La Cour des comptes européenne souligne les risques du Cyber Solidarity Act
La Cour des comptes européenne a averti jeudi que la règlementation de l’UE sur la cybersolidarité (Cyber Solidarity Act) risquait d’accroître la dépendance des États membres aux fonds européens, de créer des difficultés en termes de partage des informations et de complexifier l’environnement cyber de l’UE.
La Cour des comptes européenne (CCE) a averti, jeudi (5 octobre), que la règlementation de l’UE sur la cybersolidarité (Cyber Solidarity Act) risquait d’accroître la dépendance des États membres aux fonds européens, de créer des difficultés en termes de partage des informations et de complexifier l’environnement cyber de l’UE.
Le Cyber Solidarity Act, proposé par la Commission européenne en avril dernier, a pour but de renforcer la solidarité et les compétences de l’UE en matière de cybersécurité et de répondre aux menaces cyber. En juin, le Parlement européen et le Conseil ont officiellement demandé à la Cour des comptes de rendre son avis sur la règlementation dans le cadre d’une procédure obligatoire.
Alors que la Cour salue l’ambition de renforcer la cyberrésilience collective de l’UE, « certains risques doivent être maîtrisés, en particulier en ce qui concerne le financement et l’implémentation », a expliqué à Euractiv Hannu Takkula, membre de la Cour des comptes.
« Nous mettons en exergue les risques de dépendance aux fonds européens et de pérennité pesant sur la conduite des opérations du bouclier de cybersécurité européen, les risques d’entrave de son bon fonctionnement par un manque de partage d’informations et les risques que l’introduction de nouvelles mesures rendent l’environnement cyber de l’UE plus complexe », peut-on lire dans le document de la Cour.
Lina Gálvez Muñoz, vice-présidente de la commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen et rapporteure du dossier, a indiqué à Euractiv qu’elle approuvait l’avis de la Cour.
« Nous travaillons pour assurer un financement durable à moyen et long terme de cette initiative, pour améliorer et promouvoir le partage d’informations entre les différents acteurs impliqués, et pour créer une structure de cybersécurité efficace, tout cela en faisant attention à ne pas dupliquer les efforts, afin d’assurer une résilience et une autonomie stratégique ouverte de l’Union », a ajouté Mme Gálvez Muñoz.
Financement, analyse d’impact et performance
Les auditeurs de la Cour ont critiqué les absences d’analyse d’impact, d’informations concernant un financement pérenne, de suivi de la performance et d’évaluation des politiques publiques cyber.
Selon eux, « cette proposition de règlementation n’a pas fait l’objet d’une analyse d’impact » car la Commission européenne a présenté son règlement comme une législation urgente, limitant ainsi les informations sur les orientations politiques et la programmation budgétaire.
Des estimations de coûts de l’implémentation des éléments de la règlementation font également défaut. Elles concernent notamment le bouclier européen de cybersécurité, le mécanisme de cyberurgence et le mécanisme d’examen des incidents de cybersécurité, pour lesquels les estimations de coûts doivent encore être fournies a déclaré la Cour. En effet, le règlement ne précise pas la durée du cofinancement européen des Centres d’opérations de sécurité (SOC) nationaux et transfrontaliers.
« Comme la proposition ne contient pas d’analyse d’impact, nous suggérons que la Commission publie ces estimations de coûts, dans un souci de transparence », a déclaré la Cour.
L’indicateur de réactivité aux incidents cyber est un autre aspect de préoccupation, car il n’existe pas suffisamment d’informations sur la mesure de l’efficacité du bouclier de cybersécurité européen et du mécanisme de cyberurgence.
La Cour des comptes considère également que la période prévue pour le rapport d’examen de la réglementation de l’UE sur la cybersolidarité, qui doit être soumis quatre ans après promulgation du règlement, est « trop tardive » dû à l’évolution rapide de l’environnement cyber.
Évaluation du bouclier européen de cybersécurité
Le bouclier européen de cybersécurité, qui fait partie de la régulation, est une mesure visant à améliorer la coordination de la détection des cybermenaces par la mise en place des SOC nationaux et transfrontaliers.
« Nous notons que certaines tâches et certains objectifs des SOC nationaux, des SOC transfrontaliers, des équipes de réponse aux incidents de sécurité informatique (CSIRT) et de leur réseau sont similaires », peut-on lire dans l’avis.
Il est également précisé que les missions de détection et de réaction aux menaces, de renseignement sur les cybermenaces et de renseignement sur les cybermenaces sont des domaines qui se chevauchent.
Les auditeurs ont demandé que les structures des SOC comprennent des « dispositions claires en matière de gouvernance » afin de garantir une coordination efficace. Ils ont également critiqué l’absence d’exigences de reporting cyber des organisations publiques et privées envers les institutions européennes.
« Un tel manque de partage d’informations pourrait nuire à l’efficacité et à la valeur ajoutée du bouclier européen de cybersécurité », déclare la Cour des comptes.
Afin de réduire les coûts et de garantir la compatibilité des systèmes, les auditeurs ont souligné la nécessité d’aboutir à un accord rapide sur les conditions d’interopérabilité et de niveau de sécurité des infrastructures de données.
Révision du mécanisme de cyberurgence
Le deuxième volet du règlement est le mécanisme de cyberurgence, une mesure de réponse aux crises visant à préparer une réaction adéquate aux failles des infrastructures critiques et à assurer leur rétablissement après des cyberattaques de grande ampleur.
La « réserve » de cybersécurité de l’UE peut demander de l’aide, qui sera évaluée par la Commission avec le soutien de l’Agence européenne pour la cybersécurité (ENISA).
Alors qu’en théorie, une réponse à demande d’aide doit être envoyée « sans délai », la Cour des comptes souligne qu’un « délai prédéfini » et des étapes pour atteindre ce délai manquent dans le projet de règlement.
En outre, le financement des actions dans le cadre du mécanisme de cyberurgence déroge au principe d’annualité du budget de l’UE, qui prévoit que « les engagements et les crédits de paiement non utilisés ne sont pas automatiquement reportés à l’exercice suivant ».
Les auditeurs considèrent que ce principe n’est applicable qu’« en réponse à des événements imprévisibles » et qu’une limite devrait restreindre le report automatique à l’exercice suivant.
Évaluation du mécanisme d’examen des incidents
Le troisième pilier du règlement est le mécanisme d’examen des incidents de cybersécurité, qui définit le cadre d’analyse des incidents de cybersécurité à grande échelle.
À la demande de la Commission, les organismes de cybersécurité, y compris l’ENISA, peuvent être invités à examiner des incidents de cybersécurité et des failles. Cependant, le règlement ne prévoit pas de délai de retour d’information, ni d’incitations à se conformer aux recommandations.
« Nous suggérons que le règlement spécifie un délai maximum pour la remise de retour d’information de l’ENISA après tout incident », peut-on lire dans le rapport des auditeurs.
Le Cyber Solidarity Act doit encore être examiné par le Parlement européen et le Conseil, qui n’ont pas adopté de positions, avant qu’un accord puisse être trouvé lors des négociations interinstitutionnelles.
La Cour des comptes estime que ce processus devrait pouvoir être achevé « d’ici la fin de l’année ».
[Édité par Anne-Sophie Gayet & Théophane Hartmann]
