Dans le cadre de son plan d´action pour un marché unique numérique, la Commission européenne a annoncé, le 5 juillet 2016, la mise en place d´une stratégie pour la cybersécurité. Une telle stratégie est indispensable à la prévention des incidents liés à la cybersécurité qui nuisent aux entreprises européennes et au rétablissement de la confiance dans l´économie numérique.
Ainsi, au cours de l´année 2016, au moins 80 % des entreprises européennes ont connu au minimum un incident lié à la cybersécurité, le nombre d´incidents de sécurité dans tous les secteurs confondus dans le monde ayant augmenté de 38 % en 2015.
Günther Oettinger, commissaire européen pour l’économie et la société numériques, a ajouté: «L’Europe a besoin de produits et de services de qualité, abordables et interopérables dans le domaine de la cybersécurité. C’est une opportunité majeure pour notre secteur de la cybersécurité d’être compétitifs sur un marché mondial en pleine expansion. Nous exhortons les États membres et tous les organismes de cybersécurité à renforcer leur coopération et à mettre en commun leurs connaissances, leurs informations et leur expertise afin d’améliorer la cyber-résilience de l’Europe. Le partenariat historique en matière de cybersécurité signé aujourd’hui constitue une étape cruciale.»
Le lancement d´un partenariat public-privé sur la cybersécurité
Le plan d´action présenté le 5 juillet 2016 comprend le lancement d´un partenariat public-privé européen sur la cybersécurité. L´Union européenne investira 450 millions d´euros dans ce partenariat dans le cadre de son programme pour la recherche et l´innovation Horizon 2020.
Ce partenariat regroupera également des membres d’administrations publiques nationales, régionales et locales, de centres de recherche et d’universités. L’objectif du partenariat est de stimuler la coopération à un stade précoce du processus de recherche et d’innovation et de forger des solutions de cybersécurité applicables à différents secteurs, tels que l’énergie, la santé, les transports et la finance.
L´harmonisation des référentiels, certifications et labels
Par ailleurs, la Commission présente différentes mesures pour remédier à la fragmentation du marché européen de la cybersécurité. Actuellement, une entreprise du secteur des technologies de l’information doit parfois se soumettre à différentes procédures de certification pour vendre ses produits et services dans plusieurs États membres. La Commission va donc se pencher sur la possibilité de mettre en place un cadre européen de certification pour les produits de sécurité des technologies de l’information et de la communication.
En ce sens, pendant la Cloud Week Paris 2016, le directeur général de l´ANSSI Guillaume Poupart et son homologue allemand Michael Hange, président du BSI (Bundesamt für Sicherheit in der Informationstechnik) ont appelé de leurs vœux au renforcement d’une vision européenne dépassant l’axe franco-allemand, accompagnant l’écosystème de la sécurité des données et des échanges. A ce titre, le BSI et l’ANSSI prévoient une coopération spécifique, dédiée à la création d’un label de confiance.
La règlementation européenne sur la cybersécurité
La directive sur la sécurité des réseaux et de l’information, qui a été adoptée par le Parlement européen le 6 juillet 2016, met en place un réseau d’équipes de réaction aux incidents touchant la sécurité informatique dans l’ensemble de l’UE afin de réagir rapidement aux cybermenaces et cyberincidents. Elle établit également un «groupe de coopération» entre États membres afin de favoriser et de faciliter une coopération stratégique ainsi que l’échange d’informations, et de renforcer la confiance.
De même, le Règlement européen « eIDAS » pour la confiance dans les transactions électroniques, adopté le 23 juillet 2014 par le Parlement européen et le Conseil, est entré en vigueur le 1er juillet 2016. Le Règlement s´impose à l’ensemble des Etats membres et prévoit un cadre de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance :
- pour l’identification électronique, le règlement prévoit que chaque Etat membre puisse notifier des schémas d’identification électronique à la Commission.
- pour les services de confiance, le règlement instaure un régime de qualification des prestataires de services de confiance. Cette qualification, décernée par un organe de contrôle et prenant en compte les résultats d’un audit de conformité effectué par un organisme accrédité, permet de vérifier que le prestataire de service de confiance respecte bien les exigences du règlement.
Le règlement eIDAS concerne principalement les organismes du secteur public mettant en œuvre des signatures électroniques sur leurs téléservices et les prestataires de services de confiance établis sur le territoire de l’Union qui seront soumis à ses exigences. En complément, le règlement impacte l’ensemble des citoyens et toute entreprise, qui, via le recours à l’un de ces services de confiance, pourra bénéficier des effets juridiques associés, ou qui, via l’utilisation d’un moyen d’identification électronique, sera en mesure de s’identifier de manière fiable auprès d’organismes établis dans l’ensemble de l’UE.
La Commission étudie également comment renforcer et rationaliser la coopération dans le domaine de la cybersécurité à travers les différents secteurs économiques, notamment dans la formation et l’enseignement en matière de cybersécurité.