Ansip évoque des normes communes de cybersécurité avec les États-Unis

Andrus Ansip, le vice-président de la Commission en charge de la politique numérique, a proposé d'aligner les normes européennes en matière de cybersécurité avec celles des États-Unis. [European Commission]

Bruxelles a proposé d’accélérer la coopération transatlantique en matière de cybersécurité, malgré des relations tendues avec Washington depuis le scandale Facebook.

Andrus Ansip, vice-président de la Commission européenne en charge des politiques numériques, a appelé de ses vœux une nouvelle « zone de cybersécurité transatlantique » avec les États-Unis.

Lors d’une conférence le 18 avril dans la Silicon Valley, il a déclaré que l’UE et les États-Unis devraient s’accorder sur les mêmes normes de cybersécurité à appliquer aux objets connectés à Internet.

Cet appel à plus de coopération avec les États-Unis survient alors que les législateurs américains et les entreprises tech sont aux prises avec les révélations du mois dernier selon lesquelles les données de millions d’utilisateurs Facebook ont été détournées, et commencent à s’intéresser à la nouvelle directive européenne sur la protection des données, le GDPR, qui entrera en vigueur le 25 mai.

Lors d’une audition devant le Congrès américain la semaine dernière, le PDG de Facebook, Mark Zuckerberg, a vanté le règlement européen, qui inclut des règles plus strictes sur les données privées et prévoit des amendes pour les entreprises en cas de non-respect.

Le scandale Facebook décrédibilise la protection des données européennes

Pour les eurodéputés, l’UE a besoin de lois encore plus strictes pour empêcher l’utilisation illégale de données de millions d’utilisateurs comme l’ont fait Facebook et Cambridge Analytica..

Normes communes de cybersécurité

Le scandale entourant Facebook et le cabinet de conseil politique Cambridge Analytica, qui a récupéré des données de la plateforme de médias sociaux, a permis aux responsables politiques européens d’expliquer que la loi est nécessaire pour contrôler les entreprises qui collectent des informations personnelles sur les utilisateurs.

Depuis que le scandale a éclaté, les régulateurs européens sont confiants sur l’approche de l’Union européenne pour règlementer les entreprises de la tech.

L’appel d’Andrus Ansip pour plus de coopération sur la cybersécurité était inattendu à Bruxelles : il s’agit d’une question sensible pour laquelle les autorités de régulation hésitent souvent à travailler avec leurs homologues de différents pays. Mais pour le commissaire, la hausse du nombre de cyberattaques en provenance de la Russie ciblant les États-Unis et l’UE devrait l’emporter sur la réticence des législateurs.

« En Europe, comme aux États-Unis, nous sommes en première ligne de ces attaques à la démocratie, qui menacent nos institutions », a-t-il déclaré.

Les négociations sur une loi européenne en matière de cybersécurité avancent à petits pas. Les gouvernements nationaux et les eurodéputés n’en sont qu’au début des discussions sur une proposition de la Commission pour créer un système de certification à la cybersécurité pour les objets connectés vendus dans l’UE. Les tractations ne seront pas faciles, et certains États membres craignent déjà que le projet outrepasse leurs systèmes nationaux pour approuver la sécurité des produits.

Ansip promets des règles de cybersécurité paneuropéennes

Une semaine avant la présentation d’une série de propositions législatives sur la cybersécurité, Andrus Ansip a assuré que les nouvelles règles n’empièteraient pas trop sur les prérogatives des autorités nationales.

Andrus Ansip semblait cependant confiants lors de sa visite à la Silicon Valley. Il a décrit le projet de loi européen de « bonne base pour discuter et s’assurer que nos normes de cybersécurité sont alignées des deux côtés de l’Atlantique ».

« Si les deux côtés pouvaient s’accorder sur des normes de sécurité communes pour les objets connectés, cela établirait des normes mondiales. Échanger des informations détaillées sur des incidents à la cybersécurité permettra d’empêcher de futures attaques », a assuré l’ancien Premier ministre estonien.

Étant donné que les discussions au niveau européen risquent de durer encore des mois, voire plus, un accord plus large sur la cybersécurité avec les États-Unis pourrait prendre des années.

Premières réactions positives

Les premières réactions aux suggestions d’Andrus Ansip ont néanmoins été positives. Certains observateurs du secteur des politiques technologiques ont déclaré qu’un tel accord sur les normes de cybersécurité serait un moyen de promouvoir les règles technologiques de l’UE auprès d’autres pays.

L’eurodéputée libérale néerlandaise Marietje Schaake estime quant à elle qu’en dépit des tensions et des préoccupations évidentes qui assombrissent les relations transatlantiques depuis la prise de fonction du président Donald Trump en 2017, l’UE et les États-Unis devraient coopérer davantage en matière de sécurité numérique.

« Alors que les attaques contre l’UE et les droits fondamentaux doivent être contestées, les États-Unis sont plus que la Maison-Blanche, et nous voyons une nouvelle manière de voir l’approche européenne de la réglementation du monde numérique dans l’intérêt public », a-t-elle déclaré.

Marietje Schaake affirme que la réglementation relativement stricte de l’UE sur plusieurs enjeux technologiques est la preuve que l’Union « établit des normes qui, idéalement, seraient des normes transatlantiques et même mondiales ».

Pour certains chercheurs en cybersécurité, tout futur accord avec les États-Unis sur les normes serait un moyen pratique de faire pression sur les entreprises pour qu’elles créent des produits sûrs.

« Le fait qu’Andrus Ansip en parle n’est pas rien », a déclaré Jan-Peter Kleinhans, qui fait des recherches sur la cybersécurité et les objets connectés au sein du groupe de réflexion Stiftung Neue Verantwortung, basé à Berlin.

Pour Jan-Peter Kleinhans, il est peu probable que l’UE puisse établir une norme mondiale une fois que son système de certification en matière de cybersécurité sera en place, comme cela a été le cas quand certains pays tiers ont puisé dans le GDPR pour rédiger leurs propres lois en matière de protection des données.

« Avec la sécurité informatique, c’est différent parce que ces appareils sont fabriqués en Asie, en particulier les appareils grand public, et cela ne fonctionne que si nous expliquons aux entreprises pourquoi elles doivent prêter attention aux normes européennes », a-t-il expliqué.

Les entreprises sont plus susceptibles de se conformer à des normes qui sont les mêmes pour deux grands marchés, l’UE et les États-Unis, parce qu’il y a plus de chances que les organismes de surveillance les attrapent si elles ne respectent pas les règles de sécurité, estime Jan-Peter Kleinhans.

Il considère qu’il pourrait être facile de sceller un accord avec les États-Unis sur les normes de cybersécurité pour les produits de consommation de bas niveau comme les routeurs Internet et les webcams, car ces discussions seraient techniques et ne feraient pas nécessairement l’objet de désaccords sur des questions politiquement chargées comme la protection de la vie privée.

L'agence de cybersécurité de l'UE alerte sur les dangers de la 5G

Les réseaux mobiles 5G ultra-rapide, qui devrait être disponibles en 2025, posent de « très hauts risques » pour la cybersécurité, selon l’agence européenne pour la cybersécurité (ENISA).

 

Dernièrement, une recrudescence de cyberattaques ciblant des produits électroménagers peu coûteux et peu sécurisés a été constatée. Les gouvernements des États-Unis et du Royaume-Uni ont averti en début de semaine que des pirates russes s’étaient attaqués à des routeurs Internet à domicile.

Pour certaines grandes entreprises technologiques, la proposition d’Andrus Ansip d’élaborer des normes communes avec les États-Unis est un signe que les règles européennes ne risquent pas de perturber leurs activités. D’autres entreprises craignent que la législation ne fixe des critères de cybersécurité beaucoup plus stricts que les systèmes d’autres pays.

DigitalEurope, une association basée à Bruxelles qui représente des entreprises comme Google et Microsoft, a critiqué la proposition originale de la Commission de créer un système de certification européen l’année dernière. Elle soutient que des normes plus élevées en Europe pourraient créer une barrière commerciale avec des pays extérieurs à l’Union.

Iva Tasheva, responsable de la politique de cybersécurité chez DigitalEurope, a déclaré le 19 avril que le système de l’UE devrait être « compatible avec les mécanismes internationaux existants de reconnaissance mutuelle ». Les mécanismes internationaux pourraient inclure des systèmes décrivant des critères communs pour tester la sécurité des produits.

Subscribe to our newsletters

Subscribe