Renforcement des capacités européennes en matière de cybersécurité
Questions et réponses
Quels sont les objectifs de la proposition de règlement sur la cybersolidarité?
Conformément aux conclusions du Conseil sur la mise en place d’une posture cyber de l’UE de mai 2022 et comme annoncé dans la communication conjointe sur la politique de cyberdéfense de l’UE, la Commission a proposé un règlement de l’UE sur la cybersolidarité.
Le règlement de l’UE sur la cybersolidarité comprend une série de mesures qui visent à renforcer la solidarité et à améliorer et mieux coordonner la détection et l’appréciation de la situation au niveau de l’UE, tout en soutenant les capacités de préparation et de réaction des États membres en cas d’incidents de cybersécurité importants ou de grande ampleur, par les moyens suivants:
- un cyberbouclier européen, infrastructure paneuropéenne composée de centres d’opérations de sécurité (SOC) dont l’objectif est la mise en place et le renforcement de capacités coordonnées en matière de détection et d’appréciation de la situation;
- un mécanisme d’urgence dans le domaine de la cybersécurité destiné à aider les États membres à se préparer aux incidents de cybersécurité importants ou de grande ampleur et à y réagir;
- un mécanisme d’analyse des incidents de cybersécurité pour l’examen et l’évaluation des incidents importants ou de grande ampleur.
Le règlement sur la cybersolidarité bénéficiera d’un soutien financier total d’1,1 milliard d’euros, dont les deux tiers environ proviendront du budget de l’UE.
Comment fonctionnera le cyberbouclier européen?
Le cyberbouclier européen consistera en une infrastructure paneuropéenne qui reliera entre eux des centres d’opérations de sécurité (SOC) répartis dans toute l’UE.
Il renforcera les capacités d’analyse, de détection et de prévention des cybermenaces et soutiendra la production de renseignements de haute qualité sur les cybermenaces. Il utilisera pour cela des outils de pointe, tels que l’intelligence artificielle (IA) et l’analyse avancée des données. Ces outils feront l’objet d’une passation conjointe de marché organisée par le Centre de compétences européen en matière de cybersécurité (ECCC), en collaboration avec des SOC nationaux ou transfrontières.
Les SOC nationaux seront les éléments constitutifs du cyberbouclier européen. Ces organismes publics désignés par les États membres serviront de passerelles vers d’autres organisations publiques et privées au niveau national pour la collecte et l’analyse d’informations sur les cybermenaces et les incidents de cybersécurité.
À terme, le cyberbouclier européen sera constitué de plusieurs plateformes SOC transfrontières, chacune regroupant des SOC nationaux établis dans au moins trois États membres. Le soutien du programme pour une Europe numérique viendra compléter les financements nationaux en faveur des SOC.
La première phase de la mise en place du cyberbouclier européen est en cours, à la suite d’un appel à manifestation d’intérêt pour des SOC transfrontières dans le cadre du programme de travail cybersécurité pour 2021-2022 du programme pour une Europe numérique.
Le cyberbouclier européen s’appuiera sur le travail réalisé par les SOC existants, les centres de réponse aux incidents de sécurité informatique (CSIRT) ainsi que d’autres acteurs concernés, et le complétera.
Qu’est-ce qu’un centre d’opérations de sécurité (SOC)?
La stratégie de cybersécurité de l’UE propose de développer, de renforcer et d’interconnecter les capacités en matière de renseignements sur les cybermenaces dans l’ensemble de l’Union européenne. Ces capacités comprennent la surveillance, la détection et l’analyse et visent à prévenir les cybermenaces et à alerter en temps utile les autorités et toutes les parties prenantes concernées.
Ces capacités sont généralement fournies par des centres d’opérations de sécurité (SOC) publics ou privés. Ces centres collaborent avec des équipes d’intervention en cas d’urgence informatique/centres de réponse aux incidents de sécurité informatique (CERT/CSIRT) et sont secondés par des sources externes spécialisées de renseignements sur les cybermenaces.
Peut constituer un SOC toute entité ou équipe chargée de détecter les cybermenaces et d’y réagir.
Le cyberbouclier européen sera composé de SOC nationaux, qui sont des organismes publics désignés par les États membres pour remplir ce rôle au niveau national, et de SOC transfrontières, constitués d’au moins trois SOC nationaux collaborant pour centraliser des renseignements sur les cybermenaces.
Comment fonctionnera le mécanisme d’urgence dans le domaine de la cybersécurité?
Le mécanisme d’urgence dans le domaine de la cybersécurité va renforcer la préparation et la réaction de l’UE aux incidents de cybersécurité. Le soutien apporté par le mécanisme viendra compléter les ressources et les capacités nationales, ainsi que les autres formes de soutien disponibles au niveau de l’Union.
Le mécanisme comprend:
- des mesures de préparation, notamment la soumission à des tests des entités actives dans des secteurs hautement critiques (soins de santé, transports, énergie, etc.) en vue de détecter d’éventuelles vulnérabilités. La Commission, après consultation du groupe de coopération SRI et de l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, déterminera les secteurs et les sous-secteurs dans lesquels les entités devraient pouvoir bénéficier d’un soutien financier en vue de tests coordonnés. Le financement de l’UE soutiendra également d’autres actions de préparation en dehors des tests coordonnés;
- un soutien à la réaction aux incidents et au rétablissement immédiat en cas d’incidents de cybersécurité importants et de grande ampleur. Le soutien sera fourni dans le cadre de la réserve de cybersécurité de l’UE, moyennant les services de prestataires privés de confiance. Ces services comprennent, entre autres, l’analyse des incidents ou la coordination de la réaction aux incidents. En cas d’incidents informatiques importants ou de grande ampleur, à la demande des États membres, ces mesures permettront de soutenir la réaction et le rétablissement immédiat des services essentiels;
- une assistance mutuelle entre les autorités nationales, dans la situation où un État membre envoie des experts dans un autre État membre pour l’aider à atténuer les effets d’un incident de cybersécurité.
Qu’est-ce que la préparation au sens du règlement sur la cybersolidarité?
On entend par «préparation» en matière de cybersécurité, un état de préparation et l’existence de capacités permettant une réaction rapide et efficace en cas d’incident de cybersécurité important ou de grande ampleur. Cela peut prendre la forme d’une évaluation des risques liés aux vulnérabilités potentielles et de mesures de surveillance prises à l’avance.
L’incidence croissante des incidents de cybersécurité représente une menace majeure pour le fonctionnement des technologies et pour le marché unique dans son ensemble. L’évolution rapide du panorama des menaces exige une préparation plus solide à tous les niveaux de l’écosystème de cybersécurité de l’UE.
Les mesures de préparation proposées dans le règlement favorisent une approche cohérente et un renforcement de la sécurité dans l’ensemble de l’UE et de son marché intérieur. Les États membres bénéficieront d’un soutien pour tester et évaluer les entités actives dans des secteurs hautement critiques. Les secteurs ou les sous-secteurs seront sélectionnés au niveau de l’UE afin d’assurer une action coordonnée.
En outre, le règlement propose de soutenir d’autres mesures de préparation, en dehors de la soumission des entités actives dans des secteurs hautement critiques à des tests coordonnés. Ces mesures pourraient inclure un soutien à diverses autres activités nationales de préparation.
Qu’entend-on par «tests» au sens du règlement sur la cybersolidarité?
Le mécanisme d’urgence dans le domaine de la cybersécurité comprend la soumission à des tests des entités actives dans des secteurs hautement critiques (soins de santé, énergie, transports, etc.) en vue de détecter les vulnérabilités potentielles; ces tests s’appuient sur les évaluations des risques et les méthodologies de l’UE élaborées par le groupe de coopération SRI en coopération avec la Commission, l’ENISA et le haut représentant pour la politique étrangère et de sécurité commune.
Le choix des secteurs et l’élaboration des scénarios de risque devraient tenir compte des évaluations des risques et des scénarios de risque pertinents à l’échelle de l’UE.
Qu’est-ce qu’une évaluation des risques et un scénario de risque, et quel est leur rôle?
L’évaluation des risques liés à la cybersécurité est fondamentale pour encadrer l’adoption de mesures de sécurité appropriées en vue de prévenir les incidents de cybersécurité et de s’y préparer.
L’évaluation des risques est le processus consistant à identifier, analyser et évaluer les risques. Le scénario de risques est la visualisation d’une séquence possible d’événements susceptibles d’avoir une incidence négative sur le fonctionnement des réseaux et des systèmes d’information et sur l’UE dans son ensemble.
Afin de choisir les secteurs dans lesquels les entités devraient être soumises à des tests de préparation coordonnés, le règlement de l’UE sur la cybersolidarité s’appuie sur plusieurs évaluations des risques et scénarios de risque pertinents à l’échelle de l’UE: par exemple, l’évaluation des risques qui s’intéresse actuellement aux infrastructures de communication et de réseaux dans l’Union à la suite de l’appel ministériel conjoint de Nevers et l’évaluation des risques réalisée et les scénarios de risque élaborés à la suite des conclusions du Conseil sur la mise en place d’une posture cyber de l’Union européenne.
Quels services et quelles entités constitueront la réserve de cybersécurité de l’UE?
L’objectif de la réserve de cybersécurité de l’UE est d’apporter un soutien aux opérations de réaction et une aide immédiate au rétablissement à la suite d’incidents de cybersécurité importants et de grande ampleur.
La réserve de cybersécurité de l’UE fera appel aux services d’un groupe sélectionné d’entreprises privées de confiance fournissant des services de sécurité gérés, tels que l’analyse des incidents ou la coordination de la réaction aux incidents. Ces entreprises se tiendront prêtes et pourront être mobilisées pour soutenir les États membres en cas d’incidents de cybersécurité importants et de grande ampleur touchant des entités qui relèvent de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2).
Les prestataires de ces services seront sélectionnés dans le cadre d’une procédure de passation de marché. Le règlement sur la cybersolidarité définit une série de principes et de critères de sélection qui devraient être respectés au cours de cette procédure. Afin d’aider la Commission à mettre en place la réserve de cybersécurité de l’UE, l’ENISA, après consultation des États membres et de la Commission, établira une cartographie des services nécessaires à la réserve de cybersécurité de l’UE.
Comment les États membres pourront-ils faire usage de la réserve de cybersécurité de l’UE?
À la demande des États membres, la réserve de cybersécurité de l’UE aidera les autorités compétentes à réagir aux incidents de cybersécurité importants ou de grande ampleur et à se rétablir sans délai après de tels incidents.
L’assistance de la réserve de cybersécurité de l’UE viendra compléter les mesures d’atténuation et les actions de soutien nationales. Par conséquent, pour recevoir de l’aide, l’autorité compétente devra aussi fournir elle-même à l’entité touchée une assistance technique directe, ainsi que d’autres moyens pour contribuer à la réaction et aux efforts de rétablissement immédiat.
Comment le soutien à la réaction aux incidents fonctionnera-t-il?
Une fois que la demande de l’État membre qui sollicite l’assistance de la réserve de cybersécurité de l’UE aura été transmise à la Commission et à l’ENISA, la Commission, secondée par l’ENISA, l’évaluera sans délai. Si le soutien est accordé, les prestataires de services de confiance qui constituent la réserve de cybersécurité de l’UE offriront leur aide aux centres de réponse aux incidents de sécurité informatique (CSIRT) et aux autres autorités nationales compétentes chargées de la gestion des crises informatiques. Cette aide permettra de soutenir les entités actives dans des secteurs critiques ou hautement critiques, au sens de la directive SRI 2, qui sont victimes de l’incident de cybersécurité. Les services de réaction aux incidents compléteront les efforts déployés au niveau national pour réagir à un incident important ou de grande ampleur.
Une assistance pourrait également être apportée aux institutions, organes et organismes de l’UE et ce, en complément des efforts déployés par les institutions de l’UE pour réagir à un incident important ou de grande ampleur.
En quoi consiste la procédure de sélection des prestataires de services de confiance?
Les services fournis à la réserve de cybersécurité par des prestataires de services privés de confiance seront acquis dans le cadre d’une procédure de passation de marché. Le règlement sur la cybersolidarité prévoit que ces prestataires seront soumis à certains principes d’adjudication et critères de sélection, notamment:
- prestation de services répondant au plus haut degré de compétence professionnelle;
- existence d’un cadre pour la protection des informations sensibles;
- preuve d’une structure de gouvernance transparente, attestant l’intégrité et l’absence de conflit d’intérêts;
- personnel disposant d’une habilitation de sécurité; systèmes informatiques sécurisés;
- expérience antérieure pouvant être attestée dans la fourniture de services à des autorités nationales et à des entités actives dans les secteurs critiques et hautement critiques de l’Union;
- disponibilité et agilité;
- prestation du service dans la langue locale;
- certification au niveau de l’UE lorsqu’un schéma européen de certification de cybersécurité aura été mis en place pour les prestataires de services de sécurité gérés.
En quoi consiste le mécanisme d’analyse des incidents?
Conformément à la proposition de règlement sur la cybersolidarité, le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), le réseau des CSIRT ou la Commission peuvent demander à l’ENISA d’analyser et d’évaluer un incident de cybersécurité important ou de grande ampleur potentiel ou actuel.
Lors de l’analyse et de l’évaluation d’un incident spécifique, l’ENISA collabore avec les parties prenantes concernées, y compris les représentants du secteur privé, des États membres et de la Commission. L’ENISA consultera également les prestataires de services de sécurité gérés, les entités touchées par des incidents de cybersécurité et d’autres entités concernées.
Après l’analyse et l’évaluation d’un incident, l’ENISA remet un rapport d’analyse au réseau UE-CyCLONe, au réseau des CSIRT et à la Commission. Dans ce rapport, l’ENISA expose les principales causes et vulnérabilités qui ont provoqué l’incident de cybersécurité, les enseignements qui en ont été tirés et, le cas échéant, les recommandations faites pour améliorer la cyberposture de l’Union.
Les pays tiers peuvent-ils recevoir l’assistance de la réserve de cybersécurité de l’UE?
Compte tenu de la nature imprévisible des cyberattaques et du fait qu’elles ne se limitent souvent pas à une zone géographique spécifique et présentent un risque de contagion, le soutien à la réaction aux incidents proposé par la réserve de cybersécurité de l’UE sera mis à la disposition des pays tiers qui sont associés au programme pour une Europe numérique, conformément à leurs accords d’association respectifs.
Académie européenne des compétences en matière de cybersécurité
Quels sont les objectifs spécifiques de l’académie des compétences en matière de cybersécurité?
L’académie des compétences en matière de cybersécurité accroîtra la visibilité des initiatives relatives aux compétences en matière de cybersécurité et contribuera à augmenter le nombre de professionnels qualifiés dans l’UE afin de combler le déficit en professionnels de la cybersécurité dans les États membres.
L’académie:
- œuvrera à l’établissement d’un niveau de référence commun pour les profils de carrière dans le domaine de la cybersécurité et les compétences associées. Il en résultera une vision claire des formations et des certifications en matière de cybersécurité, ce qui permettra d’augmenter le nombre de professionnels de la cybersécurité en Europe. Il est également nécessaire de veiller à ce que les professionnels suivent les formations de qualité requises. Dans cette optique, la Commission lancera un projet pilote visant à mettre en place un système européen d’attestation des compétences en matière de cybersécurité;
- garantira une meilleure orientation et une visibilité accrue des possibilités de financement disponibles pour les activités liées aux compétences en matière de cybersécurité afin de maximiser leur impact;
- invitera les parties prenantes (par exemple, les entreprises, les écoles, les universités et les autorités) à agir en s’engageant de façon concrète à lancer des actions spécifiques, par exemple à proposer des formations et des certifications en matière de cybersécurité, ainsi qu’en intégrant les compétences en matière de cybersécurité dans leurs stratégies;
- définira des indicateurs permettant de suivre l’évolution du marché du travail pour les professionnels de la cybersécurité, en permettant aux prestataires de formation (tels que les écoles, les universités et les organisations) d’adapter en temps utile leurs formations et leurs programmes aux besoins du marché.
La Commission propose que l’académie prenne la forme d’un consortium pour une infrastructure numérique européenne (EDIC), qui est un nouveau cadre juridique pour la mise en œuvre des projets multinationaux. Cette possibilité va à présent être examinée avec les États membres.
Dans l’intervalle, la Commission créera, au travers de la plateforme pour les compétences et les emplois numériques, un point d’accès unique à l’académie permettant d’accéder aux informations pertinentes, aux activités utiles et aux parties prenantes concernées dans le ressort de l’académie.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) et le Centre de compétences européen en matière de cybersécurité (ECCC) soutiendront la mise en œuvre de l’académie des compétences en matière de cybersécurité en coopération étroite avec la Commission et les États membres.
Quel type de formations l’académie va-t-elle promouvoir?
Dans un premier temps, l’académie recensera les possibilités existantes en matière d’éducation et de formation et leur donnera de la visibilité sur la plateforme pour les compétences et les emplois numériques.
En outre, la Commission va financer des formations spécifiques en matière de cybersécurité, dans le cadre d’Erasmus+, de programmes communs de licence et de master, de cours ou de modules communs. Des programmes intensifs combinant un enseignement en ligne avec une courte période de mobilité physique seront également prévus.
Autre exemple: parallèlement aux objectifs poursuivis par l’académie, l’ENISA renforcera son offre de formation en étendant son programme de «formation des formateurs» aux opérateurs critiques publics et privés relevant du champ d’application de la directive SRI 2.
Le Collège européen de sécurité et de défense reverra également son offre de formation, conçue pour le personnel de la cyberdéfense.
Pourquoi est-il si important de disposer d’un point d’accès unique dans l’UE?
De nombreuses initiatives émanant d’entités publiques et privées aux niveaux européen et national cherchent à stimuler le marché des compétences en matière de cybersécurité. Les recenser et les présenter ensemble sur une même page web améliorerait considérablement leur visibilité et leur comparabilité. Avant tout, pour un étudiant ou un demandeur d’emploi souhaitant intégrer le milieu de la cybersécurité, ou pour un professionnel désireux de se perfectionner ou de se reconvertir, il peut s’avérer difficile de savoir par où et comment commencer. Une organisation à la recherche de financements pour développer des compétences en matière de cybersécurité doit consulter plusieurs sites pour trouver les informations nécessaires. La mise en place d’un point d’accès unique permettra à tous les intéressés d’accéder plus facilement aux informations pertinentes.
Comment l’académie des compétences en matière de cybersécurité sera-t-elle financée?
Dans un premier temps, l’académie des compétences en matière de cybersécurité bénéficiera d’un budget de l’UE spécifique de 10 millions d’euros au titre du programme de travail 2023-2024 du programme pour une Europe numérique.
L’académie améliorera la visibilité du financement des compétences en matière de cybersécurité au titre des programmes pertinents de l’UE (tels que le programme pour une Europe numérique, la FRR, InvestEU et le Fonds social européen plus).
Si l’académie prend la forme d’un consortium pour une infrastructure numérique européenne (EDIC), cela facilitera encore davantage la mise en commun des ressources nationales et privées, en coopération étroite avec le Centre de compétences européen en matière de cybersécurité (ECCC) et les centres nationaux de coordination (CNC).
Source : Commission Européenne