Ce qu’il faut attendre de la loi européenne sur la cybersolidarité
L’initiative de l’UE en matière de cybersolidarité a fait sa première apparition mardi dans la version actualisée du programme de travail de la Commission européenne, mais son élaboration remonte à un an. EURACTIV décrypte pour vous ce à quoi il faut s’attendre.
L’initiative de l’UE en matière de cybersolidarité a fait sa première apparition mardi (28 février) dans la version actualisée du programme de travail de la Commission européenne, mais son élaboration remonte à un an. EURACTIV décrypte pour vous ce à quoi il faut s’attendre.
En mars 2022, alors que l’Europe était encore sous le choc de l’agression menée par la Russie en Ukraine, les ministres de l’UE se sont réunis à Nevers, en France, et ont discuté de l’idée de renforcer, pour la première fois, la capacité des États européens à faire face à des cyberattaques de grande ampleur.
La présidence française du Conseil de l’UE de l’époque a alors proposé la création d’un fonds d’urgence pour la cybersécurité, accessible aux gouvernements nationaux. Celui-ci permettrait de faire appel à des entreprises de cybersécurité de confiance pour réaliser des audits et réagir aux incidents.
Tel est le postulat du règlement sur la cybersolidarité (Cyber Solidarity Act), un projet de règlement qui devrait être présenté par la Commission le 5 avril prochain. Selon une source informée en la matière, le modèle suit l’approche adoptée par l’Ukraine, qui consiste à associer des institutions publiques et des entreprises privées afin de garantir la cybersécurité.
Réserve cyber
Cette idée a fait son chemin dans la politique de cyberdéfense de l’UE, qui a ensuite été rebaptisée initiative de cybersolidarité européenne. Son objectif est d’établir une « réserve cyber » composée de fournisseurs privés de confiance qui bénéficieraient d’une certification et apporteraient leur soutien en cas de cyberattaques importantes.
Les critères de sélection de ces fournisseurs de confiance ne sont pas encore connus, mais les géants européens de la sécurité tels que Atos, Thales, WithSecure et BitDefender figurent parmi les candidats les plus probables. La question fondamentale est de savoir si l’accès à la réserve sera limité pour les entreprises américaines comme Microsoft.
Étant donné le caractère sensible de la question et la tendance récente de la Commission à privilégier les entreprises européennes dans la certification en matière de cybersécurité, il convient de s’attendre à ce que certaines restrictions soient imposées aux entreprises étrangères. Il faudrait tout au moins envisager l’exclusion des entreprises jugées trop proches de puissances hostiles, comme ce fut le cas pour Huawei et la boîte à outils de l’UE pour la sécurité des réseaux 5G.
Une bonne indication de la manière dont le projet pourrait être mené réside dans un projet pilote baptisé « Trusted Partnersip Programme » (Programme de Partenariat de Confiance) sur lequel l’ENISA, l’agence de cybersécurité de l’UE, travaille depuis l’été dernier.
Ce projet pilote a donné lieu à un appel d’offres public d’un montant de 28 millions d’euros divisé en 28 lots pour les 27 États membres de l’UE, en plus d’un lot au niveau européen. Dans plusieurs pays, les candidats éligibles doivent recevoir une habilitation, une certification ou une accréditation de sécurité au niveau national, de l’OTAN ou de l’UE.
Cadre politique
Jusqu’à la fin du mois de janvier, l’exécutif de l’UE n’avait toujours pas pris sa décision quant à savoir si l’initiative nécessitait une législation, avait alors déclaré un porte-parole de la Commission à EURACTIV.
Proposer une nouvelle législation à ce stade tardif du mandat de la Commission ne sera certainement pas bien accueilli par le Conseil des ministres de l’UE, au sein duquel les représentants nationaux déplorent que leurs capacités soient déjà fortement sollicitées et souhaitent se concentrer sur la loi sur la cyberrésilience (Cyberesilience Act).
Par ailleurs, au niveau national, les États membres de l’UE s’emploient à mettre en œuvre la directive révisée sur la sécurité des réseaux et des systèmes d’information (SRI2) et la directive sur la résilience des entités critiques, ainsi que la mise en place de centres régionaux des opérations de sécurité (SOC) — pour lesquels un appel à financement a été clôturé il y a deux semaines.
La Commission souhaite que les SOC régionaux soient fédérés de manière à pouvoir échanger les renseignements sur les menaces au niveau de l’UE et à former un « cyberbouclier » (Cyber Shield). L’initiative de cybersolidarité est destinée à établir l’infrastructure de détection européenne sous-jacente.
Une autre question politique est de savoir si la Commission cherchera à rendre obligatoire le partage des renseignements sur les menaces, une mesure à laquelle s’opposent les États membres. Ils estiment en effet que ces renseignements pourraient contenir des informations sensibles susceptibles de compromettre leur sécurité nationale s’ils venaient à tomber entre de mauvaises mains.
La véritable raison d’une telle proposition législative est toutefois qu’il n’existe pas de cadre juridique permettant d’allouer ce financement, a confirmé un porte-parole de la Commission à EURACTIV.
Un exemple de précédent récent est le règlement sur les semi-conducteurs, qui définit dans quelles conditions les entreprises qui contribuent à renforcer la capacité des semi-conducteurs en Europe peuvent bénéficier d’une aide d’État.
Les organismes appelés à être éligibles pour recevoir l’aide des fournisseurs de confiance sont les entités critiques identifiées dans le cadre de la directive SRI2. Néanmoins, confier aux États membres la responsabilité de distribuer les fonds pourrait être en contradiction avec les règles de l’UE en matière d’aides d’État.
La question de la gouvernance est toutefois assez délicate car elle met en cause le rôle du Centre européen de compétences en matière de cybersécurité (ECCC).
Gouvernance
L’organe de l’UE a été créé en 2021 précisément dans le but de renforcer la capacité de l’Europe en matière de cybersécurité. La Commission espérait toutefois conserver le Centre de compétences à Bruxelles sous sa coupe, mais la Roumanie est parvenue à l’obtenir, faisant de lui le premier organe européen à Bucarest.
Comme le révélait EURACTIV en avril dernier, l’exécutif européen a par conséquent reporté la nomination du nouveau directeur exécutif du Centre afin de conserver son autorité sur celui-ci. Deux ans après sa création, l’organe de l’UE n’a toujours pas son poste principal et manque cruellement de personnel.
Cependant, la Commission se montre peu disposée à donner au Centre de compétences une indépendance totale, précisément parce qu’il est censé gérer les fonds européens consacrés au renforcement des capacités en matière de cybersécurité.
En d’autres termes, exclure l’organe de l’UE de l’initiative reviendrait à discréditer sa raison d’être. Parallèlement, l’ENISA semble être la seule à pouvoir gérer un tel projet.
Budget
Le financement de l’initiative de cybersolidarité devrait provenir du programme pour une Europe numérique. Toutefois, à l’instar du règlement sur les semi-conducteurs, le projet risque de se heurter à la dure réalité d’un budget européen déjà tendu et à la réticence des États membres à investir des ressources supplémentaires.
Il convient de noter que la politique de cyberdéfense anticipe ces contraintes budgétaires en déclarant que « bien que le champ d’action et la répartition des coûts des interventions spécifiques dépendent des fonds communautaires disponibles, l’UE apporterait également une valeur ajoutée en garantissant la disponibilité et l’état de préparation d’une telle réserve au niveau européen ».
