Le Parlement et le Conseil européens sont parvenus le 6 mars dernier à un accord provisoire sur le Cyber Solidarity Act. Ce texte a notamment pour objectif d’instaurer un « bouclier de cybersécurité » européen, ce qui contribuera à renforcer les capacités de l’UE en matière de détection, de préparation et de réaction face aux menaces et incidents de cybersécurité, tout en améliorant la cyber-résilience des 27 États membres. Le budget consacré à cette initiative est estimé à un milliard d’euros.
Résilience et réactivité au programme de ce nouveau règlement
Le nouveau règlement donne à l'UE les moyens de rendre ses entreprises et infrastructures critiques plus résilientes et plus réactives face aux cybermenaces, tout en renforçant les mécanismes de coopération. Il vise principalement à :
- soutenir la détection des menaces et incidents de cybersécurité importants ou à grande échelle ainsi que la sensibilisation à cet égard
- consolider la préparation et à protéger les entités critiques et les services essentiels, tels que les hôpitaux, les services publics et les infrastructures énergétiques
- renforcer la solidarité au niveau de l'UE ainsi que la gestion concertée des crises et les capacités de réaction dans l'ensemble des États membres
- contribuer à garantir un environnement numérique sûr et sécurisé pour les citoyens et les entreprises
Six ou sept cyberpôles pour mieux partager les informations et détecter les cybermenaces
Afin de détecter rapidement et efficacement les cybermenaces majeures, le nouveau règlement dote l’Europe d’un « bouclier cyber », qui sera notamment composé d’un système d'alerte en matière de cybersécurité. Cette infrastructure paneuropéenne sera constituée de six ou sept cyberpôles nationaux et transfrontières présents sur l'ensemble du territoire de l’UE. Ces cyberhubs seront équipés de supercalculateurs et de systèmes d'intelligence artificielle. Ils fonctionneront sur un modèle équivalent à celui du système européen de positionnement par satellites Galileo.
Ces entités seront chargées de partager les informations dont elles disposent, de détecter les cybermenaces et d'y réagir. Elles renforceront le cadre européen existant, tandis que les autorités et les entités concernées seront en mesure, de leur côté, de réagir plus efficacement aux incidents majeurs.
Une cyber-réserve pour réagir en cas d’incident de grande envergure
Le nouveau règlement européen prévoit également la création d'un mécanisme d'urgence dans le domaine de la cybersécurité afin d'améliorer la préparation et les capacités de réaction aux cyberincidents dans l'UE. Ce mécanisme comprend :
- une « réserve de troupes » spécialisées en cybersécurité. Cette réserve sera alimentée par des « fournisseurs de confiance » prêts à intervenir, à la demande d'un État membre ou des institutions de l'UE, en cas d'incident de cybersécurité important.
- des mesures de préparation, qui consisteront notamment à soumettre certaines entités hautement critiques (soins de santé, transports, énergie, etc.) à des tests, afin de détecter des vulnérabilités potentielles.
Des schémas européens de certification à venir
Le Cyber Solidarity Act prévoit aussi l’adoption de schémas européens de certification pour les « services de sécurité gérés ». Ces services sont fournis aux entreprises et organisations par des sociétés spécialisées. Ils permettent de prévenir et détecter les incidents de cybersécurité, d’y réagir ou de rétablir la situation après crise. Ces schémas européens de certification contribueront à améliorer la qualité de ces services et à accroître leur comparabilité. Ils faciliteront l'émergence de fournisseurs de services de cybersécurité fiables et permettront d'éviter la fragmentation du marché intérieur.
À la suite des accords provisoires intervenus le 6 mars dernier, les textes doivent être approuvés par le Conseil et le Parlement européen en vue de leur adoption formelle.
Le sujet de la cybersécurité vous intéresse ? Envie d’y prendre part en vous lançant dans la Tech ? Découvrez nos offres de formation : Technicien Supérieur Systèmes et Réseaux (TSSR) en bootcamp, Administrateur d'Infrastructures Sécurisées ou Administrateur DevOps en alternance.