Denys Rudyi - Fotolia
Vers un mandat étendu pour l’Enisa
L’agence européenne se prépare à une importante mue, liée à un mandat plus étendu suivant un modèle qui n’est pas sans rappeler celui de l’Anssi française.
L’agence européenne pour la sécurité des réseaux et systèmes d’information (Enisa) va se transformer, peut-être être rebaptisée au passage Agence européenne de cybersécurité. C’est du moins ce que le discours sur l’état de l’Union de Jean-Claude Juncker, président de la commission européenne, ce mercredi 13 septembre, laisse entrevoir.
Dans celui-ci, il affirmait que « plus de 4000 attaques par rançongiciel » avaient été observées l’an dernier, et que « 80 % des entreprises européennes ont connu au moins un incident lié à la cybersécurité ». Pour Jean-Claude Juncker, « l’Europe reste mal équipée » face à des cyberattaques qui « sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars ». D’où la proposition « de nouveaux outils, et notamment une Agence européenne de la cybersécurité ». Et quoi de plus naturel de que muer en cela l’Enisa ?
Justement, la commission vient de proposer un nouveau mandat, considérablement étendu pour cette agence créée en 2004. Dans le cadre de celui-ci, l’agence doit disposer d’un « rôle renforcé et plus central », notamment « pour accompagner les Etats membres dans la mise en œuvre de la directive NIS » sur la sécurité des systèmes d’information ; une directive qui ne va pas sans rappeler les obligations prévues par la loi de programmation militaire (LPM) française adoptée fin 2013.
Ainsi, l’Enisa doit se transformer en « point de référence de l’écosystème européen de la cybersécurité ». Dans ce cadre-là, l’agence devra apporter son soutien à une « commission de certification ». Elle devra notamment couvrir un « observatoire du marché » de la cybersécurité, « en analysant les tendances pertinentes » et en contribuant à la standardisation.
Mais l’Enisa devra aussi jouer un rôle important dans les efforts à venir autour de la certification, de l’harmonisation des labels de confiance en cybersécurité au travers de l’Union. La commission souligne que « les autorités de certification de 12 états membres ont conclu des accords de reconnaissance mutuelle des certificats », sur la base des critères communs. Mais encore faut-il compter avec les initiatives locales, comme en France, qui « portent le risque de créer des problèmes de fragmentation et d’interopérabilité ». Un cadre de certification de cybersécurité européen – pour produits et services – doit donc émerger et spécifier les missions de l’Enisa en la matière. La commission en jette les bases. A charge au-delà pour l’agence de définir les modes de certification, en lien étroit avec experts et un nouveau groupe de certification européen. Ce dernier s’appuiera sur les autorités de supervision de la certification des états membres.