La cybersécurité dans l’Union européenne

En matière de cybersécurité, il n’est plus à prouver que « l’union fait la force » ! Le cyberespace étant sans frontières, les États doivent agir main dans la main tant sur le volet opérationnel que législatif. L’Union européenne reste l’organisation internationale la plus avancée en la matière.

Les grands acteurs de la cybersécurité de l’Union européenne

L‘ENISA

La cybersécurité est érigée comme l’une des principales priorités de l’Union européenne depuis 2004, date de création de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Son rôle :

  • promouvoir un niveau commun élevé de cybersécurité dans toute l’Europe ;
  • tenir un rôle de certification européenne pour les produits du numérique. Ce « label » octroyé par l’ENISA après contrôle, permet aux organisations de valoriser leur création dans toute l’Union européenne (voir III.A) ;
  • dynamiser la coopération opérationnelle au sein de l’Union européenne dans sa fonction de secrétariat des équipes de réponse à incident.

L‘EC3

Dans l’urgence de lutter contre les cybermenaces, le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en 2013 et développé par Europol. Il coordonne l’opération des services de police des vingt-sept Etats membres.

Dans ce combat pour la sécurité d’aujourd’hui et de demain, l’EC3 définit chaque année les actions prioritaires contre la cybercriminalité organisée. Ces priorités sont exposées au sein du plan d’action opérationnel « EMPACT », pour la période 2022-2025, il s’agit surtout de démanteler les réseaux criminels de haut niveau dans l’Union européenne.

La coopération policière au sein de l’EC3 est assez nourrie mêlant polices de l’Union européenne, d’Etats tiers et acteurs privés. Par exemple, en octobre 2021, l’EC3 a mené une opération emblématique baptisée « Dark HunTOR » contre le trafic de drogue sur le dark web. Environ 150 suspects présumés ont été arrêtés et 27 millions d’euros en crypto-monnaies ainsi que 230 kilos de drogue saisis.

Eurojust

D’autres agences européennes vont soutenir la lutte contre la cybercriminalité. A ce titre, l’Agence européenne de justice (Eurojust) va jouer un rôle important de centralisation des actions judiciaires des Etats membres. Par exemple, en amont des opérations policières ayant conduit au démantèlement du célèbre réseau de communication chiffré EncroChat, Eurojust a permis entre les Etats concernés de coordonner les poursuites, les perquisitions et prévenir les conflits de compétence.

Le réseau CyCLONe

Créé en 2020, le réseau CyCLONe rassemble les responsables des agences nationales compétentes en matière de crise cyber, ainsi que l’ENISA et la Commission européenne.

Le but ?

  • Renforcer les liens entre les agences nationales de cybersécurité de l’Union européenne (ex : au travers d’exercices de gestion de crise cyber) ;
  • Développer le principe d’assistance mutuelle (analyse et réponse à incident).

Les grandes normes de cybersécurité de l’Union européenne

Le RGPD/GDPR

L‘incontournable Règlement général sur la protection des données encadre tous les organismes dotés de systèmes de traitement de données personnelles dès lors qu’ils sont établis sur le territoire de l’Union européenne ou à l’étranger lorsque leurs activités ciblent directement des personnes résidant sur ce territoire. Principalement, le RGPD pose 8 règles d’or à connaître :

  • La licéité du traitement des données ;
  • La finalité du traitement (précise et légitime) ;
  • La minimisation des données récoltées ;
  • La protection particulière des données sensibles ;
  • La conservation limitée des données ;
  • La sécurité physique, humaine et logicielle autour des données ;
  • La transparence ;
  • Le droit des personnes de rester maître de leurs données.

En cas de violation des dispositions du RGPD, l’article 83 permet à l’autorité de contrôle de prononcer des amendes administratives. Celles-ci peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial d’une entreprise.

Le nouvel accord sur le transfert transatlantique des données

Ce nouvel accord fait suite aux censures du Safe Harbor et du Privacy Shield par la Cour de justice de l’Union européenne (CJUE) estimant que les Etats-Unis n’apportent pas de garanties suffisantes pour la protection des données personnelles. Le 25 mars 2022, la Commission européenne a présenté un nouvel accord politique sur le transfert des données personnelles vers les États-Unis. Néanmoins la prudence s‘impose, rien de juridique pour l‘instant, cet accord reste purement « politique ».

Safe-Harbor-Privacy-Shield
Safe Harbor & Privacy Shield

En revanche, pour de nombreux experts, cet accord n’aboutira qu’à une censure de plus par la Cour de justice de l’Union européenne. En effet, il n’y a pas eu de modifications substantielles de la législation américaine qui laisseraient entrevoir une possible conformité à l’égard des réglementations européennes en matière de protection des données. Une troisième censure qui confirmerait l’adage « jamais deux sans trois ». Cette issue rendrait encore plus anxieuses des entreprises qui sont dans l’incertitude juridique concernant le transfert transatlantique des données.

La directive ePrivacy

Dans la politique des cookies, ces bases qui collectent les données de navigation des utilisateurs. La directive ePrivacy impose que les internautes puissent refuser aussi facilement que d’accepter les cookies « préférentiels » de tracking commercial. Le fameux « continuer sans accepter », bien que parfois il demeure toujours dur à trouver… Mais attention à la CNIL qui n’est jamais très loin.

La nouvelle directive SRI/NIS 2

L’un des plus grands apports de cette directive est de poser des seuils dans la classification des entreprises comme opérateurs de services essentiels (OSE). Sous l’égide de l’ancienne directive NIS, les Etats choisissaient librement les entreprises qu’ils considéraient comme stratégiques. En définitive, ces nouvelles mesures s’appliqueront à toutes les moyennes et grandes entreprises européennes des secteurs stratégiques indépendamment des listes étatiques.

Quant aux règles emblématiques de la directive NIS, il s’agit avant tout d‘identifier ses systèmes d’information essentielle (SIE), de les sécuriser et de déclarer à l’ANSSI tout incident significatif.

Accompagnement des acteurs européens

Une certification européenne pour une reconnaissance mutuelle

Le Cybersecurity Act, adopté en 2019, a permis :

  • D’établir un mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité
  • De définir un cadre de certification européenne

La certification européenne atteste de la robustesse d’un produit (logiciel, équipement…). Cette certification est reconnue dans toute l’Union européenne.

Le but ?

  • Pour l’utilisateur, d’avoir des garanties de protection sur le produit ;
  • Pour le développeur, de mettre en valeur ses produits, notamment dans les autres Etats membres.

Il existe 3 niveaux d’assurance auxquels est rattachée une certification :

  • Le niveau élémentaire : les produits de la grande consommation non-sensibles (ex : montre connectée).
    • Le développeur pourra auto-évaluer ses produits.
  • Le niveau substantiel : lorsque le risque devient moyen et peut nécessiter l’intervention d’assurances cyber (ex : cloud).
    • Les produits devront être déclarés conformes par un tiers de confiance accrédité (liste disponible sur le site de la Commission européenne).
  • Le niveau élevé : pour les produits particulièrement sensibles (ex : dispositif médical connecté, armement, véhicule).
    • Les produits devront faire l’objet d’un test de conformité et de pénétration (pentest) sous le contrôle d’un organisme public qui délivrera la certification.

En définitive, le type de niveau désigne la protection qui y est rattachée. Par exemple, le niveau d’assurance élevé certifie que le produit a réussi les tests de sécurité les plus élevés.

La toolbox 5G pour sécuriser l’avenir

La 5G constitue la “future épine dorsale de nos économies“. En raison de son hyperconnexion et donc de l’accroissement des points d’entrée potentiels pour les cybercriminels, l’Union européenne a décidé d’accompagner le renforcement de la cybersécurité des réseaux 5G. Elle a publié une boîte à outils de mesures de mitigation des risques. Au sein de cette Toolbox 5G, on retrouve des plans d’atténuation permettant de lutter contre 9 risques majeurs :

  • Des mesures stratégiques (ex : diversification des fournisseurs) ;
  • Des mesures techniques (ex : sécurité des réseaux, résilience et continuité).

Au final, c’est toute une série de mesures qui a vocation à renforcer les exigences de sécurité à l’égard des opérateurs de réseaux mobiles. Notamment en les rendant autonomes afin d’éviter les situations de dépendance et de restreindre les fournisseurs à « hauts risques ».

Ce qui est clair et a été renforcé lors de la présidence française, c’est que l’Union européenne affirme de plus en plus son ambition souverainiste dans le cyberespace et souhaite faire de la cybersécurité un enjeu majeur. Mais aura-t-elle les moyens de ses ambitions ?

Écrit par Ugo Vaucel.