L’Europe met en ordre de marche sa cyber-sécurité
La Commission européenne et la haute représentante de l’Union pour les affaires étrangères ont présenté hier la stratégie de l’Europe en matière de cyber-sécurité. Au programme, une directive à venir et des réactions mitigées des acteurs du secteur.
« Il n’y a pas de vraie liberté sans sécurité », pour Neelie Kroes, commissaire européenne en charge des nouvelles technologies. C’est ainsi qu’elle a résumé la philosophie de la nouvelle stratégie en matière de cyber-sécurité de l’Union européenne, lors de sa présentation hier soir avec ses collègues Cecila Malmström, commissaire européenne en charge de la sécurité et Catherine Asthon, la haute représentante de l’Union pour les affaires étrangères et la sécurité. L’Union européenne veut donc obtenir dans son sein un « cyber-espace ouvert, sûr et sécurisé » et se fixe cinq priorités : parvenir à la cyber-résilience (sic), faire reculer considérablement la cyber-criminalité (sans avancer de chiffres autres que le « plus d’un million de cyber-attaques par jour » relevé à l’heure actuelle selon Cecilia Malmström), développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC), développer les ressources industrielles et technologiques en matière de cybersécurité et enfin, instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l'UE.
Une directive aux contours flous Pour parvenir à ces objectifs, l’Union européenne veut proposer une directive sur la SRI (Sécurité des réseaux et de l'information). Celle-ci concernerait, suivant le communiqué officiel, les Etats-membres mais également « les facilitateurs de services Internet clés et les opérateurs d'infrastructures critiques telles que les plates-formes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l'énergie, des transports, des services bancaires et des soins de santé ». Et les contraindrait à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE. Pour cela, les Etats devraient désigner des autorités compétentes au niveau national et y mettre les ressources financières et humaines suffisantes pour permettre leurs interventions. Une infrastructure sécurisée entre les Etats et la Commission devrait également être mise en place pour faciliter la coopération et d’accélérer la transmission des alertes. Les acteurs privés, eux, devraient signaler tout incident de sécurité « significatif » touchant à leurs services essentiels et adopter des politiques en matière de gestion des risques.
Les éditeurs et constructeurs sont satisfaits Bien que les termes de cette directive soient particulièrement flous au regard des obligations déjà existantes dans l’Union européenne et dans chaque pays membres, et que nulle date n’ait été indiquée pour son adoption, les réactions ne manquent pas. En tant qu’éditeur spécialiste de la sécurité, Symantec s’en réjouit : « Symantec se félicite de la stratégie de cybersécurité de l’Union européenne et partage les mêmes objectifs », affirme Ilias Chantzos Senior Director Government relations chez Symantec. « Les cyberattaques impactent fortement les organisations et les particuliers en Europe. C’est pourquoi Symantec a toujours insisté sur la nécessité pour les gouvernements et les décideurs, de faire de la sécurité une priorité d’ordre publique, tant au niveau national qu’au niveau européen. La stratégie proposée aujourd’hui s’appuie sur le travail déjà mené par les états membres de l’UE. Elle vient soutenir la nécessité de disposer d’infrastructures de sécurité renforcée et la volonté de travailler dans un esprit de collaboration. Cette proposition marque le commencement d’un processus démocratique au sein de l’UE et représente un grand pas sur le chemin de la lutte contre la cybercriminalité. » Et le fournisseur de téléphones chinois Huawei également : "Nous accueillons chaleureusement l’initiative de l’UE », déclare Leo Sun, Directeur du département Affaires Publiques Européennes et Communications de Huawei en Europe. « Les cybermenaces ne s’arrêtent malheureusement pas aux frontières nationales. Nos efforts pour protéger nos réseaux et nos systèmes doivent donc s’étendre à l’international. » Ce qui peut prêter à
sourire quand on se souvient des accusations de
cyber-espionnages pesant sur lui. En revanche, du côté des prestataires de services, l’obligation de déclarer tous les incidents de sécurité risque de mal passer, notamment pour les institutions financières qui doivent déjà les rapporter aux autorités de régulations officielles.
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
-
DMA : face aux géants de la Tech, l’UE régule, les États-Unis reculent
-
Cloud : Oracle gagne un (petit) contrat avec la BCE
-
WebEx propose de gérer les clés de chiffrements sur une infra indépendante et souveraine
-
DMA : des membres du Congrès américain craignent pour la compétitivité des géants du cloud