Les gouvernements européens ont rédigé une déclaration visant à renforcer les capacités de l’UE en matière de cybersécurité, notamment en créant un nouveau fonds et en augmentant le financement de l’UE pour soutenir les efforts nationaux.
L’appel conjoint sera adopté mercredi (9 mars) lors d’une réunion informelle des ministres des Télécommunications organisée par la présidence française de l’UE à Nevers. Le calendrier du sommet a été entièrement remanié pour tenir compte du conflit ukrainien.
« Les récentes cyberattaques qui ont visé l’Ukraine dans un contexte de tensions géopolitiques croissantes ont montré l’importance de la dimension cybernétique dans les conflits actuels », peut-on lire dans le projet, vu par EURACTIV.
« Tout en reconnaissant l’importance pour l’UE de soutenir fermement la cyber-résilience de l’Ukraine, l’effet de contagion possible de ces cyber-attaques sur les réseaux européens souligne également la nécessité pour l’UE d’avancer avec un plan ambitieux et complet pour sa cybersécurité. »
Les ministres de l’UE ont signé une liste d’actions pour faire face à ces défis à venir, notamment un appel à la Commission européenne pour qu’elle crée un nouveau fonds d’intervention d’urgence pour la cybersécurité destiné à préparer l’UE à faire face à des cyberattaques de grande ampleur.
Les gouvernements nationaux souhaitent également que des fonds européens supplémentaires aident les États membres à renforcer leurs capacités en matière de cybersécurité en contribuant à la création d’un marché de prestataires de services de cybersécurité de confiance pour les audits de cybersécurité et la réponse aux incidents.
Ce financement devrait renforcer la résilience des opérateurs à risque, ceux qui seraient une cible privilégiée en cas de conflit, tout en favorisant le développement d’un écosystème de cybersécurité.
« Encourager le développement de tels prestataires européens devrait être une priorité de la politique industrielle de l’UE dans le domaine de la cybersécurité », ajoute la déclaration.
Le document invite également les autorités européennes compétentes, telles que la Commission européenne, les régulateurs nationaux des télécommunications, l’Agence de l’Union européenne pour la cybersécurité (ENISA) et le groupe de coopération « Network & Information Security » (NIS), à formuler une série de recommandations sur la manière de renforcer la résilience de l’infrastructure numérique européenne.
L’infrastructure de télécommunications a fait l’objet d’un document diffusé par la présidence française avant la discussion, également vu par EURACTIV. Le document souligne la dépendance de l’Europe en matière d’infrastructure, des connexions internet mondiales aux câbles sous-marins, détenus principalement par des entreprises américaines et chinoises.
Le document plaide pour l’augmentation de la résilience des réseaux européens via la diversification de l’infrastructure de base, y compris avec l’initiative récemment lancée pour des communications par satellite sécurisées.
Le document français a mis en évidence les risques liés à l’utilisation croissante du cloud computing dans la 5G, car la nouvelle génération de réseaux n’est par défaut plus gérée physiquement, mais virtuellement avec des logiciels qui permettent une allocation plus efficace des ressources.
Cependant, cette virtualisation du réseau expose davantage de points de vulnérabilité.
Les opérateurs de télécommunications se plaignent du fait que, alors qu’ils sont responsables en dernier ressort du fonctionnement du réseau, les fournisseurs de logiciels n’encourent aucune responsabilité juridique. Par conséquent, les fournisseurs de logiciels ne partagent pas forcément le même sentiment d’urgence à assurer la résilience du réseau.
La France a tenté d’inclure les fournisseurs de logiciels dans le champ d’application de la directive révisée sur la sécurité des réseaux et de l’information (NIS2), mais la proposition a été repoussée par d’autres États membres. La déclaration commune appelle également à une adoption rapide de la NIS2, que les négociateurs souhaitent adopter le mois prochain.
« Il est nécessaire d’adopter une approche holistique », a déclaré à EURACTIV le ministre slovène du Numérique, Mark Boris Andrijanič. « Aucune composante ne devrait être laissée de côté, tout simplement parce qu’il y a une énorme interdépendance entre tous nos systèmes, qu’il s’agisse des systèmes matériels ou des systèmes logiciels. »
En outre, la déclaration a pointé du doigt la loi sur la cyber-résilience, une législation européenne à venir visant à établir des normes de cybersécurité communes pour les appareils et services connectés, actuellement attendue pour le troisième trimestre de 2023.
Les fournisseurs de télécommunications espèrent que les vendeurs de logiciels devront se conformer à ces nouvelles exigences. Cependant, il n’est pas encore précisé si la loi sur la cyber-résilience ne couvrira que les appareils commerciaux de « l’Internet des objets » ou si elle s’appliquera également aux entreprises.
En outre, les États membres devraient réaffirmer l’urgente nécessité de la mise en place du nouveau centre de compétences en matière de cybersécurité, qui sera bientôt ouvert en Roumanie, et de renforcer l’assistance mutuelle via les mécanismes de coopération existants.
« Enfin, [les États membres] réitèrent leur ferme engagement à maintenir le fonctionnement de l’infrastructure numérique et des réseaux de télécommunications ukrainiens, tout en renforçant la cyber-résilience de l’Ukraine par une assistance à court et à long terme », conclut la déclaration.
Les gouvernements de l’UE devraient annoncer un nouveau paquet de soutien high-tech pour le gouvernement ukrainien à la fin du sommet.
Source; Euractiv