier un rôle bien plus important pour chapeauter et harmoniser la cybersécurité européenne.
Cette désignation de pays posant un ‘haut risque’ pour la cybersécurité de l’UE et le potentiel d'exclusion sur des bases de sécurité intérieure sont une première pour l'Union.
Voir le CSA révisé : https://aeur.eu/f/kbk (Isalia Stieffatre)