Protection des données à caractère personnel, signatures électroniques, sécurité des infrastructures ; de nombreux textes sont venus réglementer le marché numérique du Vieux Continent afin de rétablir la confiance des européens dans leurs services, opérateurs et produits numériques. C’est désormais au tour de la cybersécurité de rentrer dans la danse de la réglementation…
Une réforme en profondeur de la cybersécurité européenne
Le 17 avril 2019, le Conseil Européen a adopté une nouvelle loi concernant la cybersécurité. Débattue depuis 2016, le Parlement l’avait validé en mars dernier. Cette initiative s’inscrit plus largement dans la stratégie digitale qu’a adoptée l’Union en 2015. En effet, un marché unique du numérique est en construction et ce Cybersecurity Act pourrait bien en être le dernier volet. Au programme : le renforcement des prérogatives et la permanence du mandat de l’Agence européenne chargée de la sécurité des réseaux et de l’information ainsi qu’une nouvelle certification en cybersécurité.
Ces deux mesures majeures entrent dans le spectre du paquet cybersécurité proposé par la Commission européenne et la Haute représentante de l’Union pour les affaires étrangères et la politique de sécurité. Leur déclaration commune de 2017 “Résilience, dissuasion et défense : doter l’Union européenne d’une cybersécurité solide” faisait déjà état des actions prioritaires à mener pour la sécurité des réseaux de l’UE. Les services diplomatiques de l’UE ont même adopté une boîte à outil cyber diplomatique administrée par les services de la Haute Représentante, Frederica Mogherini.
Une coopération renforcée face à des menaces croissantes
Les actes de malveillances et les cyberattaques se voient ainsi élever au rang des enjeux majeurs des affaires internationales et de la défense européenne. C’est pourquoi l’agence européenne voit ses pouvoirs s’étendre au détriment des agences nationales désormais cantonnées à un rôle consultatif. L’Union faisant face à 4000 attaques par ransomware quotidiennement avec 80% de ses entreprises touchées par au moins un incident de sécurité en 2016, la réponse ne peut qu’être commune entre les 27 Etats de l’Union.
Pour faire face à cette nouvelle donne et sécuriser le marché unique du numérique, la cyber résilience se voit renforcée grâce à une plus grande coordination des agences nationales de l’Union, tout cela sous l’égide de l’ENISA. Ce “paquet” instaure un cadre européen de réponse aux crises cyber afin d’améliorer la gestion et la réponse aux incidents de cybersécurité. 99% de ces incidents sont par définition transfrontaliers car ils touchent plusieurs Etats de l’Union. Une harmonisation des mécanismes de défense permettra des réponses groupées en cas d’attaque.
Au-delà de cette coopération améliorée pour répondre aux attaques, un Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité va être fondé aux côtés du Réseau de centres nationaux de coordination. Ce texte, qui entrera bientôt en application, donne aussi des précisions et de nouveaux moyens pour l’implémentation de la directive NIS sur les obligations des opérateurs d’importance vitale à sécuriser leurs systèmes d’information.
Certification en cybersécurité, un avantage pour la compétitivité européenne ?
Ce Cybersecurity Act a également l’avantage de refondre les différents certificats nationaux de cybersécurité en un seul, européen. Il s’agit d’un gain certain pour les TPE et PME du continent qui n’auront plus besoin d’obtenir des certifications de chaque pays où elles interviennent. Cette certification pour les produits, les procédures et les services basées sur les technologies de l’information et de la communication pourrait avoir un rôle non négligeable sur la compétitivité de nos entreprises.
Malgré ce renforcement certain de la cyber résilience européenne, cette certification ne sera pas une obligation. Si les consommateurs veulent des garanties au niveau de la cybersécurité, cela sera à eux de choisir des entreprises qui ont obtenu la certification. Délivrée par les agences nationales de chaque pays de l’Union, l’ENISA devra veiller à l’adoption claire d’un cadre unique, en laissant le moins de marge d’interprétation aux agences nationales. Dans le cas contraire, une certification européenne délivrée par une agence nationale pourrait conduire à des disparités importantes ce qui remettrait en cause l’harmonisation de cette certification. Par ailleurs, cette nouvelle certification pourrait desservir les PME françaises qui s’était positionnées aux côtés de l’ANSSI comme des précurseurs du domaine. Le danger serait donc de devoir faire face à une inégalité entre les produits de niveaux de cybersécurité différents.
Toutefois, dans un contexte de forte concurrence face aux GAFAM et BATX, cette certification et le niveau d’accompagnement promis par l’ENISA devient un atout compétitif majeur pour les entreprises. L’agence de cybersécurité européenne pourrait ainsi mobiliser cette nouvelle certification pour garantir les plus hauts standards de sécurité au déploiement des réseaux 5G en Europe. Un marché que le géant Huawei aurait bien aimé remporter sans l’intervention de la Commission qui craint des collusions avec l’Etat chinois qui pourrait avoir accès à l’ensemble des données des Européens, tant personnelles que stratégiques.