L’UE lance son Cyber Solidarity Act pour répondre aux attaques de grande ampleur

La Commission européenne a présenté son projet de règlement sur la cybersolidarité (Cyber Solidarity Act), qui a pour objectif de renforcer la coopération à l’échelle de l’UE en matière de préparation et de réaction aux cyberattaques de grande ampleur.

La proposition, qui fait partie d’un programme plus large sur la cybersécurité présenté mardi (18 avril), devrait stimuler la coordination transfrontalière et entre les secteurs public et privé en ce qui concerne l’anticipation et la lutte contre les cyberattaques, et dispose d’un budget de 1,1 milliard d’euros.

L’idée d’une telle législation est apparue pour la première fois en mars 2022, peu après l’invasion de l’Ukraine par la Russie, et vient en partie en réaction à ce qui est considéré à Bruxelles comme une menace accrue d’une cyberattaque majeure.

La combinaison d’entités publiques et privées de la proposition fait écho à un modèle déjà en place en Ukraine, où les entreprises et les autorités collaborent pour faire face aux cybermenaces.

Certains aspects de la proposition ont suscité de vifs débats et l’opposition des États membres, en particulier ceux relatifs à l’échange de renseignements et à la qualification et aux responsabilités des entreprises privées.

« Près de 30 % des petites et moyennes entreprises européennes ont été confrontées à la cybercriminalité au moins une fois au cours des 12 derniers mois », a déclaré Margrethe Vestager, vice-présidente exécutive de la Commission, lors du lancement de la proposition mardi, ajoutant que la loi sur la cybersolidarité constitue la dernière pièce de la stratégie plus large de l’UE en matière de cybersécurité et qu’elle la rend opérationnelle.

« Pour la première fois, nous investirons ensemble dans des capacités opérationnelles », a-t-elle déclaré. « En matière de cybersécurité, les chances de réussite dépendent de notre capacité à travailler ensemble, car la cybersécurité ne peut être qu’un effort de l’ensemble de l’Europe ».

Cyberbouclier

Le premier élément central de la proposition sera la mise en place d’un cyberbouclier européen composé de centres d’opérations de sécurité nationaux et transfrontaliers répartis dans l’ensemble de l’UE.

L’objectif est de rendre ces centres opérationnels dès l’année prochaine, en créant des pôles régionaux de cybercoopération avec des voisins immédiats tels que les pays baltes et le Benelux. Ils surveilleront et identifieront les cybermenaces à l’aide de diverses technologies, dont l’IA, et alerteront les autorités en cas d’attaques imminentes.

Lors du lancement de la proposition mardi, le commissaire chargé du Marché intérieur, Thierry Breton, a déclaré que le cyberbouclier servirait à détecter les menaces, à les atténuer et à y réagir.

Dans le même temps, il a tenté de rassurer les gouvernements européens sur le fait que les mesures interagiraient avec les centres d’opérations de cybersécurité actuels des États membres et en dépendraient, plutôt que de les remplacer.

« Ils les conserveront, bien sûr, mais il y aura une couche européenne ou un niveau européen qui s’articulera avec ce qui existe déjà », a expliqué M. Breton.

« Il y aura un centre dans chaque pays qui servira d’interface avec ce qui existe déjà, puis il y aura ce bouclier ou ce dôme européen global. »

Réserve de cybersécurité

Le deuxième pilier de la loi vise à renforcer la préparation et la capacité de réaction de l’UE en cas de crise par la création d’un mécanisme d’urgence cybernétique, qui testera les vulnérabilités dans des secteurs critiques tels que l’énergie et les transports et fournira un soutien financier pour l’assistance mutuelle entre les États membres.

Il est également prévu de créer une « réserve de cybersécurité » de l’UE, composée d’entreprises privées certifiées et de confiance, prêtes à intervenir en cas d’incident majeur.

Le plan initial prévoyait la création d’une « cyberarmée », a déclaré M. Breton, mais cela s’est avéré trop compliqué. La Commission a plutôt opté pour la création d’une réserve, prête à intervenir en cas de crise, un système qui, selon lui, a déjà été mis en place en Ukraine.

Ces plans ont déjà suscité une certaine controverse. Dans un document consulté par le Financial Times au début du mois, 24 gouvernements européens, c’est-à-dire tout le monde sauf la présidence actuelle et les deux présidences successives, ont appelé Bruxelles à ralentir sa proposition de cybersolidarité en raison de préoccupations liées à la conservation du pouvoir au niveau national concernant la certification et le déploiement d’une telle réserve.

Le nœud du problème est que les renseignements sur les cybermenaces peuvent être exploités pour pirater le système informatique de n’importe qui, qu’il s’agisse d’un rival géopolitique, d’un réseau criminel ou d’un concurrent économique. Il s’agit donc d’informations jalousement gardées par les autorités nationales.

L’accent mis sur la coopération public-privé se heurte également à la concurrence au sein de l’architecture institutionnelle de Bruxelles, puisque le bras diplomatique de l’UE, le Service européen pour l’action extérieure (SEAE), révise actuellement la boîte à outils  cyberdiplomatique, qui s’appuierait également sur les entreprises privées pour lutter contre les cyberactivités malveillantes.

Un dernier élément de la proposition de loi sur la cybersolidarité est la mise en place d’un mécanisme d’examen des incidents de cybersécurité, qui examinera et analysera les incidents majeurs après coup afin d’éclairer les développements futurs de l’approche de l’UE en matière de cyberdéfense.

Le lancement d’une académie européenne des compétences en matière de cybersécurité a également été annoncé mardi. Cette académie vise à renforcer les compétences en matière de cybersécurité et à combler le manque de talents dans ce domaine en dotant la population générale des capacités nécessaires et en formant des experts dans ce domaine.

[Édité par Anne-Sophie Gayet]