Cybersécurité : que penser du bouclier cyber commun proposé par l’UE ?

En quoi la création d’un bouclier cyber à l’échelle européenne est-elle une bonne nouvelle ?

Guillaume de Lavallade. On ne peut que se féliciter de constater que l’Union européenne continue de prendre la pleine mesure de la cybermenace sur nos territoires. Les annonces de Thierry Breton s’inscrivent en droite ligne d’un certain nombre de décisions qui ont eu pour effet de sécuriser chaque fois un peu plus le cyberespace européen. Je pense à la directive NIS (« Security of Network and Information Systems ») de 2016, qui avait pour objectif d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’information dans l’ensemble des États membres. Je pense aussi bien évidemment au RGPD, entré en vigueur en mai 2018, qui introduisait la notion de « Security by design » des systèmes et des produits connectés à Internet. Je pense enfin à la loi sur la cyber-résilience, proposée fin 2022 par la Commission européenne, qui vise à renforcer davantage la sécurité des produits matériels et logiciels. Tous ces règlements posent les bases d’un socle commun de normes et de bonnes pratiques européennes en matière de cybersécurité. Avec la proposition de créer une infrastructure européenne de centres d’opérations de sécurité (SOC), nous franchissons un nouveau cap : celui de l’active.

Olivier Dania. Il faut savoir que l’Europe connaît une progression constante des cyberattaques sur son territoire (+18% entre 2021 et 2022[1]). La France est quant à elle dans le top 5 mondial des pays les plus ciblés. Dans ce contexte, la création de six ou sept SOC européens est forcément une bonne nouvelle. Les États membres ont besoin de protéger leurs infrastructures critiques (aéroports, fournisseurs d’énergie, etc.) des menaces extérieures, d’autant que certaines d’entre elles n’ont pas toujours les moyens ni les compétences de se conformer aux règles de l’art de la cybersécurité. Les administrations publiques, hôpitaux, mairies, font notamment partie des structures les plus en retard en Europe ou en France d’ailleurs. Or celles-ci peuvent devenir de véritables portes d’entrée dans les réseaux de toutes les entreprises françaises ou européennes avec lesquelles elles sont connectées. C’est ce qu’on appelle des attaques de la chaîne logistique (ou « supply chain attack » en anglais) : les attaquants vont chercher à atteindre les fournisseurs d’une entreprise plutôt que de la cibler directement.

En quoi consistera concrètement le bouclier cyber ?

G. de L. Thierry Breton a pris l’image évocatrice du « dôme », lors de son intervention au Forum international de la cybersécurité (FIC). L’objectif est de surveiller en permanence l’ensemble des réseaux européens pour anticiper, détecter et répondre rapidement à tout incident de cybersécurité. Cette couverture territoriale sera assurée par des SOC, chacun opérant sur une zone géographique spécifique, certainement positionnés sur des nœuds Internet. Cependant il sera essentiel que ces centres coopèrent les uns avec les autres pour ne former qu’un seul et même « dôme » protecteur au-dessus de l’Europe. Lorsqu’un incident, par exemple un malware de type rançongiciel, apparaitra dans un État membre, l’ensemble des SOC devra être capable de communiquer la bonne information pour éviter tout risque de propagation.

O. D. Pour compléter, l’Europe prévoit de se doter également d’une force opérationnelle commune de gestion de crise, capable de porter assistance à n’importe quel État membre cyberattaqué. À l’image de ce qui se fait jusqu’à présent dans le domaine de la protection civile, en cas de catastrophe naturelle majeure. Tous les prestataires de sécurité certifiés formeront une sorte de « réserve » cyber qui pourra être mobilisée à tout moment sur le territoire européen, en renfort des forces étatiques.

Cette surveillance cyber renforcée peut-elle remettre en cause les avancées en matière de protection des données personnelles ?

O. D. Non, pas à ma connaissance. Depuis le début, l’Europe montre un intérêt fondamental pour la protection des données personnelles. Tous les règlements, c’est-à-dire NIS1, RGPD, DSA (Digital Services Act), DMA (Digital Markets Act), Cyberresilience Act, Cybersolidarity Act, ou encore NIS2 qui sera applicable en 2024, s’inscrivent dans cette vision duale de protection des organisations ET des citoyens européens. Certains règlements vont même très loin dans le niveau de protection des données personnelles, avec par exemple un retrait du marché européen de tout produit ou système qui ne répondrait pas aux critères de sécurité et de protection des données personnelles en vigueur.

Quelles compétences ou valeur ajoutée les acteurs français pourront-ils apporter dans ce projet européen ?

G. de L. La France a beaucoup travaillé sur des cadres réglementaires complémentaires au cadre européen. Bien entendu l’ensemble des pays européens ont leurs propres normes, mais celles de l’ANSSI ont souvent servi d’exemples, aussi bien en Europe qu’au niveau mondial. La France est d’ailleurs l’une des premières à avoir mis en place une Agence nationale de sécurité des systèmes d’information.

Nous avons aussi acquis de l’expérience en matière de coopération entre différentes structures de cybersécurité. Je pense notamment à celle des CERT (pour « Computer Emergency Response Team » ou Centre d’alerte et de réaction aux attaques informatiques, en français), spécialisées par grande verticale métier. Le CERT en charge du secteur industrie coopère avec celui des transports terrestres, qui lui-même transmet de l’information à celui de l’aviation, etc. En cybersécurité, la diffusion de la connaissance sur une nouvelle menace, et la manière d’y répondre, est clé pour circonscrire rapidement les incidents.

Quels seront les défis à relever pour les futurs SOC européens ?

O. D. Pour rebondir sur ce qu’il vient d’être dit, je pense que l’un des enjeux sera de faire en sorte que les informations remontées par les SOC européens redescendent vers les différents SOC nationaux : au niveau étatique, au niveau des Organismes d’importance vitale (OIV) et au niveau des Opérateurs de services essentiels (OSE).

G. de L. Tout à fait d’accord. Le second défi sera ensuite de savoir comment traduire cette information en niveaux de protection et en niveaux de réponses appropriées. Par exemple, on ne mettra pas en place les mêmes actions dans le cas d’une chaîne de boulangerie ou d’un acteur majeur du secteur de la grande distribution.

O. D. Pour compléter le propos, le projet de SOC européen va devoir s’inscrire dans des programmes d’investissements pour mettre à niveau les infrastructures les moins matures. Je prends l’exemple des hôpitaux publics en France : leurs infrastructures informatiques sont excessivement hétérogènes et vieillissantes. Le coût de leur mise aux normes est tel que peu d’établissements sont aujourd’hui capables de s’y atteler. Il y a vraiment une réflexion à mener sur la manière d’accompagner ces acteurs stratégiques. Je pense que le projet de SOC européen est une belle opportunité pour les États membres de prendre à bras le corps le sujet à leur niveau.

G. de L. Pour conclure, le plus important sera sans doute de tenir dans la longueur. Nous le voyons bien avec le conflit russo-ukrainien, il y a une sorte d’accoutumance qui s’est installée alors que rien n’est encore terminé. La cybersécurité doit sans cesse évoluer avec son temps. Ce sera impératif pour la réussite du projet européen de continuer à investir régulièrement dans les SOC dans les prochaines années.

Grâce à son SOC, certifié PDIS par l’ANSSI, le groupe Hub One grâce à sa filiale cybersécurité, SysDream est en mesure de vous proposer des services de surveillance d’incidents informatiques. N’attendez pas d’être attaqués ! Contactez-nous.

https://sysdream.com/dis-detection/

[1] Security Navigator 2023, Orange Cyberdéfense