La présidente de la Commission annonce une loi sur la cybersécurité pour les appareils connectés

La présidente de la Commission européenne, Ursula von der Leyen, lors du débat sur « L’état de l’Union européenne » au Parlement européen à Strasbourg, le 15 septembre 2021. [EPA-EFE/JULIEN WARNAND]

Ursula von de Leyen, la présidente de la Commission européenne, a annoncé mercredi 15 septembre une loi sur la cyber-résilience visant à établir des règles communes en matière de cybersécurité pour les appareils connectés.

« Nous ne pouvons pas parler de défense sans mentionner la cybersécurité », a annoncé Mme Von der Leyen lors son discours annuel sur l’état de l’Union au Parlement européen.

« Si tout est connecté, tout peut être piraté », a-t-elle ajouté, en notant que le nombre grandissant d’appareils connectés accentue également la vulnérabilité face aux cyberattaques.

Selon Mme Von der Layen, la diffusion rapide des cyberattaques a été « un grand égalisateur dans la façon dont le pouvoir peut être utilisé aujourd’hui par les États voyous ou les groupes non-étatiques » dans l’objectif de perturber les infrastructures essentielles ; comme l’administration publique et les hôpitaux.

« Comme les ressources sont rares, nous devons regrouper nos forces, et nous ne devons pas simplement faire face à la cybermenace. Nous devons également nous efforcer de devenir un leader en matière de cybersécurité », a déclaré la présidente de la Commission.

L’initiative de la Commission s’ajoute à une proposition existante de directive sur la sécurité des réseaux et des systèmes d’information, plus connue sous le nom de directive NIS2. La directive NIS2 élargit le champ d’application de la directive précédente, en augmentant les exigences en matière de cybersécurité pour les services numériques employés dans les secteurs critiques de l’économie et de la société.

Bart Groothuis, le législateur en charge du dossier NIS2 au Parlement européen, souligne la complémentarité des deux lois européennes. Alors que NIS2 traite de la sécurité des chaînes d’approvisionnement essentielles, il affirme que les appareils connectés constituent un angle mort dans l’arsenal de cybersécurité de l’UE.

« L’internet des objets va engendrer un grand nombre de produits non sécurisés, car la sécurité n’est souvent pas une priorité pour les producteurs de ces machines, et il n’y a pas encore de norme européenne à respecter. C’est bien d’avoir une machine pour porc effiloché dans sa cuisine, ou une machine à café intelligente, mais c’est aussi un moyen pour les pirates de pénétrer dans les systèmes informatiques de votre maison », a expliqué M. Groothuis à EURACTIV.

« La situation n’est pas bonne », regrette le patron de l’agence de cybersécurité française

À l’occasion de la publication du rapport d’activité 2020 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), son directeur Guillaume Poupard a fait état d’une situation qui n’est « objectivement pas bonne », mais a voulu se montrer optimiste.

C’est précisément ce qu’a démontré le Hackable Home, un projet mené par une organisation dénommée Euroconsumers, qui a illustré, par le biais du piratage éthique, le manque de normes, même standards, en matière de cyberséciturté pour la plupart des appareils domestiques intelligents.

« Nous plaidons depuis longtemps en faveur de cette mesure afin de garantir la sécurité des consommateurs dans toute l’UE », a déclaré Els Bruggeman, responsable de la politique et de l’application de la loi chez Euroconsumers. « Si la Commission veut devenir un leader en matière de cybersécurité, elle doit travailler sur une approche européenne commune des cybermenaces qui permettra aux consommateurs d’avoir confiance en l’IdO », a ajouté Mme Bruggeman.

Des préoccupations similaires sur la nécessité de définir des exigences de base en matière de cybersécurité ont également été soulevées par DigitalEurope, qui dirige les industries numériques européennes. Dans un rapport récent, l’organisation professionnelle a averti que les réglementations existantes en matière de sécurité des produits ne fixaient pas d’obligations relatives à la cybersécurité pour les appareils connectés.

Tout en saluant la loi sur la cyber-résilience, Cecilia Bonefeld-Dahl, la directrice générale de DigitalEurope, a mis en garde contre la prolifération des propositions européennes visant à réglementer le cyber-environnement.

Outre la directive NIS2, plusieurs propositions sont envisagées, notamment une directive sur la résilience des entités critiques, la directive plus sectorielle sur la résilience opérationnelle numérique, et plusieurs règlements sur la sécurité des produits, a-t-elle souligné.

« Nous avons besoin d’accorder les objectifs et de définir des règles faciles à mettre en place si nous voulons obtenir la protection nécessaire pour les Européens et aider l’industrie européenne à développer des capacités de cybersécurité, à l’échelle », a déclaré Mme Bonefeld-Dahl.

L’eurodéputé Groothuis, pour sa part, a appelé à un système de noms de domaine (DNS) à l’échelle de l’UE. Les DNS sont des infrastructures essentielles pour la gouvernance mondiale de l’internet et sont gérés par une poignée d’entités non-européennes, ce qui rend difficile la tâche pour les pays de l’UE lorsqu’ils font face à des cyberattaques de grande envergure ou les rend vulnérables aux tensions géopolitiques.

« Lorsque je travaillais au ministère néerlandais de la Défense en tant que responsable de la cybersécurité, j’ai dû faire face aux attaques dévastatrices de NotPetya, en provenance de Russie, et du ver Wannacary, en provenance de Corée du Nord, qui ont tous deux infligé des milliards de dommages aux entreprises européennes », a déclaré M. Groothuis.

Selon lui, les autorités néerlandaises de l’époque n’ont pas été en mesure d’arrêter ces attaques, même si elles connaissaient les domaines et les serveurs utilisés par les pirates.

Pour le législateur néerlandais, une alternative DNS européenne est « le seul moyen de créer un tel bouclier, et de protéger l’Europe. » Dans sa stratégie de cybersécurité, la Commission a fait part de son intention de développer un service de résolution DNS européen, DNS4EU, mais la proposition reste à définir.

L’Estonie propose des règles de dépenses en cybersécurité similaires à celles de l’OTAN

Le ministre estonien en charge de l’Entrepreneuriat et des Technologies de l’information Andres Sutt a proposé l’introduction de règles de dépenses similaires à celles de l’OTAN pour les dépenses de cybersécurité des secteurs privé et public.

Subscribe to our newsletters

Subscribe