Le mécanisme de notification des cyber-incidents de l’UE ne fonctionne pas, préviennent des experts

« Notre système de notification des incidents ne fonctionne pas », a déclaré Juhan Lepassaar, le directeur exécutif de l’Agence de l’Union européenne pour la cybersécurité (ENISA), lors d’une table ronde sur la cybersécurité, mardi 26 avril. [Shutterstock/g0d4ather]

Le directeur de l’agence phare de l’UE en matière de cybersécurité a prévenu que son système de notification des incidents était trop bureaucratique et « ne fonctionnait pas ». Il a appelé à la mise en place d’un système plus solide, d’un meilleur environnement législatif et d’un meilleur partage des informations avec les États membres.

Juhan Lepassaar, directeur exécutif de l’Agence de l’Union européenne pour la cybersécurité (ENISA), a fait part de ses observations lors d’une table ronde sur la cybersécurité, mardi 26 avril.

D’autres experts en cybersécurité ont également fait part de leurs inquiétudes quant à l’efficacité du mécanisme de notification et de réponse aux cybermenaces. Une mise à jour de la directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS), qui devrait remédier à ces déficiences, est actuellement en cours de négociation.

« Nous avons besoin de quelque chose qui soit agile, qui fonctionne et où les informations peuvent être partagées de manière sécurisée », a ajouté M. Lepassaar. « Une plus grande résilience dans les secteurs critiques est incontestablement un aspect sur lequel nous devons nous pencher. »

Bart Groothuis, le législateur européen à la tête de la révision de la directive NIS, a déclaré à EURACTIV qu’outre le problème du partage des informations, les équipes de réponse aux incidents de sécurité informatique (CSIRT) devaient également être améliorées grâce à la refonte de la législation.

L’Occident met en garde contre les cyberattaques russes visant des infrastructures critiques

Les gouvernements occidentaux ont mis en garde contre la menace potentielle d’une augmentation des activités cybernétiques malveillantes de la Russie à l’encontre des infrastructures critiques, en réponse aux sanctions imposées pour punir Moscou de son invasion de l’Ukraine.

Notification des cyber-incidents

Selon l’ENISA, la notification des atteintes à la cybersécurité est vital, non seulement pour le public, mais aussi pour aider les autorités à reconnaître les tendances et les faiblesses actuelles et à y répondre. En 2018, la directive NIS a introduit des règles de notification des incidents de cybersécurité pour les opérateurs de services essentiels dans les secteurs critiques.

Néanmoins, pour le directeur exécutif de l’ENISA, l’environnement législatif actuel ne fonctionne pas. Par exemple, en 2021, aucun incident transfrontalier n’a été signalé dans le cadre de la directive NIS, alors que le cheval de Troie SharkBot a attaqué un certain nombre de banques et qu’il y a eu une attaque contre une plateforme européenne de billetterie électronique.

« Le problème est que nous dépendons des informations que nous recevons des États membres », a ajouté M. Lepassaar, notant que le manque de partage des informations compromet la capacité de l’agence à réagir et à améliorer la stratégie de cybersécurité et de résilience de l’Europe.

Dans son état actuel, le système de notification des cyber-incidents est trop « lourd » et « bureaucratique », selon M. Lepassaar, ce qui explique que les États membres s’abstiennent de l’utiliser. Il appelle à une approche plus agile, à une meilleure communication et à une plus grande résilience des secteurs critiques.

Inclure le secteur privé

En ce qui concerne la volonté des États membres de s’engager dans l’échange d’informations, Luukas Ilves, le directeur des systèmes d’information d’Estonie, a souligné que la situation s’était considérablement améliorée et qu’il approuvait l’utilisation croissante de l’échange d’informations automatisé.

Toutefois, M. Ilves affirme qu’il reste encore beaucoup à faire. Outre la collaboration entre les institutions européennes, les États membres et divers organismes du secteur public, « il est tout aussi important que le secteur privé signale les incidents. »

Un constat similaire a été fait par Anouck Teiller, directrice de cabinet de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a souligné que le secteur privé devait jouer un rôle croissant dans la prévention et la réponse aux cybermenaces.

Iva Tasheva, experte en cybersécurité au cabinet de conseil CyEn, a déclaré à EURACTIV que « le paysage annuel des menaces de l’ENISA devrait être complété par des paysages de menaces sectoriels ».

De plus, les organisations qui partagent des informations et analysent les menaces devraient se réunir avec l’industrie et les agences gouvernementales pour « discuter des vulnérabilités techniques et organisationnelles et de la manière de remédier aux menaces ».

La Commission tarde à accorder une pleine autonomie au nouveau centre pour la cybersécurité

La Commission européenne a reporté la nomination d’un directeur exécutif permanent de son nouvel organe de cybersécurité afin de conserver un contrôle partiel sur l’organisation, ont déclaré plusieurs sources diplomatiques de l’UE à EURACTIV.

Améliorer les notifications et la capacité de réponse

Une mise à jour de la directive, la NIS2, est actuellement en cours de négociation, les prochaines discussions entre le Parlement européen, la Commission et le Conseil devant avoir lieu le 12 mai.

Bart Groothuis a déclaré à EURACTIV qu’il comprenait les préoccupations de l’ENISA et que la Commission avait donc proposé d’inclure la notification obligatoire des menaces potentielles et des accidents évités de justesse.

Toutefois, Bart Groothuis a émis des doutes sur le fait que cela résoudrait le problème.

« Si vous avez trop de fausses données, la pertinence du résultat est trop faible », a-t-il expliqué. Son objectif est plutôt de négocier un système dans lequel les données importantes sont rapportées et de s’assurer qu’il existe un écosystème qui agit de manière opérationnelle à partir de ces données.

Outre le fait que le partage des données est insuffisant, les équipes d’intervention en cas d’incident de sécurité informatique (CSIRT) devraient également redoubler d’efforts pour « agir de manière pertinente sur ce partage de données et prévenir, pallier et aider la société grâce à ces informations », a déclaré M. Groothuis. C’est pourquoi, a-t-il ajouté, le NIS2 doit porter à la fois sur la notification et la capacité de réponse.

Afin d’améliorer les notifications, les meilleures techniques devraient être partagées et un seuil d’« incident majeur » devrait être établi au niveau de l’UE, a ajouté Iva Tasheva.

Subscribe to our newsletters

Subscribe