Derniers articles publiés

Cybersécurité : l'Union européenne contre-attaque

Actualité 19.03.2018 Isaure Magnien

"WannaCry", "(Not)Petya" : des noms qui ont fait l'actualité en 2017 et que l'on pourrait confondre avec des catastrophes naturelles. Pourtant, aucune marque terrestre ne reste de leur passage. Derrière ces appellations, des "cyberattaques" mondiales de plus en plus courantes. Face à ces menaces, l'Union européenne légifère et s'organise.

Cybersécurité

La cybersécurité est un enjeux majeur pour l'Union européenne

Entreprises, particuliers, administrations… la cybercriminalité n'épargne personne. Derrière leurs ordinateurs, les "pirates" à l'origine de ces attaques espèrent obtenir des informations personnelles de leurs victimes pour les exploiter ou les revendre. "Hammeçonnage" (phishing) ou Rançongiciel (ransomware) sont parmi les actes malveillants les plus courants. A ces piratages s'ajoutent depuis quelques années des "attaques politiques", illustrées lors des élections aux Etats-Unis en 2016 ou lors d'élections en Europe, notamment en France. Pour se prémunir de ces nouvelles menaces, les institutions européennes ont proposé d'importantes réformes en matière de cybersécurité.

La cybersécurité, un enjeu européen

La cybersécurité est un "état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles" (source : ANSSI).

Avec le développement des usages numériques et l'utilisation des objets connectés, le nombre de cyberattaques a drastiquement augmenté. En effet, "l'incidence économique de la cybercriminalité a quintuplé entre 2013 et 2017, et pourrait encore quadrupler d'ici à 2019", indique la Commission européenne. Pour Jean-Claude Juncker, président de la Commission européenne : "les cyberattaques sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars" (discours sur l'état de l'Union, septembre 2017). En 2016, 80% des entreprises européennes ont connu un incident lié à la cybersécurité. Au niveau mondial on évalue l'impact économique des attaques à 400 milliards d'euros par an (source : Conseil européen). La cybersécurité est donc un volet du développement numérique, une des priorités de la Commission, qui ne peut être ignoré.

Dans un espace numérique globalisé, l'approche nationale ne semble plus suffisante. "Les cyberattaques ne connaissent pas de frontières ; elles n'épargnent personne", a ainsi déclaré Jean-Claude Juncker lors de son discours sur l'état de l'Union du 13 septembre 2017. Après les deux attaques massives et successives du printemps 2017 (WannaCry, en mai, qui a touché de nombreuses usines et hôpitaux au Royaume Uni et (Not)Petya, en juin, qui est parti d'Ukraine avant de toucher le reste du monde et a provoqué plus d'un milliard d'euros de dégâts), la Commission européenne a proposé un paquet législatif sur la cybersécurité en septembre 2017.

L'Europe devrait ainsi devenir "le chef de file de la cybersécurité à l'horizon 2025, afin d'assurer, dans le cyberespace, un climat de confiance et la protection des citoyens, des consommateurs et des entreprises et afin de permettre un Internet libre et régi par le droit", a affirmé dans ses conclusions du sommet numérique de Tallinn de septembre 2017 Jüri Ratas, le Premier ministre estonien.

Premier succès majeur d'une action commune du FBI et d'Europol : deux des plus gros marchés criminels du darkweb, Alphabay et Hansa, ont été démantelés en juillet 2017, preuve de l'efficacité des actions coordonnées.

Les actions de l'Union européenne en matière de cybersécurité

En 2016, une première directive a été adoptée en matière de cybersécurité. Cette directive sur la sécurité des réseaux et des systèmes d'information (SRI) a été introduite afin d'intensifier la coopération entre les Etats membres. Elle prévoit l'obligation pour chaque pays de l'UE de désigner une ou plusieurs autorités nationales et de se doter d'une stratégie pour la lutte contre la cyber-menace.

Sur la base de cette directive, en septembre 2017, un train de réforme a été proposé par la Commission européenne. En octobre 2017, le Conseil européen a adopté ce paquet et demande "l'adoption d'une approche commune de la cybersécurité de l'UE".

L'actuelle agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), basée en Grèce, devrait ainsi voir ses compétences renforcées. Bien que son mandat arrive à expiration en 2020, la Commission européenne a décidé d'avancer l'évaluation et le réexamen de son mandat, étant donné les changements "significatifs intervenus en matière de cybersécurité depuis l'adoption [de son] règlement" (source : Commission européenne). Si son rôle consistait majoritairement à fournir une expertise et des conseils, le nouveau train de réformes pourrait lui octroyer de nouvelles prérogatives. Elle deviendrait l'"Agence de cybersécurité de l'UE" et son mandat deviendrait permanent. Son rôle principal consistera alors à aider les Etats membres à mettre en œuvre la directive SRI. Elle aura également un rôle à jouer dans la coopération opérationnelle et la certification de cybersécurité des technologies de l'information et des communications.

Principale avancée de la fin d'année 2017, une équipe permanente d'intervention en cas d'urgence informatique (CERT-UE) pour les institutions, organes et agences de l'Union européenne a également été créée, afin de répondre de manière coordonnée aux cyberattaques visant les institutions. Elle vient renforcer une task force existante depuis 2012.

Le paquet contient en outre la création d'un cadre européen de certification. Cet "étiquetage" des dispositifs informatiques permettra de garantir aux consommateurs la fiabilité des systèmes qui pilotent de nombreuses infrastructures clés (réseaux d'énergies, voitures connectées, etc.), et ce dans tous les Etats membres.

Enfin, le Conseil européen a acté la création d'un Centre européen de recherche et de compétences en matière de cybersécurité, accompagné d'un réseau de centres similaires au niveau des Etats membres, et une nouvelle directive relative à la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces devrait être adoptée. Prochaine étape : la mise en place d'une coordination et d'une coopération internationale en matière de cybersécurité.

Protéger ses données

Des outils pour se prémunir des cyberattaques

Le dispositif d'assistance et prévention du risque numérique propose des outils pour se prémunir et réagir en cas d'attaque.

Europol et l'European cybercrime centre participent à l'initiative "No more Ransom", créée en juillet 2016. Elle lutte contre les attaques de type "rançongiciel" et met à disposition des outils pour éviter les attaques.

Cybersécurité et protection des données sont des corollaires. Le règlement européen sur la protection des données personnelles sera applicable en mai 2018 dans tous les pays de l'Union européenne. Il créera notamment un droit à la portabilité des données personnelles avec des dispositions propres aux personnes mineures, responsabilisera les acteurs traitant des données et renforcera la coopération entre les autorités de protection des données.

Dans ses conclusions du sommet numérique de Tallinn, le Premier ministre estonien Jüri Ratas a lui insisté sur l'importance de la sensibilisation aux bonnes pratiques : "il nous faut mener et coordonner des campagnes éducatives et de sensibilisation afin de promouvoir une bonne hygiène numérique partout en Europe. Parallèlement, nous devons soutenir le développement et la généralisation des formations en cybersécurité à tous les niveaux de formation." Car si des lois peuvent essayer de prévenir la cybercriminalité, des mesures de base doivent également être prises par chacun.