Par Mariya Gabriel, commissaire européenne à l’Économie et à la Société numérique
La cybersécurité est l’un des principaux défis politiques. Dans nos sociétés numériques au-delà du secteur des technologies de l’information, cette question traverse toute notre économie, notre société, et par là-même notre démocratie. Aucun secteur ne saurait s’y soustraire, qu’il s’agisse de l’énergie, des transports ou des services financiers.
De fait, les cyberattaques sont en constante augmentation. Dans certains États membres de l’Union européenne, on estime que la moitié de l’ensemble des activités criminelles sont des infractions informatiques. Certaines de ces attaques visent des cibles très médiatiques, notamment les réseaux électriques, d’importants services de messagerie web, les banques centrales, les entreprises de télécommunications, ou encore les commissions électorales. L’attaque « ransomware » WannaCry en mai 2017, l’illustre bien, alors qu’elle a touché plus de 230,000 ordinateurs dans plus de 150 pays. Ses conséquences néfastes ont impacté le fonctionnement des chemins de fer, des systèmes de santé, des opérateurs de télécommunications, et des entreprises dans toute l’Europe
Il faudrait agir. Mais comment répondre de manière efficace au niveau européen ?
Tout d’abord, nous ne partons pas de zéro : avec la Directive sur la sécurité des réseaux et des systèmes d’information, nous avons la première législation européenne visant à améliorer la cybersécurité. Grâce à cette directive européenne de 2016, les Etats membres renforcent leur coopération dans ce domaine, et coordonnent leurs efforts en vue de renforcer leurs capacités de réaction. La date limite pour la mise en œuvre de la directive était fixée au mois de mai dernier. Étant donné que la directive constitue un pas en avant important pour une coopération accrue, il est essentiel que les États qui ne l’ont pas encore fait, la mettent pleinement en œuvre dans les plus brefs délais.
En effet, la collaboration est un élément clé pour stimuler la cybersécurité en Europe. On ne peut évoluer dans un cyberespace sûr et ouvert qu’en conjuguant nos forces, partageant ainsi l’expertise et l’expérience. Aucun pays, ni aucune organisation ne peut relever seul ce défi. Ce n’est qu’en travaillant main dans la main, que nous pourrons apporter la réponse coordonnée et nécessaire, face aux menaces croissantes de ceux qui, à la solde d’Etats étrangers, ou bien pour leur propre compte, dirigent ces attaques. Pour illustrer l’ampleur du risque, on estime qu’une cyberattaque importante pourrait coûter plus de 120 milliards de dollars à l’économie mondiale, un chiffre comparable aux effets de catastrophes naturelles telles que les ouragans Katrina et Sandy.
Pour renforcer encore la cybersécurité de l’Union, la Commission a présenté l’année dernière son « Cybersecurity Act ». Cette proposition confère un mandat fort et permanent à l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). L’agence travaille en étroite collaboration avec les États membres et le secteur privé pour fournir des conseils et des solutions, contribuant ainsi à un niveau élevé de sécurité des réseaux et de l’information.
En plus du renforcement de nos capacités, nous devons améliorer notre capacité de réaction pour être plus fort, face à d’éventuelles attaques informatiques à l’échelle de l’Union européenne. Dans cette perspective, la Commission a recommandé la création de plans de réaction coordonnée en cas d’incident majeur transfrontalier, afin notamment d’intégrer les questions de cybersécurité dans les mécanismes de gestion des crises existants.
Nous devons exploiter le potentiel de croissance du marché de la cybersécurité dans l’UE en termes de produits, de services et de procédés, dont les développements sont actuellement entravés, notamment en raison de l’absence d’un système de certification reconnu dans l’ensemble de l’Union européenne. C’est pourquoi nous avons proposé de mettre en place un cadre de certification, dont l’Agence ENISA serait le pivot.
Il est également nécessaire d’intensifier la coopération en matière de cyberdéfense, en particulier en encourageant la coopération entre les différents acteurs civils et militaires en cas d’incident. L’UE a ainsi entamé une coopération avec l’OTAN, et mené en septembre et octobre 2017 des exercices conjoints, mettant l’accent sur les menaces informatiques et hybrides. Un nouvel exercice est prévu pour novembre 2018.
Enfin et surtout, nous devons réaliser des investissements appropriés en matière de cybersécurité au niveau européen, en particulier en ce qui concerne la recherche et l’innovation. C’est pourquoi notre nouveau cadre financier pluriannuel prévoit un renforcement du rôle de la cybersécurité et de la cyberdéfense, avec un montant de 2 milliards d’euros destiné à ce domaine dans le cadre du nouveau programme « Digital Europe » et avec un soutien dédié important dans le cadre du programme « Horizon Europe » pour la recherche et l’innovation.
En parallèle, la Commission avancera prochainement la mise en place d’un Réseau de compétences en matière de cybersécurité, en proposant la création un Centre Européen de Recherche et Compétences Industrielles. Sa mission sera d’aider l’Union dans le développement d’importantes capacités technologiques et industrielles en matière de de cybersécurité, ainsi que dans le renforcement de la compétitivité du secteur de nature à le transformer en un avantage concurrentiel pour les autres industries de l’Union.
L’union européenne enregistre déjà d’importants progrès dans la mise en place d’une politique de cybersécurité. Tant le Conseil que le Parlement européen sont d’accord sur les principes de base du « Cybersecurity Act » que nous avons proposé, notamment en ce qui concerne la nécessité de renforcer le rôle actuel de l’Agence ENISA, et de prévenir la fragmentation du marché intérieur en assurant une approche européenne commune en matière de certification. Les négociations entre le Parlement européen et les États membres, pour finaliser cette loi essentielle, devraient commencer en septembre sous la présidence autrichienne de l’Union européenne. L’objectif de la Commission est de les clôturer d’ici la fin de l’année.
La possibilité de progrès politiques rapides témoigne de l’importance que nous accordons à la cybersécurité au niveau européen. Compte tenu des risques croissants, auxquels l’Union européenne est confrontée en la matière, il est clair que nous avons besoin de ce nouveau cadre dès que possible.
Je suis convaincue de notre capacité de réaliser des progrès essentiels pour renforcer la cybersécurité en Europe. Toutefois, à mesure que le monde numérique progresse, le défi ne s’arrête jamais. C’est la raison pour laquelle nous devons veiller à ce que la cybersécurité reste fermement à l’ordre du jour de l’élaboration des politiques numériques.