Recevez chaque jour toute l'actualité du numérique

x

La cybersécurité, un enjeu majeur de la présidence française de l'Union européenne

Entretien Pour sa présidence du Conseil de l'Union européenne, lors du premier semestre 2022, la France fait la cybersécurité l'un de ses axes de travail prioritaires. Les chantiers sont nombreux : réviser la directive NIS sur les opérateurs de services essentiels, éprouver la coopération entre les Etats membres en cas d'incidents cyber, définir le contenu du schéma de certification pour le cloud, consolider le tissu industriel... L'Usine Digitale s'est entretenu avec Yves Verhoeven, sous-directeur stratégie de l'Agence nationale de la sécurité des systèmes d'information (Anssi), autorité compétente en matière de cybersécurité en France. 
Twitter Facebook Linkedin Flipboard Email
×

La cybersécurité, un enjeu majeur de la présidence française de l'Union européenne
La cybersécurité, un enjeu majeur de la présidence française de l'Union européenne © Chickenonline/Pixabay

Le numérique est un enjeu majeur de la présidence française au Conseil de l'Union européenne, l'institution qui représente les gouvernements des Etats membres, a expliqué Cédric O, le secrétaire d'Etat chargé de la transition numérique et des communications électroniques, dans une longue interview à L'Usine Digitale. Parmi les sujets prioritaires se trouvent sans aucun doute la sécurité informatique pour deux raisons au moins.

La première : les cyberattaques sont en constante augmentation, en particulier les ransomwares, ce qui fragilise et perturbe le tissu économique. La deuxième : c'est un marché en forte croissance dans lequel les industriels attendent des prises de position claires de la part des institutions. Le tout, dans un contexte de transformation numérique à marche forcée depuis le début de la pandémie de Covid-19, notamment avec une massification du recours au télétravail.

La promotion d'une souveraineté numérique européenne
Sollicité par L'Usine Digitale, Yves Verhoeven, le sous-directeur stratégie de l'Agence nationale de la sécurité des systèmes d'information (Anssi), parle de "temps fort" pour qualifier cette présidence. "Nous nous inscrivons pleinement dans la ligne politique de promotion d'une souveraineté numérique européenne", ajoute-t-il. Cette période, qui dure 6 mois, a été préparée "depuis longtemps" par l'Anssi avec "quelques axes particuliers de travail".

Le premier axe concerne la négociation de la révision de la directive "Network and information security", dite directive NIS. Ce texte, adopté le 6 juillet 2016, vise à l'émergence d'une Europe forte qui s'appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d'une coopération efficace et la protection des activités économiques et sociétales critiques. Le but : faire face collectivement aux risques d'attaques informatiques.

La directive NIS est également "un acte fondateur pour positionner l'Union européenne comme l'organisation internationale légitime pour la cybersécurité des infrastructures critiques en Europe, notamment vis-à-vis de l'OTAN (l'Organisation du traité de l'Atlantique nord, ndlr) qui opère dans un champ beaucoup plus militaire", note Yves Verhoeven.

Mais ce texte est surtout connu pour avoir encadré la sécurité informatique des "opérateurs de services essentiels" (OSE). Il s'agit d'un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Leur identité exacte n'est pas publique mais les secteurs dans lesquels ils opèrent le sont : l'énergie (pétrole, gaz, électricité), les transports, la logistique, la banque, les infrastructures de marchés financiers, la restauration ou encore l'éducation. Ces acteurs doivent remplir des obligations plus strictes en matière de cybersécurité. 

Elargir le champ d'application de la directive NIS
La révision de la directive doit permettre "d'élargir son périmètre d'application", détaille le sous-directeur, afin de "couvrir plus de potentielles victimes". C'est aussi l'occasion d'aborder "le sujet de la supply chain" en particulier par "le début de couverture des entreprises de services numériques dont la sécurisation à un mauvais niveau peut constituer des voies d'entrée problématiques vis-à-vis de leurs clients". Une difficulté illustrée par l'affaire SolarWinds dont la suite logicielle Orion – utilisée par de très nombreux clients – a été compromise. 

Le deuxième enjeu de la présidence française est de favoriser la solidarité au sein de l'Union européenne en cas d'attaque informatique. "Ces dernières années, nous avons œuvré avec un engagement fort pour mettre en place des réseaux de coopération entre Etats membres, notamment au niveau des CERT (Computer emergency response team, ndlr)", raconte Yves Verhoeven. A ce titre, la directive NIS a créé le CSIRTs Network : le premier réseau de coopération et de partage d'informations techniques entre CERT nationaux.

Un stress test grandeur nature
"Plus récemment, nous avons créé un réseau de réponse face aux incidents cyber de haut niveau qui rassemble les directeurs généraux des Anssi", ajoute le sous-directeur. Cette dynamique doit donc se poursuivre. En pratique, afin de "consolider et démontrer la pertinence de ce réseau", la France en tant que présidente compte réaliser "un exercice qui constituera une opportunité inédite de sensibiliser les échelons politiques aux enjeux d'une telle crise, de mettre en valeur l'action de l'Union en matière de gestion de crise d'origine cyber et de renforcer les capacités européennes d'assistance mutuelle".

En revanche, il n'est pas à l'ordre du jour de mutualiser les capacités d'intervention directe sur le terrain. "Celles-ci se heurtent à un grand nombre d'obstacles, notamment sur le plan juridique", argumente Yves Verhoeven.

Au-delà des Etats membres, les institutions de l'Union européenne possèdent également leur CERT dédié : le CERT-EU, créé en 2011. Mais il faut désormais aller plus loin dans ce contexte d'accroissement des menaces, d'après l'Anssi. En effet, "il est difficile d'envisager une souveraineté européenne si les institutions ne sont pas en mesure de se protéger à un niveau suffisant", explique le sous-directeur. "Des propositions législatives devraient être proposées prochainement par l'exécutif européen", confie-t-il.

Un marché à consolider
La cybersécurité c'est aussi un marché florissant. "La cyber est une brique importante sur laquelle pourraient se reposer les entreprises européennes pour être compétitives", a expliqué à L'Usine Digitale Jean-Marc Gremy, le président du Clusif, une association de promotion de la cybersécurité, réunissant entreprises et administrations autour du développement des bonnes pratiques pour la sécurité du numérique. A ce titre, le cloud computing est un thème majeur, dont un schéma de certification européen (European Cybersecurity Certification Scheme for Cloud Services) est en cours d'élaboration.

C'est le Cyber Security Act, adopté en 2019, qui a créé "des schémas de certification de cybersécurité à l'échelle européenne". Une nécessité car certains Etats membres "se dotaient de schémas de certification dont malheureusement la valeur était parfois trop limitée au champ national et généraient une fragmentation du marché européen", raconte Yves Verhoeven. Il reste à savoir quels critères seront choisis pour la qualification, en particulier sur la question de l'application de législations étrangères. 

un cloud sécurisé imperméable aux lois extraterritoriales
Les choses sont très claires sur ce point pour l'Anssi : "le cloud sécurisé à haut niveau doit être techniquement de très bon niveau mais aussi protégé face aux lois extraterritoriales". "Sans cela, la souveraineté européenne dans la cyberespace est vaine", ajoute le sous-directeur stratégie. L'enjeu au niveau français est important : pouvoir "sereinement faire disparaître [le label] SecNumCloud (…) au profil d'une certification européenne au moins équivalente".

Le label français "SecNumCloud", délivré par l'Anssi, est né d'un constat : il n'existait aucun référentiel de sécurité national pour les fournisseurs de cloud service provider (CSP). A la suite de la promulgation de la loi de Programmation Militaire en 2013, l'autorité s'est entourée de neuf acteurs du secteur du cloud pour former un groupe de travail et réfléchir à la création d'un visa de sécurité reposant sur un référentiel exigeant. Fin 2016, la première version du "SecNumCloud" est publiée.

Ce visa garantit aux organisations publiques, parapubliques, et aux entreprises stratégiques comme les opérateurs d’importance vitale (OIV) (une sorte d'équivalent des OSE au niveau français) qu’elles s’appuient sur un environnement cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité.

Les contours de ce label ont été révisés avec la nouvelle doctrine gouvernementale "cloud au centre", présenté par le gouvernement en mai 2021. Elle permet à des entreprises françaises de distribuer des services proposés par des entreprises étrangères sous licence. En octobre dernier, l'Anssi a publié une version révisée de son référentiel "SecNumCloud" pour l'adapter aux nouvelles exigences techniques et juridiques. 

Des offres hybrides franco-américaines, une bonne alternative ?
C'est ainsi que Thales et Google Cloud ont annoncé leur coopération, emboîtant le pas à Microsoft, Orange et Capgemini. Ces offres hybrides devraient avoir le fameux label, d'après les concernés. Ces offres n'existent toujours pas à l'heure actuelle. A ce sujet, le secrétaire d'Etat Cédric O n'avait pas caché la complexité de cette question aussi bien techniquement que juridiquement. "Mais notre volonté c'est de protéger les Français", avait-il finalement conclu lors de son interview avec L'Usine Digitale

"Peut-être que les accords de licence avec un encadrement est un moindre mal", lance Jean-Marc Gremy. Le président du Clusif tient un discours tranché : "aujourd'hui, nous n'avons pas d'alternative aux solutions étrangères pour des fonctionnalités et à un prix équivalents". "J'aimerais vous dire que je ne comprends pas pourquoi les entreprises n'utilisent pas massivement telle solution de tel éditeur français ou européen, ajoute-t-il. Il y a une certaine forme d'amertume face à ce constat."

En effet, les chiffres ne trompent pas : Amazon (Amazon Web Service), Microsoft (Azure) et Google (Google Cloud Platform) captent 69% du marché européen à eux seuls, d'après une étude de Synergy Research Group publiée en septembre 2021. Leurs parts de marché continuent de croître grâce à des investissements colossaux : près de 14 milliards d'euros ont ainsi été investis au cours des quatre derniers trimestres dans le but de mettre à niveau et étendre leur réseau régional de data centers hyperscale.

Le président du Clusif a de nombreuses attentes envers les futurs schémas de certification. "Nous attendons cette obligation de faire un peu de protectionnisme contre les produits de mauvaise qualité afin de mettre en avant des produits certifiés en Europe", déclare-t-il. Après le cloud, un label sur la 5G est attendu.

La promotion d'un "tissu industriel européen de confiance" passe également par "la mise en place du centre européen de compétences industriel et technologique en matière de cybersécurité" situé à Bucarest en Roumanie, indique Yves Verhoeven. Ce futur centre travaillera avec un réseau de centres nationaux de coordination désignés par les Etats membres. Il réunira les principales parties prenantes européennes, notamment les entreprises, des organisations universitaires et de recherche ainsi que des associations de la société civile. L'objectif est de constituer une communauté de compétences en matière de cybersécurité destinée à renforcer et à diffuser l'expertise en matière de cybersécurité dans toute l'Europe. 

Une opportunité bousculée par les élections
Les enjeux sont donc colossaux et une période de six mois ne permettra évidemment pas de tout régler. Cette présidence reste néanmoins une opportunité pour la France de mettre en avant un agenda réglementaire prioritaire imprégné de ses valeurs et de sa vision de l'Union européenne. Il ne faut pas être naïf non plus : l'élection présidentielle organisée en avril 2022 puis les élections législatives de juin 2022 auront un impact sur l'avancement des négociations. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.