Europe - Cybersécurité: renforcement des exigences européennes contre les menaces

• Le nouveau projet législatif fixe des exigences plus strictes pour les entreprises, les administrations et les États
• Les diverses mesures nationales en matière de cybersécurité rendent l’UE plus vulnérable
• Les coûts globaux liés aux dommages causés par les logiciels rançonneurs ont été multipliés par 57 depuis 2015, avec une attaque toutes les 11 secondes en 2021

  ---

  Le nouveau projet législatif fixe des obligations plus strictes de cybersécurité en termes de gestion des risques, d’obligations de déclaration et de partage d’informations.

Selon le texte législatif adopté jeudi en commission de l’industrie, les pays de l’UE devraient répondre à des mesures de surveillance et d’exécution plus strictes, et harmoniser leurs régimes de sanction.

En comparaison avec la législation existante, la nouvelle directive contraindrait davantage d’entités et de secteurs à prendre des mesures. Les "secteurs essentiels" tels que ceux de l’énergie, des transports, bancaire, de la santé, des infrastructures numériques, de l’administration publique et de l’espace seraient couverts par les nouvelles dispositions de sécurité. Par ailleurs, les nouvelles règles protègeraient les secteurs dits importants comme les services postaux, la gestion des déchets, les produits chimiques, le secteur alimentaire, la fabrication des dispositifs médicaux, l’électronique, les machines, les véhicules à moteur et les fournisseurs numériques. Toutes les entreprises de taille moyenne à grande dans les secteurs sélectionnés seraient couverts par la législation.

Concrètement, les exigences incluent notamment la réponse aux incidents, la sécurité de la chaîne alimentaire, le cryptage, la divulgation des vulnérabilités. Les États membres seraient en mesure d’identifier les plus petites entités présentant un profil de risque de sécurité élevé et la cybersécurité deviendrait la responsabilité du niveau managérial le plus élevé.

De plus, la directive établit un cadre pour une meilleure coopération et un meilleur partage d’informations entre les différentes autorités et les États membres, et crée une base de données européenne des vulnérabilités.

La directive originale sur la cybersécurité a été créée en 2017. Cependant, les pays de l’UE l’ont mise œuvre de diverses manières, fragmentant ainsi le marché unique et causant des niveaux insuffisants de cybersécurité. Au vu du niveau actuel élevé des menaces contre la cybersécurité, l’actualisation de cette législation est plus que nécessaire, estiment les députés.

Citation

Le rapporteur Bart Groothuis (Renew Europe, NL) a affirmé: "La cybercriminalité a doublé en 2019, les logiciels rançonneurs ont triplé en 2020 et pourtant nos entreprises et institutions dépensent 41% de moins pour la cybersécurité qu'aux États-Unis. Nous devons renforcer la cybersécurité dans l'Union et créer les outils pour gérer ensemble les cyberincidents lorsqu'ils se produisent. Nous ne pouvons pas prévenir toute cybercriminalité, mais nous pouvons nous protéger mieux qu'avant et mieux que les autres. Cette nouvelle législation fait de l'UE un lieu sûr pour travailler et faire des affaires."

Prochaines étapes

Le projet de mandat de négociation (le rapport) a été adopté par 70 voix pour, 3 contre et 1 abstention. Les députés ont également voté pour ouvrir les négociations avec le Conseil par 71 voix pour, 2 contre et 1 abstention. Le mandat sera annoncé en session plénière le 10 novembre.

Contexte

Les cyberincidents peuvent entraver les activités économiques et causer des dommages importants à l'économie et à la société européenne. Une étude du service de recherche du Parlement européen souligne que les cyberattaques, en plus de figurer parmi les formes de criminalité qui se développent le plus rapidement dans le monde, gagnent également en ampleur, en coût et en sophistication.

Les dernières prévisions montrent que les coûts mondiaux des dommages causés par les logiciels rançonneurs pourraient atteindre 17 milliards d'euros d'ici 2021, soit 57 fois les coûts de 2015. Selon les prévisions, les entreprises subiront une attaque par logiciel rançonneur toutes les 11 secondes d'ici 2021, contre toutes les 40 secondes en 2016. Par conséquent, les entreprises doivent investir plus d'argent pour rendre le cyberespace plus sûr pour elles-mêmes et leurs clients.