L’ambition des Etats membres de l’Union européenne sur le « paquet cybersécurité »


La Commission européenne (CE) a présenté, le 13 septembre 2017, un ‘paquet’ de mesures relatives à la cybersécurité qui constitue la feuille de route de l’exécutif européen en matière de sécurité du numérique, jusqu’à au moins la fin de son mandat en 2019.

Les vingt-huit Etats membres de l’Union européenne ont adopté le 20 novembre les conclusions du Conseil dressant un premier avis sur le ‘paquet cybersécurité’ présenté par la Commission européenne le 13 septembre dernier.

Les vingt-huit accueillent de manière favorable le paquet cybersécurité de la CE qui fixe une trajectoire claire pour l’Union européenne en matière cyber : celle de promouvoir l’autonomie stratégique européenne, objectif cher à l’ANSSI depuis de nombreuses années. Cette trajectoire comporte des jalons essentiels.

 

Une nouvelle ENISA en soutien aux Etats membres

Les Etats membres saluent la proposition de doter l’ENISA – l’agence européenne en charge de la sécurité des réseaux et de l’information – d’un mandat renforcé avec pour objectifs principaux :

  • le soutien et la valorisation de la coopération entre les États membres de l’UE,
  • l’appui aux Etats dans leurs efforts de renforcement de leurs capacités – en termes de gouvernance, de ressources financières et opérationnelles,
  • plus globalement, la contribution au renforcement de la confiance des citoyens à l’égard d’une Europe numérique.

 

Un futur cadre européen s’appuyant sur l’expertise existante au sein de l’UE en matière de certification de sécurité

La CE propose la création d’un cadre européen de certification de sécurité qui vise à permettre d’évaluer la sécurité du numérique en Europe. Les Etats membres plaident pour une approche ambitieuse, basée sur un processus fiable, transparent et indépendant.

Afin d’élever le niveau de sécurité en Europe, il est crucial que ce cadre permette de couvrir tout l’éventail des niveaux de sécurité, jusqu’aux plus élevés. Pour ces derniers, la résistance des produits aux capacités des attaquants doit être démontrée.

Pour ce faire, l’expertise accumulée par les Etats membres et l’industrie européenne depuis plus de vingt ans, reconnue de niveau mondial, sera incontournable dans la gouvernance de la certification.

 

L’ANSSI pour l’autonomie stratégique européenne en matière de sécurité du numérique

Engagée en faveur de l’autonomie stratégique européenne depuis plusieurs années, l’ANSSI se félicite de cette feuille de route de la CE. Cette proposition démontre que la sécurité du numérique est aujourd’hui devenue un enjeu prioritaire pour l’Europe, et le contenu présente globalement de bons axes de travail pour les années à venir.

  • En ce qui concerne la révision du mandat de l’ENISA, l’ANSSI, qui assure la présidence du Conseil d’administration, plaide pour une agence au mandat ambitieux, avec des missions renforcées où l’échelon européen apporte une véritable valeur ajoutée, notamment :
    • en soutien des Etats membres dans leurs efforts de renforcement de leurs capacités, conformément aux dispositions de la directive NIS ;
    • en appui de la coopération entre les Etats membres de l’UE, par exemple, dans le cadre du réseau des équipes de réponse aux incidents cybers des Etats membres (CSIRTs).
  • Enfin, en ce qui concerne la création du cadre européen de certification de sécurité, l’ANSSI salue le fait que la CE ait fait le choix de mettre en place au sein de l’UE un dispositif utilisé par plusieurs Etats membres précurseurs, dont la France et l’Allemagne, depuis près de 20 ans.

La certification de sécurité est un élément clé pour renforcer la sécurité et la confiance dans le numérique au sein de l’UE ; l’ANSSI s’attachera donc à promouvoir un cadre européen de certification de sécurité ambitieux, qui tirera pleinement bénéfice du retour d’expérience des Etats précurseurs.

 


 

La composition du ‘paquet cybersécurité’

  • une communication conjointe de la Commission européenne et de la Haute représentante pour l’action extérieure intitulée « Résilience, dissuasion et défense : doter l’Union européenne d’une cybersécurité solide », qui liste les actions prioritaires de la Commission et notamment la création d’un centre européen consacré à la recherche et à la compétence cyber;
  • une proposition de règlement, qui comprend dans un même texte un mandat permanent pour l’ENISA et la création d’un cadre européen de certification de sécurité ;
  • une recommandation proposant un cadre européen de réponse aux crises cyber ;
  • et une communication précisant certaines modalités de mise en œuvre de la directive NIS.

En savoir plus sur la composition du ‘paquet cybersécurité’.