Les États membres veulent garder dans leur giron la cybersécurité

Udo Helmbrecht

Udo Helmbrecht, directeur exécutif de l'ENISA. [Dirk Wetter / Flickr]

Les États membres refusent de signaler les cyberattaques dont leurs réseaux numériques sont l’objet, ce qui bloque la législation européenne sur la cybersécurité.

La directive relative à la cybersécurité fait partie des mesures qu’espère concrétiser la présidence lettone du Conseil européen, dans le cadre du projet de marché unique numérique, qui inclut notamment la protection des données et le paquet sur le marché unique des télécommunications. Cependant, après des trilogues avec le Parlement européen et la Commission au mois d’avril, certains États membres freinent le processus et ont marqué leur désaccord avec l’obligation de déclarer les cyberattaques.

>> Lire : L’avenir de la directive sur la cybersécurité est incertain

« Au départ, je pensais que nous essaierions de finaliser la directive d’ici la fin de notre présidence, mais j’ai finalement abandonné tout espoir », a admis J?nis S?rts, secrétaire d’État du ministère letton de la Défense, lors d’une conférence sur la cybersécurité qui se déroulait à Bruxelles le 28 mai. « C’est la première législation européenne [sur le sujet] et nous ne parvenons pas à nous mettre d’accord. Cela n’envoie pas vraiment un message fort à nos attaquants potentiels », regrette-t-il.

Le mois dernier, EURACTIV avait signalé que le Royaume-Uni, la Suède et l’Irlande s’opposaient à l’obligation pour les grandes entreprises non-européennes de signaler les cyberattaques dont elles étaient victimes. La France, l’Allemagne et l’Espagne sont quant à elles contre toute mesure contraignante dans le domaine.

>> Lire : L’UE pressée de réagir à l’urgence de la cybersécurité

Certains pays, comme le Royaume-Uni, souhaitent continuer à appliquer une approche plus douce en ce qui concerne la déclaration de failles de sécurité.

Selon Rachael Bishop, responsable de la cybersécurité au ministère de l’économie, de l’innovation et de la qualification, les mesures européennes proposées auraient un impact négatif. « Les petites entreprises, en particulier, pourraient cesser tout simplement de comptabiliser les violations de leur systèmes numériques. Ce serait extrêmement contreproductif par rapport au système de résistance accrue que nous tentons de mettre en place », assure-t-elle.

Le projet de marché unique numérique de la Commission comprend un partenariat public-privé pour le partage de l’information sur les faiblesses de la cybersécurité qui devrait prendre effet au début de l’année prochaine.

Udo Helmbrecht, directeur exécutif de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), a expliqué à EURACTIV que les États membres considèrent toujours la cybersécurité comme une compétence nationale.

« L’obligation de signaler les attaques c’est une chose. Si ces déclarations ne sont pas obligatoires, quelles informations seront échangées ? », craint-il.

>> Lire : Les incidents de cyber-sécurité sont rarement signalés

« Les auteurs de la législation craignent que la mesure n’ait pas l’effet escompté si elle n’est pas obligatoire. D’un autre côté, les États membres craignent qu‘une mesure est obligatoire et les informations demandées trop détaillées ne les obligent à sacrifier certains de leurs intérêts », ajoute Udo Helmbrecht.

>> Lire aussi nos éditions spéciales sur la cybersécurité et les compétences numériques

Contexte

Une stratégie européenne pour la cybersécurité a été présentée par la Commission en 2013. Elle couvrait les aspects cybersécuritaires du marché intérieur, de la justice et des affaires intérieures et des affaires étrangères.

La Commission européenne a ensuite proposé une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

Prochaines étapes

  • Début 2016 : La Commission européenne souhaite lancer un partenariat privé-public en vertu duquel les entreprises devraient signaler les cyberattaques dont elles sont victimes.