Renforcement des capacités européennes en matière de cybersécurité

La Commission a adopté aujourd’hui une proposition de règlement de l’UE sur la cybersolidarité visant à renforcer les capacités de l’Union en matière de cybersécurité. Ce règlement soutiendra la détection des menaces et des incidents de cybersécurité et la sensibilisation à ceux-ci, ainsi que la préparation des entités critiques, et renforcera la solidarité ainsi que les capacités de gestion et de réaction concertées en cas de crise dans l’ensemble des États membres. Le règlement sur la cybersolidarité établit les capacités dont l’Union a besoin pour rendre l’Europe plus résiliente et plus à même de réagir aux cybermenaces, tout en renforçant le mécanisme de coopération existant.  Il contribuera à garantir un paysage numérique sûr et sécurisé pour les citoyens et les entreprises et à protéger les entités critiques et les services essentiels, tels que les hôpitaux et les services publics.

La Commission a également présenté une académie des compétences en matière de cybersécurité, dans le cadre de l’Année européenne des compétences 2023, afin de garantir une approche plus coordonnée pour remédier à la pénurie de talents dans le secteur de la cybersécurité, condition préalable au renforcement de la résilience de l’Europe. L’académie regroupera diverses initiatives existantes visant à promouvoir les compétences en matière de cybersécurité et les mettra à disposition sur une plateforme en ligne, ce qui renforcera leur visibilité et permettra d’accroître le nombre de professionnels qualifiés en cybersécurité dans l’Union.

Dans le cadre de l’union européenne de la sécurité, l’UE est déterminée à veiller à ce que tous les citoyens et entreprises européens soient bien protégés, tant en ligne que hors ligne, et à promouvoir un cyberespace ouvert, sûr et stable. Toutefois, l’ampleur, la fréquence et l’incidence croissantes des incidents de cybersécurité représentent une menace majeure pour le fonctionnement des réseaux et des systèmes d’information et pour le marché unique européen. L’agression militaire de la Russie contre l’Ukraine a encore exacerbé cette menace, compte tenu de la multiplicité des acteurs criminels et hacktivistes proches de l’État qui sont impliqués dans les tensions géopolitiques actuelles.

En s’appuyant sur un cadre stratégique et législatif solide déjà en place, la proposition de règlement de l’UE sur la cybersolidarité et l’académie des compétences en matière de cybersécurité contribueront davantage à améliorer la détection des cybermenaces ainsi que la résilience et la préparation à tous les niveaux de l’écosystème européen de cybersécurité.

Règlement de l’UE sur la cybersolidarité

Le règlement de l’UE sur la cybersolidarité renforcera la solidarité au niveau de l’Union afin de mieux détecter, anticiper et contrer les incidents de cybersécurité importants ou de grande ampleur, en créant un «bouclier européen de cybersécurité» et un mécanisme global de réaction d’urgence dans le domaine de la cybersécurité.

Afin de détecter rapidement et efficacement les cybermenaces majeures, la Commission propose la création d’un cyberbouclier européen, soit une infrastructure paneuropéenne composée de centres d’opérations de sécurité (SOC) nationaux et transfrontières dans l’ensemble de l’Union. Il s’agit d’entités chargées de détecter et de contrer les cybermenaces. Ces centres utiliseront des technologies de pointe, telles que l’intelligence artificielle (IA) et l’analyse avancée des données, pour détecter les menaces et incidents de cybersécurité et alerter en temps utile par-delà les frontières. À leur tour, les autorités et les entités concernées seront en mesure de réagir de manière plus efficace et plus efficiente aux incidents majeurs.

Ces centres pourraient être opérationnels début 2024. À titre de phase préparatoire du cyberbouclier européen, en avril 2023, la Commission a sélectionné, dans le cadre du programme pour une Europe numérique, trois consortiums de centres d’opérations de sécurité transfrontières (SOC), réunissant des organismes publics de 17 États membres et d’Islande.

Le règlement de l’UE sur la cybersolidarité prévoit également la création d’un mécanisme de réaction d’urgence dans le domaine de la cybersécurité destiné à améliorer la préparation et à renforcer les capacités de réaction aux incidents dans l’Union. Il soutiendra:

• des mesures de préparation, notamment la soumission des entités actives dans des secteurs hautement critiques (soins de santé, transports, énergie, etc.) à des tests en vue de détecter d’éventuelles vulnérabilités, sur la base de méthodes et de scénarios de risque communs;
• la création d’une réserve de cybersécurité de l’UE consistant en des services de réaction aux incidents, assurés par des fournisseurs de confiance sous contrat et donc prêts à intervenir à la demande d’un État membre ou des institutions, organes et agences de l’Union, en cas d’incident de cybersécurité important ou de grande ampleur;
• la fourniture d’un soutien financier à l’assistance mutuelle, lorsqu’un État membre pourrait offrir un soutien à un autre État membre.

En outre, la proposition de règlement établit le mécanisme d’analyse des incidents de cybersécurité afin de renforcer la résilience de l’Union en analysant et en évaluant les incidents de cybersécurité importants ou de grande ampleur qui sont survenus et, au besoin, d’émettre des recommandations destinées à améliorer la posture de cybersécurité de l’Union.

Le budget total de toutes les actions relevant du règlement de l’UE sur la cybersolidarité s’élève à 1,1 milliard d’euros, dont les deux tiers environ serontfinancés par l’Union au titre du programme pour une Europe numérique.

Académie européenne des compétences en matière de cybersécurité

L’académie européenne des compétences en matière de cybersécurité réunira des initiatives privées et publiques visant à renforcer les compétences en matière de cybersécurité aux niveaux européen et national, en les rendant plus visibles et en contribuant à combler les lacunes des professionnels du secteur de la cybersécurité.

L’académie sera dans un premier temps hébergée en ligne sur la plateforme de la Commission pour les compétences et les emplois numériques. Les citoyens intéressés par une carrière dans le domaine de la cybersécurité pourront trouver sur un site unique en ligne les possibilités de formation et de certification offertes dans toute l’Union. Les parties prenantes pourront également s’engager à soutenir l’amélioration des compétences en matière de cybersécurité dans l’Union en prenant des mesures spécifiques, par exemple en proposant des formations et des certifications en cybersécurité.

L’académie se développera de manière à pouvoir offrir un espace commun aux universités, aux prestataires de formation et aux entreprises du secteur, ce qui les aidera à coordonner les programmes d’enseignement, les formations et les financements ainsi qu’à suivre l’évolution du marché du travail dans le domaine de la cybersécurité.

Schémas de certification pour les services de sécurité gérés

La Commission a également proposé aujourd’hui une modification ciblée du règlement sur la cybersécurité, afin de permettre l’adoption future de schémas européens de certification pour les «services de sécurité gérés». Il s’agit de services hautement critiques et sensibles offerts par des fournisseurs de services de cybersécurité, tels que la réaction aux incidents, les tests de pénétration, les audits et les services de conseil en matière de sécurité, afin d’aider les entreprises et d’autres organisations à prévenir, détecter et contrer les cyberincidents et à se rétablir après de tels incidents.

La certification est essentielle et peut jouer un rôle important dans le contexte de la réserve de cybersécurité de l’UE et de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2), facilitant également la fourniture transfrontière de ces services.

Prochaines étapes

Le Parlement européen et le Conseil vont à présent examiner la proposition de règlement de l’UE sur la cybersolidarité ainsi que la modification ciblée du règlement sur la cybersécurité.

Le Centre de compétences européen en matière de cybersécurité organisera des acquisitions conjointes d’outils et d’infrastructures avec les centres d’opérations de sécurité transfrontières sélectionnés en vue de renforcer les capacités de cyberdétection.

L’Agence de l’UE pour la cybersécurité (ENISA) et le Centre de compétences européen en matière de cybersécurité continueront de travailler au renforcement des compétences en matière de cybersécurité, contribuant ainsi à la mise en œuvre de l’académie des compétences en matière de cybersécurité, conformément à leurs mandats respectifs, et en étroite coopération avec la Commission et les États membres.

La Commission propose que l’académie prenne la forme d’un Consortium pour une infrastructure numérique européenne (EDIC), c’est-à-dire un nouveau cadre juridique pour la mise en œuvre des projets multinationaux. Cette possibilité va à présent être examinée avec les États membres.

Il est également nécessaire de veiller à ce que les professionnels suivent les formations de qualité requises. À cet égard, l’ENISA élaborera un projet pilote afin d’étudier la possibilité de mettre en place un système européen d’attestation des compétences en matière de cybersécurité.

Contexte

En proposant un règlement de l’UE sur la cybersolidarité, la Commission répond à l’invitation des États membres à renforcer la cyberrésilience de l’Union et tient son engagement, pris dans la récente communication conjointe sur la cyberdéfense, de préparer une initiative de l’UE en matière de cybersolidarité.

Le règlement de l’UE sur la cybersolidarité et l’académie des compétences en matière de cybersécurité s’appuient sur la stratégie de cybersécurité de l’UE ainsi que sur le cadre législatif de l’UE visant à renforcer la résilience collective de l’Union face aux cybermenaces croissantes. Il s’agit notamment de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI 2) et du règlement sur la cybersécurité.

Pour en savoir plus

Questions et réponses – Cybersécurité: vers un renforcement des capacités de l’UE à des fins de coopération opérationnelle effective, de solidarité et de résilience

Fiche d’information – Règlement de l’UE sur la cybersolidarité

Fiche d’information – Académie des compétences en matière de cybersécurité

Proposition de règlement sur la cybersolidarité

Communication de la Commission sur l’académie des compétences en matière de cybersécurité

Proposition de règlement modifiant le règlement sur la cybersécurité en ce qui concerne les «services de sécurité gérés»

Fiche d’information – Stratégie de cybersécurité de l’UE

Page thématique sur le règlement de l’UE sur la cybersolidarité

Académie européenne des compétences en matière de cybersécurité — Plateforme pour les compétences et les emplois numériques

Citation(s)

Avec le train de mesures sur la cybersécurité présenté aujourd’hui, nous montrons qu’en agissant de manière solidaire, nous pouvons bâtir les infrastructures, les compétences et les capacités dont nous avons besoin pour faire face à la multiplication des cybermenaces qui nous touchent tous.

Le règlement de l’UE sur la cybersolidarité et l’académie des compétences en matière de cybersécurité sont nos deux nouveaux instruments concrets pour répondre aux besoins opérationnels de l’Union en matière de cybersécurité: le règlement prévoit des mesures concrètes qui permettront à l’Union de réagir aux menaces et aux attaques, tandis que l’académie vise à renforcer notre socle de compétences de manière à ce que nous disposions des personnes qualifiées dont nous avons besoin à cette fin.

Ce jour marque la proposition d’un cyberbouclier européen. Afin de détecter et de contrer efficacement les cybermenaces de grande ampleur et de pouvoir nous rétablir après des incidents de cybersécurité, il est impératif d’investir de toute urgence et de manière substantielle dans les capacités en matière de cybersécurité. Le règlement sur la cybersolidarité constitue une étape essentielle dans notre progression vers la réalisation de cet objectif.

Questions et réponses

Quels sont les objectifs de la proposition de règlement sur la cybersolidarité?

Conformément aux conclusions du Conseil sur la mise en place d’une posture cyber de l’UE de mai 2022 et comme annoncé dans la communication conjointe sur la politique de cyberdéfense de l’UE, la Commission a proposé un règlement de l’UE sur la cybersolidarité.

Le règlement de l’UE sur la cybersolidarité comprend une série de mesures qui visent à renforcer la solidarité et à améliorer et mieux coordonner la détection et l’appréciation de la situation au niveau de l’UE, tout en soutenant les capacités de préparation et de réaction des États membres en cas d’incidents de cybersécurité importants ou de grande ampleur, par les moyens suivants:

• un cyberbouclier européen, infrastructure paneuropéenne composée de centres d’opérations de sécurité (SOC) dont l’objectif est la mise en place et le renforcement de capacités coordonnées en matière de détection et d’appréciation de la situation;
• un mécanisme d’urgence dans le domaine de la cybersécurité destiné à aider les États membres à se préparer aux incidents de cybersécurité importants ou de grande ampleur et à y réagir;
• un mécanisme d’analyse des incidents de cybersécurité pour l’examen et l’évaluation des incidents importants ou de grande ampleur.

Le règlement sur la cybersolidarité bénéficiera d’un soutien financier total d’1,1 milliard d’euros, dont les deux tiers environ proviendront du budget de l’UE.

Comment fonctionnera le cyberbouclier européen?

Le cyberbouclier européen consistera en une infrastructure paneuropéenne qui reliera entre eux des centres d’opérations de sécurité (SOC) répartis dans toute l’UE.

Il renforcera les capacités d’analyse, de détection et de prévention des cybermenaces et soutiendra la production de renseignements de haute qualité sur les cybermenaces. Il utilisera pour cela des outils de pointe, tels que l’intelligence artificielle (IA) et l’analyse avancée des données. Ces outils feront l’objet d’une passation conjointe de marché organisée par le Centre de compétences européen en matière de cybersécurité (ECCC), en collaboration avec des SOC nationaux ou transfrontières.

Les SOC nationaux seront les éléments constitutifs du cyberbouclier européen. Ces organismes publics désignés par les États membres serviront de passerelles vers d’autres organisations publiques et privées au niveau national pour la collecte et l’analyse d’informations sur les cybermenaces et les incidents de cybersécurité.

À terme, le cyberbouclier européen sera constitué de plusieurs plateformes SOC transfrontières, chacune regroupant des SOC nationaux établis dans au moins trois États membres. Le soutien du programme pour une Europe numérique viendra compléter les financements nationaux en faveur des SOC.

La première phase de la mise en place du cyberbouclier européen est en cours, à la suite d’un appel à manifestation d’intérêt pour des SOC transfrontières dans le cadre du programme de travail cybersécurité pour 2021-2022 du programme pour une Europe numérique.

Le cyberbouclier européen s’appuiera sur le travail réalisé par les SOC existants, les centres de réponse aux incidents de sécurité informatique (CSIRT) ainsi que d’autres acteurs concernés, et le complétera.

Qu’est-ce qu’un centre d’opérations de sécurité (SOC)?

La stratégie de cybersécurité de l’UE propose de développer, de renforcer et d’interconnecter les capacités en matière de renseignements sur les cybermenaces dans l’ensemble de l’Union européenne. Ces capacités comprennent la surveillance, la détection et l’analyse et visent à prévenir les cybermenaces et à alerter en temps utile les autorités et toutes les parties prenantes concernées.

Ces capacités sont généralement fournies par des centres d’opérations de sécurité (SOC) publics ou privés. Ces centres collaborent avec des équipes d’intervention en cas d’urgence informatique/centres de réponse aux incidents de sécurité informatique (CERT/CSIRT) et sont secondés par des sources externes spécialisées de renseignements sur les cybermenaces.

Peut constituer un SOC toute entité ou équipe chargée de détecter les cybermenaces et d’y réagir.

Le cyberbouclier européen sera composé de SOC nationaux, qui sont des organismes publics désignés par les États membres pour remplir ce rôle au niveau national, et de SOC transfrontières, constitués d’au moins trois SOC nationaux collaborant pour centraliser des renseignements sur les cybermenaces.

Comment fonctionnera le mécanisme d’urgence dans le domaine de la cybersécurité?

Le mécanisme d’urgence dans le domaine de la cybersécurité va renforcer la préparation et la réaction de l’UE aux incidents de cybersécurité. Le soutien apporté par le mécanisme viendra compléter les ressources et les capacités nationales, ainsi que les autres formes de soutien disponibles au niveau de l’Union.

Le mécanisme comprend:

• des mesures de préparation, notamment la soumission à des tests des entités actives dans des secteurs hautement critiques (soins de santé, transports, énergie, etc.) en vue de détecter d’éventuelles vulnérabilités. La Commission, après consultation du groupe de coopération SRI et de l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, déterminera les secteurs et les sous-secteurs dans lesquels les entités devraient pouvoir bénéficier d’un soutien financier en vue de tests coordonnés. Le financement de l’UE soutiendra également d’autres actions de préparation en dehors des tests coordonnés;
• un soutien à la réaction aux incidents et au rétablissement immédiat en cas d’incidents de cybersécurité importants et de grande ampleur. Le soutien sera fourni dans le cadre de la réserve de cybersécurité de l’UE, moyennant les services de prestataires privés de confiance. Ces services comprennent, entre autres, l’analyse des incidents ou la coordination de la réaction aux incidents. En cas d’incidents informatiques importants ou de grande ampleur, à la demande des États membres, ces mesures permettront de soutenir la réaction et le rétablissement immédiat des services essentiels;
• une assistance mutuelle entre les autorités nationales, dans la situation où un État membre envoie des experts dans un autre État membre pour l’aider à atténuer les effets d’un incident de cybersécurité.

Qu’est-ce que la préparation au sens du règlement sur la cybersolidarité?

On entend par «préparation» en matière de cybersécurité, un état de préparation et l’existence de capacités permettant une réaction rapide et efficace en cas d’incident de cybersécurité important ou de grande ampleur. Cela peut prendre la forme d’une évaluation des risques liés aux vulnérabilités potentielles et de mesures de surveillance prises à l’avance.

L’incidence croissante des incidents de cybersécurité représente une menace majeure pour le fonctionnement des technologies et pour le marché unique dans son ensemble. L’évolution rapide du panorama des menaces exige une préparation plus solide à tous les niveaux de l’écosystème de cybersécurité de l’UE.

Les mesures de préparation proposées dans le règlement favorisent une approche cohérente et un renforcement de la sécurité dans l’ensemble de l’UE et de son marché intérieur. Les États membres bénéficieront d’un soutien pour tester et évaluer les entités actives dans des secteurs hautement critiques. Les secteurs ou les sous-secteurs seront sélectionnés au niveau de l’UE afin d’assurer une action coordonnée.

En outre, le règlement propose de soutenir d’autres mesures de préparation, en dehors de la soumission des entités actives dans des secteurs hautement critiques à des tests coordonnés. Ces mesures pourraient inclure un soutien à diverses autres activités nationales de préparation.

Qu’entend-on par «tests» au sens du règlement sur la cybersolidarité?

Le mécanisme d’urgence dans le domaine de la cybersécurité comprend la soumission à des tests des entités actives dans des secteurs hautement critiques (soins de santé, énergie, transports, etc.) en vue de détecter les vulnérabilités potentielles; ces tests s’appuient sur les évaluations des risques et les méthodologies de l’UE élaborées par le groupe de coopération SRI en coopération avec la Commission, l’ENISA et le haut représentant pour la politique étrangère et de sécurité commune.

Le choix des secteurs et l’élaboration des scénarios de risque devraient tenir compte des évaluations des risques et des scénarios de risque pertinents à l’échelle de l’UE.

Qu’est-ce qu’une évaluation des risques et un scénario de risque, et quel est leur rôle?

L’évaluation des risques liés à la cybersécurité est fondamentale pour encadrer l’adoption de mesures de sécurité appropriées en vue de prévenir les incidents de cybersécurité et de s’y préparer.

L’évaluation des risques est le processus consistant à identifier, analyser et évaluer les risques. Le scénario de risques est la visualisation d’une séquence possible d’événements susceptibles d’avoir une incidence négative sur le fonctionnement des réseaux et des systèmes d’information et sur l’UE dans son ensemble.

Afin de choisir les secteurs dans lesquels les entités devraient être soumises à des tests de préparation coordonnés, le règlement de l’UE sur la cybersolidarité s’appuie sur plusieurs évaluations des risques et scénarios de risque pertinents à l’échelle de l’UE: par exemple, l’évaluation des risques qui s’intéresse actuellement aux infrastructures de communication et de réseaux dans l’Union à la suite de l’appel ministériel conjoint de Nevers et l’évaluation des risques réalisée et les scénarios de risque élaborés à la suite des conclusions du Conseil sur la mise en place d’une posture cyber de l’Union européenne.

Quels services et quelles entités constitueront la réserve de cybersécurité de l’UE?

L’objectif de la réserve de cybersécurité de l’UE est d’apporter un soutien aux opérations de réaction et une aide immédiate au rétablissement à la suite d’incidents de cybersécurité importants et de grande ampleur.

La réserve de cybersécurité de l’UE fera appel aux services d’un groupe sélectionné d’entreprises privées de confiance fournissant des services de sécurité gérés, tels que l’analyse des incidents ou la coordination de la réaction aux incidents. Ces entreprises se tiendront prêtes et pourront être mobilisées pour soutenir les États membres en cas d’incidents de cybersécurité importants et de grande ampleur touchant des entités qui relèvent de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2).

Les prestataires de ces services seront sélectionnés dans le cadre d’une procédure de passation de marché. Le règlement sur la cybersolidarité définit une série de principes et de critères de sélection qui devraient être respectés au cours de cette procédure. Afin d’aider la Commission à mettre en place la réserve de cybersécurité de l’UE, l’ENISA, après consultation des États membres et de la Commission, établira une cartographie des services nécessaires à la réserve de cybersécurité de l’UE.

Comment les États membres pourront-ils faire usage de la réserve de cybersécurité de l’UE?

À la demande des États membres, la réserve de cybersécurité de l’UE aidera les autorités compétentes à réagir aux incidents de cybersécurité importants ou de grande ampleur et à se rétablir sans délai après de tels incidents.

L’assistance de la réserve de cybersécurité de l’UE viendra compléter les mesures d’atténuation et les actions de soutien nationales. Par conséquent, pour recevoir de l’aide, l’autorité compétente devra aussi fournir elle-même à l’entité touchée une assistance technique directe, ainsi que d’autres moyens pour contribuer à la réaction et aux efforts de rétablissement immédiat.

Comment le soutien à la réaction aux incidents fonctionnera-t-il?

Une fois que la demande de l’État membre qui sollicite l’assistance de la réserve de cybersécurité de l’UE aura été transmise à la Commission et à l’ENISA, la Commission, secondée par l’ENISA, l’évaluera sans délai. Si le soutien est accordé, les prestataires de services de confiance qui constituent la réserve de cybersécurité de l’UE offriront leur aide aux centres de réponse aux incidents de sécurité informatique (CSIRT) et aux autres autorités nationales compétentes chargées de la gestion des crises informatiques. Cette aide permettra de soutenir les entités actives dans des secteurs critiques ou hautement critiques, au sens de la directive SRI 2, qui sont victimes de l’incident de cybersécurité. Les services de réaction aux incidents compléteront les efforts déployés au niveau national pour réagir à un incident important ou de grande ampleur.

Une assistance pourrait également être apportée aux institutions, organes et organismes de l’UE et ce, en complément des efforts déployés par les institutions de l’UE pour réagir à un incident important ou de grande ampleur.

En quoi consiste la procédure de sélection des prestataires de services de confiance?

Les services fournis à la réserve de cybersécurité par des prestataires de services privés de confiance seront acquis dans le cadre d’une procédure de passation de marché. Le règlement sur la cybersolidarité prévoit que ces prestataires seront soumis à certains principes d’adjudication et critères de sélection, notamment:

• prestation de services répondant au plus haut degré de compétence professionnelle;
• existence d’un cadre pour la protection des informations sensibles;
• preuve d’une structure de gouvernance transparente, attestant l’intégrité et l’absence de conflit d’intérêts;
• personnel disposant d’une habilitation de sécurité; systèmes informatiques sécurisés;
• expérience antérieure pouvant être attestée dans la fourniture de services à des autorités nationales et à des entités actives dans les secteurs critiques et hautement critiques de l’Union;
• disponibilité et agilité;
• prestation du service dans la langue locale;
• certification au niveau de l’UE lorsqu’un schéma européen de certification de cybersécurité aura été mis en place pour les prestataires de services de sécurité gérés.

En quoi consiste le mécanisme d’analyse des incidents?

Conformément à la proposition de règlement sur la cybersolidarité, le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), le réseau des CSIRT ou la Commission peuvent demander à l’ENISA d’analyser et d’évaluer un incident de cybersécurité important ou de grande ampleur potentiel ou actuel.

Lors de l’analyse et de l’évaluation d’un incident spécifique, l’ENISA collabore avec les parties prenantes concernées, y compris les représentants du secteur privé, des États membres et de la Commission. L’ENISA consultera également les prestataires de services de sécurité gérés, les entités touchées par des incidents de cybersécurité et d’autres entités concernées.

Après l’analyse et l’évaluation d’un incident, l’ENISA remet un rapport d’analyse au réseau UE-CyCLONe, au réseau des CSIRT et à la Commission. Dans ce rapport, l’ENISA expose les principales causes et vulnérabilités qui ont provoqué l’incident de cybersécurité, les enseignements qui en ont été tirés et, le cas échéant, les recommandations faites pour améliorer la cyberposture de l’Union.

Les pays tiers peuvent-ils recevoir l’assistance de la réserve de cybersécurité de l’UE?

Compte tenu de la nature imprévisible des cyberattaques et du fait qu’elles ne se limitent souvent pas à une zone géographique spécifique et présentent un risque de contagion, le soutien à la réaction aux incidents proposé par la réserve de cybersécurité de l’UE sera mis à la disposition des pays tiers qui sont associés au programme pour une Europe numérique, conformément à leurs accords d’association respectifs.

Académie européenne des compétences en matière de cybersécurité

Quels sont les objectifs spécifiques de l’académie des compétences en matière de cybersécurité?

L’académie des compétences en matière de cybersécurité accroîtra la visibilité des initiatives relatives aux compétences en matière de cybersécurité et contribuera à augmenter le nombre de professionnels qualifiés dans l’UE afin de combler le déficit en professionnels de la cybersécurité dans les États membres.

L’académie:

• œuvrera à l’établissement d’un niveau de référence commun pour les profils de carrière dans le domaine de la cybersécurité et les compétences associées. Il en résultera une vision claire des formations et des certifications en matière de cybersécurité, ce qui permettra d’augmenter le nombre de professionnels de la cybersécurité en Europe. Il est également nécessaire de veiller à ce que les professionnels suivent les formations de qualité requises. Dans cette optique, la Commission lancera un projet pilote visant à mettre en place un système européen d’attestation des compétences en matière de cybersécurité;
• garantira une meilleure orientation et une visibilité accrue des possibilités de financement disponibles pour les activités liées aux compétences en matière de cybersécurité afin de maximiser leur impact;
• invitera les parties prenantes (par exemple, les entreprises, les écoles, les universités et les autorités) à agir en s’engageant de façon concrète à lancer des actions spécifiques, par exemple à proposer des formations et des certifications en matière de cybersécurité, ainsi qu’en intégrant les compétences en matière de cybersécurité dans leurs stratégies;
• définira des indicateurs permettant de suivre l’évolution du marché du travail pour les professionnels de la cybersécurité, en permettant aux prestataires de formation (tels que les écoles, les universités et les organisations) d’adapter en temps utile leurs formations et leurs programmes aux besoins du marché.

La Commission propose que l’académie prenne la forme d’un consortium pour une infrastructure numérique européenne (EDIC), qui est un nouveau cadre juridique pour la mise en œuvre des projets multinationaux. Cette possibilité va à présent être examinée avec les États membres.

Dans l’intervalle, la Commission créera, au travers de la plateforme pour les compétences et les emplois numériques, un point d’accès unique à l’académie permettant d’accéder aux informations pertinentes, aux activités utiles et aux parties prenantes concernées dans le ressort de l’académie.

L’Agence de l’Union européenne pour la cybersécurité (ENISA) et le Centre de compétences européen en matière de cybersécurité (ECCC) soutiendront la mise en œuvre de l’académie des compétences en matière de cybersécurité en coopération étroite avec la Commission et les États membres.

Quel type de formations l’académie va-t-elle promouvoir?

Dans un premier temps, l’académie recensera les possibilités existantes en matière d’éducation et de formation et leur donnera de la visibilité sur la plateforme pour les compétences et les emplois numériques.

En outre, la Commission va financer des formations spécifiques en matière de cybersécurité, dans le cadre d’Erasmus+, de programmes communs de licence et de master, de cours ou de modules communs. Des programmes intensifs combinant un enseignement en ligne avec une courte période de mobilité physique seront également prévus.

Autre exemple: parallèlement aux objectifs poursuivis par l’académie, l’ENISA renforcera son offre de formation en étendant son programme de «formation des formateurs» aux opérateurs critiques publics et privés relevant du champ d’application de la directive SRI 2.

Le Collège européen de sécurité et de défense reverra également son offre de formation, conçue pour le personnel de la cyberdéfense.

Pourquoi est-il si important de disposer d’un point d’accès unique dans l’UE?

De nombreuses initiatives émanant d’entités publiques et privées aux niveaux européen et national cherchent à stimuler le marché des compétences en matière de cybersécurité. Les recenser et les présenter ensemble sur une même page web améliorerait considérablement leur visibilité et leur comparabilité. Avant tout, pour un étudiant ou un demandeur d’emploi souhaitant intégrer le milieu de la cybersécurité, ou pour un professionnel désireux de se perfectionner ou de se reconvertir, il peut s’avérer difficile de savoir par où et comment commencer. Une organisation à la recherche de financements pour développer des compétences en matière de cybersécurité doit consulter plusieurs sites pour trouver les informations nécessaires. La mise en place d’un point d’accès unique permettra à tous les intéressés d’accéder plus facilement aux informations pertinentes.

Comment l’académie des compétences en matière de cybersécurité sera-t-elle financée?

Dans un premier temps, l’académie des compétences en matière de cybersécurité bénéficiera d’un budget de l’UE spécifique de 10 millions d’euros au titre du programme de travail 2023-2024 du programme pour une Europe numérique.

L’académie améliorera la visibilité du financement des compétences en matière de cybersécurité au titre des programmes pertinents de l’UE (tels que le programme pour une Europe numérique, la FRR, InvestEU et le Fonds social européen plus).

Si l’académie prend la forme d’un consortium pour une infrastructure numérique européenne (EDIC), cela facilitera encore davantage la mise en commun des ressources nationales et privées, en coopération étroite avec le Centre de compétences européen en matière de cybersécurité (ECCC) et les centres nationaux de coordination (CNC).

Source : Commission Européenne