Si pour de nombreux utilisateurs le numérique ressemble à un monde virtuel, il n’en reste pas moins qu’il s’appuie sur une couche matérielle, avec des infrastructures souvent transfrontalières. Jean Peeters, titulaire de la Chaire cyber et souveraineté numérique de l’IHEDN décrypte les recommandations de la Commission européenne dans le domaine réglementaire et législatif pour renforcer la cybersécurité au sein des États membres.
Aujourd’hui comment l’Union européenne (UE)
agit dans le domaine de la cybersécurité ?
Le 18 octobre dernier, la Commission européenne (CE) a proposé de renforcer la résilience des infrastructures critiques (communiqué de presse). Cette proposition vient nous rappeler que la cybersécurité, loin d’être un acquis, doit demeurer un objectif. Comme le définit l’ANSSI, la cybersécurité doit être un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». Elle prend acte de l’évolution d’une menace devenue hybride et sophistiquée, comme nous l’observons avec la guerre en Ukraine et lors du sabotage apparent des gazoducs Nord Stream ainsi que d’autres incidents récents.
Que contient cette proposition de recommandation ?
La proposition de recommandation de la Commission s’appuie sur un plan en cinq points pour des infrastructures critiques résilientes. Elle souligne le caractère transfrontalier des infrastructures numériques et l’interdépendance des Etats ainsi que les liens entre la cybersécurité et la sécurité physique des opérateurs. La Recommandation invite les pays membres à agir au plus vite et de façon coordonnée. Comme elle peut le préciser dans ses différentes publications : « la société dépend fortement des infrastructures tant physiques que numériques, et l’interruption de services essentiels, que ce soit à la suite d’attaques physiques conventionnelles, de cyberattaques ou d’une combinaison des deux, peut avoir de graves conséquences sur le bien-être des citoyens, nos économies et la confiance placée dans nos systèmes démocratiques ».
Concrètement, qu’est-ce-que les Etats sont invités à faire ?
Parmi les 34 recommandations, les Etats sont invités à « effectuer ou à actualiser leur évaluation des risques concernant la résilience des entités exploitant des infrastructures critiques dans les secteurs des transports et de l’énergie ». Ils doivent également « soumettre les entités exploitant des infrastructures critiques à des tests de résistance ». Enfin, ils doivent exploiter « les possibilités de financement qui peuvent exister au niveau de l’Union » ou encore « développer l’utilisation de Galileo et/ou de Copernicus à des fins de surveillance ».
Quels sont les domaines d’intervention jugés prioritaires par la Commission européenne ?
La proposition de recommandation considère comme prioritaires, les secteurs clés de l’énergie, des infrastructures numériques, des transports et de l’espace. On constate, aujourd’hui, toute leur importance s’ils venaient à être fortement impactés par des crises d’origine humaine ou environnementale. Pour vous donner un exemple, elle porte notamment sur la protection des câbles sous-marins, qui maillent le globe et transportent l’essentiel du réseau internet mondial. Lors d’un conflit hybride, leur sabotage peut sérieusement nuire au fonctionnement de plusieurs États.
Après cette recommandation, quelles sont les prochaines étapes concrètes ?
On attend un renforcement du cadre légal et règlementaire européen avec l’adoption prochaine de la directive NIS 2 et de la loi sur la cyber-résilience. Néanmoins, ce cadre normatif n’est pas suffisant. Aujourd’hui, l’expérience, la préparation, l’anticipation, la formation, l’investissement et l’innovation contribuent massivement à la protection des États. La France, de ce point de vue, n’est pas en reste. L’organisation prochaine de la Coupe du Monde de rugby en 2023 et des Jeux Olympiques en 2024 nous obligent. Nous devrons, à la fois, faire face à de nombreux risques et attaques, garantir la sécurité des biens et des personnes et prouver que notre place dans le trio de tête des pays de l’UE en matière de cybersécurité est méritée.
