Toute L'Europe – Comprendre l'Europe

Cybersécurité : que fait l’Union européenne ?

Nos données personnelles, l'économie ou encore les services publics sont de plus en plus numérisés. Vulnérables, les systèmes informatiques peuvent toutefois faire l'objet d'attaques malveillantes. Quelles sont les politiques européennes mises en place pour y faire face ?

Selon le groupement d'intérêt public "Action contre la Cybermalveillance", rassemblant des acteurs privés et publics, le piratage de comptes en ligne a augmenté de 139 % en France en 2021
Selon le groupement d’intérêt public “Action contre la Cybermalveillance”, rassemblant des acteurs privés et publics, le piratage de comptes en ligne a augmenté de 139 % en France en 2021 - Crédits : Anyaberkut / iStock

En septembre 2021, l’Assistance Publique-Hôpitaux de Paris (AP-HP) porte plainte. Le motif ? Le vol des données personnelles d’environ 1,4 million de personnes qui avaient passé un test PCR en Ile-de-France. Cette attaque concernait un service de partage de fichiers, utilisé ponctuellement en 2020 pour transmettre des informations à l’Assurance maladie et aux agences régionales de santé (ARS). Quelques semaines plus tard, un étudiant opposé au pass sanitaire reconnaît être à l’origine du piratage, qui visait selon lui à montrer les failles informatiques des hôpitaux parisiens.

Ce genre d’attaque, qui fait fi des frontières, devrait se multiplier dans les années à venir. C’est pourquoi l’Union européenne cherche à assurer un haut niveau de cybersécurité.

Qu’est-ce que la cybersécurité ?

La cybersécurité consiste à protéger les systèmes informatiques contre les attaques malveillantes ou l’espionnage. Elle englobe toutes les techniques et les outils mis en œuvre pour protéger les infrastructures mais aussi la confidentialité, l’intégrité et la disponibilité des données qui sont stockées ou échangées dans le monde numérique.

Plus largement, l’UE définit que la cybersécurité recouvre “les activités nécessaires pour protéger les réseaux et les systèmes d’information ainsi que les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces”.

Selon une information reprise par le Conseil de l’UE, la valeur du marché européen de la cybersécurité est estimée à plus de 130 milliards d’euros et progresse à un rythme de 17 % par an.

Quelles sont les menaces ?

Les menaces qui peuplent l’espace virtuel sont relativement nouvelles et touchent les citoyens mais aussi les administrations et les entreprises. “Le cyberespace est devenu un domaine de concurrence stratégique, dans une période de dépendance croissante à l’égard des technologies numériques”, explique l’UE dans sa “boussole stratégique”, un document définissant les grandes orientations européennes en matière de sécurité.

L’Agence de l’Union européenne pour la cybersécurité (ENISA, voir plus bas) identifie 9 menaces principales :

  • les logiciels rançonneurs, ou “ransomware”, consistent à attaquer un système informatique et à demander une rançon pour en rétablir le bon fonctionnement,
  • les logiciels malveillants, afin d’endommager ou d’accéder à un appareil sans autorisation,
  • le minage clandestin, qui infiltre un ordinateur ou un téléphone afin de produire de la cryptomonnaie à l’insu du propriétaire de l’appareil,
  • les attaques par e-mail, avec les spams ou l’hameçonnage,
  • les menaces sur les données, surtout concernant le vol et la divulgation d’informations personnelles,
  • les attaques par déni de service, qui empêchent les internautes d’accéder à un réseau ou à un système, en bombardant par exemple un serveur web de sollicitations,
  • la désinformation,
  • les attaques sur la chaîne d’approvisionnement, c’est-à-dire ciblées sur un fournisseur de logiciels pour infester d’autres entités,
  • les incidents qui ne proviennent pas d’intentions malveillantes, liés à l’erreur humaine ou à de mauvaises configurations informatiques.

Si tout internaute peut être la cible de ces menaces, les entreprises sont aussi concernées par des actes de malveillance, et pas seulement les plus grandes d’entre elles. Selon un Eurobaromètre, 28 % des PME européennes ont connu une cyberattaque en 2021. Un chiffre qui grimpe jusqu’à 41 % en Grèce et 48 % au Portugal. Les petites et moyennes entreprises sont particulièrement touchées par les virus informatiques et les logiciels espions ou malveillants. “Moins armées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants”, explique la CNIL dans un rapport.

De nombreuses administrations sont également la cible de cyberattaques. La mairie de Saint-Cloud, dans les Hauts-de-Seine, a par exemple subi récemment une paralysie de ses systèmes informatiques, avec une demande de rançon de la part de ces malfaiteurs des temps modernes.

Certaines attaques de grande ampleur peuvent entraîner des conséquences beaucoup plus graves, touchant notamment les infrastructures de base. Mi-avril, l’Ukraine a affirmé avoir déjoué une opération informatique russe visant un fournisseur d’électricité, qui aurait pu plonger dans le noir des “millions d’Ukrainiens”.

D’où viennent ces menaces ?

De fait, les attaques cyber semblent être l’apanage de certains Etats. Mais les failles de cybersécurité peuvent aussi être exploitées par des individus isolés ou des groupes ne dépendant pas d’un pays en particulier. Des organisations terroristes sont par exemple amenées à utiliser internet pour transférer des fonds, ou à se servir de monnaies virtuelles afin de contourner les circuits bancaires traditionnels.

Dans le cadre de la coopération structurée permanente, une équipe composée d’experts d’Etats de l’UE aide l’Ukraine à repousser les cyberattaques provenant de son voisin russe.

Que dit le droit européen en vigueur ?

Consciente de ces menaces et de leur nature transnationale, l’Union européenne a mis en place une Agence de l’UE pour la cybersécurité (ENISA). Créée dès 2004 et renforcée en 2019, elle produit des schémas de certification de cybersécurité et coopère avec les Etats membres ainsi qu’avec les organes européens, afin de maintenir et de renforcer la sécurité numérique sur le Vieux Continent. Ce cadre défini en 2019 englobe des exigences techniques, des normes et des procédures.

Un centre européen spécialisé dans la lutte contre la cybercriminalité a par ailleurs été créé au sein d’Europol. Il se concentre sur les crimes perpétrés en ligne, la pédocriminalité et la fraude financière.

Avant le règlement de 2019 redéfinissant l’ENISA, la première initiative européenne en matière de cybersécurité s’était concrétisée par la directive “NIS” (ou SRI, pour “sécurité des réseaux et des systèmes d’information”). Celle-ci a établi des obligations en matière de sécurité pour les opérateurs dans des secteurs stratégiques comme les transports, l’énergie, la santé ou la finance, incluant par exemple une obligation de notifier des incidents à l’autorité nationale compétente lorsqu’ils se produisent.

Comment l’Union européenne prévoit-elle d’aller plus loin ?

La Commission européenne a souhaité réviser cette législation, proposant la directive “NIS 2” en décembre 2020. Celle-ci doit couvrir un plus grand nombre de secteurs, comme les messageries des administrations publiques ou les services de gestion des déchets et des eaux usées. Un réseau européen pour la préparation et la gestion des crises numériques (UE-CyCLONe) a été installé. Son objectif est d’améliorer la coordination lors d’incidents de cybersécurité à grande échelle. La directive vise aussi à renforcer les obligations des entreprises et à introduire des mesures de surveillance plus strictes pour les autorités nationales. Le Parlement et le Conseil ont réussi à s’accorder en mai 2022 sur un texte provisoire, plus d’un an après la proposition de l’exécutif européen.

Le 10 mai dernier, le Parlement et le Conseil ont trouvé un terrain d’entente à propos d’un autre règlement. Sobrement intitulé “DORA” (pour le moins sobre “Digital Operational Resilience Act”, ou “résilience opérationnelle du numérique” en français), il s’attaque à la question de la sécurité des systèmes numérique du secteur de la finance. Cela concerne aussi bien les banques que les compagnies d’assurance ou les producteurs de cryptomonnaie. Les entreprises devront s’assurer de pouvoir résister à des cyberattaques. Il impose aussi des tests approfondis pour vérifier si les entreprises et les institutions financières sont bien préparées aux incidents informatiques.

L’UE prévoit également d’installer des “centres opérationnels de sécurité” (SOC), associés à de l’intelligence artificielle et qui pourraient s’apparenter à des “policiers” du monde numérique.

L’exécutif veut par ailleurs mettre en œuvre une “connectivité spatiale sécurisée”. En d’autres termes, c’est une nouvelle constellation de plusieurs centaines (voire milliers) de satellites en orbite basse afin d’améliorer la connectivité et l’accès à internet. Un dispositif destiné à assurer la poursuite du service en cas de cyberattaque, pour un coût total estimé à 6 milliards d’euros.

Enfin, la Commission européenne devrait proposer un “European Cyber Resilience Act” au second semestre 2022. Avec l’objectif de fixer des règles communes en matière de cybersécurité tout au long de la vie des produits vendus, en particulier des objets connectés. Une consultation publique est ouverte jusqu’au 25 mai.

Dans le cadre du budget pluriannuel 2021-2027 et de son programme pour une Europe numérique, l’UE compte investir 1,6 milliard d’euros dans ce domaine et sur cette période. Elle souhaite notamment financer des infrastructures et des outils de cybersécurité sur l’ensemble de son territoire.

Votre avis compte : avez-vous trouvé ce que vous cherchiez dans cet article ?

À la une sur Touteleurope.eu

Flèche

Participez au débat et laissez un commentaire

Commentaires sur Cybersécurité : que fait l'Union européenne ?

Lire la charte de modération

Commenter l’article

Votre commentaire est vide

Votre nom est invalide