Les institutions de l’Union européenne ne sont pas suffisamment préparées à l’augmentation du nombre de cyberattaques, peut-on lire dans un nouveau rapport spécial de la Cour des comptes européenne publié mardi (29 mars).
Dans leur rapport, les auditeurs recommandent de fixer des règles plus contraignantes, d’améliorer les ressources des équipes d’urgence informatique et d’intensifier la coopération interinstitutionnelle.
« Les institutions, organes et agences de l’UE sont des cibles intéressantes pour les pirates potentiels, en particulier pour les groupes capables de mener des attaques secrètes sophistiquées sur le plan technique à des fins de cyberespionnage et d’autres fins malveillantes », a déclaré Bettina Jakobsen, qui était chargée de l’audit.
En plus d’être coûteuses, ces attaques pourraient nuire à la réputation de l’UE et saper la confiance dans ses institutions, a-t-elle ajouté.
Malheureusement, la cyber-résilience des institutions de l’UE fait toujours défaut dans la pratique, malgré l’engagement de la Commission à la renforcer, indique le rapport. Il poursuit que les institutions n’ont toujours pas de stratégie cohérente et manquent de mécanismes de contrôle et de procédures de base.
Cela pourrait entraîner des dommages importants, c’est pourquoi les auditeurs de la Cour ont appelé à une refonte de l’architecture de cybersécurité des institutions européennes.
« L’UE doit en faire davantage pour protéger ses propres instances », a insisté Mme Jakobsen.
La proposition de la Commission du 22 mars, dont le but est de renforcer la cybersécurité dans l’ensemble des institutions de l’Union européenne, fait suite aux précédentes recommandations des auditeurs, a également indiqué la Cour.
Une augmentation massive des cyberattaques
Le nombre de cyberattaques graves contre les institutions de l’UE a été multiplié par plus de dix entre 2018 et 2021.
Si cette tendance à la hausse peut s’expliquer par le fait que davantage de personnel travaille à domicile, le personnel ne bénéficie pas non plus d’une formation régulière sur les menaces cyber. En effet, seuls 29 % des cadres supérieurs des institutions de l’UE responsables des données sensibles reçoivent une formation.
Le rapport indique également que les institutions ont développé leurs capacités de cyberdéfense à des degrés divers et sont fondamentalement sous-préparées à d’éventuelles cyberattaques.
Les institutions de l’UE étant très étroitement liées, une attaque réussie visant une institution pourrait avoir un effet domino et se propager aux autres.
Il n’existe pas de cadre juridique pour l’information et la cybersécurité dans les organes de l’UE. Ni la directive NIS — le premier texte législatif de l’UE en matière de cybersécurité — ni sa version révisée, la directive NIS 2, ne leur sont applicables.
Les recommandations aux institutions
Le rapport indique également qu’une approche robuste et cohérente de la cybersécurité et des contrôles essentiels sont nécessaires pour garantir la protection des informations. Les programmes de sensibilisation font également partie intégrante d’un cadre de sécurité efficace. Par exemple, les campagnes de simulation de hameçonnage (phishing) peuvent être un excellent outil de formation, mais elles ne sont pas encore systématiquement mises en œuvre.
Les synergies entre les institutions ne sont pas suffisamment étudiées non plus. Ainsi, selon les auditeurs, l’échange d’informations sur les projets et les évaluations de sécurité entre les institutions, mais aussi l’importance accrue accordée aux outils de communication interopérables laissent donc encore à désirer.
Le rapport estime que les principaux organes chargés de la promotion de la cybersécurité, à savoir l’Agence de l’Union européenne pour la cybersécurité (ENISA) et le groupe de réponse aux incidents de sécurité informatique (CERT-UE), sont insuffisants et sous-financés. Il est recommandé à ces organismes d’identifier les domaines qui nécessitent le plus de soutien et de développer des mesures de renforcement de leurs capacités. En outre, la Commission européenne est invitée à augmenter le financement de ces organismes de cybersécurité.
La proposition de la Commission
Au vu de ces lacunes, l’exécutif européen a proposé le 22 mars de nouvelles règles pour renforcer la cybersécurité dans les institutions, organes, agences et offices de l’Union européenne.
Le règlement vise à améliorer leur résilience et leur réactivité face aux cyberattaques en établissant un cadre de gouvernance, de gestion des risques et de contrôle ainsi qu’en créant un nouveau conseil consultatif interinstitutionnel en matière de cybersécurité. Le mandat du CERT-UE sera également doté de ressources supplémentaires. Tout en conservant son acronyme, le CERT-UE sera également rebaptisé « Centre de cybersécurité ».
Le projet a été décrit par le commissaire européen chargé du Budget et de l’administration, Johannes Hahn, comme une « étape importante dans le paysage de la cybersécurité et de l’information de l’UE ».
Les députés demandent également que les systèmes de cybersécurité soient réajustés dans toutes les institutions de l’Union.
« Toutes les institutions de l’UE ont été attaquées par des États-nations et autres, il n’est donc pas trop tôt pour renforcer les défenses cybernétiques de l’UE », a confié Bart Groothuis, rapporteur de la directive NIS-2, à EURACTIV.
M. Groothuis avait demandé l’élaboration de ce nouveau règlement qui s’appliquerait également aux institutions. Selon lui, la menace croissante à laquelle est confronté le secteur de la cybersécurité nécessite également « des précautions de sécurité militaire ici à Bruxelles ».
Source: Euraktiv