Dans le cadre du Forum international de la cybersécurité (FIC) se déroulant du 5 au 7 avril 2023 à Lille, Thierry Breton, le commissaire européen chargé du Marché intérieur, a présenté plusieurs mesures visant à lutter contre les cybermenaces. L’Union européenne (UE) souhaite plus que jamais protéger son cyberespace, à l’heure où les risques d’attaques informatiques sont démultipliés.

Des centres opérationnels de sécurité à 1 milliard d’euros comme pilier du bouclier cyber

« Nous allons doter l’Europe d’un bouclier cyber » : ce sont les mots de Thierry Breton au journal Les Échos. Le Commissaire européen chargé du Marché intérieur a dévoilé la construction, dès l’année prochaine, de plusieurs centres opérationnels de sécurité. Ces structures auront pour objectif de renforcer la cybersécurité des États membres en détectant les attaques informatiques en amont.

« Il peut s’écouler aujourd’hui un délai allant jusqu’à 190 jours entre le début de la diffusion d’un malware et le déclenchement d’une attaque », précise Thierry Breton. C’est en prenant en compte ce délai et les activités inhabituelles se déroulant avant les assauts que ces centres pourront contrer ces attaques. En tout, un milliard d’euros seront alloués à la construction de ces édifices qui constituent une partie du bouclier cyber imaginé par les instances européennes.

Cette annonce s’inscrit dans la lignée d’une précédente, au début de la décennie. Fin 2020, le vœu d’un bouclier européen pour se protéger des cyberattaques avait déjà été évoqué. Le but était d’endurcir le cadre réglementaire appliqué aujourd’hui au sein de l’UE. Entre-temps, l’augmentation du nombre de cyberattaques, à l’instar des ransomwares, contraint l’Union européenne à mettre les bouchées doubles pour imperméabiliser « son bouclier cyber ».

L’Europe veut endurcir sa réglementation en matière de cybersécurité

Sur les deux dernières années qui ont suivi cette annonce, les instances européennes ont travaillé sur un projet de règlement, le Cyber Resilience Act, présenté en septembre 2022. Il aura pour but d’établir des règles de cybersécurité régissant sur l’ensemble du territoire européen. Elle obligera notamment les fabricants et développeurs de produits comportant des éléments numériques, à fournir des correctifs et des mises à jour de sécurité jusqu’à cinq ans après sa mise sur le marché.

Ce nouveau cadre législatif viendra renforcer la directive SRI 2 qui vise à améliorer la résilience et les capacités de réaction des organismes européens face aux incidents informatiques. Le SRI 2 met à jour la liste des entités surveillées et encadrées, initialement les opérateurs de services essentiels et fournisseurs de services numériques. Plus d’organismes seront inclus dans la directive et devront se conformer aux mesures de cybersécurité appropriée, ainsi qu’au Cyber Resilience Act s’il venait à être mis en vigueur.

Le commissaire européen a conclu la présentation de ses mesures en précisant « qu’avec la guerre en Ukraine […] la mutualisation et la coordination de nos forces au niveau européen deviennent plus nécessaires que jamais, car la menace va s’étendre ». Ainsi, les responsables de l’UE travaillent actuellement sur un autre texte, le Cyber Solidarity Act. Son objectif consiste, cette fois, à coordonner les efforts collectifs des États membres pour contrer une attaque informatique. Grâce à ce nouveau cadre législatif, plusieurs pays européens victimes d’une cyberattaque disposeront de l’aide de fournisseurs certifiés pour faire face à ce type de menace. Selon le Financial Times, les détails de ce projet de règlement seront apportés le 18 avril prochain.