Cybersécurité : La commission du Parlement européen adopte une nouvelle loi sur les services critiques
La commission principale du Parlement européen a adopté, jeudi 28 octobre, une proposition législative visant à sécuriser les entités critiques de l’Europe contre les cyberattaques.
La commission principale du Parlement européen a adopté, jeudi 28 octobre, une proposition législative visant à sécuriser les entités critiques de l’Europe contre les cyberattaques.
La commission de l’Industrie, de la Recherche et de l’Energie (ITRE) du Parlement a approuvé la directive NIS2, une révision de la directive sur la sécurité des réseaux et des systèmes d’information. La directive NIS existante a été la première législation à l’échelle de l’UE à établir des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services essentiels.
Bien que la directive NIS n’ait été adoptée qu’en 2016, la nature changeante du cyber-environnement a incité à réviser la législation afin de renforcer les exigences en matière de cybersécurité et d’étendre le champ d’application à davantage d’entités présentant un profil de risque élevé, en fonction de la centralité de leur rôle dans l’économie et les processus démocratiques.
« Non seulement nous voyons le nombre de cyberattaques augmenter, mais ce qui augmente également, c’est le préjudice et l’impact sociétal », a déclaré Klara Jourdan, responsable des politiques publiques au CyberPeace Institute, lors d’un événement organisé par EURACTIV mardi 26 octobre.
Mme Jourdan a souligné que l’harmonisation des normes de cybersécurité dans l’UE est rendue encore plus nécessaire étant donné la nature interconnectée des chaînes d’approvisionnement, une attaque pouvant affecter plusieurs pays simultanément.
Un champ d’application plus large
Alors que l’objectif de la directive NIS2 était d’élargir le champ d’application de la législation précédente, le texte parlementaire l’a étendu encore davantage, couvrant environ 160 000 entités.
Les organisations couvertes par les nouvelles exigences en matière de cybersécurité seront identifiées par deux séries de critères. Le critère objectif comprend les entreprises ayant un chiffre d’affaires de 10 millions d’euros et au moins 50 employés. Le critère qualitatif couvre les entités fondamentales pour les processus économiques et démocratiques.
« Pendant des années, la cybersécurité était un sujet de niche. Ce n’est plus le cas. Tous les professionnels vous diront qu’elle devrait être portée au plus haut niveau ; le PDG devrait être impliqué », a déclaré Bart Groothuis, le député européen responsable du dossier, à EURACTIV, notant que les sanctions pour négligence démontrable visent justement à atteindre cet objectif.
Ces amendes peuvent s’élever jusqu’à 2 % du chiffre d’affaires de l’entreprise négligente, soit le même pourcentage que les attaques de ransomware demandent généralement. Les membres de la direction peuvent également être frappés d’une interdiction temporaire.
« La philosophie n’est plus de savoir si vous êtes vital, mais de savoir si vous êtes vital pour le modèle économique des ransomwares », a fait valoir le député néerlandais.
Depuis un an et demi, les ransomwares, en particulier contre les chaînes d’approvisionnement, constituent la principale cyber-menace en Europe, selon un rapport de l’agence européenne de cybersécurité ENISA publié mercredi 27 octobre.
« Les États membres veulent plus de flexibilité pour inclure les entreprises et les entités en fonction de leur évaluation des risques, et veulent éviter la paperasserie pour les petites entreprises », a déclaré Tamara Tafra, conseillère en cybersécurité à la représentation permanente de la Croatie auprès de l’UE.
Le texte du Parlement répond à cette préoccupation en proposant une déclaration automatisée, qui, selon les députés, minimiserait la charge administrative.
Modifications parlementaires
Si le champ d’application général a été étendu, le texte approuvé par le Parlement exclut une catégorie spécifique, les serveurs racine, qui constituent la base sur laquelle l’architecture de l’internet est construite.
L’Internet Society, une ONG internationale, a mis en garde contre le fait que la réglementation des services racine pourrait avoir des conséquences involontaires de fragmentation de l’internet, notant que d’autres puissances pourraient saisir l’occasion pour balkaniser l’internet. L’ONG a souligné que la proposition de la Chine pour une nouvelle adresse IP en 2019 est un dangereux précédent.
M. Groothuis a reconnu que la gouvernance actuelle de l’internet, basée sur les systèmes de noms de domaine, est trop fragile face aux cyberattaques et devrait donc être réglementée. Il a toutefois critiqué la Commission européenne pour avoir proposé de réglementer les serveurs racine, estimant que cela allait à l’encontre de la philosophie de l’internet libre.
Une autre modification apportée au texte est la différenciation des obligations de déclaration. La sécurité de l’information est basée sur la triade CID : confidentialité du réseau, intégrité des données et disponibilité du service (en anglais : confidentiality of the network, integrity of the data, and availability of the service, CIA)
Pour M. Groothuis, la disponibilité peut être facilement évaluée et doit être signalée dans les 24 heures, tandis que l’évaluation de l’intégrité et de la confidentialité peut prendre jusqu’à trois jours, soulignant une proposition similaire aux États-Unis qui a récemment adopté la même approche.
En outre, la proposition ITRE comprend des dispositions sur la façon d’échanger des données d’une manière conforme au GDPR pour lutter contre la cybercriminalité et inclut même une responsabilité de partager les données sensibles.
M. Groothuis a affirmé que le partage d’informations a considérablement diminué ces dernières années par crainte de la responsabilité. Par exemple, les autorités pourraient connaître les adresses IP utilisées par un certain groupe de ransomware, les adresses électroniques antérieures ou les portefeuilles de bitcoins.
Contexte géopolitique
S’appuyant sur son expérience antérieure en tant que responsable de la cybersécurité au sein du ministère néerlandais de la Défense, M. Groothuis a estimé que l’ambition de la proposition était dictée par le scénario international.
« Lorsque nous avons commencé à nous attaquer au problème aux Pays-Bas, la criminalité bancaire sur Internet était un énorme problème. En trois mois, nous l’avons réduit de plus de 90 %. Dans les pays qui nous entourent, la Belgique, l’Allemagne, elle a augmenté de 90 % au cours de la même période », a déclaré le député, notant que les cyberattaques ont tendance à toujours cibler le maillon le plus faible.
M. Groothuis note que les dépenses médianes d’une entreprise américaine sont déjà supérieures de 41 % à celles d’une entreprise européenne, et que l’écart pourrait encore se creuser, Washington mobilisant de plus en plus de ressources à la suite d’une série d’attaques de haut niveau comme celle du Colonial Pipeline. Cette cyberattaque était survenue le 7 mai 2021 lorsque le Colonial Pipeline, un système d’oléoduc américain a subi une cyberattaque de ransomware qui a forcé l’équipement informatisé gérant le pipeline à fermer.
Le député néerlandais préconise également une posture de cyber-défense active anticipant les risques à venir de la part de puissances hostiles, en pointant du doigt la Chine et la Russie. C’est pourquoi la proposition maintient également que les facteurs non techniques doivent être pris en compte lors de l’évaluation du risque d’une organisation.
Pour David Harmon, directeur de la cybersécurité et de la vie privée pour l’UE chez Huawei, ces considérations non techniques ne devraient pas répéter la même fragmentation de la boîte à outils de la 5G, car une approche coordonnée au niveau de l’UE garantirait la sécurité juridique.
Le texte de la commission ayant été approuvé à une très large majorité, aucun vote en plénière n’est attendu.
