L’UE ne consacre pas assez de fonds à la cybersécurité

ENISA's director of operations Steve Purser

Steve Purser, directeur des opérations à l'ENISA. [Security & Defence Agenda/Flickr]

Exclusif. L’Agence européenne pour la cybersécurité ne dispose pas des fonds et des compétences nécessaires pour s’adapter à l’arrivée de l’Internet des objets, selon son directeur. 

L’Internet des objets, ou IdO, est un réseau de réseau permettant de connecter des entités numériques à des objets physiques (téléphone, pace makers, montres, systèmes d’alarme, etc.), qui se généralise très rapidement. Selon la stratégie de marché unique numérique de la Commission européenne, l’Internet des objets pourrait connecter jusqu’à 20 milliards d’appareils d’ici à 2020. La Commission juge que les mégadonnées, les services sur le nuage et l’IdO sont essentiels à la compétitivité de l’UE.

Face à ces nouveautés, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) est pourtant bien démunie. « Nous n’avons aucun expert de l’Internet des objets », a ainsi indiqué Steve Purser, directeur des opérations à l’ENISA, lors d’une interview avec EURACTIV. « Notre couverture des évolutions technologique est minimale. J’ai un, ou peut-être deux employés spécialisés dans les services en nuage et une personne pour les systèmes de contrôle industriel. Ce sont des effectifs plutôt réduits. »

L’ENISA est chargée de conseiller les institutions et les États membres sur les questions de cybersécurité. Depuis 2010, l’agence a lancé une première initiative pour lancer des échanges entre États membres à ce sujet en organisant des exercices de cybersécurité paneuropéens.

Un budget inadapté

L’agence dispose d’un budget de 10,1 millions d’euros provenant de fonds de la Commission et des États membres et emploie une soixantaine de personnes.

Le budget de l’ENISA n’a pas beaucoup changé depuis dix ans, alors que les menaces numériques se sont démultipliées. « Ce sont des choses que quelqu’un doit faire, même si ce n’est pas l’ENISA », insiste Steve Purser.

La Commission européenne a alloué 50 millions d’euros à la recherche en cybersécurité dans le cadre du programme Horizon 2020 et a annoncé que la cybersécurité et la recherche privée bénéficieraient de 500 millions d’euros de plus d’ici à 2020. Des financements distincts sont aussi versés aux programmes de police ciblant la cybercriminalité.

Étant donné ses ressources limitées, l’ENISA fait pâle figure à côté de ses concurrents privés, qui engagent des spécialistes en cybersécurité et offrent en général des salaires plus attrayants, explique Steve Purser.

Nécessité d’investissement

« Il nous est très difficile d’attirer des talents parce que nous sommes en compétition avec des entités comme la ville de Londres, qui offrent de très bons contrats aux spécialistes », indique-t-il.

Selon lui, le budget de l’ENISA devrait être revu à la hausse, vu la nécessité pour les États membres de s’unir pour se défendre contre les attaques malveillantes sur Internet.

Les mesures cybersécuritaires des États membres sont trop limitées, assure-t-il, et les menaces les plus dangereuses auxquelles les pays européens sont confrontés proviennent de l’étranger.

« En réalité, parler de cybersécurité au niveau national est presque inapproprié : nous sommes dans un réseau mondial et ce réseau ne reconnait pas les frontières de la Belgique ou du Royaume-Uni ou de n’importe quel autre pays. C’est simplement un réseau mondial », indique le directeur des opérations de l’ENISA. « Il doit donc être envisagé de manière mondiale. Dans la réponse mondiale [aux menaces], il y a la réponse européenne. Et pour cette réponse européenne, il serait logique d’investir plus. »

>> Lire : L’UE pressée de réagir à l’urgence de la cybersécurité

Après avoir été bloquées l’année passée, les discussions autour de la directive sécurité des réseaux et de l’information (SRI) ont repris au printemps. Cette directive rendait obligatoire la signalisation des cyberattaques dont sont victimes les entreprises. Certaines entreprises privées se sont déjà inquiétées de cette mesure.

Au mois de mai, la Commission a annoncé qu’elle proposerait des initiatives de libre circulation des données et de nuage européen l’année prochaine. Les entreprises d’informatique en nuage européennes se sont d’ailleurs montrées désireuses de promouvoir la sécurité.

« La perception de la sécurité est très importante quand les gens s’investissent. Les petites et moyennes entreprises ont été particulièrement réluctances à adopter des systèmes en nuage, et l’une des raisons principales de ce retard est la sécurité », assure Paul Meller, porte-parole de DigitalEurope, l’association de l’industrie du commerce de technologies.

Les drones sont un autre secteur auquel l’ENISA ne peut pas se consacrer.

>> Lire : Coup d’envoi de la loi sur les drones à usage civil

Contexte

CONTEXTE

Une stratégie européenne pour la cybersécurité a été présentée par la Commission en 2013. Elle couvrait les aspects cybersécuritaires du marché intérieur, de la justice et des affaires intérieures et des affaires étrangères.

La Commission européenne a ensuite proposé une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

La directive laisse également penser que les exploitants du marché seront responsables de leur réseau, que son entretien soit réalisé en interne ou en externe.

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

Selon la directive, tous les États membres devraient adopter des stratégies de sécurité des réseaux et de l'information et mettre sur pied des équipes pour répondre aux incidents éventuels. Des réseaux de coopération seraient mis en place au niveau européen.

Plus d'information