Adoption du règlement sur la cybersécurité par le Parlement Européen

Le projet de règlement sur la cybersécurité a été adopté par le Parlement européen le 12 mars dernier. Ce texte, qui doit désormais être approuvé formellement par le Conseil, vise à améliorer la réponse européenne au nombre croissant de cybermenaces, et se concentre sur deux mesures essentielles : le renforcement du rôle de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et l’établissement d’un cadre de certification de cybersécurité.

 

La résilience face aux cyberattaques est un thème important pour l’Union européenne, notamment depuis l’adoption en 2013 de la première stratégie européenne de cybersécurité. Plus récemment, cet intérêt pour la résilience informatique de l’UE s’est manifesté par l’adoption en 2016 de la directive sur la sécurité des réseaux et systèmes d’information (Directive SRI ou NIS pour l’acronyme en anglais), qui sert de base à l’actuel projet de règlement sur la cybersécurité. Cette directive impose notamment aux opérateurs fournissant des services essentiels et aux fournisseurs de services numériques de prendre des mesures de sécurité appropriées, et de déclarer à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) tout incident ayant un impact significatif sur la fourniture des services (que cet incident soit d’origine accidentelle ou malveillante).

En 2019, plus de 80% des européens disposent d’une connexion internet et le nombre d’objets connectés ne fait qu’augmenter. Au regard de cet essor de l’utilisation d’internet, l’activité des cybercriminels gagne en puissance et en complexité. Parmi l’ensemble des cybermenaces, cinq se démarquent : le maliciel, les attaques provenant du web, les attaques des applications par injection SQL, l’hameçonnage et les attaques DDoS[1].

C’est dans l’objectif de lutter avec plus d’efficacité contre ces cybermenaces que les députés européens ont adopté ce projet de règlement sur la cybersécurité, par 586 voix pour, 44 contre et 36 abstentions. Deux points essentiels sont à retenir.

 

Un renforcement des pouvoirs de l’Agence de l’Union Européenne pour la cybersécurité (ENISA)

L’objectif de ce règlement est de faire de l’ENISA la référence en matière de cybersécurité, permettant ainsi aux institutions, organes et organismes de l’Union de se tourner vers elle pour des conseils en ce domaine. Pour ce faire, l’ENISA serait dotée de nouvelles missions et ressources. Parmi les principales évolutions en matière de cybercriminalité, il faut noter :

  • Son rôle d’assistance des Etats membres et institutions européennes dans la prévention des cybercrimes
  • Le développement du partage des informations entre les Etats membres et la coordination au niveau européen
  • Un travail de sensibilisation du public sur les menaces liées à la cybercriminalité : en aidant les Etats membres dans leur démarche de sensibilisation, en favorisant la coordination entre les Etats membres, en fournissant des codes de bonnes pratiques à adopter en matière d’hygiène informatique et d’habileté numérique
  • Le développement d’une communication entre l’ENISA et le Parlement européen sur les activités de l’Agence

De plus, outre la communication entre l’ENISA et le Parlement, un réseau d’agents de liaison composé de représentants des Etats membres devrait être mis en place, afin de favoriser les échanges entre l’Agence et les Etats membres, ainsi que la diffusion des conseils et recommandations de l’ENISA au sein de ces Etats.

 

Création d’un dispositif européen de certification en matière de cybersécurité

La grande innovation de ce projet de règlement est la création du premier processus européen de certification dans le domaine de la cybersécurité. Le considérant 69  de la position du Parlement (Position du Parlement européen adoptée le 12 mars 2019 – T8-0151/2019) en vue de l’adoption du règlement énonce les deux objectifs poursuivis par cette certification. D’une part, renforcer la confiance des consommateurs vis-à-vis des produits, services et processus TIC (Technologies de l’Information et de la Communication) certifiés et ainsi sécuriser le marché unique numérique, et d’autre part, réduire les possibles conflits entre les certifications nationales des Etats membres (et notamment d’éviter le « certification shopping » au sein de l’Union européenne).

 

La députée en charge du dossier, Angelika Niebler résume ainsi les objectifs poursuivis par l’adoption de ce règlement : : « Nous voulions nous attaquer à deux problèmes en particulier. Le premier concerne le nombre croissant d’attaques contre notre infrastructure essentielle, c’est-à-dire contre tous les aspects de notre vie quotidienne – électricité, communication, eau, etc. La deuxième question concerne le nombre croissant d’objets connectés et la méfiance des utilisateurs à l’égard de la sécurité et de la confidentialité de leurs appareils. »

 

Puisqu’internet ne connaît pas de frontières, la mise en œuvre d’une coopération internationale renforcée semble essentielle afin de faciliter la prévention et la dissuasion des cyberattaques. Il reste désormais à veiller à l’application de ces règles à l’échelle des entreprises concernées.

Pour ce qui concerne les entreprises, elles peuvent d’ores et déjà mettre en œuvre ou renforcer les procédures nécessaires en vue d’améliorer la prévention des cyberattaques (sensibilisation des collaborateurs car l’humain reste un élément clé, politique de sécurité des systèmes d’information, charte informatique et de bonne pratique, notamment) ou la réponse à apporter en cas de cyberattaques (plan d’action, conservation de la preuve, saisine des organes pertinents que peuvent être la Mission Numérique de la Gendarmerie Nationale, le Centre de lutte contre les criminalités numériques, la Sous -Direction de Lutte contre la Cybercriminalité, la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information, la Cyberdouane, plainte pénale notamment).

 

[1] Données de l’Agence européenne chargée de la sécurité des réseaux et de l’information

 

Par AGIL’IT – Pôle IT, Télécoms & Data protection

Sylvie JONAS, Avocate associée

Morgane BOURMAULT, Avocate