Cybersécurité de l’UE: La Commission propose une Unité conjointe de cybersécurité afin de renforcer la réaction face aux incidents de sécurité majeurs
La Commission présente ce jour une vision qui consiste à créer une nouvelle unité conjointe de cybersécurité pour combattre le nombre croissant des graves incidents de cybersécurité qui ont des répercussions sur les services publics ainsi que sur la vie des entreprises et des citoyens dans l’ensemble de l’Union européenne. À mesure qu’augmentent le nombre, l’ampleur et les conséquences des cyberattaques, qui pèsent lourdement sur notre sécurité, il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles en se fondant sur le «besoin de partager» plutôt que sur le seul «besoin d’en connaître».
Annoncée pour la première fois par la présidente Ursula von der Leyen dans ses orientations politiques, l’unité conjointe de cybersécurité, dont la création est proposée ce jour, vise à réunir les ressources et l’expertise dont disposent l’UE et ses États membres afin de prévenir et de dissuader les incidents et crises de cybersécurité massifs et d’y réagir, le tout avec efficacité. Les communautés de cybersécurité, qui englobent les communautés civile, répressive, diplomatique et militaire du domaine de la cybersécurité, ainsi que les partenaires du secteur privé agissent trop souvent de manière séparée. Grâce à l’unité conjointe de cybersécurité, ils disposeront d’une plateforme virtuelle et physique de coopération: les institutions, organes et organismes compétents de l’UE ainsi que les États membres constitueront progressivement une plateforme européenne de solidarité et d’assistance pour lutter contre les cyberattaques majeures.
La recommandation sur la création d’une unité conjointe de cybersécurité constitue une avancée importante vers l’achèvement du cadre européen de gestion des crises en matière de cybersécurité. Il s’agit de l’un des résultats concrets de la stratégie de cybersécurité de l’UE et de la stratégie de l’UE pour l’union de la sécurité, qui contribue à une économie et à une société numériques sûres.
Dans ce cadre, la Commission rend compte ce jour des progrès accomplis, au cours des derniers mois, en ce qui concerne la stratégie pour l’union de la sécurité. La Commission et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité ont, en outre, présenté le premier rapport sur la mise en œuvre de la stratégie de cybersécurité, comme l’avait demandé le Conseil européen, et ont publié simultanément le cinquième rapport sur l’état d’avancement de la mise en œuvre du cadre commun de 2016 en matière de lutte contre les menaces hybrides et de la communication conjointe de 2018 intitulée «Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides». Enfin, la Commission a adopté la décision relative à l’établissement du bureau de l’Agence de l’Union européenne pour la cybersécurité (ENISA) à Bruxelles, conformément au règlement sur la cybersécurité.
Une nouvelle unité conjointe de cybersécurité pour prévenir les incidents de cybersécurité majeurs et y réagir
L’unité conjointe de cybersécurité fera office de plateforme pour assurer une réaction coordonnée de l’UE aux incidents et crises de cybersécurité majeurs ainsi que pour prêter assistance aux pays touchés par ces attaques pour qu’ils puissent se rétablir. L’UE et ses États membres ont actuellement de nombreuses entités qui interviennent dans différents domaines et secteurs. Même si les secteurs peuvent être particuliers, les menaces sont souvent communes, c’est pourquoi la coordination, le partage des connaissances et même un avertissement préalable sont indispensables.
Il sera demandé aux participants de fournir des ressources opérationnelles pour l’assistance mutuelle au sein de l’unité conjointe de cybersécurité (voir ici la liste des participants proposés). L’unité conjointe de cybersécurité leur permettra de partager les meilleures pratiques, ainsi que des informations en temps réel sur les menaces qui pourraient apparaître dans leurs domaines respectifs. Par ailleurs, elle s’emploiera, à un niveau opérationnel et technique, à élaborer le plan de l’UE concernant la réaction aux incidents et crises de cybersécurité en se fondant sur les plans nationaux correspondants; à constituer et mobiliser des équipes de réaction rapide de l’UE en matière de cybersécurité; à faciliter l’adoption de protocoles relatifs à l’assistance mutuelle parmi les participants; à mettre en place des capacités nationales et transfrontières de surveillance et de détection, y compris des centres des opérations de sécurité (COS); et bien plus encore.
L’écosystème de cybersécurité de l’UE est vaste et varié et, par l’intermédiaire de l’unité conjointe de cybersécurité, il y aura un espace commun au sein duquel les différentes communautés et les différents domaines pourront collaborer, ce qui permettra aux réseaux existants d’exploiter tout leur potentiel. Cet écosystème s’appuie sur les travaux entamés en 2017, avec la recommandation sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (le plan d’action).
La Commission propose de créer l’unité conjointe de cybersécurité selon un processus progressif et transparent en quatre étapes, avec l’adhésion pleine et entière des États membres et des différentes entités actives dans ce domaine. Il s’agit de faire en sorte que l’unité conjointe de cybersécurité entre dans sa phase opérationnelle d’ici au 30 juin 2022 et qu’elle soit entièrement mise en place un an plus tard, d’ici au 30 juin 2023. L’Agence de l’Union européenne pour la cybersécurité fera office de secrétariat pendant la phase préparatoire et l’unité sera installée à proximité des bureaux bruxellois de cette Agence et du bureau de la CERT-EU, l’équipe d’intervention en cas d’urgence informatique pour les institutions, organes et agences de l’UE.
C’est la Commission qui apportera les investissements nécessaires à la création de l’unité conjointe de cybersécurité, essentiellement à travers le programme pour une Europe numérique. Les fonds serviront à la constitution de la plateforme physique et virtuelle, à l’établissement et au maintien de canaux de communication sécurisés ainsi qu’à l’amélioration des capacités de détection. Des contributions supplémentaires, notamment pour développer les capacités de cyberdéfense des États membres, pourraient provenir du Fonds européen de la défense.
Assurer la sécurité des Européens, en ligne et hors ligne
La Commission rend compte ce jour des progrès accomplis dans le cadre de la stratégie de l’UE pour l’union de la sécurité, en vue d’assurer la sécurité des Européens. De concert avec le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, elle présente également le premier rapport sur la mise en œuvre de la nouvelle stratégie de cybersécurité de l’UE.
En décembre 2020, la Commission et le haut représentant ont présenté la stratégie de cybersécurité de l’UE. Le rapport publié ce jour fait le point sur les progrès accomplis en ce qui concerne chacune des 26 initiatives exposées dans cette stratégie et mentionne la récente approbation par le Parlement européen et le Conseil de l’Union européenne du règlement établissant le Centre et le Réseau de compétences en matière de cybersécurité. Des progrès satisfaisants ont été accomplis en vue de renforcer le cadre juridique visant à garantir la résilience des services essentiels grâce à la proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (directive SRI révisée ou «SRI 2»). En ce qui concerne la sécurité des réseaux de communication 5G, la plupart des États membres progressent dans la mise en œuvre de la boîte à outils de l’UE pour la sécurité des réseaux 5G: ils sont soit déjà dotés de cadres pour imposer des restrictions appropriées aux fournisseurs de 5G, soit sont sur le point de l’être. Les exigences qui s’appliquent aux opérateurs de réseaux mobiles sont en voie de renforcement à la faveur de la transposition du code des communications électroniques européen, tandis que l’Agence de l’Union européenne pour la cybersécurité (ENISA) prépare actuellement un schéma européen de certification de cybersécurité candidat pour les réseaux 5G.
Le rapport souligne également les progrès que le haut représentant a réalisés dans la promotion d’un comportement responsable des États dans le cyberespace, M. Borrell ayant notamment fait progresser l’établissement d’un programme d’action à l’échelle des Nations unies. Le haut représentant a en outre entamé le processus de réexamen du cadre stratégique de cyberdéfense afin d’améliorer la coopération en la matière; il mène actuellement avec les États membres un «exercice visant à analyser les enseignements tirés» afin d’améliorer la boîte à outils cyberdiplomatique de l’UE et de recenser les possibilités de renforcer davantage la coopération internationale et au sein de l’UE à cette fin. Par ailleurs, le rapport sur les progrès accomplis en matière de lutte contre les menaces hybrides, que la Commission et le haut représentant ont également publié ce jour, souligne que, depuis l’adoption en 2016 du cadre commun en matière de lutte contre les menaces hybrides, l’Union européenne a organisé une riposte, ses actions soutiennent une meilleure connaissance de la situation, la résilience dans les secteurs critiques, une réaction appropriée et le rétablissement des activités à la suite de menaces hybrides, y compris la désinformation et les cyberattaques, qui vont croissant depuis le début de la pandémie de coronavirus.
D’importantes mesures ont également été prises au cours des six derniers mois dans le cadre de la stratégie de l’UE pour l’union de la sécurité afin que soit assurée la sécurité dans notre environnement physique et numérique. Des règles de l’UE qui feront date sont à présent en vigueur; elles obligeront les plateformes en ligne à retirer, dans un délai d’une heure, les contenus à caractère terroriste signalés par les autorités des États membres. La Commission a également présenté une proposition de législation sur les services numériques, qui prévoit des règles harmonisées en vue du retrait de biens, services ou contenus illicites en ligne ainsi qu’une nouvelle structure de surveillance pour les très grandes plateformes en ligne. Cette proposition remédie également aux vulnérabilités des plateformes à l’amplification des contenus préjudiciables ou à la diffusion de la désinformation. Le Parlement européen et le Conseil de l’Union européenne se sont mis d’accord sur une législation temporaire relative à la détection volontaire, par les services de communication, d’abus sexuels commis sur des enfants en ligne. Des travaux sont également en cours aux fins d’une meilleure protection des espaces publics. Il s’agit notamment d’aider les États membres à gérer la menace que représentent les drones et de renforcer la protection des lieux de culte et des grands complexes sportifs contre les menaces terroristes, au moyen d’un programme de soutien de 20 millions d’euros qui est en cours. Afin de mieux soutenir les États membres dans la lutte contre les formes graves de criminalité et le terrorisme, la Commission a également proposé en décembre 2020 de renforcer le mandat d’Europol, l’Agence de l’UE pour la coopération des services répressifs.
Toile de fond
La cybersécurité constitue une priorité absolue de la Commission et une pierre angulaire de l’Europe numérique et connectée. L’augmentation du nombre de cyberattaques pendant la crise du coronavirus a montré l’importance de protéger les systèmes de santé et de soins, les centres de recherche et d’autres infrastructures critiques. Des mesures énergiques dans ce domaine s’imposent pour que l’économie et la société de l’UE soient en mesure de faire face aux défis futurs.
L’UE est déterminée à concrétiser la stratégie de cybersécurité de l’UE par un niveau d’investissement sans précédent dans la transition écologique et numérique de l’Europe, au moyen du budget à long terme de l’UE pour la période 2021-2027, en particulier à travers le programme pour une Europe numérique et Horizon Europe, ainsi que par le plan de relance pour l’Europe.
En outre, en matière de cybersécurité, notre protection dépend de celle de notre maillon le plus faible. Les cyberattaques ne s’arrêtent pas aux frontières physiques. L’UE a donc également pour priorité de renforcer la coopération, y compris transfrontière, dans le domaine de la cybersécurité: ces dernières années, la Commission a mené et facilité plusieurs initiatives visant à améliorer les capacités de préparation collectives, les structures communes de l’UE ayant déjà apporté un soutien aux États membres, au niveau tant technique qu’opérationnel. La recommandation, proposée ce jour, sur la création d’une unité conjointe de cybersécurité constitue une nouvelle étape vers une coopération plus grande et une réaction coordonnée aux cybermenaces.
Dans le même temps, la réponse diplomatique conjointe de l’Union européenne face aux actes de cybermalveillance, également appelée la boîte à outils cyberdiplomatique, encourage la coopération et promeut un comportement responsable des États dans le cyberespace; elle permet à l’UE et à ses États membres de recourir à l’ensemble des mesures relevant de la politique étrangère et de sécurité commune, y compris aux mesures restrictives, pour empêcher, décourager, prévenir et contrer les actes de cybermalveillance.
Afin de garantir la sécurité dans nos environnements physique et numérique, la Commission a présenté en juillet 2020 la stratégie de l’UE pour l’union de la sécurité pour la période 2020-2025. Cette stratégie met l’accent sur les domaines prioritaires dans lesquels l’UE peut apporter une valeur ajoutée, afin d’aider les États membres à renforcer la sécurité de toutes les personnes qui vivent en Europe: la lutte contre le terrorisme et la criminalité organisée; la prévention et la détection des menaces hybrides et l’accroissement de la résilience de nos infrastructures critiques; et la promotion de la cybersécurité ainsi que de la recherche et de l’innovation.