Secu
L’Europe construit sa cybersécurité en partenariat avec les acteurs privés
Par Pierre-Randolf Dufau, publié le 28 mai 2024
Le 5 mars 2024, un accord politique a été conclu par la Commission et le Parlement européens sur la proposition de règlement sur la cyber-solidarité en Europe. L’objectif est de renforcer les capacités de détection, de préparation et de réaction aux menaces et attaques numériques de grande envergure. Axé sur la coopération au sein de l’UE, il met tous les acteurs à contribution, mais en particulier les entreprises du secteur de la sécurité.
Par Maître Helena Gavrilov, avocate au barreau de Paris, PRD Avocats
Proposé par la Commission le 18 avril 2023, ce texte vient en réponse aux États membres qui, dès 2022, avaient réclamé des mesures aux fins d’améliorer la résistance de l’UE face à l’augmentation significative du nombre d’attaques et de menaces pour les environnements numériques nationaux. Il s’appuie notamment sur la stratégie de cybersécurité de l’UE et celle pour l’union de la sécurité, présentées dès 2020.
L’accord prévoit trois grandes mesures.
Premièrement, un système européen d’alerte sera mis en place. Il utilisera, entre autres technologies, l’intelligence artificielle pour détecter les cybermenaces et incidents en temps réel. Ce système prendra la forme de centres d’opérations de sécurité (SOC) nationaux et transfrontaliers répartis dans les différents pays de l’UE, avec lesquels les entreprises seront amenées à coopérer en tant que de besoin.
Deuxièmement, un mécanisme d’urgence face à des incidents importants et majeurs prévoit de faire intervenir les acteurs privés. Ainsi d’une part, des tests de préparation et de détection des vulnérabilités seront réalisés dans les entreprises opérant dans des secteurs jugés critiques tels que la santé, l’énergie et la finance. D’autre part, une « réserve de cybersécurité » impliquera l’intervention de prestataires de confiance fournissant des services de réponse aux incidents et prêts à intervenir à la demande de tout organe national ou européen, voire d’entités d’États tiers associés au programme.
Troisièmement, un mécanisme d’examen a posteriori permettra d’améliorer les systèmes face aux incidents majeurs rencontrés.
Le texte proposé par la Commission et le Parlement européens vise également la modification du Règlement (UE) 2019/881 relatif à l’Enisa (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, couramment nommé « Cybersecurity Act » ou « CSA », entré en vigueur le 27 juin 2019.
Cette réglementation traite particulièrement des fournisseurs de services de sécurité gérés en externe pour de nombreux secteurs d’activités. Or ces acteurs sont la cible d’attaques afin d’accéder aux environnements sensibles de leurs clients. L’amendement envisagé prévoit qu’ils pourront s’adresser à des systèmes européens de certification, qui permettront par la suite d’établir un cadre pour la désignation des fournisseurs de confiance prévus pour la réserve de cybersécurité.
À cet égard, une Académie des compétences en matière de cybersécurité proposée par la Commission devrait voir le jour sous la forme d’une plateforme en ligne en vue d’assurer un pôle de main d’œuvre de professionnels qualifiés dans la cybersécurité en Europe. Les acteurs privés seront invités à contribuer aux côtés des entités publiques, dans une optique de coordination de l’enseignement et du financement entre les établissements universitaires, de formation et les entreprises de sécurité.
À la suite de cet accord politique, il reste au Parlement européen et au Conseil à donner leur approbation formelle, avant que le texte soit publié et entre en vigueur.
À LIRE AUSSI :
À LIRE AUSSI :