La Tribune Toulouse (Edition Quotidienne)
CYBERATTAQUES : QUE CONTIENT LE "PAQUET CYBER" QUE L'EUROPE VEUT VOTER EN 2018 ?
Transformation de l'ENISA en agence européenne de cybersécurité, création d'un label européen pour les entreprises, investissements dans l'innovation technologique, lutte renforcée contre la fraude aux moyens de paiement... La Commission européenne a dévoilé les mesures de son "paquet cyber", qu'elle espère voter en 2018 pour une application dans les cinq prochaines années. Analyse.
Il y a urgence sur le front de la cybersécurité. Non seulement les cyberattaques liées à des acteurs étatiques se multiplient (hacking des campagnes présidentielles américaine en 2016 et française en 2017, attribution de la cyberattaque mondiale Wannacry à la Corée du Nord...), mais les incidents de cybersécurité de toutes sortes explosent, conséquence d'un monde plus en plus connecté (25 milliards d'objets connectées à l'horizon 2020 d'après IDC), où les données personnelles sont devenues le nouvel or noir.
Ainsi, face à la brusque accélération des cyberattaques majeures depuis le début de l'année (Wannacry, NotPetya) et aux dégâts de plus en plus ravageurs des malwares, des logiciels de rançons, des attaques par déni de service et des vols de données, y compris bancaires, le constat s'impose de lui-même : l'Europe reste "mal équipée face aux cyberattaques", d'après les propres mots du président de la Commission européenne, Jean-Claude Juncker, le 13 septembre. Bruxelles estime d'ailleurs que 80% des entreprises européennes auraient connu au moins un incident de sécurité en 2016, y compris La Tribune.
VERS UNE VÉRITABLE "AGENCE DE CYBERSÉCURITÉ DE L'UE"
Mieux vaut tard que jamais, la Commission européenne va justement faire voter en 2018 un "paquet cyber", c'est-à-dire un ensemble de mesures, au niveau européen, pour mieux lutter contre les cyberattaques.
L'une des initiatives phares est la réforme de l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa). L'institution, basée en Grèce, sera transformée en une véritable "Agence de cybersécurité de l'UE" (cela pourrait être son futur nom), aux missions élargies. Aujourd'hui, l'Enisa se limite à fournir une expertise et à prodiguer des conseils à Bruxelles et aux agences de sécurité des États membres, dont l'Anssi en France. Demain, elle devrait être dotée d'un "mandat permanent", ce qui lui assurerait des "ressources supplémentaires" et des "compétences renforcées". De quoi permettre aux Etats membres "de mieux prévenir les cyberattaques", par exemple via des "exercices de cybersécurité à l'échelle européenne", et de "mieux y répondre".
Concrètement, l'effectif des employés de l'Enisa devrait passer de 80 à 120 personnes. Son budget, établi à 11,2 millions d'euros en 2017, devrait doubler d'ici à 2021. L'Enisa sera notamment chargée de mettre en place une collaboration beaucoup plus concrète et efficace entre les centres de cybersécurité des autorités nationales, via un renforcement du partage d'informations sur les menaces, par exemple. Elle devra aussi servir de plateforme de lien avec les autres agences européennes et internationales, comme Europol/EC3 et Interpol, chargés de la réponse pénale aux cyberattaques.
UN LABEL EUROPÉEN POUR LES ENTREPRISES
L'autre grande annonce de Jean-Pierre Juncker concerne la création d'un label européen destiné aux entreprises. Pour l'obtenir, il faudra que les producteurs d'objets connectés respectent un certain nombre de critères de sécurité, encore à définir. L'objectif : inciter les entreprises à intégrer la sécurité en amont, dès la conception du produit.
La Commission espère aussi que le label, qui ne sera pas obligatoire, favorisera la confiance des consommateurs dans l'économie numérique, dont les craintes aujourd'hui ralentissent l'expansion des objets connectés grand public, et fournira aux entreprises labellisées un avantage compétitif. Toutes les entreprises pourront y postuler, y compris les non-européennes.
Ce certificat de sécurité s'appuiera également sur les diverses initiatives nationales, à condition qu'elles respectent certains standards de sécurité. Ainsi, une entreprise qui aurait déjà obtenu le label EsCloud, mis en place par l'Anssi et son homologue allemand, n'aurait pas besoin de postuler à ce nouveau label européen, ni d'en obtenir un pour chaque pays.
INVESTISSEMENTS DANS LA RECHERCHE TECHNOLOGIQUE, FONDS D'URGENCE
Les Etats-Unis ont consacré l'an passé 19 milliards de dollars de leur budget fédéral à la cybersécurité. En Europe, ce montant, calculé en cumulant les investissements de chacun des pays membres, est estimé à environ 1 milliard d'euros. Autrement dit, le manque d'investissements est réel, ce qui pèse sur l'autonomie stratégique de l'UE et représente une menace pour ses entreprises.
Pour y remédier, un Centre européen de recherche et de compétences en matière de sécurité verra le jour. Une initiative pilote sera lancée "dans le courant de l'année 2018". En collaboration avec les Etats membres, il visera à coordonner le financement de la recherche technologique, qui devra être augmenté dans le budget de l'UE. Ce centre devrait également favoriser une recherche plus efficace en coordonnant les efforts nationaux pour éviter les "doublons. L'objectif : "faire en sorte que nos moyens restent à un niveau aussi avancé que les armes déployées par les cybercriminels".
Un "plan d'action" visant à "garantir une réaction rapide de l'UE et des Etats membres en cas de cyberattaque de grande ampleur" devrait aussi voir le jour, piloté par l'ENISA. Par exemple, en cas de nouveau Wannacry ou NotPetya, le plan d'action permettrait "d'assurer une communication rapide entre les différents acteurs et une réaction coordonnée".
La possibilité de créer un "fonds d'intervention pour les urgences en matière de cybersécurité" est également envisagée. Il serait basé sur le modèle du mécanisme d'aide d'urgence en cas d'incendie de forêt ou de catastrophe naturelle.
AMÉLIORER LA TRAÇABILITÉ ET LA POURSUITE PÉNALE DES CYBERCRIMINELS
"Tant que les auteurs de cyberattaques, qu'ils agissent ou non pour le compte d'un Etat, n'ont rien à craindre hormis l'échec, on voit mal ce qui les freinerait dans leurs tentatives", diagnostique la Commission européenne.
D'où la volonté de mettre en place une "réponse plus percutante sur le plan pénal et de la part des services répressifs", axée sur "la détection, la traçabilité et la poursuite des cybercriminels devant les tribunaux". Il faut donc aller plus loin que la directive adoptée en 2013 relative aux attaques contre les systèmes d'information, en définissant des normes communes en matière de sanctions applicables aux cyberattaques.
NOUVELLE DIRECTIVE CONTRE LA FRAUDE
C'est pourquoi une nouvelle directive sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces va être lancée. Il s'agit d'une source de revenus importante pour la criminalité organisée : 1,44 milliard d'euros par an selon la Banque centrale européenne, juste pour la fraude aux cartes de paiement. Europol estime que cette manne financière sert en partie à financer d'autres activités criminelles comme le terrorisme, le trafic de drogues et la traite d'être humains.
La nouvelle directive vise donc à adapter la législation à l'utilisation croissante des paiements mobile, des monnaies virtuelles et autres nouveaux instruments de paiement issus des évolutions technologiques. Notamment sur la question de la territorialité - un cybercriminel agissant depuis un pays A pour escroquer dans un pays B -, qui permet à de nombreux escrocs de passer entre les mailles du filet.