Paris et Berlin craignent une «marche arrière» de l’UE sur la cybersécurité

Le projet de loi européen menace les États membres qui ont déjà des tests de cybersécurité sophistiqués comme la France et l’Allemagne, selon le directeur de l’agence de cybersécurité française.

L’Allemagne et la France pourraient être obligées de « faire marche arrière » si le projet de loi européen sur la cybersécurité est approuvé sous sa forme actuelle, met en garde Guillaume Poupard, directeur de l’agence française ANSSI.

Paris et Berlin sont les plus fervents opposants à la proposition de la Commission européenne datant de l’année dernière pour réformer les règles de l’UE en matière de cybersécurité.

Les deux pays sont particulièrement inquiets d’une mesure qui propose de créer un système de certification du niveau de cybersécurité des produits technologiques. La proposition de l’exécutif donnerait ainsi de nouveaux pouvoirs à l’agence européenne basée à Athènes pour superviser le système de certification.

L'Europe veut des centres de certification de la cybersécurité

Andrus Ansip veut mettre en place un nouveau bureau qui certifiera le degré de cybersécurité des produits technologiques, ce qui pourrait les rendre plus compétitifs sur le marché international.

Guillaume Poupard et Arne Schönbohm, son homologue allemand, soutiennent que l’ENISA devrait rester en retrait, car elle n’a ni l’expérience ni la main-d’œuvre pour assumer ce nouveau rôle. Au lieu de cela, ils veulent que les États membres mènent les discussions.

L’ANSSI, aux côtés de l’agence allemande BSI, est l’une des plus grandes autorités d’Europe en charge des atteintes à la cybersécurité et des réponses aux attaques ciblant des entreprises ou des cabinets gouvernementaux.

Bruxelles s'attaque aux hackers

La Commission européenne veut renforcer les fonds et les pouvoirs de l’agence européenne de cybersécurité. Et introduire une série de mesures contre les hackers.

L’ENISA éclipsée par les agences française et allemande

La Commission européenne veut donner plus de budget et plus d’employés à l’ENISA, mais même avec ces nouvelles ressources, l’agence européenne serait toujours dans l’ombre des grandes agences française et allemande.

« Nous savons comment faire, nous avons l’expérience, nous la développons depuis 20 ans », explique Guillaume Poupard, faisant référence au système de certification français.

« Nous voulons un système au niveau européen mais celui-ci ne doit pas essayer de faire des États membres européens des acteurs de second plan », ajoute-t-il.

Si l’ENISA échoue dans le pilotage du nouveau système, cela voudra dire que les longues négociations ont été vaines. Par ailleurs, des critères de certification potentiellement fragiles risquent d’affaiblir l’industrie de la cybersécurité dans tous les États membres, pas seulement en France et en Allemagne, selon Guillaume Poupard.

« C’est une énorme perte de temps pour l’Europe. Tout va très vite, les hackers sont très efficaces. Si nous perdons cinq ans maintenant, c’est une éternité », s’inquiète-t-il.

La proposition de la Commission, présentée en septembre dernier, était prévue bien avant que les cyberattaques massives WannaCry et NotPetya paralysent les entreprises européennes en mai et juin 2017. L’exécutif reconnaît toutefois que les incidents l’ont incité à mettre en avant de nouvelles garanties légales.

Passe d’armes entre Londres et le Kremlin sur la cybersécurité

Le Royaume-Uni a pointé du doigt jeudi la responsabilité de Moscou dans la cyberattaque NotPetya qui avait affecté plusieurs milliers d’ordinateurs à travers le monde en juin 2017. Le Kremlin dément « catégoriquement ». Un article de notre partenaire Ouest-France

Dans le cadre du projet de loi, l’ENISA devra consulter les entreprises et les États membres avant d’établir les critères du système de certification. Une fois que l’ENISA aura approuvé différents niveaux de sécurité, les diplomates nationaux devront voter pour chacun d’entre eux en procédure législative accélérée, connue sous le nom d’acte d’exécution.

Bruxelles s'attaque aux hackers

La Commission européenne veut renforcer les fonds et les pouvoirs de l’agence européenne de cybersécurité. Et introduire une série de mesures contre les hackers.

« Nous sommes convaincus que ça échouera »

Cela donnera trop d’emprise à l’ENISA sur le nouveau système, assurent les responsables des agences française et allemande.

« Nous sommes convaincus que ça échouera », affirme Guillaume Poupard, avant d’ajouter : « nous n’étions pas très contents de la proposition, car elle ne répond pas à toutes les questions et qu’elle est beaucoup moins efficace. »

Pour la Commission, l’opposition de la France et de l’Allemagne à une supervision par l’ENISA du nouveau système ne fera que ralentir la transition vers une certification européenne de la cybersécurité.

Paris et Berlin veulent que les États membres aient un niveau supplémentaire de contrôle avant que l’ENISA approuve les niveaux de certification.

Donner aux États membres ce genre d’influence « pourrait avoir des conséquences en termes de délai », craint Despina Spanou, responsable de la loi à la Commission. « Plus d’implication des États membres pourrait repousser la validation des critères de certification d’un an, ce qui retardera le système. »

Certification

Au Parlement européen, le débat s’est concentré sur l’obligation pour les entreprises de certifier leurs produits avant de les mettre à la vente. La proposition de la Commission n’implique qu’une certification volontaire.

Guillaume Poupard veut quant à lui que la loi impose la certification des produits pouvant représenter une menace grave à la sécurité, comme les technologies de santé numérique ou les voitures connectées.

Il est néanmoins d’accord avec l’idée principale qui sous-tend la proposition de la Commission : la certification cybersécurité devrait se faire à l’échelle de l’UE par souci d’économies pour les entreprises.

Selon lui, le système doit être plus que juste un accord entre États membres pour reconnaître la certification des autres. Il voudrait que les agences partagent les mêmes critères de définition des niveaux de sécurité. Ce serait « un cauchemar » si certains pays approuvaient des critères peu fiables pour des produits vendus ensuite dans d’autres États membres, imagine Guillaume Poupard.

L’ANSSI a commencé à travailler sur les technologies émergentes, conformément à l’agenda politique du président français, Emmanuel Macron, dans des domaines comme l’intelligence artificielle. Le mois dernier, le président a annoncé que la France injecterait 1,5 milliard d’euros de financement public pour la recherche dans cette nouvelle technologie d’ici à 2022.

Le JEDI veut révolutionner l'innovation en Europe

La création d’une agence européenne dédiée à l’innovation, comme le DARPA américain, est sur les rails. La Joint European Disruptive Initiative, ou Jedi, veut rapprocher recherche et entreprenariat.

 

Messagerie sécurisée française

Guillaume Poupard fait partie du JEDI, l’initiative européenne sur l’innovation de rupture, mise en place par Emmanuel Macron pour le développement de technologies de pointe par les experts français et allemands. Le projet de développement d’une messagerie sécurisée du gouvernement français est important, juge-t-il, parce que les services américains et asiatiques stockent rarement leurs données dans l’UE.

La semaine dernière, le ministère français au numérique a annoncé travailler sur une application sécurisée pour que les employés gouvernementaux cessent d’utiliser WhatsApp, une application qui appartient à Facebook.

Le directeur de l’ANSSI estime que les Européens s’intéressent davantage aux technologies sécurisées depuis le scandale impliquant Cambridge Analytica et ayant éclaté le mois dernier. Les données de plus de 87 millions d’utilisateurs de Facebook ont été utilisées par la firme de conseil, sans qu’ils en soient avertis. Ce scandale a permis aux gens de « mieux comprendre l’importance de protéger les données », assure-t-il.

2,7 millions d'Européens touchés par le scandale Cambridge Analytica

L’entreprise Cambridge Analytica aurait collecté les données personnelles de 2,7 millions d’utilisateurs européens de Facebook, selon la Commission européenne.

« L’endroit où nous devrions stocker les données, l’endroit qui a du sens d’un point de vue économique, éthique et juridique, c’est l’Europe », ajoute-t-il.

Une analyse qui rejoint les objectifs du JEDI et du projet français et européen d’investir dans des technologies développées sur le Vieux-Continent afin de concurrencer les géants américains.

« Nous devons nous pencher sur le développement de notre autonomie numérique, plus que sur la souveraineté ou l’utilisation des données », poursuit Guillaume Poupard.

La France est l’un des premiers États membres à avoir créé une stratégie propre sur l’intelligence artificielle. Le 2 avril, la Commission annoncera son programme de financement de l’intelligence artificielle, avec l’objectif d’aider les entreprises européennes à rattraper leurs concurrents américains et asiatiques.

24 pays européens signent un pacte pour développer l’intelligence artificielle

Vingt-quatre pays de l’UE se sont engagés à se regrouper pour adopter une « approche européenne » vis-à-vis de l’intelligence artificielle, afin de concurrencer les géants technologiques américains et asiatiques.

Subscribe to our newsletters

Subscribe