Bruxelles, le 23.6.2021

JOIN(2021) 14 final

2021/0166(NLE)

COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL EMPTY

Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique


COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL

Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique

I.La cyber-résilience, les capacités opérationnelles et l’ouverture sont plus essentielles que jamais

La cybersécurité est indispensable pour pouvoir déployer des technologies plus intelligentes et plus vertes dans le monde de l’après-pandémie. Elle est, de manière générale, indispensable à la sécurité de l’UE, et elle constitue un pilier de l’union de la sécurité. Le développement social, politique et économique nécessite une souveraineté technologique et un cyberespace mondial, ouvert et sûr, fondé sur l’état de droit et le respect des droits de l’homme et des libertés fondamentales. Tel était le fondement de la communication conjointe de la Commission et du haut représentant pour les affaires étrangères et la politique de sécurité sur la stratégie de cybersécurité de l’UE pour la décennie numérique, adoptée le 16 décembre 2020 1 . Toutes les entités critiques sont exposées à des cyberattaques. L’évolution de la situation au cours des six derniers mois a légitimé l'accent mis dans la stratégie sur le renforcement des réformes réglementaires, les investissements et la réponse opérationnelle collective.

Les récentes cyberattaques sont la preuve, notamment, de la prolifération des opérations de rançonnage et de cyberespionnage et du risque croissant que celles-ci représentent pour tous les secteurs de l’économie et pour l'ensemble de la société. L’ampleur des incidents est exceptionnelle: des centaines de milliers de serveurs touchés par les attaques contre Microsoft Exchange; 18 000 organisations potentiellement concernées par la campagne SolarWinds Orion; des données sensibles concernant des centaines de patients volées et des services médicaux perturbés lors de l’attaque au rançongiciel contre le service de santé irlandais; une crise dans l’approvisionnement en carburant et un vol massif de données lors de la cyberattaque contre le système de facturation de Colonial Pipeline; et la perturbation des activités du plus grand fournisseur de viande bovine au monde 2 . Même s'il est difficile de déterminer l’ampleur exacte des dommages, chaque incident met en évidence les graves conséquences que peut avoir l’exploitation malveillante de vulnérabilités dans les produits, services, systèmes et réseaux des technologies de l’information et de la communication. La gravité et la fréquence de ces cyberattaques risquent de s’intensifier et de nuire à notre sécurité.

Il est donc essentiel que l’Union européenne accélère les progrès sur tous les fronts, dans la législation, les capacités opérationnelles, les investissements et la diplomatie, comme le prévoit la stratégie. La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (ci-après la «directive SRI 2») 3 , la proposition de directive sur la résilience des entités critiques 4 , et les propositions de règlement et de directive sur la résilience opérationnelle numérique 5 devraient être adoptées dès que possible. Dans ce contexte, il est essentiel d’adopter une approche ambitieuse, notamment en ce qui concerne les chaînes d’approvisionnement, compte tenu de la manière dont les vulnérabilités mises en lumière par les cyberattaques récentes ont été retracées jusqu’aux éditeurs de logiciels, et de prendre des mesures garantissant la résilience des administrations publiques et la notification rapide des incidents. La nécessité de mettre en place un réseau de centres d'opérations de sécurité pour la détection précoce des signes de cyberattaques devient plus urgente que jamais, de même que la nécessité d’élaborer au niveau de l'UE une réponse crédible, efficace et collective aux incidents majeurs, y compris au niveau opérationnel, par l’intermédiaire de l’unité conjointe de cybersécurité 6 . Compte tenu de l’augmentation du nombre de cyberattaques menées par des acteurs étatiques ou soutenus par un État, il convient de continuer à promouvoir au sein des Nations unies un comportement responsable des États, ainsi qu'au moyen de dialogues sur le cyberespace et d’échanges structurés avec des organisations régionales, y compris l’Union africaine, le Forum régional de l’ASEAN, l’Organisation des États américains (OEA) et l’Organisation pour la sécurité et la coopération en Europe (OSCE), ainsi qu’à l’aide d’une action diplomatique efficace pour empêcher les comportements malveillants dans le cyberespace, les décourager, les prévenir et y faire face. La coopération avec les pays tiers partageant les mêmes valeurs et les priorités du programme transatlantique revêtiront une importance particulière; il convient notamment d'exploiter plus en profondeur la coopération entre l’UE et les États-Unis sur certains aspects de la cybersécurité, y compris sur le partage d’informations et la lutte contre les rançongiciels.

II.Aperçu des six premiers mois de mise en œuvre

Un certain nombre d’actions stratégiques sont déjà bien avancées.

II.1    Résilience, souveraineté technologique et leadership

Dans le monde entier, les chaînes d’approvisionnement et les infrastructures critiques, y compris les hôpitaux qui luttent contre la pandémie de COVID-19, courent désormais un risque constant de cyberattaques. La Commission soutient les colégislateurs en vue d'une adoption rapide de la proposition de réforme de la directive relative à la cybersécurité, qui élargira notamment la couverture du secteur de la santé en incluant les laboratoires de recherche et les installations de production d’appareils médicaux et de médicaments essentiels, et englobera de nouvelles activités du secteur de l’énergie telles que la production d’hydrogène, le chauffage urbain, la production d’électricité et le stockage central de pétrole.

Le règlement établissant le Centre de compétences en matière de cybersécurité et le Réseau de centres nationaux de coordination a été adopté le 20 mai 2021 7 . Il permettra de mettre en commun les ressources de l’UE, des États membres et de l'industrie afin d’améliorer et de renforcer les capacités technologiques et industrielles en matière de cybersécurité, en accroissant l’autonomie stratégique ouverte de l’UE et en offrant la possibilité de consolider une partie des activités liées à la cybersécurité financées au titre d’Horizon Europe, du programme pour une Europe numérique et du mécanisme pour la reprise et la résilience, avec des dispositifs de financement totalisant jusqu’à 4,5 milliards d’EUR au cours des six prochaines années 8 . Cette approche soutiendra la mise en place, d’ici à 2023, d’un cyberbouclier européen pour la détection précoce des cyberattaques, constitué d’un réseau de centres d'opérations de sécurité qui pourra être public ou privé et qui mobilisera des outils fondés sur l’intelligence artificielle. Plusieurs États membres ont inclus la mise en place de ces centres nationaux dans leurs plans respectifs pour la reprise et la résilience. La Commission complétera ces efforts en allouant des fonds au titre du programme pour une Europe numérique et soutiendra leur mise en réseau progressive. Les programmes financiers soutiendront également l’initiative EuroQCI visant à mettre en place une infrastructure de communication quantique sûre couvrant l’ensemble de l’UE 9 , y compris ses territoires d’outre-mer, à l'aide d'une combinaison optimale des technologies terrestres et spatiales, et alimenteront une ligne budgétaire spécifique pour financer la cyber-résilience dans le secteur de la santé.

Garantir la cybersécurité de la 5G est un processus continu qui accompagnera le déploiement progressif de la 5G et la mise en œuvre de la boîte à outils de l’UE pour la sécurité des réseaux 5G 10 . La plupart des États membres ont déjà, ou auront bientôt, mis en place des cadres imposant des restrictions appropriées aux fournisseurs de 5G. Les exigences applicables aux opérateurs de réseaux mobiles sont en voie de renforcement à la faveur de la transposition du code des communications électroniques, et l’Agence de l’UE pour la cybersécurité (ENISA) prépare actuellement un schéma européen de certification de cybersécurité candidat pour les réseaux 5G 11 . Au vu des nouvelles tendances et les évolutions de la chaîne d’approvisionnement de la 5G, les autorités des États membres ont décidé de lancer une analyse approfondie des incidences en matière de sécurité des solutions technologiques de réseau ouvertes, désagrégées et interopérables («RAN ouvert») dans le cadre de la boîte à outils de l’UE. Les résultats de ces travaux constitueront de nouvelles contributions à l’approche concertée de l’UE en matière de sécurité des réseaux 5G.

Des efforts supplémentaires sont nécessaires, notamment dans le cadre du plan d’action de l’UE en matière d’éducation numérique, pour remédier à la pénurie massive de compétences qui pourrait se traduire par près de deux millions de postes non pourvus dans le domaine de la cybersécurité dans le monde d’ici à 2022, dont 350 000 uniquement en Europe, et pour pallier la forte sous-représentation des femmes, celles-ci ne représentant que 11 % de la main-d’œuvre mondiale dans le domaine de la cybersécurité et une part encore plus faible en Europe (7 %) 12 . Parmi les autres initiatives politiques en cours figurent des travaux préparatoires à de futures initiatives pour la sécurité de l’internet des objets et, en ce qui concerne les normes de l’internet, le développement d’un service de résolution de noms de domaine à but non lucratif («DNS4EU»).

II.2    Renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction

Compte tenu de l’augmentation du nombre d’attaques menées par des États, soutenues par des États ou criminelles contre les réseaux et les systèmes d’information ainsi que de la dépendance croissante à l’égard des bases de données d’informations sensibles, l’UE doit pouvoir compter sur des cybercommunautés davantage interconnectées. Celles-ci doivent répondre de manière cohérente aux aspects civils, criminels, diplomatiques et de défense des cyberattaques à grande échelle qui ont récemment touché de nombreux secteurs économiques sensibles. Des efforts de toutes les communautés sont donc nécessaires pour mener à bien les quatre étapes décrites dans la recommandation de la Commission sur la création d'une unité conjointe de cybersécurité, adoptée en même temps que le présent rapport, en tant que mécanisme qui permettra d'étendre la coordination et de combler les lacunes dans la réponse de l’UE aux cybermenaces 13 . Dans le cadre de la lutte contre la cybercriminalité, un accord politique a été conclu sur le règlement temporaire contre les abus sexuels commis contre des enfants en ligne, qui sera prochainement adopté 14 , et la nouvelle stratégie de la Commission en matière de lutte contre la criminalité organisée 15 met l’accent sur la nécessité de doter les services répressifs des outils numériques dont ils ont besoin. En février 2020, la Commission a également adopté un plan d’action sur les synergies entre les industries civile, spatiale et de la défense, qui définit un nouveau projet phare pour la mise en place d’un système européen de connectivité sécurisée par satellite à l’échelle mondiale. Il vise à «[permettre] à tout un chacun en Europe d’avoir accès à une connectivité à haut débit et [à fournir] un système de connectivité résilient permettant à l’Europe de rester connectée quelle que soit la situation» 16 .

Sur le plan international, conformément à l’ambition fixée dans le cadre des orientations stratégiques («boussole stratégique») 17 , le haut représentant prépare actuellement le réexamen du cadre stratégique de cyberdéfense qui doit être présenté aux États membres au cours du second semestre de 2021. Le haut représentant travaille à l'amélioration de la capacité de l’UE à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, notamment en renforçant la coopération internationale. Le 17 mai 2021, le Service européen pour l’action extérieure (SEAE), en coopération avec la présidence portugaise et l’Institut d’études de sécurité de l’Union européenne (IESUE), a organisé une discussion fondée sur des scénarios avec les États membres de l’UE et les partenaires internationaux afin, d’une part, d’améliorer la compréhension mutuelle des approches diplomatiques respectives visant à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, et, d'autre part, de recenser les possibilités de renforcer davantage la coopération internationale à cet effet 18 . Afin de consolider davantage la boîte à outils cyberdiplomatique de l’UE, le SEAE recueille les enseignements tirés et pourrait revoir les lignes directrices du cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance.

Comme annoncé dans la stratégie de cybersécurité de l’UE pour la décennie numérique, la Commission lance une étude en vue de mettre au point des outils de sensibilisation visant à améliorer la préparation et la résilience des entreprises de l’UE face au vol de propriété intellectuelle facilité par les TIC 19 . La Commission a également intensifié les actions visant à faire respecter la directive 2013/40/UE relative aux attaques contre les systèmes d’information en lançant des procédures d’infraction supplémentaires à l’encontre de plusieurs États membres en juin 2021 20 . La Commission envisagera de nouvelles mesures si nécessaire. Il sera également essentiel d’améliorer la disponibilité des compétences en matière de cybersécurité au sein de la main-d’œuvre de l’UE; le Centre de compétences en matière de cybersécurité réalisera des actions clés à cet égard dans le but d’améliorer les connaissances et les capacités et d’encourager le développement de compétences interdisciplinaires dans le domaine de la cybersécurité.

II.3    Promouvoir un cyberespace ouvert et mondial

Le panorama de la menace se double de tensions géopolitiques pesant sur l’internet mondial et ouvert et sur le contrôle des technologies tout au long de la chaîne d’approvisionnement. Les restrictions imposées à l’internet et à son utilisation, la multiplication des actes de cybermalveillance et de ceux qui portent atteinte à la sécurité et à l’intégrité des produits et services liés aux technologies de l’information et de la communication menacent le cyberespace mondial et ouvert, ainsi que l’état de droit, les droits de l’homme, les libertés fondamentales et les valeurs démocratiques. Le haut représentant, en collaboration avec les États membres, travaille donc à promouvoir un comportement responsable des États dans le cyberespace, notamment par l'établissement d'un programme d’action visant à promouvoir au niveau des Nations unies un comportement responsable des États dans le cyberespace, conjointement avec les 53 autres parrains, sur la base de la recommandation figurant dans le rapport de consensus du 12 mars 2021 du groupe de travail à composition non limitée des Nations unies sur les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale 21 . L’UE œuvre à renforcer et à élargir ses relations avec les pays tiers, les organisations internationales et régionales ainsi que la communauté multipartite au moyen de dialogues sur le cyberespace, avec la création d’un réseau européen de cyberdiplomatie, comme le prévoit la stratégie. En outre, le comité européen pour le renforcement des cybercapacités 22 , qui est en cours de création, doit permettre aux institutions, organes et agences de l’UE de mieux coordonner les efforts en matière de cybercapacités externes de l’UE et de mieux coopérer en la matière.

Le 26 mai 2021, l’Assemblée générale des Nations unies a adopté les modalités de travail du comité intergouvernemental spécial institué par la résolution 74/247 sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles 23 . Les modalités telles qu’adoptées définitivement comprennent des éléments importants visant à garantir l'inclusivité des procédures décisionnelles et le renforcement de la participation de la société civile aux travaux du comité spécial. La première session de négociation du processus qui aboutira à une nouvelle convention des Nations unies se tiendra à New York en janvier 2022.

Lors de la réunion plénière du Comité des États Parties à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité du 28 mai 2021, les États Parties ont achevé les discussions et adopté un projet de texte du deuxième protocole additionnel à la convention 24 , qui devrait renforcer la coopération en matière de cybercriminalité et de preuves électroniques dans le cadre des enquêtes pénales. La Commission a participé aux discussions au nom de l’UE 25 . Ces éléments devraient servir de base à la conclusion formelle des négociations au cours du second semestre de 2021 et à l’ouverture ultérieure à la signature du deuxième protocole additionnel au début de l’année 2022.

En juin 2021, l’UE, avec ses partenaires, a réaffirmé sa détermination à collaborer pour faire face à la menace imminente et grandissante que représentent pour les citoyens et les entreprises les réseaux criminels opérant à l'aide de rançongiciels, pour favoriser une compréhension commune de la manière dont le droit international existant s’applique au cyberespace et pour promouvoir cette approche au sein des Nations unies et d’autres enceintes internationales, en invitant tous les États à repérer et à démanteler d’urgence les réseaux criminels opérant à l'aide de rançongiciels sur leur territoire, et à contraindre ces réseaux à répondre de leurs actes 26 .

II.4    La cybersécurité dans les institutions, organes et agences de l’UE

L’UE travaille actuellement au renforcement des normes en matière de cybersécurité et de sécurité de l’information au sein des institutions, organes et agences de l’UE. La Commission a lancé une consultation des parties prenantes et une évaluation comparative des politiques actuelles en vue d’adopter des propositions avant la fin de l’année 2021.

III.Contexte du rapport

La Commission et le haut représentant ont adopté la stratégie de cybersécurité de l’UE le 16 décembre 2020. Celle-ci définit des priorités et des actions clés pour renforcer la résilience, l’autonomie, le leadership et les capacités opérationnelles de l’Europe face aux menaces croissantes et complexes qui pèsent sur ses réseaux et ses systèmes d’information, et pour promouvoir un cyberespace ouvert et mondial, ainsi que ses partenariats internationaux y afférents. La Commission et le haut représentant se sont engagés à suivre l’avancement de la mise en œuvre de la stratégie.

Dans sa déclaration du 26 février 2021, le Conseil européen a invité la Commission et le haut représentant à rendre compte de la mise en œuvre de la stratégie d’ici juin 2021 27 . Dans ses conclusions adoptées le 9 mars 2021, le Conseil a salué cette stratégie, soulignant que la cybersécurité était essentielle à l'édification d’une Europe résiliente, verte et numérique et encourageant la Commission et le haut représentant à établir un plan de mise en œuvre détaillé fixant les priorités et le calendrier des actions prévues 28 . La stratégie est en cours d’examen par les commissions compétentes du Parlement européen, qui accordent une attention particulière au risque de fragmentation de la réglementation et à la possibilité de renforcer l’industrie européenne au fur et à mesure de sa numérisation 29 . Le 27 avril, le Comité économique et social européen a adopté un avis dans lequel il se félicitait que cette stratégie constitue une avancée positive vers la protection contre les cybermenaces mondiales et la préservation de la croissance économique 30 .

Le présent rapport répond à ces évolutions et, en particulier, à l’invitation du Conseil européen.

   

(1)

Communication conjointe au Parlement européen et au Conseil - La stratégie de cybersécurité de l’UE pour la décennie numérique, JOIN (2020) 18.

(2)

SolarWinds, une grande entreprise informatique américaine, a été la cible, en 2020, d’une cyberattaque qui a atteint ses clients sans être détectée pendant des mois, et qui a permis aux pirates informatiques d'accéder à des milliers d’entreprises et d'administrations publiques qui utilisaient son produit Orion, dont six institutions, organes et agences de l’UE. Depuis janvier 2021, plusieurs exploits du jour zéro affectant des systèmes de courrier électronique dans le monde entier ont été découverts dans le logiciel Microsoft Exchange Server. En mai, le service public de santé irlandais a fait l’objet d’une attaque qui a eu de lourdes répercussions sur la continuité du service. Le 7 mai, Colonial Pipeline, le plus grand exploitant américain d'oléoducs, a dû mettre à l'arrêt ses activités après avoir découvert une faille à la suite d’une cyberattaque qui a visé ses principaux systèmes informatiques et, en juin 2021, JBS USA Holdings Inc., succursale américaine du plus grand fournisseur de viande au monde en termes de ventes, a été attaquée par un rançongiciel qui a réussi à provoquer de graves interruptions dans les activités.

(3)

Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148, COM (2020) 823.

(4)

Proposition de directive relative à la résilience des entités critiques, COM (2020) 829.

(5)

Proposition de règlement sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM (2020) 595. Proposition de directive modifiant les directives 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341, COM(2020) 596.

(6)

[Recommandation de l'unité conjointe de cybersécurité].

(7)

Règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination.

(8)

Pour ce faire, le Centre de compétences en matière de cybersécurité se chargera notamment de statuer sur les fonds consacrés à la cybersécurité issus du programme pour une Europe numérique, du programme Horizon Europe et des États membres, et de les gérer.

(9)

  https://ec.europa.eu/digital-single-market/en/news/future-quantum-eu-countries-plan-ultra-secure-communication-network  

(10)

Rapport relatif aux effets de la recommandation de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G, SWD(2020) 357 final, 16 décembre 2020.

(11)

La préparation du schéma s'appuie sur le soutien du groupe de coopération SRI et est conforme à l’article 48 du règlement sur la cybersécurité; règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification des technologies de l’information et des communications en matière de cybersécurité et abrogeant le règlement (UE) nº 526/2013. https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-commission-requests-eu-cybersecurity-agency-develop-certification

(12)

  https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_fr  

(13)

[L’unité conjointe de cybersécurité permettrait de réagir de manière coordonnée aux incidents et crises de cybersécurité de grande ampleur et d'y faire face et contribuerait à mobiliser des ressources pour l'assistance. Elle ferait intervenir des experts de toutes les communautés de cybersécurité afin d’acquérir une connaissance partagée de la situation et de garantir le nécessaire état de préparation. Elle permettrait aussi de coordonner les mécanismes d’assistance à la demande d’un ou de plusieurs États membres.]

(14)

  https://www.europarl.europa.eu/news/fr/press-room/20210430IPR03213/provisional-agreement-on-temporary-rules-to-detect-and-remove-online-child-abuse  

(15)

Stratégie relative à la criminalité organisée (2021-2025), COM (2021) 170 du 14.4.2021.

(16)

COM(2021) 70 du 22.2.2021.

(17)

Conclusions du Conseil sur la sécurité et la défense du 17 juin 2020 (document 8910/20).

(18)

  https://eeas.europa.eu/headquarters/headquarters-homepage/99552/node/99552_fr  

(19)

 COM(2020) 760 du 25.11.2020.

(20)

Les États membres en question sont la Belgique, la Tchéquie, l’Estonie, le Luxembourg, l’Autriche, la Pologne et la Suède.

(21)

  https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf

(22)

  https://www.eucybernet.eu/

(23)

  https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html

(24)

https://rm.coe.int/0900001680a2aa42

(25)

Le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité comprend des mesures et des garanties visant à améliorer la coopération internationale entre les services répressifs et les autorités judiciaires, ainsi qu’entre les autorités et les prestataires de services d’autres pays. C’est la Commission qui participe aux négociations sur ce protocole au nom de l’UE; décision du Conseil de juin 2019 (réf. 9116/19).

(26)

Déclaration du sommet UE-États-Unis, 15 juin 2021: https://www.consilium.europa.eu/media/50443/eu-us-summit-joint-statement-15-june-final-final.pdf . Communiqué du sommet du G7 à Carbis Bay: Notre programme commun d’action mondiale pour reconstruire en mieux, 13 juin 2021: https://www.consilium.europa.eu/media/50361/carbis-bay-g7-summit-communique.pdf  

(27)

  https://www.consilium.europa.eu/media/48625/2526-02-21-euco-statement-en.pdf  

(28)

  https://www.consilium.europa.eu/fr/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/  

(29)

[2021/2568(RSP)].

(30)

  https://www.eesc.europa.eu/fr/our-work/opinions-information-reports/opinions/communication-sur-la-strategie-de-cybersecurite  


Bruxelles, le 23.6.2021

JOIN(2021) 14 final

ANNEXE

de la

COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL

Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique



Progrès accomplis dans la mise en œuvre des initiatives stratégiques

Référence

Initiative

COM/Haut représentant (HR)

Statut

(1)Résilience, souveraineté technologique et leadership

1.1

Adoption de la directive SRI révisée

COM

La position du Parlement devrait être finalisée vers la fin 2021. Rapport sur l’état d’avancement des négociations présenté par le Conseil en juin.

En complément, et pour tenir compte des règles spécifiques au secteur de l’énergie, un code de réseau sur la cybersécurité au titre du règlement (UE) 2019/943 sur l’électricité est en cours d’élaboration afin d’accroître la résilience du secteur de l’énergie et de mieux le protéger. En ce qui concerne le règlement et la directive sur la résilience opérationnelle numérique (DORA), la position du Parlement devrait être finalisée au cours du second semestre 2021. Une orientation générale sur la proposition devrait être définie par le Conseil en juin 2021.

1.2

Mesures réglementaires pour un internet des objets sécurisés

COM

Une étude et des consultations sur des règles détaillées sont en cours.

Les travaux progressent en vue de l'adoption d’un acte délégué relevant de la directive sur les équipements radioélectriques (directive 2014/53/UE) éventuellement en 2021; les règles applicables aux véhicules à moteur doivent être mises en œuvre pour tous les nouveaux types de véhicules à partir de juillet 2022.

La Commission travaille avec les parties prenantes sur le rôle de la certification en matière de cybersécurité pour les produits, processus et services dans différents secteurs.

1.3

Réaliser des investissements dans la cybersécurité (notamment au titre du programme pour une Europe numérique, d’Horizon Europe et de la facilité pour la reprise et la résilience), en particulier par l’intermédiaire du Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et, lorsqu'il aura été créé, du Réseau de centres de compétences, pour atteindre jusqu’à 4,5 milliards d’EUR d’investissements publics et privés sur la période 2021-2027

COM

De nouveaux programmes de travail pour les mécanismes financiers du programme Horizon Europe et du programme pour une Europe numérique seront bientôt adoptés et seront gérés par le nouveau Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le nouveau Réseau de centres de compétences.

1.4

Réseau européen de centres d'opérations de sécurité fondées sur l’IA (le «cyberbouclier» de l’UE) et infrastructure de communication quantique ultrasécurisée [EuroQCI]

COM

Les États membres ont été encouragés à développer leurs capacités opérationnelles nationales par l’intermédiaire de centres d'opérations de sécurité. Plusieurs États membres ont l’intention de recourir à la facilité pour la reprise et la résilience (FRR) pour promouvoir les centres d'opérations de sécurité, et des discussions sont en cours avec la Commission et d’autres institutions, organes et agences de l’UE, ainsi que des États membres, sur la manière de connecter ces centres à des capacités analytiques et d’hébergement informatique 1 .

Les États membres poursuivent leurs travaux pour approfondir l’initiative EuroQCI avec la Commission et l’Agence spatiale européenne. Le plan d’action EuroQCI doit encore être approuvé par les États membres. Les premiers appels du programme pour une Europe numérique visant à soutenir les réseaux nationaux d’infrastructure de communication quantique et le développement des technologies clés nécessaires à l’EuroQCI seront lancés prochainement.

En février 2020, la Commission a adopté un plan d’action sur les synergies entre les industries civile, spatiale et de la défense, qui définit un nouveau projet phare pour la mise en place d’un système européen de connectivité sécurisée par satellite à l’échelle mondiale. Plusieurs États membres ont inclus des initiatives en matière de connectivité sécurisée dans leurs plans FRR.

Les actions menées dans le cadre du volet numérique du mécanisme pour l’interconnexion en Europe (MIE2) contribueront à la construction de liaisons transfrontières entre les réseaux nationaux. Plusieurs États membres ont inclus l’EuroQCI dans leurs plans FRR.

1.5

Adoption généralisée des technologies de cybersécurité grâce à un soutien spécifique aux PME dans le cadre des pôles d’innovation numérique

COM

La Commission s’emploie à faire en sorte que les contenus et l’expertise en matière de cybersécurité soient fournis au moyen de l’initiative relative aux pôles européens d’innovation numérique, dans le cadre du programme pour une Europe numérique, et en liaison avec les centres nationaux de coordination en matière de cybersécurité. Les parties prenantes en matière de cybersécurité, y compris l’Organisation européenne pour la cybersécurité, élaborent actuellement un «catalogue de services» pour les pôles d’innovation axés sur la cybersécurité.

1.6

Mettre au point un service de résolution de noms de domaine de l’UE offrant une nouvelle solution sécurisée et ouverte pour l'accès à internet des citoyens, des entreprises et des administrations publiques de l’UE («DNS4EU»)

COM

Un financement pour le développement de l’initiative DNS4EU a été réservé dans le cadre du programme de travail 2021-2023 2 du volet numérique du mécanisme pour l’interconnexion en Europe (MIE2) et un appel à propositions pour ce projet est prévu en 2021.

En outre, pour ce qui est de la sécurité internet, la Commission mène des discussions avec les parties prenantes de l’internet et a l’intention de lancer une étude en vue d’élaborer un plan d’urgence, soutenu par un financement de l’UE, destiné à faire face à des scénarios extrêmes portant atteinte à l’intégrité et à la disponibilité du système mondial de serveurs racines du DNS.

Une étude sur le suivi de l’élaboration et du déploiement, d'une part, des normes clés de l’internet pour soutenir les politiques de l’UE et accélérer l’adoption de ces normes, telles que le protocole internet v6 (Ipv6) et, d'autre part, des normes et bonnes pratiques de sécurité internet bien établies en matière de DNS, de routage et de sécurité du courrier électronique (lancement prévu à l’automne 2021).

Un financement au titre du programme pour une Europe numérique est envisagé pour créer un observatoire de l’internet dans le cadre des activités du Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité.

1.7

Achever la mise en œuvre de la boîte à outils pour la sécurité des réseaux 5G

COM

Les États membres, soutenus par la Commission et l’Agence de l’Union européenne pour la cybersécurité (ENISA), ont continué à progresser dans la mise en œuvre de la boîte à outils pour la sécurité des réseaux 5G, en particulier en ce qui concerne les restrictions applicables aux fournisseurs à haut risque. Parmi les autres actions au niveau de l’UE figurent la préparation d’un schéma européen de certification candidat sur les réseaux 5G et le lancement, par le groupe de coopération SRI, d’une analyse des incidences du RAN ouvert sur la sécurité.

(2)Renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction

2.1

Achever le cadre européen de gestion des crises en matière de cybersécurité et définir le processus, les étapes et un calendrier pour la mise en place de l’unité conjointe de cybersécurité

COM + HR

Le 23 juin 2021, la Commission a adopté une recommandation sur la création de l’unité conjointe de cybersécurité, définissant les étapes, le processus et le calendrier et tenant compte des discussions avec les États membres.

2.2

Poursuivre la mise en œuvre du programme en matière de cybercriminalité dans le cadre de la stratégie pour l’union de la sécurité

COM

Les États membres, avec le soutien de la Commission, travaillent au recensement des bonnes pratiques en matière d’enregistrement, de production et de communication de statistiques sur les rapports, les poursuites et les condamnations concernant les infractions cybercriminelles définies dans la directive 2013/40/UE relative aux attaques contre les systèmes d’information.

La Commission suit les progrès accomplis à la suite des procédures d’infraction ouvertes concernant la transposition inadéquate de la directive 2013/40/UE par sept États membres. Des procédures supplémentaires pourront être ouvertes plus tard en 2021.

La Commission a lancé une étude sur l’usurpation d’identité, dont les résultats sont attendus pour décembre 2021 au plus tard.

La collecte de données sur les statistiques sur les infractions se poursuivra en 2021 conformément à l’article 14 de la directive 2013/40/UE.

2.3

Encourager et faciliter la mise en place d’un groupe de travail des États membres en matière de cyber-renseignement au sein du Centre de situation et de renseignement de l’UE (INTCEN)

HR

Le haut représentant continue d’encourager et de faciliter la mise en place d’un groupe de travail des États membres sur le cyber-renseignement afin de renforcer les capacités spécifiques de l’INTCEN dans ce domaine, sur la base de contributions volontaires des États membres en matière de renseignement et sans préjudice de leurs compétences. D’autres discussions sont prévues entre le Service européen pour l’action extérieure (SEAE) et les États membres.

2.4

Faire progresser la position de l’UE en matière de cyberdissuasion pour empêcher les actes de cybermalveillance, les décourager, les prévenir et y faire face

HR + COM

Le SEAE réexamine actuellement les lignes directrices du cadre pour une réponse diplomatique conjointe de l’UE aux actes de cybermalveillance afin de contribuer au développement de la boîte à outils cyberdiplomatique 3 . Une proposition sur la position de l’UE en matière de cyberdissuasion est en cours de préparation en vue d’être présentée au Conseil par le haut représentant, avec la participation de la Commission conformément à ses compétences, au début de l’année 2022.

Le 16 avril 2021, une déclaration a été publiée au nom de l’UE pour exprimer sa solidarité avec les États-Unis concernant l’impact des actes de cybermalveillance, et notamment de la cyberopération SolarWinds 4 .

Afin de continuer à faire progresser la coopération internationale, le SEAE, conjointement avec la présidence du Conseil et l’Institut d’études de sécurité de l’Union européenne, a organisé dans ses locaux, le 17 mai 2021, une discussion visant à améliorer la compréhension mutuelle des approches diplomatiques respectives visant à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face.

2.5

Réexaminer le cadre stratégique de cyberdéfense

HR + COM

La révision du cadre stratégique de cyberdéfense, en collaboration avec les États membres et les parties prenantes, a débuté en mai 2021.

2.6

Faciliter la définition de la «stratégie et [de la] vision militaires de l’UE sur le cyberespace en tant que domaine d’opérations» pour les missions et opérations militaires dans le cadre de la PSDC

HR

La stratégie et la vision militaires sur le cyberespace en tant que domaine d’opérations doivent servir de base aux stratégies nationales et soutenir ainsi l’harmonisation des efforts de l’UE en matière de cyberdéfense. Le deuxième atelier de l’UE sur le développement conceptuel de la cyberdéfense s’est tenu les 28 et 29 avril 2021, en vue d’une présentation devant le Comité militaire de l’UE en juin 2021.

2.7

Soutenir les synergies entre les industries civile, de la défense et de l’espace

COM

Un plan d’action visant à soutenir les synergies intersectorielles a été adopté en février 2021.

2.8

Renforcer la cybersécurité des infrastructures spatiales critiques dans le cadre du programme spatial

COM

Un programme de travail est en préparation.

(3)Promouvoir un cyberespace ouvert et mondial

3.1

Définir un ensemble d’objectifs pour les processus internationaux de normalisation et les promouvoir au niveau international

COM

Les travaux portant sur ces objectifs sont en cours.

3.2

Faire progresser la sécurité et la stabilité internationales dans le cyberespace, notamment grâce à la proposition de l’UE et de ses États membres relative à un programme d’action visant à promouvoir au sein des Nations unies un comportement responsable des États dans le cyberespace

HR

L’UE poursuit ses travaux en vue d’établir le programme d’action, en s’appuyant sur le rapport de consensus du 12 mars 2021 du groupe de travail à composition non limitée des Nations unies sur les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale.

3.3

Fournir des orientations pratiques sur l’application des droits de l’homme et des libertés fondamentales dans le cyberespace

HR + COM

En s’appuyant sur son plan d’action en faveur des droits de l’homme et de la démocratie 2020-2024 et sur ses orientations dans le domaine des droits de l’homme relatives à la liberté d’expression en ligne et hors ligne, l’UE continuera de promouvoir davantage de conformité avec le droit et les normes internationaux relatifs aux droits de l’homme; des réunions de coordination avec les parties prenantes concernées sont prévues au second semestre 2021.

3.4

Mieux protéger les enfants contre les abus sexuels et l’exploitation sexuelle, et stratégie sur les droits de l’enfant

COM

En mai 2021, le Parlement européen et le Conseil sont parvenus à un accord sur un règlement temporaire visant à faire en sorte que les fournisseurs de services de communications en ligne puissent continuer de mettre en œuvre leurs pratiques volontaires de détection et de signalement des abus sexuels commis contre des enfants en ligne et de suppression des contenus à caractère pédopornographique. La Commission élabore actuellement une proposition de cadre permanent.

3.5

Renforcer et promouvoir la convention de Budapest sur la cybercriminalité, en particulier au moyen des travaux sur le deuxième protocole additionnel à la convention de Budapest

COM + HR

La Commission participe, au nom de l’UE, aux négociations relatives au deuxième protocole additionnel, protocole qui pourrait être ouvert à la signature début 2022.

3.6

Élargir le dialogue de l’UE sur le cyberespace avec les pays tiers et les organisations régionales et internationales, notamment au moyen d’un réseau européen informel de cyberdiplomatie

HR + COM

L’UE examine actuellement comment renforcer et étendre la série actuelle de dialogues sur le cyberespace. Des dialogues sur le cyberespace ont actuellement lieu avec le Brésil, la Chine, l’Inde, le Japon, la Corée du Sud et les États-Unis. Un premier dialogue UE-Ukraine sur le cyberespace s’est tenu le 3 juin 2021. En outre, l’accord de commerce et de coopération avec le Royaume-Uni prévoit que les parties s’efforcent d'instaurer un dialogue sur les questions liées au cyberespace.

En collaboration avec les délégations de l’UE et avec les ambassades concernées des États membres dans le monde entier, des préparations sont en cours pour constituer un réseau européen informel de cyberdiplomatie afin de promouvoir la vision de l’UE en matière de cyberespace, d’échanger des informations et d’établir une coordination régulière au sujet de l’évolution du cyberespace. Le réseau de cyberdiplomatie devrait commencer ses travaux au cours du second semestre 2021.

3.7

Renforcer les échanges avec la communauté multipartite, notamment grâce à des échanges réguliers et structurés avec le secteur privé, le monde universitaire et la société civile

COM + HR

Les échanges réguliers et structurés avec les parties prenantes, y compris le secteur privé, le monde universitaire et la société civile, devraient être renforcés, également dans le cadre de la réflexion sur l’infrastructure des dialogues concernant les questions liées au cyberespace (voir point 3.6 ci-dessus).

3.8

Proposer un programme de renforcement des cybercapacités externes de l’UE et un comité européen pour le renforcement des cybercapacités

COM+ HR

Des discussions sur la création du comité européen pour le renforcement des cybercapacités sont en cours. Le comité a tenu sa première réunion de démarrage en avril 2021. Une fois créé, il élaborera le programme.

La cybersécurité dans les institutions, organes et organismes de l’UE

A.1

Règlement sur les règles en matière de sécurité de l’information communes à l'ensemble des institutions, organes et agences de l’UE

COM

La Commission consulte d’autres institutions, organes et agences ainsi que des experts des États membres en matière de sécurité nationale en vue de l’adoption d’une proposition au quatrième trimestre 2021.

A.2

Règlement sur les règles communes en matière de cybersécurité pour les institutions, organes et agences de l’UE

COM

La Commission, en collaboration avec les autres institutions, organes et agences, procède actuellement à une évaluation comparative des politiques en matière de cybersécurité et à une évaluation du panorama de la menace en vue de l’adoption d’une proposition au quatrième trimestre 2021.

A.3

Nouvelle base juridique pour le CERT-UE afin d'accroître sa stabilité et son financement

COM

La Commission, en collaboration avec les autres institutions, organes et agences, envisage de faire des nouvelles règles communes en matière de cybersécurité, qui sont susceptibles d’être proposées au titre du point A.2 ci-dessus, la base juridique qui permettrait de renforcer le CERT-UE afin de faire face à l’augmentation du nombre d’incidents majeurs.

(1)

Des discussions sont en cours avec le réseau des CSIRT, le réseau CyCLONe (réseau des organisations de liaison en matière de crises de cybersécurité) et le groupe de coopération SRI.

(2)

Le Parlement et le Conseil sont parvenus à un accord sur la proposition de mécanisme pour l’interconnexion en Europe (MIE2) le 12 mars 2021.

(3)

Décisions (PESC) 2020/1127, 2020/1537 et 2020/651 du Conseil dans le cadre du document 9916/17.

(4)

  https://www.consilium.europa.eu/fr/press/press-releases/2021/04/15/declaration-by-the-high-representative-on-behalf-of-the-european-union-expressing-solidarity-with-the-united-states-on-the-impact-of-the-solarwinds-cyber-operation/