La Commissaire européenne, Mariya Gabriel, ainsi que le Vice-Président de la Commission Andrus Ansip, ont salué le 8 juin 2018 l’accord politique du Conseil des Télécommunications en faveur du Cybersecurity Act. Ces deux hauts responsables politiques sont en charge de la mise en place du nouveau plan de lutte contre les cybermenaces avec l’objectif de développer un système de protection collectif et uniformisé dans l’ensemble des pays de l’Union Européenne. Ce projet annoncé lors du discours de l’État de l’Union en septembre 2017 avance à grands pas, grâce au suivi renforcé des autorités européennes.
La première étape de cette stratégie est d’ores et déjà rentrée en application au travers de la transposition de la directive NIS (Network and Information Security) dans le droit national des pays membres en date du 9 mai 2018. Ce texte comprend d’importantes avancées à l’instar de l’obligation de la mise en place d’une capacité de réponse aux menaces en ligne au travers de la création de CSIRTs (Computer Security Incident Response Team) nationaux et de leur intégration dans un réseau européen commun, ou encore la supervision au niveau national des risques de cybersécurité pour les opérateurs de services essentiels.
Parmi ses nouveaux objectifs, la Commission souhaite donner une place plus importante à l’ENISA (European Union Agency for Network and Information and Security) en redéfinissant son statut comme l’agence européenne consacrée à la cybersécurité. Elle disposerait d'un mandat permanent, valorisant d’autant plus son expertise, avec une lettre de mission élargie, afin de répondre directement aux besoins croissants des États membres. Dans le cadre de ses nouvelles prérogatives, elle aura pour responsabilité de développer un cadre de certification européen qui assurera aux différents acteurs que leurs produits et services répondent aux standards de sécurité applicables.
Cette stratégie comprendra également le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétence, accompagné d'un cadre légal mieux adapté aux problématiques de la cyber criminalité. Certaines de ces initiatives ont déjà été mises en place dans plusieurs pays, à l'image de la création du Cybersecurity Competence Center (C3) et du projet MISP au Luxembourg. La création d’un fonds d’intervention d’urgence européen pourra également être envisagé en fonction de l’évolution des structures, des outils précédemment cités et des besoins des parties prenantes.
Bien que cette problématique fasse déjà partie intégrante du plan Horizon2020, et plus particulièrement dans le cadre du Marché unique numérique (DSM), la place de la cybersécurité a grandement évolué au cours de ces dernières années, passant d’un sujet d’expert à une menace ressentie par l’ensemble de la société civile. C’est ce qui a donné naissance à différents programmes de sensibilisation à l’image du Mois européen de la cybersécurité (European Cyber Security Month).
Grâce à la définition de ce plan d’action, certains acteurs européens ont créé le cadre juridique et institutionnel pour développer un écosystème de la cybersécurité capable de soutenir et protéger le développement de l’économie numérique de l’Union Européenne.
François Thill, directeur de la cybersécurité au Ministère de l’économie du Luxembourg et représentant du Grand-Duché auprès de l’ENISA, a partagé son expertise concernant les enjeux de la cybersécurité en Europe.
« la cybersécurité n’est plus considérée comme un combat solitaire mais un travail collectif »
François Thill, Directeur de la cybersécurité au Ministère de l’économie et représentant du Grand-Duché auprès de l’ENISA
Quelles sont vos premières réactions face à l’avancée de cette stratégie de régulation de la cybersécurité européenne ?
Je dénote qu’il y a une nouvelle compréhension, la cybersécurité n’est plus considérée comme un combat solitaire mais un travail collectif, et que celle-ci est un facteur de développement économique, une position défendue par le Luxembourg depuis plusieurs années. Cette évolution de point de vue répond à la professionnalisation des menaces. Il est maintenant impossible de créer un système efficace de protection sans s’appuyer sur un réseau de partage de connaissances. L’attaque ILOVEYOU survenue au début des années 2000, qui a été l’une des premières attaques de grande envergure, a démontré la facilité à créer une menace pénalisant les acteurs institutionnels et l’impact direct de la cybersécurité sur l’économie réelle.
À la suite de cette menace, la décision a rapidement été prise en Europe de changer les aspects organisationnels, comportementaux et techniques de la cybersécurité. Le système CASES a été mis en place à ce moment, d’après l’inspiration d’un projet belge. Cependant le Luxembourg ne voulait pas s’arrêter aux virus, mais suivre l’ensemble des typologies d’attaque. Ensuite SECURITYMADEIN.LU a été créé en réponse aux besoins croissants du marché allant jusqu'à provoquer, en 2014, un changement de paradigme menant à la perception de la cybersécurité comme un relais de croissance économique à part entière.
De manière générale, quels sont selon vous les nouveaux défis de la cybersécurité ?
Aujourd’hui la cybersécurité subit un effet domino gigantesque émanant des liens de dépendance entre acteurs et pays du fait De l existence d’une société unique mondialisée. De plus, on ne peut plus croire que l’on peut acheter la sécurité. On peut comparer cette situation à notre comportement sur la route : la voiture est déjà sécurisée, mais le comportement du conducteur, des autres conducteurs ainsi que les infrastructures sont tout aussi importants. La solidité de ce système doit donc reposer sur un partage d’informations au plus grand nombre de personnes au travers d’outils tels que MONARC et MISP entre autres. La certification, quant à elle, permettra de reconnaître les acteurs compétents et les aider à se mettre en valeur sur le marché.
Notre démarche, au Luxembourg, est axée sur une gestion inclusive et participative de la cybersécurité. La taille du pays simplifie les prises de contact et les processus car les chemins entre les acteurs sont plus courts. Les décisions des ministres sont flexibles et peuvent s’adapter rapidement aux tendances de l’économie, il n’y a donc que très peu de force d’inertie du fait d’un système moins lourd que dans d’autres pays. Le Luxembourg ambitionne aujourd’hui de devenir une data driven économie. Pour atteindre cet objectif, il nous faudra investir dans la cybersécurité de manière intelligente, en invitant tous les acteurs publics et privés autour de la table, afin d’inventer ensemble un modèle de travail innovant.
Retrouvez l’entretien complet avec François Thill sur SECURITYMADEIN.LU.
Grégory Wawszyniak Dumont