L’Europe se mobilise pour lutter contre la cybermenace. Le 12 mars dernier, les eurodéputés ont adopté le dispositif de certification en matière de sécurité pour les produits, processus et services. Dans le même temps, le Parlement a adopté une résolution appelant à une action au niveau de l’UE concernant les menaces en termes de sécurité liées à la présence technologique croissante de la Chine dans l’Union européenne.
« Ce succès permettra à l’UE de faire face aux risques de sécurité dans le monde numérique pour les années à venir. Cette législation est une pierre angulaire pour que l’Europe devienne un acteur mondial en matière de cybersécurité. Les consommateurs ainsi que l’industrie doivent pouvoir faire confiance aux solutions informatiques », a déclaré Angelika Niebler, députée européenne, suite au vote.
Une certification pour les dispositifs connectés
Ce dispositif de certification, voté à une large majorité (586 voix pour et 44 contre) s’appliquera aux produits, processus et services vendus dans les pays de l’Union. Ce Cybersecurity Act doit offrir une meilleure protection aux consommateurs. Les députés européens ont donc décidé d’élargir les pouvoir de l’ENISA (Agence européenne pour la cybersécurité) afin d’atteindre cet objectif.
« Une numérisation et une connectivité accrue entraînent une augmentation des risques en matière de cybersécurité, ce que rend l’ensemble de la société plus vulnérable aux cybermenaces et exacerbe les dangers ». Tel est le constat dressé par les eurodéputés. Au-delà des produits, processus et services, le règlement européen sur la cybersécurité met en lumière l’importance de la certification des infrastructures critiques. Il s’agit notamment des réseaux énergétiques ou des systèmes bancaires.
Fournisseurs d’équipements de pays tiers : une cybermenace pour l’Europe ?
Les députés craignent que les fournisseurs d’équipements de pays tiers ne présentent un risque pour la sécurité de l’UE. En cause ? Des lois de leur pays d’origine qui obligent toutes les entreprises à coopérer avec l’Etat pour protéger une définition très large de la sécurité nationale, même en dehors de leur propre pays. La Chine est particulièrement visée par ce dernier point.
« Les lois chinoises sur la sécurité de l’Etat ont en particulier déclenché des réactions dans divers pays, allant d’évaluations de sécurité à des interdictions catégoriques », ont relevé les députés européens.
Cybermenace : un nouveau protocole de réponse aux incidents majeurs
En parallèle, le Conseil de l’Union européenne a adopté un nouveau protocole dont l’objectif est de lutter contre les cyberattaques majeures transfrontalières du type WannaCry. L’EU Law Enforcement Emergency Response Protocol s’inscrit dans le cadre d’une recommandation datée de septembre 2017 portant sur la réaction coordonnée des incidents et crises de cybersécurité majeurs.
Ce nouvel outil a été mis en place afin « d’apporter une réponse immédiate aux cyberattaques majeures transfrontalières à travers une évaluation rapide, un partage sécurisé et opportun d’informations cruciales et une coordination efficace des enquêtes internationales ». La mise en application du protocole sera portée par le Centre européen de lutte contre la cybercriminalité (EC3).
Le protocole d’urgence se décompose en 7 étapes :
- Détection et identification rapide d’une cyberattaque majeure
- Classification de la menace
- Mise en place d’un centre de coordination pour une réponse urgente
- Notification d’alerte rapide
- Plan d’action opérationnel pour les forces de l’ordre
- Enquête et analyse
- Fermeture du protocole d’intervention d’urgence
Le protocole déterminera « les procédures, les rôles et les responsabilités des acteurs clés à la fois dans l’Union européenne et au-delà ». Il permettra également de sécuriser « les canaux de communication et les points de contact ouverts 24h/24, 7j/7, dédiés aux échanges d’informations importantes ».