Ce n’est un secret pour personne : les cyberattaques menacent la stabilité de l’Union européenne et de ses États membres, notamment lorsqu’elles mettent en péril des infrastructures critiques.

Une proposition de règlement vient d’être présentée afin de renforcer la cybersécurité européenne. Ce Cyber Solidarity Act, présenté en même temps que le projet de cyberacadémie, entend développer la solidarité au niveau de l’Union afin de mieux détecter les menaces et incidents de cybersécurité, de mieux s’y préparer et d’y répondre plus efficacement.

Une telle initiative législative vient étoffer un paysage institutionnel déjà fourni. Elle vise à renforcer les capacités communes de détection, de connaissance de la situation et de réaction de l’Union européenne. Elle entend également contribuer à la constitution progressive d’une réserve de cybersécurité au niveau de l’Union, reposant sur les services de fournisseurs privés de confiance.

L’objectif est aussi de contribuer à la souveraineté technologique européenne dans le domaine de la cybersécurité.

L’idée générale est double :

• déployer un mécanisme de cyberurgence en cas d’attaques brutales et de grande ampleur ;
• mettre en place une « réserve de l’Union européenne pour la cybersécurité », destinée à fournir les renforts nécessaires pour réagir efficacement.

De quoi parle-t-on ? Le cyberbouclier européen

Le cyberbouclier européen, ou « bouclier cybernétique européen », est une infrastructure paneuropéenne interconnectée de centres d’opérations de sécurité.

Son objectif est de développer des capacités avancées permettant à l’Union européenne :

• de détecter les cybermenaces et les incidents ;
• d’analyser les données disponibles ;
• de traiter les informations relatives aux menaces ;
• d’améliorer la connaissance de la situation ;
• de renforcer la capacité de réaction européenne.

Le cyberbouclier se compose :

• des centres d’opérations de sécurité nationaux — SOC nationaux ;
• des centres d’opérations de sécurité transfrontaliers — SOC transfrontaliers.

Pourquoi un cyberbouclier ? Assurer une réaction urgente face au risque d’incident majeur

L’adoption accrue des technologies numériques augmente l’exposition aux incidents de cybersécurité. Dans le même temps, les États membres sont confrontés à des risques croissants en matière de cybersécurité et à un paysage global de menaces de plus en plus complexe.

Le risque principal est celui d’une propagation rapide des cyberincidents d’un État membre à d’autres.

De plus, les cyberopérations sont de plus en plus intégrées dans des stratégies hybrides et de guerre, avec des effets importants sur les cibles concernées.

En particulier, l’agression militaire de la Russie contre l’Ukraine a été précédée et accompagnée d’une stratégie de cyberopérations hostiles.

Cette situation modifie profondément la perception et l’évaluation de la préparation collective de l’Union européenne à la gestion des crises de cybersécurité.

La menace d’un éventuel incident à grande échelle, causant des perturbations et des dommages importants aux infrastructures critiques, exige une préparation accrue à tous les niveaux de l’écosystème européen de cybersécurité.

La nécessité d’une réponse européenne face à un risque qui dépasse le cadre national

La menace d’un incident majeur va au-delà de l’agression militaire. Elle comprend des cybermenaces continues provenant d’acteurs étatiques et non étatiques, compte tenu de la multiplicité des acteurs criminels et hacktivistes impliqués dans les tensions géopolitiques actuelles.

Ces dernières années, le nombre de cyberattaques a considérablement augmenté.

Cette évolution concerne notamment :

• les attaques contre la chaîne d’approvisionnement ;
• le cyberespionnage ;
• les rançongiciels ;
• les attaques contre les infrastructures critiques ;
• les campagnes hybrides associant cyberattaques, désinformation et pression géopolitique.

Ainsi, en 2020, l’attaque contre la chaîne d’approvisionnement SolarWinds a touché plus de 18 000 organisations dans le monde.

Or, les incidents de cybersécurité importants peuvent être trop perturbateurs pour qu’un seul État membre, ou même plusieurs États membres concernés, puissent les gérer seuls.

C’est pourquoi une solidarité renforcée au niveau de l’Union est nécessaire pour mieux détecter les menaces et incidents de cybersécurité, mieux s’y préparer et y réagir plus efficacement.

Alors que de nombreuses menaces et incidents de cybersécurité ont une dimension transfrontière potentielle, en raison de l’interconnexion des infrastructures numériques, le partage d’informations pertinentes entre les États membres reste limité.

La construction d’un réseau de centres d’opérations de sécurité transfrontaliers vise précisément à améliorer les capacités de détection et de réaction, afin de contribuer à résoudre ce problème.

D’où vient-on ?

En matière de préparation et de réaction aux incidents de cybersécurité, le soutien au niveau de l’Union européenne et la solidarité entre les États membres restent actuellement limités.

Les conclusions du Conseil d’octobre 2021 ont souligné la nécessité de combler ces lacunes.

Le cadre de l’Union comprend déjà plusieurs législations ou initiatives, adoptées ou en cours d’élaboration. Elles visent à réduire les vulnérabilités, à accroître la résilience des entités critiques face aux risques de cybersécurité et à soutenir la gestion coordonnée des incidents à grande échelle.

Il s’agit notamment :

• de la directive relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union — directive SRI 2 ou NIS 2 ;
• du Cybersecurity Act ;
• de la directive sur les attaques contre les systèmes d’information ;
• de la recommandation de la Commission du 13 septembre 2017 relative à une réponse coordonnée aux incidents et crises de cybersécurité à grande échelle.

La stratégie de cybersécurité de l’Union européenne, adoptée en décembre 2020, avait annoncé la création d’un cyberbouclier européen. Celui-ci devait renforcer les capacités de détection des cybermenaces et de partage d’informations dans l’Union européenne grâce à la mise en réseau de centres d’opérations de sécurité nationaux et transfrontaliers.

Quel est l’objectif du Cyber Solidarity Act ?

L’objectif global du Cyber Solidarity Act est de développer des capacités avancées permettant à l’Union européenne de détecter, d’analyser et de traiter les données relatives aux cybermenaces et aux incidents de cybersécurité.

Il comprend plusieurs objectifs opérationnels spécifiques :

• renforcer la détection commune au niveau de l’Union européenne ;
• améliorer la connaissance de la situation concernant les cybermenaces et les incidents ;
• renforcer la préparation des entités critiques dans l’ensemble de l’Union ;
• développer des capacités communes de réaction face aux incidents de cybersécurité significatifs ou à grande échelle ;
• examiner et évaluer les incidents significatifs ou à grande échelle, notamment en tirant les enseignements de l’expérience ;
• formuler, le cas échéant, des recommandations.

Ces objectifs seront mis en œuvre à travers trois instruments principaux :

• le déploiement d’une infrastructure paneuropéenne de SOC, appelée European Cyber Shield, destinée à construire et améliorer des capacités communes de détection et de connaissance de la situation ;
• la création d’un mécanisme d’urgence cybernétique destiné à aider les États membres à se préparer, à réagir et à se rétablir immédiatement après des incidents de cybersécurité significatifs ou à grande échelle ;
• la mise en place d’un mécanisme européen d’examen des incidents de cybersécurité, chargé d’examiner et d’évaluer certains incidents significatifs ou à grande échelle.

Un soutien à la réaction aux incidents est également mis à la disposition des institutions, organes, offices et agences de l’Union.

Le cœur battant du cyberbouclier : les centres d’opérations de sécurité

Le cyberbouclier européen se compose de centres d’opérations de sécurité nationaux, appelés SOC nationaux.

Chaque État membre participant désigne un SOC national. Celui-ci sert de point de référence et de passerelle vers d’autres organisations publiques et privées au niveau national pour :

• collecter des informations sur les menaces et incidents de cybersécurité ;
• analyser ces informations ;
• contribuer à un SOC transfrontalier ;
• améliorer la connaissance de la situation au niveau national et européen ;
• faciliter la coopération entre acteurs publics et privés.

Afin de participer au cyberbouclier européen, chaque État membre désigne donc au moins un SOC national.

Le SOC national est un organisme public. Il doit avoir la capacité de servir de point de référence et de passerelle vers d’autres organisations publiques et privées.

Il doit être équipé de technologies de pointe capables :

• de détecter les données relatives aux menaces et incidents de cybersécurité ;
• d’agréger ces données ;
• de les analyser ;
• de contribuer à une détection plus rapide des menaces ;
• de renforcer la capacité de réaction des autorités compétentes.

Des liens étroits entre les SOC et EU-CyCLONe

Le Cyber Solidarity Act s’appuiera notamment sur les cadres existants de coopération opérationnelle et de gestion de crise en matière de cybersécurité.

Il soutiendra en particulier :

• le réseau européen des organisations de liaison en cas de crise cybernétique — EU-CyCLONe ;
• le réseau des équipes de réponse aux incidents de sécurité informatique — réseau des CSIRT.

Lorsque les SOC transfrontaliers obtiennent des informations relatives à un incident de cybersécurité à grande échelle, potentiel ou en cours, ils fournissent les informations pertinentes :

• à EU-CyCLONe ;
• au réseau des CSIRT ;
• à la Commission.

Cette transmission tient compte des rôles respectifs de ces acteurs dans la gestion de crise, conformément à la directive (UE) 2022/2555.

À la demande de la Commission, d’EU-CyCLONe ou du réseau des CSIRT, l’ENISA devrait examiner et évaluer les menaces.

Elle doit apprécier :

• les menaces ;
• les vulnérabilités ;
• les mesures d’atténuation ;
• les enseignements tirés de l’incident ;
• les éventuelles recommandations à formuler.

L’examen et l’évaluation doivent être fournis par l’ENISA sous la forme d’un rapport d’examen d’incident transmis au réseau des CSIRT, à EU-CyCLONe et à la Commission.

Lorsque l’incident concerne un pays tiers, le rapport doit être partagé par la Commission avec le haut représentant.

Les nouveaux dispositifs : SOC transfrontaliers et plateformes transfrontalières des SOC

Le cyberbouclier se compose de SOC nationaux ainsi que de centres d’opérations de sécurité transfrontaliers, appelés SOC transfrontaliers.

À la suite d’un appel à manifestation d’intérêt, les SOC nationaux sont sélectionnés par le Centre européen de compétences en matière de cybersécurité — ECCC — pour participer, avec lui, à un marché commun d’outils et d’infrastructures.

Les SOC transfrontaliers sont constitués d’un consortium d’au moins trois États membres, représentés par des SOC nationaux. Ces États membres s’engagent à travailler ensemble pour coordonner leurs activités de cyberdétection et de surveillance des menaces.

Les SOC nationaux participant à un SOC transfrontalier doivent partager entre eux les informations relatives aux cybermenaces.

Quant aux plateformes transfrontalières des SOC, elles devraient constituer une nouvelle capacité complémentaire au réseau des CSIRT.

Elles visent notamment à :

• mettre en commun et partager les données sur les menaces de cybersécurité provenant d’entités publiques et privées ;
• valoriser ces données grâce à des analyses d’experts et à des outils de pointe ;
• contribuer au développement des capacités de l’Union ;
• renforcer la souveraineté technologique européenne dans le domaine de la cybersécurité.

La création d’un mécanisme de cyberurgence comprenant des tests coordonnés par l’ENISA

Un mécanisme de cyberurgence est instauré pour améliorer la résilience de l’Union face aux menaces majeures en matière de cybersécurité.

Ce mécanisme prévoit des actions destinées à soutenir :

• la préparation ;
• la réaction immédiate ;
• le rétablissement après des incidents significatifs ou à grande échelle ;
• l’atténuation des cybermenaces importantes ;
• l’assistance mutuelle entre États membres.

Les actions de préparation du mécanisme de cyberurgence comprennent notamment des tests de préparation coordonnés des entités opérant dans des secteurs hautement critiques.

La Commission, après consultation du groupe de coopération SRI et de l’ENISA, identifie les secteurs à partir desquels les entités peuvent être soumises à ces tests.

Le groupe de coopération SRI élabore, en coopération avec la Commission, l’ENISA et le haut représentant, des scénarios de risque communs et des méthodologies pour les exercices de test coordonnés.

La création d’une réserve de l’Union européenne pour la cybersécurité

Cette initiative législative établit une réserve de cybersécurité de l’Union européenne afin d’aider les utilisateurs concernés à réagir aux incidents de cybersécurité à grande échelle.

Cette réserve est composée de services de réaction aux incidents fournis par des fournisseurs de confiance. Ces fournisseurs sont sélectionnés conformément aux critères définis par l’initiative.

Les utilisateurs des services de la réserve de cybersécurité de l’Union européenne comprennent notamment :

• les autorités de gestion des crises cybernétiques des États membres ;
• les CSIRT ;
• les institutions, organes et organismes de l’Union.

Ces utilisateurs emploient les services de la réserve pour assurer le rétablissement immédiat en cas d’incidents significatifs ou à grande échelle affectant des entités opérant dans des secteurs critiques ou hautement critiques.

La Commission assume la responsabilité globale de la mise en œuvre de la réserve de cybersécurité de l’Union européenne.

Elle peut confier, en tout ou en partie, à l’ENISA le fonctionnement et l’administration de cette réserve.

Afin d’aider la Commission à établir la réserve de cybersécurité de l’Union européenne, l’ENISA prépare une cartographie des services nécessaires.

Un mécanisme de cyberurgence subsidiaire au mécanisme européen de protection civile

Le mécanisme de cyberurgence devrait également fournir un soutien aux actions de réponse aux incidents afin d’atténuer l’impact d’incidents de cybersécurité significatifs.

Le cas échéant, il devrait compléter le mécanisme de protection civile de l’Union — MPCU — afin d’assurer une approche globale face aux effets des cyberincidents sur les citoyens.

Plus généralement, le dispositif ainsi conçu complète le mécanisme de protection civile de l’Union, établi en décembre 2013 et complété par une nouvelle législation adoptée en mai 2021.

Cette législation a renforcé les piliers de prévention, de préparation et de réaction du MPCU. Elle a également donné à l’Union européenne des capacités supplémentaires pour répondre aux nouveaux risques en Europe et dans le monde, notamment par le renforcement de la réserve rescEU.

Un mécanisme subsidiaire aux dispositifs intégrés de réaction aux crises politiques

Lorsque des incidents de cybersécurité significatifs ou à grande échelle ont pour origine ou entraînent des catastrophes, les dispositifs intégrés de réaction aux crises politiques — IPCR — peuvent être déclenchés.

L’aide fournie est alors gérée conformément aux protocoles et procédures applicables au titre de l’IPCR.

traduction et synthèse du texte par Pierre Berthelet

 

• proposition de règlement