Cybersécurité : le directeur de l'ENISA recommande de ne pas baisser la garde
Si les cybermenaces n’ont pas radicalement changé depuis le début de la guerre en Ukraine, les attaques sont devenues plus intenses et plus sophistiquées, a déclaré lundi Juhan Lepassaar, directeur exécutif de l’agence européenne pour la cybersécurité, l’ENISA.
Si les cybermenaces n’ont pas radicalement changé depuis le début de la guerre en Ukraine, les attaques sont devenues plus intenses et plus sophistiquées, a déclaré lundi (26 septembre) Juhan Lepassaar, directeur exécutif de l’agence européenne pour la cybersécurité, l’ENISA.
Une seule cyberattaque avec des répercussions importantes a été enregistrée depuis février 2022 : l’attaque Viasat, qui a paralysé le fonctionnement de milliers d’éoliennes en Allemagne.
Cependant, le coût des attaques avec rançon demandée (« ransomware ») est en augmentation. Les pénuries de compétences et la protection des secteurs stratégiques sont particulièrement préoccupantes.
« Cela ne signifie pas que nous pouvons baisser la garde. Le scénario global de la menace reste préoccupant », a déclaré M. Lepassaar de l’ENISA lors d’une audition parlementaire de la commission de l’industrie, de la recherche et de l’énergie.
Les attaques par ransomware constituent la principale menace, suivies par l’ingénierie sociale et les logiciels malveillants. « Les acteurs financés par l’État se concentrent davantage sur les attaques avec un fort impact visant les chaînes d’approvisionnement, ce qui signifie que le coût des ransomwares pourrait largement dépasser les 250 milliards d’euros d’ici 2031 », a ajouté le chef de l’agence.
Selon M. Lepassaar, un problème de taille est que, dans de nombreux cas, les organisations touchées ne signalent pas les attaques aux autorités compétentes. En 2021, aucune menace de nature transfrontalière n’a été signalée par les États membres, bien que la majorité des attaques aient touché plusieurs pays.
« La raison pour laquelle ils ne signalent rien est qu’ils ne sont pas au courant. La raison pour laquelle ils ne sont pas au courant est qu’ils ne communiquent pas. C’est donc un cercle vicieux qui doit être rompu, d’une manière ou d’une autre, au niveau de l’Union », a déclaré M. Lepassaar.
Pour réduire les risques de cyberattaques, le chef de l’agence a suggéré de se concentrer sur les investissements visant à lutter contre la pénurie de travailleurs qualifiés et d’augmenter les dépenses dans les secteurs stratégiques, notamment dans les soins de santé.
À la fin du mois d’octobre, le mois européen de la cybersécurité, l’ENISA publiera son rapport annuel sur les menaces dans l’UE en 2022.
Dispositif de certification de cybersécurité
Le chef de l’ENISA a également souligné que l’UE sensibilise de plus en plus aux menaces et que de nombreux dossiers et projets législatifs visant à améliorer la cybersécurité sont en cours d’élaboration.
Tout récemment, le 15 septembre, la Commission a présenté son projet de loi sur la cyberrésilience visant à remédier aux vulnérabilités des appareils connectés par une stratégie de sécurité par la conception.
En outre, le Dispositif de certification de cybersécurité pour les services de cloud (EUCS) a progressé. En effet, cet été l’ENISA a présenté un projet très controversé quant aux exigences de souveraineté relatives à la localisation des données européennes et à l’immunité de droit étranger.
L’eurodéputé libéral Bart Groothuis, le rapporteur de la deuxième directive pour les Réseaux et la sécurité de l’information (NIS2), a renouvelé l’appel à en discuter lors de l’audition de lundi. « Nous avons besoin d’un débat politique car cela va à l’encontre de l’approche basée sur les risques que nous avons mise en avant dans la directive NIS2. »
Alors que le mandat de l’ENISA est purement technique, de multiples États membres, dont l’Estonie, les Pays-Bas, la Grèce — et maintenant l’Allemagne également — ont appelé à des discussions politiques en arguant que les exigences du dispositif restreindraient la concurrence, même si les niveaux de cybersécurité fournis par des entreprises non européennes étaient identiques, voire supérieurs.
Un diplomate européen a annoncé à EURACTIV que de telles discussions politiques au niveau du Conseil vont certainement se multiplier.
Entre-temps, l’ENISA est censé présenter un nouveau projet de ce dispositif, qui sera évalué par le groupe européen de certification de cybersécurité (ECCG), composé de représentants des autorités nationales de certification de cybersécurité. Les États membres auront ainsi l’occasion d’exprimer leur avis sur ces exigences.
Auparavant, le processus d’élaboration du dispositif avait été qualifié de non transparent par de nombreux acteurs, « les parties prenantes de l’industrie et les autres États membres n’ont pas été informés tout au long du processus, et on leur demande maintenant, sur le fait accompli, d’accepter une nouvelle version du dispositif », a déclaré un porte-parole de DIGITALEUROPE à EURACTIV.
Après l’évaluation de l’ECCG, l’ENISA remettra le projet à la Commission, qui rédigera ensuite l’acte d’exécution. Reste à savoir si l’ENISA intégrera dans le dispositif l’avis de l’ECCG, qui est attendu pour la fin du mois de novembre.
