Cybersécurité : plus de pouvoirs pour l'agence européenne?

Andrus Ansip, vice-président de la Commission européenne, a annoncé qu’un nouveau mandat pour l’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information serait présenté en septembre, complété par une nouvelle stratégie pour la cybersécurité. 

Des pouvoirs aujourd’hui limités

L’agence dispose aujourd’hui d’un mandat juridique allant jusqu’en juin 2020. La directive sur la sécurité des réseaux (directive NIS de 2016) lui octroie un pouvoir de coordination des autorités nationales lorsqu’une crise de cybersécurité à l’échelle européenne intervient, comme par exemple récemment avec le virus WannaCry.

Problème : il n’y a « toujours pas de procédure de réaction graduelle, de la détection à la réaction, et pas de pouvoir d’initiative ».

Or, la cybersécurité est une question très internationale. Internet n’a pas de frontière : les actes malveillants ne sont donc pas soumis à des limites géographiques. Les « pirates » passent d’ailleurs par les réseaux d’autres pays pour s’introduire frauduleusement dans des systèmes d’information.

Une coopération indispensable dans le cadre de la directive NIS

Pourtant, la directive NIS oblige les Etats membres à légiférer sur des points importants, qui nécessitent une meilleure coordination entre eux.

L’établissement d’un cadre européen de coopération volontaire en fait partie, avec la création d’un « groupe de coopération » sur les aspects politiques de la cybersécurité et d’un « réseau européen des CSIRT [équipes nationales de réponse aux incidents informatiques] » facilitant le partage d’informations techniques sur les risques et les vulnérabilités.

La directive prévoit également le renforcement de la cybersécurité d' »opérateurs de services essentiels » au fonctionnement de l’économie, lesquels offrent pour la plus part leurs services dans plusieurs Etats membres.

Aussi, le texte impose d’instaurer des règles européennes communes concernant la cybersécurité des prestataires de services numériques dans les secteurs du CloudComputing, des moteurs de recherche et des places de marché en ligne.

Les Etats membres doivent également se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques et de stratégies nationales de cybersécurité. La France peut dores-et-déjà compter sur l’Agence Nationale de Sécurité des Systèmes d’Information, le CERT-FR et la stratégie nationale pour la sécurité du numérique.

Un manque de moyens pour aller plus loin

L’ENISA avait également plaidé pour un certification « cybersécurité » des objets connectés. Ces derniers ayant accès à de nombreuses données, dont des données sensibles, leur sécurité est indispensable. Mais la directive NIS ne contient aucune disposition à ce sujet. L’agence européenne n’a d’ailleurs pas les moyens de faire plus : elle ne dispose que de 85 membres qui travaillent avec un budget qui est seulement de 12 millions d’euros.

La Commission européenne a refusé de lui octroyer 25 personnes et 5 millions d’euros en plus, ce qui aurait pourtant été nécessaire afin de gérer la coopération des Etats dans la transposition et l’application de la directive NIS.

Reste à savoir si la nouvelle stratégie présentée en Septembre donnera plus de moyens à l’ENISA pour assurer une meilleure coopération internationale.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *