Cyber Solidarity Act : un bouclier européen contre les cyberattaques

Pour se prémunir contre le nombre croissant de cyberattaques, l'Union européenne avance dans l'adoption du Cyber Solidarity Act. Il prévoit notamment le déploiement d'un bouclier cyber commun afin de détecter et d'empêcher les attaques en amont.

L'Europe avance doucement mais sûrement dans la création de son bouclier cyber européen. Après des mois de négociation, les vingt-sept États membres de l'Union européenne se sont accordés, le 20 décembre dernier, sur une version du texte du futur règlement européen sur la cybersolidarité. Comme l'indique le communiqué de presse, son objectif est de "rendre l'Europe plus résiliente et plus réactive face aux cybermenaces, tout en renforçant les mécanismes de coopération" entre pays européens.

Il faut dire que, depuis le début de la guerre en Ukraine, le nombre de cyberattaques contre les entreprises ou les organismes publics a augmenté de 140 % en Europe, faisant de la France le cinquième pays le plus visé par les ransomwares au monde – certains voient une corrélation entre l'augmentation des attaques et la fourniture d'armes au gouvernement de Kiev. Aussi, il devient urgent pour les membres de l'Union européenne d'assembler leurs forces afin de mieux se protéger contre ces nouvelles menaces. À l'occasion du Forum international de la cybersécurité (FIC), le 5 avril, Thierry Breton, le commissaire européen chargé du Marché intérieur, avait annoncé dans une interview aux Echos la création du fameux "bouclier cyber européen". Estimée à un milliard d'euros, cette mesure, qui prendra place au sein du Cyber Solidarity Act, permettra de détecter et d'empêcher les attaques en amont : un dispositif de protection qui illustre l'adage "mieux vaut prévenir que guérir".

Bouclier cyber européen : des experts prêts au combat

Le Cyber Solidarity Act a pour ambition de prévenir les cyberattaques et de repérer les malwares avant qu'ils ne causent trop de dégâts. "Notre ambition est de créer un 'bouclier cyber européen' qui permettra de bien mieux détecter les attaques en amont. Il peut s'écouler aujourd'hui un délai allant jusqu'à 190 jours entre le début de la diffusion d'un malware et le déclenchement d'une attaque", expliquait Thierry Bret. L'Union européenne prévoit pour cela de lever 1,1 milliard d'euros, dont les deux tiers seront financés par l'Europe et dont le reste devra être apporté dans les capitales européennes – selon le commissaire, dix-sept États membres ont déjà répondu à l'appel.

Ainsi, le Cyber Solidarity Act prévoit la construction, dès 2024, de cinq à six centres opérationnels de sécurité (Security Operations Centers ou SOC) pour renforcer la cybersécurité des États membres. S'appuyant sur des supercalculateurs et des technologies d'intelligence artificielle, ils doivent permettre de détecter des comportements malveillants en quelques heures seulement. D'ailleurs, leur efficacité est déjà testée sous forme de projets pilotes. Sera également mis en place une réserve cyber européenne, qui sera composée de milliers de volontaires et de professionnels qui seront disponibles et mobilisables en cas d'attaques.

Cyber Solidarity Act : une logique d'assistance mutuelle

Pour faire face à la pénurie de talents qui touche le secteur – ce qui entrave les réactions des États et des entreprises –, une Cyber Skill Academy formera les futurs spécialistes. Toutes ces dispositions serviront à améliorer le partage d'informations et la collaboration entre les pays de l'Union européenne. "Dans la même logique que la Protection civile européenne en cas de catastrophes, il faut que nous adoptions désormais une logique d'assistance mutuelle", explique Thierry Bret, avant d'ajouter que "l'Europe se doit de protéger son cyberespace pour d'évidentes raisons de souveraineté". Le texte prévoit également une assistance mutuelle en termes financiers, dans le cadre de laquelle un État membre pourrait proposer de l'aide à un autre État membre.

La nouvelle version du texte, adoptée le 20 décembre 2023, souligne que la participation des États membres au système d'alerte de cybersécurité – le fameux cyber bouclier – doit être volontaire. Ont également été insérées des dispositions en vue d'éviter la mise en place de doublons avec des procédures ou des structures qui existent déjà. Peuvent maintenant débuter les négociations avec le Parlement européen. Une fois que les trois institutions – le Conseil, la Commission et le Parlement européens donc – se seront mises d'accord sur une version commune, le règlement sera soumis au vote des Eurodéputés, en séance plénière.

Le Cyber Solidarity Act viendra compléter le Cyber Resilience Act, dévoilé en septembre 2022 (voir notre article). Son but est de s'attaquer au problème des objets connectés du quotidien, qui sont de véritables points d'entrées pour les pirates informatiques. Il s'agit donc d'obliger les constructeurs à mieux sécuriser leurs objets connectés avant leur commercialisation, en accentuant leur responsabilité et en les obligeant à signaler les vulnérabilités découvertes à l'Agence de l'Union européenne pour la cybersécurité (ENISA) dans un délai de vingt-quatre heures, sous peine de se voir infliger de lourdes amendes.