Les États membres veulent garder dans leur giron la cybersécurité
Les États membres refusent de signaler les cyberattaques dont leurs réseaux numériques sont l'objet, ce qui bloque la législation européenne sur la cybersécurité.
Les États membres refusent de signaler les cyberattaques dont leurs réseaux numériques sont l’objet, ce qui bloque la législation européenne sur la cybersécurité.
La directive relative à la cybersécurité fait partie des mesures qu’espère concrétiser la présidence lettone du Conseil européen, dans le cadre du projet de marché unique numérique, qui inclut notamment la protection des données et le paquet sur le marché unique des télécommunications. Cependant, après des trilogues avec le Parlement européen et la Commission au mois d’avril, certains États membres freinent le processus et ont marqué leur désaccord avec l’obligation de déclarer les cyberattaques.
>> Lire : L’avenir de la directive sur la cybersécurité est incertain
« Au départ, je pensais que nous essaierions de finaliser la directive d’ici la fin de notre présidence, mais j’ai finalement abandonné tout espoir », a admis J?nis S?rts, secrétaire d’État du ministère letton de la Défense, lors d’une conférence sur la cybersécurité qui se déroulait à Bruxelles le 28 mai. « C’est la première législation européenne [sur le sujet] et nous ne parvenons pas à nous mettre d’accord. Cela n’envoie pas vraiment un message fort à nos attaquants potentiels », regrette-t-il.
Le mois dernier, EURACTIV avait signalé que le Royaume-Uni, la Suède et l’Irlande s’opposaient à l’obligation pour les grandes entreprises non-européennes de signaler les cyberattaques dont elles étaient victimes. La France, l’Allemagne et l’Espagne sont quant à elles contre toute mesure contraignante dans le domaine.
>> Lire : L’UE pressée de réagir à l’urgence de la cybersécurité
Certains pays, comme le Royaume-Uni, souhaitent continuer à appliquer une approche plus douce en ce qui concerne la déclaration de failles de sécurité.
Selon Rachael Bishop, responsable de la cybersécurité au ministère de l’économie, de l’innovation et de la qualification, les mesures européennes proposées auraient un impact négatif. « Les petites entreprises, en particulier, pourraient cesser tout simplement de comptabiliser les violations de leur systèmes numériques. Ce serait extrêmement contreproductif par rapport au système de résistance accrue que nous tentons de mettre en place », assure-t-elle.
Le projet de marché unique numérique de la Commission comprend un partenariat public-privé pour le partage de l’information sur les faiblesses de la cybersécurité qui devrait prendre effet au début de l’année prochaine.
Udo Helmbrecht, directeur exécutif de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), a expliqué à EURACTIV que les États membres considèrent toujours la cybersécurité comme une compétence nationale.
« L’obligation de signaler les attaques c’est une chose. Si ces déclarations ne sont pas obligatoires, quelles informations seront échangées ? », craint-il.
>> Lire : Les incidents de cyber-sécurité sont rarement signalés
« Les auteurs de la législation craignent que la mesure n’ait pas l’effet escompté si elle n’est pas obligatoire. D’un autre côté, les États membres craignent qu‘une mesure est obligatoire et les informations demandées trop détaillées ne les obligent à sacrifier certains de leurs intérêts », ajoute Udo Helmbrecht.
>> Lire aussi nos éditions spéciales sur la cybersécurité et les compétences numériques
