La Commission européenne propose deux nouveaux règlements en matière de cybersécurité : l'un sur l'établissement de règles communes et l'autre sur la sécurité de l'information. Cette nouvelle étape s'inscrit dans la volonté de l'Union européenne de mettre en place un bouclier cyber européen afin de renforcer la protection des institutions, organes et Etats membres en la matière tout en favorisation la coopération. Une ambition nécessaire au vue de la recrudescence de la menace cyber.
© Flickr - Gérard Colombat - c.c
La cybersécurité, un enjeu majeur de la présidence française de l'Union européenne
Bruxelles souhaite se doter d'une législation pour protéger les objets connectés des[…]
"Dans un environnement connecté, un incident de cybersécurité unique peut toucher toute une organisation", constate Johannes Hahn, commissaire au budget et à l'administration. Face à la recrudescence des cyberattaques, dans un contexte géopolitique menaçant et une numérisation à marche forcée entraînée par la pandémie de Covid, la Commission européenne a proposé le 22 mars 2022 deux nouveaux règlements pour renforcer la cybersécurité des institutions. L'un sur la cybersécurité et l'autre sur la sécurité de l'information.
Vers un "bouclier cyber européen" Ces propositions de règlements s'inscrivent dans la volonté de l'UE d'établir un "bouclier cyber européen". Une notion évoquée à plusieurs reprises par des commissaires ou des Etats membres qui vise à renforcer la protection des institutions, faciliter la coordination et le partage d'informations entre les institutions et les Etats membres, surveiller et anticiper les attaques, etc.
Le but de ces deux règlements proposés par la Commission est double : renforcer la résilience et les capacités de réactions des institutions face aux menaces et incidents ; faciliter les échanges sécurisés d'informations entre les institutions et avec les Etats membres. "Les règlements que nous proposons aujourd'hui constituent une étape importante dans le paysage européen de la cybersécurité et de la sécurité de l'information, résume Johannes Hahn. Ils reposent sur une coopération renforcée et un soutien mutuel entre les institutions, organes et organismes de l'UE, ainsi que sur une préparation et une réaction coordonnées."
Une gestion commune de la cybersécurité Le règlement sur la cybersécurité vise à mettre en place "un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité". L'équipe d'intervention en cas d'urgence informatique – pour les institutions, organes et organismes de l'UE – devient le centre de cybersécurité mais garde son acronyme de CERT-UE. Cette équipe voit son mandat renforcé et le CERT-UE se voit conférer les missions d'un organe consultatif central et d'une plateforme de renseignement sur les menaces, d'échange d'informations et de coordination de la réaction en cas d'incident.
Ce centre de cybersécurité devra travailler en étroite collaboration avec la Joint Cyber Unit annoncée en juin 2021. Cette nouvelle structure, qui doit contribuer à détecter et lutter plus efficacement contre les attaques informatiques, doit voir le jour d'ici au 30 juin 2023. La Joint Cyber Unit doit prendre la forme d'une plateforme virtuelle et physique de coopération permettant d'assurer une réaction coordonnée face aux cyberattaques et pour prêter assistance aux victimes.
Le règlement proposé par la Commission prévoit également d'imposer de nouvelles règles cyber aux institutions et organes de l'UE qui devront disposer d'un cadre de gouvernance, de gestion et de contrôle des risques en la matière ; mettre en œuvre une base de référence pour les mesures de cybersécurité pour faire face aux risques identifiés ; procéder régulièrement à des évaluations ; mettre en place un plan d'amélioration de leur cybersécurité ; partager les informations relatives aux incidents avec le CERT-UE.
Le partage d'informations facilité Le second règlement, sur la sécurité de l'information, vise à établir "un ensemble minimal de normes et règles en matière de sécurité de l'information pour l'ensemble des institutions, organes et organismes de l'UE". L'objectif est d'assurer la protection de leurs informations et favoriser l'échange sécurisé d'informations entre les institutions et avec les Etats membres comme les pratiques sont standardisées.
Les principales mesures allant dans ce sens consistent à : mettre en place un groupe de coordination de la sécurité de l'information au niveau interinstitutionnel ; établir une approche commune en matière de catégorisation des informations sur la base du niveau de confidentialité ; moderniser les politiques de sécurité de l'information ; accroître la compatibilité entre les systèmes et dispositifs concernés.
