L’Europe veut des centres de certification de la cybersécurité

Andrus Ansip [European Union]

Andrus Ansip veut mettre en place un nouveau bureau qui certifiera le degré de cybersécurité des produits technologiques, ce qui pourrait les rendre plus compétitifs sur le marché international.

Andrus Ansip, vice-président de la Commission européenne, prévoit de mettre en place un centre d’excellence qui se concentrerait sur la certification de la cybersécurité des produits technologiques. Le commissaire estime toutefois qu’un réseau de bureaux dispersés à travers l’UE serait « encore mieux » qu’un seul centre.

« Les produits européens et les produits de cybersécurité ne sont en grande partie pas en mesure de faire face à la concurrence sur le marché mondial. Nous devons porter une plus grande attention à cela », a-t-il déclaré.

En septembre, ce dernier annoncera plusieurs mesures sur la certification en matière de cybersécurité, dont un système pour noter les produits en fonction de leurs caractéristiques liées à la sécurité. Il n’a pas encore précisé si le système serait volontaire ou juridiquement contraignant – comme c’est le cas pour l’étiquetage européen obligatoire permettant de noter l’efficacité énergétique des produits.

Durant un voyage en Estonie au début du mois, Andrus Ansip a visité le centre pour la cybersécurité de l’OTAN, basé à Tallinn. « Davantage de centres d’excellence sont nécessaires », a-t-il tweeté le 13 juillet.

Le commissaire a expliqué que le centre européen se concentrerait sur les produits, le différenciant ainsi du centre de l’OTAN qui se penche sur la défense et les thématiques juridiques.

Le centre de l’OTAN organise des exercices de défense et de cybersécurité pour tester la capacité de ses membres à réagir aux attaques. Il abrite aussi des recherches en la matière qui alimentent le travail de l’organisation. L’année dernière, l’UE a conclu un accord pour accroître la coopération entre les institutions du bloc et l’alliance, dont des échanges d’information sur les menaces et les cyberattaques.

En plus du système de certification, les annonces d’Andrus Ansip en septembre comprendront également une stratégie mise à jour sur la cybersécurité européenne et une nouvelle base légale pour l’ENISA, l’agence de l’UE pour la cybersécurité, basée à Athènes. Les directeurs de l’ENISA réclament  en effet une hausse de leur budget pour pouvoir employer plus de personnel et mieux coordonner le partage d’informations entre les autorités nationales en charge de la cybersécurité, surtout si une attaque soudaine frappe durant le week-end ou la nuit.

L’agence de cybersécurité européenne se renforce

L’ENISA, l’agence européenne de cybersécurité, s’apprête à recevoir un nouveau mandat. Face à l’augmentation des piratages liés aux objets connectés, le directeur de l’agence a demandé une hausse de budget.

Un nouveau centre européen sur la cybersécurité entrerait donc en concurrence avec l’ENISA.

Steve Purser, directeur des opérations à l’ENISA, a déclaré qu’il y avait déjà beaucoup de concurrence entre les bureaux européens en charge de la cybersécurité. L’AESA, l’Agence européenne de la sécurité aérienne, a ainsi récemment créé sa propre unité sur la cybersécurité dans l’espace aérien.

« Lorsqu’il s’agit de collaborer de manière efficace, il est logique d’avoir une centaine de personnes au niveau européen mais pas des centaines d’organisations », a-t-il déclaré.

Selon Andrus Ansip, la nouvelle stratégie européenne en matière de cybersécurité devrait renforcer la capacité de l’UE à répondre aux attaques.

Quand les entreprises à travers l’UE se sont faites attaquer par WannaCry en mai dernier, « de nombreux États membres ont demandé de l’aide à l’UE », a affirmé le commissaire, tout en rappelant que la police européenne, Europol, et CERT-UE, le réseau d’autorités nationales en cas d’urgence informatique, ont coordonné l’intervention face à WannaCry.

La plupart des pays n’ont pas la main-d’œuvre ou les ressources nécessaires pour combler les failles une fois que les attaques surviennent. « Seuls cinq États membres ont des capacités 24h/24 et sept jours sur sept », a-t-il ajouté.

Les eurodéputés réclament un plan d'action pour la cybersécurité

Les eurodéputés font pression sur la Commission européenne pour qu’elle propose de nouvelles règles sur la cybercriminalité et aborde des thématiques comme le piratage, le cryptage, le partage d’information entre États membres et ce, avant une refonte juridique en septembre.