La stratégie de cyberdéfense de l’UE reçoit un accueil mitigé de la part des États membres
Les ministres de la Défense ont adopté des conclusions sur la stratégie de cyberdéfense de l’UE, soulignant la nécessité d’éviter les doubles emplois dans l’architecture institutionnelle et énonçant leurs priorités concernant le développement des compétences, entre autres.
Les ministres de la Défense de l’UE ont adopté mardi (23 mai) des conclusions sur la stratégie de cyberdéfense européenne, soulignant la nécessité d’éviter les doubles emplois dans l’architecture institutionnelle et énonçant leurs priorités en matière de développement des compétences et de coordination volontaire dans le secteur de la défense.
Le document de 18 pages signé par les ministres de la Défense des Vingt-Sept fait suite à la communication conjointe de la Commission européenne et du Haut représentant pour la politique de l’UE en matière de cyberdéfense, publiée en novembre dernier.
Les ministres préconisent de « continuer à investir dans nos forces armées modernes et interopérables, dans nos technologies de pointe, dans nos capacités de cyberdéfense de dernière génération et de renforcer les partenariats afin de relever les défis communs ».
En outre, les États membres ont qualifié la Russie de principale menace pour la sécurité des réseaux de l’UE, et ils ont également mentionné la Chine.
Cependant, les pays de l’UE sont restés vagues quant à la nécessité de « dissuader les cyberattaques » et aux mesures offensives de cyberdéfense que les États membres de l’UE pourraient mettre en place à des fins de défense.
Coordination intra-UE
Le document du Conseil des affaires étrangères souligne que la collaboration avec d’autres institutions, organes et agences de l’UE, tels que l’ Agence de l’Union européenne pour la cybersécurité (ENISA) et l’équipe d’intervention en cas d’urgence informatique (CERT-UE), doit éviter « toute duplication inutile des efforts ».
L’ENISA a récemment mis en place un cadre de compétences en matière de cybersécurité (Cybersecurity Skills Framework) qui est un outil concret permettant d’identifier les tâches, les compétences, les aptitudes et les connaissances liées aux rôles des professionnels de la cybersécurité de l’Union européenne.
Le CERT-UE est le centre de réponse aux incidents de sécurité informatique des institutions et organes de l’UE. Actuellement, l’UE prévoit d’accroître la capacité et le financement du CERT-UE, de lui confier un rôle de coordination en matière de divulgation des vulnérabilités et de proposer des critères de référence pour les cadres de cybersécurité des institutions.
Développement des compétences
En ce qui concerne l’éducation, la formation et les exercices dans le domaine de la cybersécurité, le Conseil a mis l’accent sur divers projets, mais a omis l’Académie des compétences en cybersécurité (Cybersecurity Skills Academy) de la Commission, qui n’est mentionnée qu’à la fin du document et dans le contexte du déficit de compétences en cybersécurité.
L’Académie des compétences en cybersécurité a été lancée par la Commission à la mi-avril afin de combler le manque de compétences dans le secteur de la cybersécurité et de développer la cyberrésilience de l’UE.
En revanche, le Conseil a mis l’accent sur les projets de coopération structurée permanente, lancés il y a cinq ans et examinés cette semaine par les ministres de la Défense de l’UE, afin d’évaluer les capacités de l’Union. Des inquiétudes ont été exprimées quant à la lenteur de certains des 68 projets.
Approche coordonnée de la défense
Dans le contexte de l’écosystème de défense de l’UE, le Conseil a invité les gouvernements nationaux à élaborer des « recommandations volontaires non juridiquement contraignantes inspirées de la [directive révisée sur la sécurité des réseaux et des systèmes d’information] SRI2 pour accroître la cybersécurité dans la communauté de défense ».
Cette directive introduit des obligations spécifiques pour les entités qui sont considérées comme essentielles ou importantes pour le fonctionnement de la société.
La directive SRI2 est également une référence pour la nouvelle législation sur la cybersécurité de l’UE, la loi sur la cyberrésilience (Cyber Resilience Act). Il y a un mois, la présidence suédoise du Conseil de l’UE a proposé de remanier la législation sur la cyberrésilience afin de permettre aux gouvernements nationaux d’imposer des exigences de sécurité supplémentaires pour les produits des TIC utilisés par les entités qualifiées d’essentielles ou d’importantes dans le cadre de la SRI2.
Soutien à l’industrie
Le Conseil a également souligné la nécessité de « développer une industrie européenne de la cybersécurité avec le soutien du CECC en tant que pilier essentiel pour que ce mécanisme soit opérationnel ».
Le Centre européen de compétences en cybersécurité (CECC) a été créé il y a un an, mais son bureau n’a ouvert ses portes qu’il y a deux semaines à Bucarest et manque encore cruellement de personnel.
En outre, la nomination du directeur exécutif du Centre, un point de désaccord de longue date entre la Commission européenne et la Roumanie, n’a pas encore été finalisée.
[Édité par Anne-Sophie Gayet]
