COMMISSION EUROPÉENNE
Bruxelles, le 6.8.2021
JOIN(2021) 14 final/2
CORRIGENDUM
This document corrects document JOIN(2021) 14 final of 23.6.2021
Concerns all language versions.
Removal of the institutional reference 2021/0166 (NLE).
The text shall read as follows:
COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL EMPTY
Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique
COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL
Rapport sur la mise en œuvre de la stratégie de cybersécurité de l’UE pour la décennie numérique
I.La cyber-résilience, les capacités opérationnelles et l’ouverture sont plus essentielles que jamais
La cybersécurité est indispensable pour pouvoir déployer des technologies plus intelligentes et plus vertes dans le monde de l’après-pandémie. Elle est, de manière générale, indispensable à la sécurité de l’UE, et elle constitue un pilier de l’union de la sécurité. Le développement social, politique et économique nécessite une souveraineté technologique et un cyberespace mondial, ouvert et sûr, fondé sur l’état de droit et le respect des droits de l’homme et des libertés fondamentales. Tel était le fondement de la communication conjointe de la Commission et du haut représentant pour les affaires étrangères et la politique de sécurité sur la stratégie de cybersécurité de l’UE pour la décennie numérique, adoptée le 16 décembre 2020 1 . Toutes les entités critiques sont exposées à des cyberattaques. L’évolution de la situation au cours des six derniers mois a légitimé l'accent mis dans la stratégie sur le renforcement des réformes réglementaires, les investissements et la réponse opérationnelle collective.
Les récentes cyberattaques sont la preuve, notamment, de la prolifération des opérations de rançonnage et de cyberespionnage et du risque croissant que celles-ci représentent pour tous les secteurs de l’économie et pour l'ensemble de la société. L’ampleur des incidents est exceptionnelle: des centaines de milliers de serveurs touchés par les attaques contre Microsoft Exchange; 18 000 organisations potentiellement concernées par la campagne SolarWinds Orion; des données sensibles concernant des centaines de patients volées et des services médicaux perturbés lors de l’attaque au rançongiciel contre le service de santé irlandais; une crise dans l’approvisionnement en carburant et un vol massif de données lors de la cyberattaque contre le système de facturation de Colonial Pipeline; et la perturbation des activités du plus grand fournisseur de viande bovine au monde 2 . Même s'il est difficile de déterminer l’ampleur exacte des dommages, chaque incident met en évidence les graves conséquences que peut avoir l’exploitation malveillante de vulnérabilités dans les produits, services, systèmes et réseaux des technologies de l’information et de la communication. La gravité et la fréquence de ces cyberattaques risquent de s’intensifier et de nuire à notre sécurité.
Il est donc essentiel que l’Union européenne accélère les progrès sur tous les fronts, dans la législation, les capacités opérationnelles, les investissements et la diplomatie, comme le prévoit la stratégie. La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (ci-après la «directive SRI 2») 3 , la proposition de directive sur la résilience des entités critiques 4 , et les propositions de règlement et de directive sur la résilience opérationnelle numérique 5 devraient être adoptées dès que possible. Dans ce contexte, il est essentiel d’adopter une approche ambitieuse, notamment en ce qui concerne les chaînes d’approvisionnement, compte tenu de la manière dont les vulnérabilités mises en lumière par les cyberattaques récentes ont été retracées jusqu’aux éditeurs de logiciels, et de prendre des mesures garantissant la résilience des administrations publiques et la notification rapide des incidents. La nécessité de mettre en place un réseau de centres d'opérations de sécurité pour la détection précoce des signes de cyberattaques devient plus urgente que jamais, de même que la nécessité d’élaborer au niveau de l'UE une réponse crédible, efficace et collective aux incidents majeurs, y compris au niveau opérationnel, par l’intermédiaire de l’unité conjointe de cybersécurité 6 . Compte tenu de l’augmentation du nombre de cyberattaques menées par des acteurs étatiques ou soutenus par un État, il convient de continuer à promouvoir au sein des Nations unies un comportement responsable des États, ainsi qu'au moyen de dialogues sur le cyberespace et d’échanges structurés avec des organisations régionales, y compris l’Union africaine, le Forum régional de l’ASEAN, l’Organisation des États américains (OEA) et l’Organisation pour la sécurité et la coopération en Europe (OSCE), ainsi qu’à l’aide d’une action diplomatique efficace pour empêcher les comportements malveillants dans le cyberespace, les décourager, les prévenir et y faire face. La coopération avec les pays tiers partageant les mêmes valeurs et les priorités du programme transatlantique revêtiront une importance particulière; il convient notamment d'exploiter plus en profondeur la coopération entre l’UE et les États-Unis sur certains aspects de la cybersécurité, y compris sur le partage d’informations et la lutte contre les rançongiciels.
II.Aperçu des six premiers mois de mise en œuvre
Un certain nombre d’actions stratégiques sont déjà bien avancées.
II.1 Résilience, souveraineté technologique et leadership
Dans le monde entier, les chaînes d’approvisionnement et les infrastructures critiques, y compris les hôpitaux qui luttent contre la pandémie de COVID-19, courent désormais un risque constant de cyberattaques. La Commission soutient les colégislateurs en vue d'une adoption rapide de la proposition de réforme de la directive relative à la cybersécurité, qui élargira notamment la couverture du secteur de la santé en incluant les laboratoires de recherche et les installations de production d’appareils médicaux et de médicaments essentiels, et englobera de nouvelles activités du secteur de l’énergie telles que la production d’hydrogène, le chauffage urbain, la production d’électricité et le stockage central de pétrole.
Le règlement établissant le Centre de compétences en matière de cybersécurité et le Réseau de centres nationaux de coordination a été adopté le 20 mai 2021 7 . Il permettra de mettre en commun les ressources de l’UE, des États membres et de l'industrie afin d’améliorer et de renforcer les capacités technologiques et industrielles en matière de cybersécurité, en accroissant l’autonomie stratégique ouverte de l’UE et en offrant la possibilité de consolider une partie des activités liées à la cybersécurité financées au titre d’Horizon Europe, du programme pour une Europe numérique et du mécanisme pour la reprise et la résilience, avec des dispositifs de financement totalisant jusqu’à 4,5 milliards d’EUR au cours des six prochaines années 8 . Cette approche soutiendra la mise en place, d’ici à 2023, d’un cyberbouclier européen pour la détection précoce des cyberattaques, constitué d’un réseau de centres d'opérations de sécurité qui pourra être public ou privé et qui mobilisera des outils fondés sur l’intelligence artificielle. Plusieurs États membres ont inclus la mise en place de ces centres nationaux dans leurs plans respectifs pour la reprise et la résilience. La Commission complétera ces efforts en allouant des fonds au titre du programme pour une Europe numérique et soutiendra leur mise en réseau progressive. Les programmes financiers soutiendront également l’initiative EuroQCI visant à mettre en place une infrastructure de communication quantique sûre couvrant l’ensemble de l’UE 9 , y compris ses territoires d’outre-mer, à l'aide d'une combinaison optimale des technologies terrestres et spatiales, et alimenteront une ligne budgétaire spécifique pour financer la cyber-résilience dans le secteur de la santé.
Garantir la cybersécurité de la 5G est un processus continu qui accompagnera le déploiement progressif de la 5G et la mise en œuvre de la boîte à outils de l’UE pour la sécurité des réseaux 5G 10 . La plupart des États membres ont déjà, ou auront bientôt, mis en place des cadres imposant des restrictions appropriées aux fournisseurs de 5G. Les exigences applicables aux opérateurs de réseaux mobiles sont en voie de renforcement à la faveur de la transposition du code des communications électroniques, et l’Agence de l’UE pour la cybersécurité (ENISA) prépare actuellement un schéma européen de certification de cybersécurité candidat pour les réseaux 5G 11 . Au vu des nouvelles tendances et les évolutions de la chaîne d’approvisionnement de la 5G, les autorités des États membres ont décidé de lancer une analyse approfondie des incidences en matière de sécurité des solutions technologiques de réseau ouvertes, désagrégées et interopérables («RAN ouvert») dans le cadre de la boîte à outils de l’UE. Les résultats de ces travaux constitueront de nouvelles contributions à l’approche concertée de l’UE en matière de sécurité des réseaux 5G.
Des efforts supplémentaires sont nécessaires, notamment dans le cadre du plan d’action de l’UE en matière d’éducation numérique, pour remédier à la pénurie massive de compétences qui pourrait se traduire par près de deux millions de postes non pourvus dans le domaine de la cybersécurité dans le monde d’ici à 2022, dont 350 000 uniquement en Europe, et pour pallier la forte sous-représentation des femmes, celles-ci ne représentant que 11 % de la main-d’œuvre mondiale dans le domaine de la cybersécurité et une part encore plus faible en Europe (7 %) 12 . Parmi les autres initiatives politiques en cours figurent des travaux préparatoires à de futures initiatives pour la sécurité de l’internet des objets et, en ce qui concerne les normes de l’internet, le développement d’un service de résolution de noms de domaine à but non lucratif («DNS4EU»).
II.2 Renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction
Compte tenu de l’augmentation du nombre d’attaques menées par des États, soutenues par des États ou criminelles contre les réseaux et les systèmes d’information ainsi que de la dépendance croissante à l’égard des bases de données d’informations sensibles, l’UE doit pouvoir compter sur des cybercommunautés davantage interconnectées. Celles-ci doivent répondre de manière cohérente aux aspects civils, criminels, diplomatiques et de défense des cyberattaques à grande échelle qui ont récemment touché de nombreux secteurs économiques sensibles. Des efforts de toutes les communautés sont donc nécessaires pour mener à bien les quatre étapes décrites dans la recommandation de la Commission sur la création d'une unité conjointe de cybersécurité, adoptée en même temps que le présent rapport, en tant que mécanisme qui permettra d'étendre la coordination et de combler les lacunes dans la réponse de l’UE aux cybermenaces 13 . Dans le cadre de la lutte contre la cybercriminalité, un accord politique a été conclu sur le règlement temporaire contre les abus sexuels commis contre des enfants en ligne, qui sera prochainement adopté 14 , et la nouvelle stratégie de la Commission en matière de lutte contre la criminalité organisée 15 met l’accent sur la nécessité de doter les services répressifs des outils numériques dont ils ont besoin. En février 2020, la Commission a également adopté un plan d’action sur les synergies entre les industries civile, spatiale et de la défense, qui définit un nouveau projet phare pour la mise en place d’un système européen de connectivité sécurisée par satellite à l’échelle mondiale. Il vise à «[permettre] à tout un chacun en Europe d’avoir accès à une connectivité à haut débit et [à fournir] un système de connectivité résilient permettant à l’Europe de rester connectée quelle que soit la situation» 16 .
Sur le plan international, conformément à l’ambition fixée dans le cadre des orientations stratégiques («boussole stratégique») 17 , le haut représentant prépare actuellement le réexamen du cadre stratégique de cyberdéfense qui doit être présenté aux États membres au cours du second semestre de 2021. Le haut représentant travaille à l'amélioration de la capacité de l’UE à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, notamment en renforçant la coopération internationale. Le 17 mai 2021, le Service européen pour l’action extérieure (SEAE), en coopération avec la présidence portugaise et l’Institut d’études de sécurité de l’Union européenne (IESUE), a organisé une discussion fondée sur des scénarios avec les États membres de l’UE et les partenaires internationaux afin, d’une part, d’améliorer la compréhension mutuelle des approches diplomatiques respectives visant à empêcher les actes de cybermalveillance, à les décourager, à les prévenir et à y faire face, et, d'autre part, de recenser les possibilités de renforcer davantage la coopération internationale à cet effet 18 . Afin de consolider davantage la boîte à outils cyberdiplomatique de l’UE, le SEAE recueille les enseignements tirés et pourrait revoir les lignes directrices du cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance.
Comme annoncé dans la stratégie de cybersécurité de l’UE pour la décennie numérique, la Commission lance une étude en vue de mettre au point des outils de sensibilisation visant à améliorer la préparation et la résilience des entreprises de l’UE face au vol de propriété intellectuelle facilité par les TIC 19 . La Commission a également intensifié les actions visant à faire respecter la directive 2013/40/UE relative aux attaques contre les systèmes d’information en lançant des procédures d’infraction supplémentaires à l’encontre de plusieurs États membres en juin 2021 20 . La Commission envisagera de nouvelles mesures si nécessaire. Il sera également essentiel d’améliorer la disponibilité des compétences en matière de cybersécurité au sein de la main-d’œuvre de l’UE; le Centre de compétences en matière de cybersécurité réalisera des actions clés à cet égard dans le but d’améliorer les connaissances et les capacités et d’encourager le développement de compétences interdisciplinaires dans le domaine de la cybersécurité.
II.3 Promouvoir un cyberespace ouvert et mondial
Le panorama de la menace se double de tensions géopolitiques pesant sur l’internet mondial et ouvert et sur le contrôle des technologies tout au long de la chaîne d’approvisionnement. Les restrictions imposées à l’internet et à son utilisation, la multiplication des actes de cybermalveillance et de ceux qui portent atteinte à la sécurité et à l’intégrité des produits et services liés aux technologies de l’information et de la communication menacent le cyberespace mondial et ouvert, ainsi que l’état de droit, les droits de l’homme, les libertés fondamentales et les valeurs démocratiques. Le haut représentant, en collaboration avec les États membres, travaille donc à promouvoir un comportement responsable des États dans le cyberespace, notamment par l'établissement d'un programme d’action visant à promouvoir au niveau des Nations unies un comportement responsable des États dans le cyberespace, conjointement avec les 53 autres parrains, sur la base de la recommandation figurant dans le rapport de consensus du 12 mars 2021 du groupe de travail à composition non limitée des Nations unies sur les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale 21 . L’UE œuvre à renforcer et à élargir ses relations avec les pays tiers, les organisations internationales et régionales ainsi que la communauté multipartite au moyen de dialogues sur le cyberespace, avec la création d’un réseau européen de cyberdiplomatie, comme le prévoit la stratégie. En outre, le comité européen pour le renforcement des cybercapacités 22 , qui est en cours de création, doit permettre aux institutions, organes et agences de l’UE de mieux coordonner les efforts en matière de cybercapacités externes de l’UE et de mieux coopérer en la matière.
Le 26 mai 2021, l’Assemblée générale des Nations unies a adopté les modalités de travail du comité intergouvernemental spécial institué par la résolution 74/247 sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles 23 . Les modalités telles qu’adoptées définitivement comprennent des éléments importants visant à garantir l'inclusivité des procédures décisionnelles et le renforcement de la participation de la société civile aux travaux du comité spécial. La première session de négociation du processus qui aboutira à une nouvelle convention des Nations unies se tiendra à New York en janvier 2022.
Lors de la réunion plénière du Comité des États Parties à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité du 28 mai 2021, les États Parties ont achevé les discussions et adopté un projet de texte du deuxième protocole additionnel à la convention 24 , qui devrait renforcer la coopération en matière de cybercriminalité et de preuves électroniques dans le cadre des enquêtes pénales. La Commission a participé aux discussions au nom de l’UE 25 . Ces éléments devraient servir de base à la conclusion formelle des négociations au cours du second semestre de 2021 et à l’ouverture ultérieure à la signature du deuxième protocole additionnel au début de l’année 2022.
En juin 2021, l’UE, avec ses partenaires, a réaffirmé sa détermination à collaborer pour faire face à la menace imminente et grandissante que représentent pour les citoyens et les entreprises les réseaux criminels opérant à l'aide de rançongiciels, pour favoriser une compréhension commune de la manière dont le droit international existant s’applique au cyberespace et pour promouvoir cette approche au sein des Nations unies et d’autres enceintes internationales, en invitant tous les États à repérer et à démanteler d’urgence les réseaux criminels opérant à l'aide de rançongiciels sur leur territoire, et à contraindre ces réseaux à répondre de leurs actes 26 .
II.4 La cybersécurité dans les institutions, organes et agences de l’UE
L’UE travaille actuellement au renforcement des normes en matière de cybersécurité et de sécurité de l’information au sein des institutions, organes et agences de l’UE. La Commission a lancé une consultation des parties prenantes et une évaluation comparative des politiques actuelles en vue d’adopter des propositions avant la fin de l’année 2021.
III.Contexte du rapport
La Commission et le haut représentant ont adopté la stratégie de cybersécurité de l’UE le 16 décembre 2020. Celle-ci définit des priorités et des actions clés pour renforcer la résilience, l’autonomie, le leadership et les capacités opérationnelles de l’Europe face aux menaces croissantes et complexes qui pèsent sur ses réseaux et ses systèmes d’information, et pour promouvoir un cyberespace ouvert et mondial, ainsi que ses partenariats internationaux y afférents. La Commission et le haut représentant se sont engagés à suivre l’avancement de la mise en œuvre de la stratégie.
Dans sa déclaration du 26 février 2021, le Conseil européen a invité la Commission et le haut représentant à rendre compte de la mise en œuvre de la stratégie d’ici juin 2021 27 . Dans ses conclusions adoptées le 9 mars 2021, le Conseil a salué cette stratégie, soulignant que la cybersécurité était essentielle à l'édification d’une Europe résiliente, verte et numérique et encourageant la Commission et le haut représentant à établir un plan de mise en œuvre détaillé fixant les priorités et le calendrier des actions prévues 28 . La stratégie est en cours d’examen par les commissions compétentes du Parlement européen, qui accordent une attention particulière au risque de fragmentation de la réglementation et à la possibilité de renforcer l’industrie européenne au fur et à mesure de sa numérisation 29 . Le 27 avril, le Comité économique et social européen a adopté un avis dans lequel il se félicitait que cette stratégie constitue une avancée positive vers la protection contre les cybermenaces mondiales et la préservation de la croissance économique 30 .
Le présent rapport répond à ces évolutions et, en particulier, à l’invitation du Conseil européen.
Communication conjointe au Parlement européen et au Conseil - La stratégie de cybersécurité de l’UE pour la décennie numérique, JOIN (2020) 18.
SolarWinds, une grande entreprise informatique américaine, a été la cible, en 2020, d’une cyberattaque qui a atteint ses clients sans être détectée pendant des mois, et qui a permis aux pirates informatiques d'accéder à des milliers d’entreprises et d'administrations publiques qui utilisaient son produit Orion, dont six institutions, organes et agences de l’UE. Depuis janvier 2021, plusieurs exploits du jour zéro affectant des systèmes de courrier électronique dans le monde entier ont été découverts dans le logiciel Microsoft Exchange Server. En mai, le service public de santé irlandais a fait l’objet d’une attaque qui a eu de lourdes répercussions sur la continuité du service. Le 7 mai, Colonial Pipeline, le plus grand exploitant américain d'oléoducs, a dû mettre à l'arrêt ses activités après avoir découvert une faille à la suite d’une cyberattaque qui a visé ses principaux systèmes informatiques et, en juin 2021, JBS USA Holdings Inc., succursale américaine du plus grand fournisseur de viande au monde en termes de ventes, a été attaquée par un rançongiciel qui a réussi à provoquer de graves interruptions dans les activités.
Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148, COM (2020) 823.
Proposition de directive relative à la résilience des entités critiques, COM (2020) 829.
Proposition de règlement sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM (2020) 595. Proposition de directive modifiant les directives 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341, COM(2020) 596.
[Recommandation de l'unité conjointe de cybersécurité].
Règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination.
Pour ce faire, le Centre de compétences en matière de cybersécurité se chargera notamment de statuer sur les fonds consacrés à la cybersécurité issus du programme pour une Europe numérique, du programme Horizon Europe et des États membres, et de les gérer.
Rapport relatif aux effets de la recommandation de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G, SWD(2020) 357 final, 16 décembre 2020.
La préparation du schéma s'appuie sur le soutien du groupe de coopération SRI et est conforme à l’article 48 du règlement sur la cybersécurité; règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification des technologies de l’information et des communications en matière de cybersécurité et abrogeant le règlement (UE) nº 526/2013. https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-commission-requests-eu-cybersecurity-agency-develop-certification
https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_fr
[L’unité conjointe de cybersécurité permettrait de réagir de manière coordonnée aux incidents et crises de cybersécurité de grande ampleur et d'y faire face et contribuerait à mobiliser des ressources pour l'assistance. Elle ferait intervenir des experts de toutes les communautés de cybersécurité afin d’acquérir une connaissance partagée de la situation et de garantir le nécessaire état de préparation. Elle permettrait aussi de coordonner les mécanismes d’assistance à la demande d’un ou de plusieurs États membres.]
Stratégie relative à la criminalité organisée (2021-2025), COM (2021) 170 du 14.4.2021.
COM(2021) 70 du 22.2.2021.
Conclusions du Conseil sur la sécurité et la défense du 17 juin 2020 (document 8910/20).
https://eeas.europa.eu/headquarters/headquarters-homepage/99552/node/99552_fr
COM(2020) 760 du 25.11.2020.
Les États membres en question sont la Belgique, la Tchéquie, l’Estonie, le Luxembourg, l’Autriche, la Pologne et la Suède.
https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf
https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html
https://rm.coe.int/0900001680a2aa42
Le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité comprend des mesures et des garanties visant à améliorer la coopération internationale entre les services répressifs et les autorités judiciaires, ainsi qu’entre les autorités et les prestataires de services d’autres pays. C’est la Commission qui participe aux négociations sur ce protocole au nom de l’UE; décision du Conseil de juin 2019 (réf. 9116/19).
Déclaration du sommet UE-États-Unis, 15 juin 2021: https://www.consilium.europa.eu/media/50443/eu-us-summit-joint-statement-15-june-final-final.pdf . Communiqué du sommet du G7 à Carbis Bay: Notre programme commun d’action mondiale pour reconstruire en mieux, 13 juin 2021: https://www.consilium.europa.eu/media/50361/carbis-bay-g7-summit-communique.pdf
https://www.consilium.europa.eu/media/48625/2526-02-21-euco-statement-en.pdf
[2021/2568(RSP)].