COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL
Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique
I.La cyber-résilience, les capacités opérationnelles et l’ouverture sont plus essentielles que jamais
La cybersécurité est indispensable pour pouvoir déployer des technologies plus intelligentes et plus vertes dans le monde de l’après-pandémie. Elle est, de manière générale, indispensable à la sécurité de l’UE, et elle constitue un pilier de l’union de la sécurité. Le développement social, politique et économique nécessite une souveraineté technologique et un cyberespace mondial, ouvert et sûr, fondé sur l’état de droit et le respect des droits de l’homme et des libertés fondamentales. Tel était le fondement de la communication conjointe de la Commission et du haut représentant pour les affaires étrangères et la politique de sécurité sur la stratégie de cybersécurité de l’UE pour la décennie numérique, adoptée le 16 décembre 2020. Toutes les entités critiques sont exposées à des cyberattaques. L’évolution de la situation au cours des six derniers mois a légitimé l'accent mis dans la stratégie sur le renforcement des réformes réglementaires, les investissements et la réponse opérationnelle collective.
Les récentes cyberattaques sont la preuve, notamment, de la prolifération des opérations de rançonnage et de cyberespionnage et du risque croissant que celles-ci représentent pour tous les secteurs de l’économie et pour l'ensemble de la société. L’ampleur des incidents est exceptionnelle: des centaines de milliers de serveurs touchés par les attaques contre Microsoft Exchange; 18 000 organisations potentiellement concernées par la campagne SolarWinds Orion; des données sensibles concernant des centaines de patients volées et des services médicaux perturbés lors de l’attaque au rançongiciel contre le service de santé irlandais; une crise dans l’approvisionnement en carburant et un vol massif de données lors de la cyberattaque contre le système de facturation de Colonial Pipeline; et la perturbation des activités du plus grand fournisseur de viande bovine au monde. Même s'il est difficile de déterminer l’ampleur exacte des dommages, chaque incident met en évidence les graves conséquences que peut avoir l’exploitation malveillante de vulnérabilités dans les produits, services, systèmes et réseaux des technologies de l’information et de la communication. La gravité et la fréquence de ces cyberattaques risquent de s’intensifier et de nuire à notre sécurité.
Il est donc essentiel que l’Union européenne accélère les progrès sur tous les fronts, dans la législation, les capacités opérationnelles, les investissements et la diplomatie, comme le prévoit la stratégie. La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (ci-après la «directive SRI 2»), la proposition de directive sur la résilience des entités critiques, et les propositions de règlement et de directive sur la résilience opérationnelle numérique devraient être adoptées dès que possible. Dans ce contexte, il est essentiel d’adopter une approche ambitieuse, notamment en ce qui concerne les chaînes d’approvisionnement, compte tenu de la manière dont les vulnérabilités mises en lumière par les cyberattaques récentes ont été retracées jusqu’aux éditeurs de logiciels, et de prendre des mesures garantissant la résilience des administrations publiques et la notification rapide des incidents. La nécessité de mettre en place un réseau de centres d'opérations de sécurité pour la détection précoce des signes de cyberattaques devient plus urgente que jamais, de même que la nécessité d’élaborer au niveau de l'UE une réponse crédible, efficace et collective aux incidents majeurs, y compris au niveau opérationnel, par l’intermédiaire de l’unité conjointe de cybersécurité. Compte tenu de l’augmentation du nombre de cyberattaques menées par des acteurs étatiques ou soutenus par un État, il convient de continuer à promouvoir au sein des Nations unies un comportement responsable des États, ainsi qu'au moyen de dialogues sur le cyberespace et d’échanges structurés avec des organisations régionales, y compris l’Union africaine, le Forum régional de l’ASEAN, l’Organisation des États américains (OEA) et l’Organisation pour la sécurité et la coopération en Europe (OSCE), ainsi qu’à l’aide d’une action diplomatique efficace pour empêcher les comportements malveillants dans le cyberespace, les décourager, les prévenir et y faire face. La coopération avec les pays tiers partageant les mêmes valeurs et les priorités du programme transatlantique revêtiront une importance particulière; il convient notamment d'exploiter plus en profondeur la coopération entre l’UE et les États-Unis sur certains aspects de la cybersécurité, y compris sur le partage d’informations et la lutte contre les rançongiciels.
II.Aperçu des six premiers mois de mise en œuvre
Un certain nombre d’actions stratégiques sont déjà bien avancées.
II.1
Résilience, souveraineté technologique et leadership
Dans le monde entier, les chaînes d’approvisionnement et les infrastructures critiques, y compris les hôpitaux qui luttent contre la pandémie de COVID-19, courent désormais un risque constant de cyberattaques. La Commission soutient les colégislateurs en vue d'une adoption rapide de la proposition de réforme de la directive relative à la cybersécurité, qui élargira notamment la couverture du secteur de la santé en incluant les laboratoires de recherche et les installations de production d’appareils médicaux et de médicaments essentiels, et englobera de nouvelles activités du secteur de l’énergie telles que la production d’hydrogène, le chauffage urbain, la production d’électricité et le stockage central de pétrole.
Le règlement établissant le Centre de compétences en matière de cybersécurité et le Réseau de centres nationaux de coordination a été adopté le 20 mai 2021. Il permettra de mettre en commun les ressources de l’UE, des États membres et de l'industrie afin d’améliorer et de renforcer les capacités technologiques et industrielles en matière de cybersécurité, en accroissant l’autonomie stratégique ouverte de l’UE et en offrant la possibilité de consolider une partie des activités liées à la cybersécurité financées au titre d’Horizon Europe, du programme pour une Europe numérique et du mécanisme pour la reprise et la résilience, avec des dispositifs de financement totalisant jusqu’à 4,5 milliards d’EUR au cours des six prochaines années. Cette approche soutiendra la mise en place, d’ici à 2023, d’un cyberbouclier européen pour la détection précoce des cyberattaques, constitué d’un réseau de centres d'opérations de sécurité qui pourra être public ou privé et qui mobilisera des outils fondés sur l’intelligence artificielle. Plusieurs États membres ont inclus la mise en place de ces centres nationaux dans leurs plans respectifs pour la reprise et la résilience. La Commission complétera ces efforts en allouant des fonds au titre du programme pour une Europe numérique et soutiendra leur mise en réseau progressive. Les programmes financiers soutiendront également l’initiative EuroQCI visant à mettre en place une infrastructure de communication quantique sûre couvrant l’ensemble de l’UE, y compris ses territoires d’outre-mer, à l'aide d'une combinaison optimale des technologies terrestres et spatiales, et alimenteront une ligne budgétaire spécifique pour financer la cyber-résilience dans le secteur de la santé.
Garantir la cybersécurité de la 5G est un processus continu qui accompagnera le déploiement progressif de la 5G et la mise en œuvre de la boîte à outils de l’UE pour la sécurité des réseaux 5G. La plupart des États membres ont déjà, ou auront bientôt, mis en place des cadres imposant des restrictions appropriées aux fournisseurs de 5G. Les exigences applicables aux opérateurs de réseaux mobiles sont en voie de renforcement à la faveur de la transposition du code des communications électroniques, et l’Agence de l’UE pour la cybersécurité (ENISA) prépare actuellement un schéma européen de certification de cybersécurité candidat pour les réseaux 5G. Au vu des nouvelles tendances et les évolutions de la chaîne d’approvisionnement de la 5G, les autorités des États membres ont décidé de lancer une analyse approfondie des incidences en matière de sécurité des solutions technologiques de réseau ouvertes, désagrégées et interopérables («RAN ouvert») dans le cadre de la boîte à outils de l’UE. Les résultats de ces travaux constitueront de nouvelles contributions à l’approche concertée de l’UE en matière de sécurité des réseaux 5G.
Des efforts supplémentaires sont nécessaires, notamment dans le cadre du plan d’action de l’UE en matière d’éducation numérique, pour remédier à la pénurie massive de compétences qui pourrait se traduire par près de deux millions de postes non pourvus dans le domaine de la cybersécurité dans le monde d’ici à 2022, dont 350 000 uniquement en Europe, et pour pallier la forte sous-représentation des femmes, celles-ci ne représentant que 11 % de la main-d’œuvre mondiale dans le domaine de la cybersécurité et une part encore plus faible en Europe (7 %). Parmi les autres initiatives politiques en cours figurent des travaux préparatoires à de futures initiatives pour la sécurité de l’internet des objets et, en ce qui concerne les normes de l’internet, le développement d’un service de résolution de noms de domaine à but non lucratif («DNS4EU»).
II.2
Renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction
Compte tenu de l’augmentation du nombre d’attaques menées par des États, soutenues par des États ou criminelles contre les réseaux et les systèmes d’information ainsi que de la dépendance croissante à l’égard des bases de données d’informations sensibles, l’UE doit pouvoir compter sur des cybercommunautés davantage interconnectées. Celles-ci doivent répondre de manière cohérente aux aspects civils, criminels, diplomatiques et de défense des cyberattaques à grande échelle qui ont récemment touché de nombreux secteurs économiques sensibles. Des efforts de toutes les communautés sont donc nécessaires pour mener à bien les quatre étapes décrites dans la recommandation de la Commission sur la création d'une unité conjointe de cybersécurité, adoptée en même temps que le présent rapport, en tant que mécanisme qui permettra d'étendre la coordination et de combler les lacunes dans la réponse de l’UE aux cybermenaces. Dans le cadre de la lutte contre la cybercriminalité, un accord politique a été conclu sur le règlement temporaire contre les abus sexuels commis contre des enfants en ligne, qui sera prochainement adopté, et la nouvelle stratégie de la Commission en matière de lutte contre la criminalité organisée met l’accent sur la nécessité de doter les services répressifs des outils numériques dont ils ont besoin. En février 2020, la Commission a également adopté un plan d’action sur les synergies entre les industries civile, spatiale et de la défense, qui définit un nouveau projet phare pour la mise en place d’un système européen de connectivité sécurisée par satellite à l’échelle mondiale. Il vise à «[permettre] à tout un chacun en Europe d’avoir accès à une connectivité à haut débit et [à fournir] un système de connectivité résilient permettant à l’Europe de rester connectée quelle que soit la situation».
Sur le plan international, conformément à l’ambition fixée dans le cadre des orientations stratégiques («boussole stratégique»), le haut représentant prépare actuellement le réexamen du cadre stratégique de cyberdéfense qui doit être présenté aux États membres au cours du second semestre de 2021. Le haut représentant travaille à l'amélioration de la capacité de l’UE à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, notamment en renforçant la coopération internationale. Le 17 mai 2021, le Service européen pour l’action extérieure (SEAE), en coopération avec la présidence portugaise et l’Institut d’études de sécurité de l’Union européenne (IESUE), a organisé une discussion fondée sur des scénarios avec les États membres de l’UE et les partenaires internationaux afin, d’une part, d’améliorer la compréhension mutuelle des approches diplomatiques respectives visant à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, et, d'autre part, de recenser les possibilités de renforcer davantage la coopération internationale à cet effet. Afin de consolider davantage la boîte à outils cyberdiplomatique de l’UE, le SEAE recueille les enseignements tirés et pourrait revoir les lignes directrices du cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance.
Comme annoncé dans la stratégie de cybersécurité de l’UE pour la décennie numérique, la Commission lance une étude en vue de mettre au point des outils de sensibilisation visant à améliorer la préparation et la résilience des entreprises de l’UE face au vol de propriété intellectuelle facilité par les TIC. La Commission a également intensifié les actions visant à faire respecter la directive 2013/40/UE relative aux attaques contre les systèmes d’information en lançant des procédures d’infraction supplémentaires à l’encontre de plusieurs États membres en juin 2021. La Commission envisagera de nouvelles mesures si nécessaire. Il sera également essentiel d’améliorer la disponibilité des compétences en matière de cybersécurité au sein de la main-d’œuvre de l’UE; le Centre de compétences en matière de cybersécurité réalisera des actions clés à cet égard dans le but d’améliorer les connaissances et les capacités et d’encourager le développement de compétences interdisciplinaires dans le domaine de la cybersécurité.
II.3
Promouvoir un cyberespace ouvert et mondial
Le panorama de la menace se double de tensions géopolitiques pesant sur l’internet mondial et ouvert et sur le contrôle des technologies tout au long de la chaîne d’approvisionnement. Les restrictions imposées à l’internet et à son utilisation, la multiplication des actes de cybermalveillance et de ceux qui portent atteinte à la sécurité et à l’intégrité des produits et services liés aux technologies de l’information et de la communication menacent le cyberespace mondial et ouvert, ainsi que l’état de droit, les droits de l’homme, les libertés fondamentales et les valeurs démocratiques. Le haut représentant, en collaboration avec les États membres, travaille donc à promouvoir un comportement responsable des États dans le cyberespace, notamment par l'établissement d'un programme d’action visant à promouvoir au niveau des Nations unies un comportement responsable des États dans le cyberespace, conjointement avec les 53 autres parrains, sur la base de la recommandation figurant dans le rapport de consensus du 12 mars 2021 du groupe de travail à composition non limitée des Nations unies sur les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale. L’UE œuvre à renforcer et à élargir ses relations avec les pays tiers, les organisations internationales et régionales ainsi que la communauté multipartite au moyen de dialogues sur le cyberespace, avec la création d’un réseau européen de cyberdiplomatie, comme le prévoit la stratégie. En outre, le comité européen pour le renforcement des cybercapacités, qui est en cours de création, doit permettre aux institutions, organes et agences de l’UE de mieux coordonner les efforts en matière de cybercapacités externes de l’UE et de mieux coopérer en la matière.
Le 26 mai 2021, l’Assemblée générale des Nations unies a adopté les modalités de travail du comité intergouvernemental spécial institué par la résolution 74/247 sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles
. Les modalités telles qu’adoptées définitivement comprennent des éléments importants visant à garantir l'inclusivité des procédures décisionnelles et le renforcement de la participation de la société civile aux travaux du comité spécial. La première session de négociation du processus qui aboutira à une nouvelle convention des Nations unies se tiendra à New York en janvier 2022.
Lors de la réunion plénière du Comité des États Parties à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité du 28 mai 2021, les États Parties ont achevé les discussions et adopté un projet de texte du deuxième protocole additionnel à la convention, qui devrait renforcer la coopération en matière de cybercriminalité et de preuves électroniques dans le cadre des enquêtes pénales. La Commission a participé aux discussions au nom de l’UE. Ces éléments devraient servir de base à la conclusion formelle des négociations au cours du second semestre de 2021 et à l’ouverture ultérieure à la signature du deuxième protocole additionnel au début de l’année 2022.
En juin 2021, l’UE, avec ses partenaires, a réaffirmé sa détermination à collaborer pour faire face à la menace imminente et grandissante que représentent pour les citoyens et les entreprises les réseaux criminels opérant à l'aide de rançongiciels, pour favoriser une compréhension commune de la manière dont le droit international existant s’applique au cyberespace et pour promouvoir cette approche au sein des Nations unies et d’autres enceintes internationales, en invitant tous les États à repérer et à démanteler d’urgence les réseaux criminels opérant à l'aide de rançongiciels sur leur territoire, et à contraindre ces réseaux à répondre de leurs actes.
II.4
La cybersécurité dans les institutions, organes et agences de l’UE
L’UE travaille actuellement au renforcement des normes en matière de cybersécurité et de sécurité de l’information au sein des institutions, organes et agences de l’UE. La Commission a lancé une consultation des parties prenantes et une évaluation comparative des politiques actuelles en vue d’adopter des propositions avant la fin de l’année 2021.
III.Contexte du rapport
La Commission et le haut représentant ont adopté la stratégie de cybersécurité de l’UE le 16 décembre 2020. Celle-ci définit des priorités et des actions clés pour renforcer la résilience, l’autonomie, le leadership et les capacités opérationnelles de l’Europe face aux menaces croissantes et complexes qui pèsent sur ses réseaux et ses systèmes d’information, et pour promouvoir un cyberespace ouvert et mondial, ainsi que ses partenariats internationaux y afférents. La Commission et le haut représentant se sont engagés à suivre l’avancement de la mise en œuvre de la stratégie.
Dans sa déclaration du 26 février 2021, le Conseil européen a invité la Commission et le haut représentant à rendre compte de la mise en œuvre de la stratégie d’ici juin 2021. Dans ses conclusions adoptées le 9 mars 2021, le Conseil a salué cette stratégie, soulignant que la cybersécurité était essentielle à l'édification d’une Europe résiliente, verte et numérique et encourageant la Commission et le haut représentant à établir un plan de mise en œuvre détaillé fixant les priorités et le calendrier des actions prévues. La stratégie est en cours d’examen par les commissions compétentes du Parlement européen, qui accordent une attention particulière au risque de fragmentation de la réglementation et à la possibilité de renforcer l’industrie européenne au fur et à mesure de sa numérisation. Le 27 avril, le Comité économique et social européen a adopté un avis dans lequel il se félicitait que cette stratégie constitue une avancée positive vers la protection contre les cybermenaces mondiales et la préservation de la croissance économique.
Le présent rapport répond à ces évolutions et, en particulier, à l’invitation du Conseil européen.