Afin d’être en mesure de répondre à toutes les cyberattaques que connaît le monde actuellement, la stratégie de cybersécurité mise en place en Europe est remise en question. Des changements sont en effet prévus pour septembre, avec notamment la création de nouveaux centres de certification de la cybersécurité au sein de l’UE.
Vers la construction d’une Europe de la cybersécurité
Andrus Ansip, vice-président de la Commission européenne, a révélé son désir de mettre en place un centre spécialisé dans la certification de la cybersécurité des produits technologiques en Europe. Il préconiserait même l’implantation de plusieurs bureaux répartis au sein de l’Union Européenne pour une plus grande performance. Ce n’est qu’en septembre qu’Andrus Ansip annoncera plus précisément les mesures exactes qu’il souhaite instaurer.
Actuellement, la plupart des pays de cette zone manquent de ressources et de main d’œuvre pour être suffisamment autonomes et réagir efficacement en cas de cyberattaque. Les entreprises ont besoin d’avoir un soutien supplémentaire. Lors de la cyberattaque WannaCry, des sociétés auraient justement demandé de l’aide auprès de l’UE.
Ce projet de création d’un ou plusieurs bureaux aura pour objectif de certifier le degré de cybersécurité des produits technologiques et permettra ainsi à l’Europe d’être plus compétitive à l’international. Aujourd’hui la majorité des produits européens de cybersécurité ne font pas le poids face à la concurrence. L’idée est donc d’établir un système de notation afin de classer le niveau de sécurité de ces produits selon leurs caractéristiques.
Ces ambitions témoignent ainsi de l’intention de mettre en place un programme de labellisation commun en Europe pour les solutions de sécurité informatique. Le marché des produits connectés grand public sera aussi concerné, l’objectif serait de créer des plans de certification pour davantage de sécurité.
C’est suite à son séjour passé en Estonie que Andrus Ansip a envisagé ce projet. Durant son voyage, il a eu l’occasion de découvrir le centre de cybersécurité de l’OTAN installé à Tallinn, la capitale de l’Estonie. Ce bureau est lui spécialisé dans la défense et les sujets juridiques. Des épreuves sont organisées afin de vérifier la capacité des membres de l’OTAN à se défendre en cas d’attaques. Le nouveau centre prévu par Andrus Ansip en Europe serait quant à lui concentré exclusivement sur les produits de cybersécurité.
De nouveaux projets européens déjà remis en cause
Une mise à jour radicale est alors prévue pour la stratégie de cybersécurité européenne afin d’accroître la capacité de l’UE à réagir aux éventuelles attaques. Cette idée de créer un nouveau bureau revient aussi à mettre en place un nouveau centre légal pour l’agence actuelle de l’UE spécialisée dans la cybersécurité située à Athènes. Les directeurs de cette agence auraient en effet demandé plus de budget afin de recruter davantage de personnels et de mieux synchroniser les échanges entre les différentes autorités nationales responsables de la cybersécurité au sein des pays de l’UE.
Mais la création de ce nouveau bureau prévu par Andrus Ansip serait donc en concurrence avec l’ENISA. Steve Purser, directeur des opérations à l’ENISA, a signalé qu’il existait déjà une certaine rivalité entre les bureaux européens dédiés à la cybersécurité. Alors, est-il vraiment nécessaire de créer plusieurs centres ? La solution ne serait-elle pas de renforcer le personnel des bureaux existants ?
De plus, chaque pays de l’UE dispose de ses propres exigences nationales sur les produits qu’ils fabriquent et ou commercialisent. Avec la mise en place d’un label européen commun, Andrus Ansip souhaite faire disparaître ces différences et « les écarts d’interopérabilité » qui risqueraient selon lui de diviser le marché unique européen.
Avis de Laurent Brault, dirigeant de MDK Solutions
La création de ce label commun pour l’Europe ne doit pas exister en l’état. Deux risques majeurs pourraient ressortir. Ce programme de certification unique pour les pays de l’UE pourrait en effet être trop faible pour certains pays et ainsi réduire leur niveau de compétences, ou au contraire devenir trop puissant et concerner seulement les grosses structures. Les petites entreprises éprouveraient alors des difficultés pour être à la hauteur des exigences convenues.
Le projet d’un label commun doit être pensé de façon à permettre à un maximum de sociétés de cybersécurité d’atteindre les objectifs de certification. Les efforts que les entreprises doivent fournir pour y parvenir se doivent d’être compatibles avec leurs moyens. Ce programme de labellisation doit aussi être conçu pour continuer de faire évoluer vers le haut l’ensemble des sociétés concernées.