Toute L'Europe – Comprendre l'Europe

Cybersécurité : que fait l’Union européenne ?

Nos données personnelles, l’économie ou encore les services publics sont de plus en plus numérisés. Vulnérables, les systèmes informatiques peuvent toutefois faire l’objet d’attaques malveillantes. Quelles sont les politiques européennes mises en place pour y faire face ?

Selon le groupement d'intérêt public "Action contre la Cybermalveillance", rassemblant des acteurs privés et publics, le piratage de comptes en ligne a augmenté de 139 % en France en 2021
Le piratage de comptes en ligne a augmenté de 139 % en France en 2021, selon le groupement d’intérêt public “Action contre la Cybermalveillance”, qui rassemble des acteurs privés et publics - Crédits : Anyaberkut / iStock

En septembre 2021, l’Assistance Publique-Hôpitaux de Paris (AP-HP) porte plainte. Le motif ? Le vol des données personnelles d’environ 1,4 million de personnes qui avaient passé un test PCR en Ile-de-France. Cette attaque concernait un service de partage de fichiers, utilisé ponctuellement en 2020 pour transmettre des informations à l’Assurance maladie et aux agences régionales de santé (ARS). Quelques semaines plus tard, un étudiant opposé au pass sanitaire reconnaît être à l’origine du piratage, qui visait selon lui à montrer les failles informatiques des hôpitaux parisiens.

Ce genre d’attaque, qui fait fi des frontières, devrait se multiplier dans les années à venir. C’est pourquoi l’Union européenne cherche à assurer un haut niveau de cybersécurité.

Qu’est-ce que la cybersécurité ?

La cybersécurité consiste à protéger les systèmes informatiques contre les attaques malveillantes ou l’espionnage. Elle englobe toutes les techniques et les outils mis en œuvre pour protéger les infrastructures mais aussi la confidentialité, l’intégrité et la disponibilité des données qui sont stockées ou échangées dans le monde numérique.

Plus largement, selon l’UE, la cybersécurité recouvre “les activités nécessaires pour protéger les réseaux et les systèmes d’information ainsi que les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces”.

Selon une information reprise par le Conseil de l’UE, la valeur du marché européen de la cybersécurité est estimée à plus de 130 milliards d’euros et progresse à un rythme de 17 % par an.

Quelles sont les menaces ?

Les menaces qui peuplent l’espace virtuel sont relativement nouvelles et touchent les citoyens mais aussi les administrations et les entreprises. “Le cyberespace est devenu un domaine de concurrence stratégique, dans une période de dépendance croissante à l’égard des technologies numériques”, explique l’UE dans sa “boussole stratégique”, un document définissant les grandes orientations européennes en matière de sécurité.

L’Agence de l’Union européenne pour la cybersécurité (ENISA, voir plus bas) identifie 9 menaces principales :

  • les logiciels rançonneurs, ou “ransomware”, consistent à attaquer un système informatique et à demander une rançon pour en rétablir le bon fonctionnement,
  • les logiciels malveillants, afin d’endommager ou d’accéder à un appareil sans autorisation,
  • le minage clandestin, qui infiltre un ordinateur ou un téléphone afin de produire de la cryptomonnaie à l’insu du propriétaire de l’appareil,
  • les attaques par e-mail, avec les spams ou l’hameçonnage,
  • les menaces sur les données, surtout concernant le vol et la divulgation d’informations personnelles,
  • les attaques par déni de service, qui empêchent les internautes d’accéder à un réseau ou à un système, en bombardant par exemple un serveur web de sollicitations,
  • la désinformation,
  • les attaques sur la chaîne d’approvisionnement, c’est-à-dire ciblées sur un fournisseur de logiciels pour infester d’autres entités,
  • les incidents qui ne proviennent pas d’intentions malveillantes, liés à l’erreur humaine ou à de mauvaises configurations informatiques.

Si tout internaute peut être la cible de ces menaces, les entreprises sont aussi concernées par des actes de malveillance, et pas seulement les plus grandes d’entre elles. Selon un Eurobaromètre, 28 % des PME européennes ont connu une cyberattaque en 2021. Un chiffre qui grimpe jusqu’à 41 % en Grèce et 48 % au Portugal. Les petites et moyennes entreprises sont particulièrement touchées par les virus informatiques et les logiciels espions ou malveillants. “Moins armées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants”, explique la CNIL dans un rapport.

De nombreuses administrations sont également la cible de cyberattaques. La mairie de Saint-Cloud, dans les Hauts-de-Seine, a par exemple subi récemment une paralysie de ses systèmes informatiques, avec une demande de rançon de la part de ces malfaiteurs des temps modernes.

Certaines attaques de grande ampleur peuvent entraîner des conséquences beaucoup plus graves, touchant notamment les infrastructures de base. Mi-avril, l’Ukraine a affirmé avoir déjoué une opération informatique russe visant un fournisseur d’électricité, qui aurait pu plonger dans le noir des “millions d’Ukrainiens”.

D’où viennent ces menaces ?

De fait, les attaques cyber semblent être l’apanage de certains Etats. Mais les failles de cybersécurité peuvent aussi être exploitées par des individus isolés ou des groupes ne dépendant pas d’un pays en particulier. Des organisations terroristes sont par exemple amenées à utiliser internet pour transférer des fonds, ou à se servir de monnaies virtuelles afin de contourner les circuits bancaires traditionnels.

Dans le cadre de la coopération structurée permanente, une équipe composée d’experts européens aide l’Ukraine à repousser les cyberattaques provenant de son voisin russe.

Que dit le droit européen en matière de cybersécurité ?

Consciente de ces menaces et de leur nature transnationale, l’Union européenne a mis en place une Agence de l’UE pour la cybersécurité (ENISA). Créée dès 2004 et renforcée en 2019, elle produit des schémas de certification de cybersécurité et coopère avec les Etats membres ainsi qu’avec les organes européens, afin de maintenir et de renforcer la sécurité numérique sur le Vieux Continent. Défini en 2019, ce cadre englobe des exigences techniques, des normes et des procédures.

Un centre européen spécialisé dans la lutte contre la cybercriminalité a par ailleurs été créé au sein d’Europol. Il se concentre sur les crimes perpétrés en ligne, la pédocriminalité et la fraude financière.

Avant le règlement de 2019 redéfinissant l’ENISA, la première initiative européenne en matière de cybersécurité s’était concrétisée par la directive “NIS” (ou SRI, pour “sécurité des réseaux et des systèmes d’information”). Celle-ci a établi des obligations en matière de sécurité pour les opérateurs dans des secteurs stratégiques comme les transports, l’énergie, la santé ou la finance, incluant par exemple une obligation de notifier des incidents à l’autorité nationale compétente lorsqu’ils se produisent.

La Commission européenne a souhaité réviser cette législation, proposant la directive “NIS 2” en décembre 2020. Adoptée en novembre 2022 (les Etats ont doivent la transposer en droit national d’ici l’automne 2024), celle-ci couvre un plus grand nombre de secteurs, comme les messageries des administrations publiques ou les services de gestion des déchets et des eaux usées. Elle entend aussi rapprocher les exigences de chaque Etat membre en matière de cybersécurité.

La directive vise aussi à renforcer les obligations des entreprises et à introduire des mesures de surveillance plus strictes pour les autorités nationales. Les Etats membres sont par exemple tenus d’inclure les câbles sous-marins, cruciaux pour les liaisons téléphoniques et internet, dans leur stratégie de cybersécurité. 

Un réseau européen pour la préparation et la gestion des crises numériques (UE-CyCLONe) a par ailleurs été installé. Son objectif est d’améliorer la coordination lors d’incidents de cybersécurité à grande échelle. La Commission et les Etats membres organisent ainsi chaque année des simulations de cyberattaques à grande échelle afin d’être mieux préparés en cas d’agression réelle. L’édition 2022 s’est tenue les 7 et 8 novembre en Lituanie. 

En décembre 2022, le règlement “DORA” (pour “Digital Operational Resilience Act”, ou “résilience opérationnelle du numérique” en français) a également été adopté. Celui-ci vise à renforcer la sécurité des systèmes numériques du secteur de la finance : banques, compagnies d’assurance, producteurs de cryptomonnaies… Ces acteurs doivent s’assurer de pouvoir résister à des cyberattaques, et mener des tests approfondis pour vérifier s’ils sont bien préparés aux incidents informatiques.

Comment l’Union européenne prévoit-elle d’aller plus loin ?

La cybersécurité concerne également les consommateurs. La Commission européenne a proposé un “European Cyber Resilience Act” (règlement européen sur la cyber-résilience) le 15 septembre 2022. Avec l’objectif de fixer des règles communes en matière de cybersécurité tout au long de la vie des produits vendus, en particulier des objets connectés. L’exécutif a remarqué que de nombreux fabricants ne fournissaient pas de mises à jour permettant de remédier aux vulnérabilités de leurs marchandises, et que les Européens étaient mal informés du niveau de cybersécurité des produits achetés. La nouvelle législation vise notamment à imposer de nouveaux standards minimums de sécurité.

L’UE prévoit également d’installer des “centres opérationnels de sécurité” (SOC), associés à de l’intelligence artificielle et qui pourraient s’apparenter à des “policiers” du monde numérique.

Elle compte par ailleurs mettre en œuvre une “connectivité spatiale sécurisée”. Il s’agit d’une nouvelle constellation de plusieurs centaines de satellites en orbite basse, destinée à améliorer la connectivité et l’accès à internet. Un dispositif visant à assurer la poursuite du service en cas de cyberattaque ou de catastrophe naturelle, pour un coût total estimé à 6 milliards d’euros. Baptisée “IRIS2”, la future constellation doit être opérationnelle d’ici 2027.

Dans le cadre du budget pluriannuel 2021-2027 et de son programme pour une Europe numérique, l’UE compte investir 1,6 milliard d’euros pour la cybersécurité sur cette période. Elle souhaite notamment financer des infrastructures et des outils sur l’ensemble de son territoire.

Votre avis compte : avez-vous trouvé ce que vous cherchiez dans cet article ?

Pour approfondir

  • Economie et social

  • Société

  • Les enjeux du numérique

  • Défense

  • Economie et euro

  • Espace

Participez au débat et laissez un commentaire

Commentaires sur Cybersécurité : que fait l'Union européenne ?

Lire la charte de modération

Commenter l’article

Votre commentaire est vide

Votre nom est invalide