Quantcast

Vers plus de pouvoirs pour l’agence de cybersécurité européenne

31 août 2017, PAR Acteurs Publics
  • 03
    MIN
  • 0

© Fotolia

Face à l’augmentation des attaques informatiques, la Commission européenne va présenter en septembre une nouvelle stratégie sur la cybersécurité et élargir le rôle de l’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information. Une augmentation de son budget est à l’ordre du jour, ainsi que l’attribution de nouvelles compétences. 


“Il faudrait avoir des ressources en place sept jours sur sept et 24 heures sur 24”, pestait en mai dernier Udo Helmbrecht, le directeur de l’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (Enisa), après l’invasion du virus WannaCry. “Il n’y a toujours pas de procédure de réaction graduelle, de la détection à la réaction, et pas de pouvoir d’initiative” de la part de l’agence, déplorait au même moment Andrus Ansip, vice-président de la Commission européenne.

Avec seulement 85 salariés et un petit budget 12 millions d’euros, l’Enisa a pour tâche de coordonner les autorités nationales quand une crise de cybersécurité à l’échelle européenne intervient, comme par exemple le virus WannaCry. En début d’année, la Commission européenne a refusé de lui accorder 25 personnes et 5 millions d’euros supplémentaires, mais la cyberattaque qui a touché toute l’Europe a mis en relief le rôle de cette très discrète agence, créée en 2004 et dont le siège est en Crète.

Internet des objets

Dans un rapport adopté en juillet dernier, le Parlement européen souhaitait que “les États membres échangent leurs meilleures pratiques sur le contournement du cryptage et investissent davantage pour protéger les infrastructures essentielles comme les réseaux énergétiques et de transport des cyberattaques”. Après une préparation de plusieurs mois, Andrus Ansip, en charge, à la Commission, du Marché numérique unique, va proposer en septembre une nouvelle stratégie sur la cybersécurité européenne.

Pour les responsables européens, elle est nécessaire car l’Internet des objets a rapidement pris de l’ampleur depuis la dernière stratégie de l’exécutif sur la cybersécurité en 2013 (plus de 40 milliards d’objets connectés sont attendus en 2020), ce qui augmente les risques de cyberattaques.

Au sein de cette stratégie, un nouveau cadre sera annoncé pour l’agence de cybersécurité européenne. Son périmètre d’intervention devait, de toute façon, évoluer à la suite de la directive européenne NIS sur la sécurité des réseaux et des systèmes d’information, adoptée en juillet 2016.

Coopération et partage d’informations

C’est l’agence européenne qui est chargée d’aider les États dans la bonne mise en œuvre de cette directive, qui doit être transposée en droit national avant le 9 mai 2018. La loi européenne oblige ainsi les États membres à partager les données liées aux cyberattaques entre eux et à avoir une meilleure coordination, où l’Enisa aide les plus petits États à entrer en contact avec les plus grands. Dans le détail, il est prévu la création d’un “groupe de coopération” sur les aspects politiques de la cybersécurité et d’un “réseau européen des équipes nationales de réponses aux incidents informatiques” facilitant le partage d’informations techniques sur les risques et les vulnérabilités.

La future stratégie devrait donc comporter des compétences élargies pour l’Enisa. Jusqu’ici, elle est censée fournir des conseils, mener des recherches et organiser des exercices auprès des autorités nationales pour faciliter les échanges d’information, mais elle n’a pas de rôle juridique. Elle devrait aussi bénéficier de davantage de moyens.

Avant de rejoindre l’Enisa, son directeur, Udo Helmbrecht, dirigeait l’agence allemande de cybersécurité, qui compte, elle, plus de 600 employés. Il a dû trouver les bons mots pour convaincre la Commission d’investir davantage afin que l’Enisa soit “plus flexible et plus agile à l’avenir”, comme il le souhaitait en mai dernier.

Jean-Bernard Gallois