Le CESE avance des propositions pour faire de la cybersécurité une réalité

This page is also available in

L’UE devrait entre autres renforcer le mandat de l’ENISA, l’agence de l’Union chargée de la cybersécurité, créer un cadre de certification à l’échelle européenne et mettre l’accent sur l’éducation et la protection des utilisateurs de l’internet.

Dans un avis adopté le 14 février 2018 dans le cadre de la session plénière du CESE, et rédigé par MM. Alberto Mazzola et Antonio Longo, membres de la section spécialisée «Transports, énergie, infrastructures, société de l’information» (TEN), le CESE soutient largement l’acte législatif sur la cybersécurité figurant dans le train de mesures sur la cybersécurité présenté par la Commission européenne au Conseil en septembre 2017.

La notion de cybersécurité est d’actualité dans le monde entier. Il s’agit d’un enjeu international, dans la mesure où les attaques peuvent survenir n’importe. Selon les données d’un numéro spécial de l’Eurobaromètre sur l’attitude des Européens face à la cybersécurité, 73 % des utilisateurs de l’internet se disent préoccupés par le fait que leurs données personnelles ne sont peut-être pas conservées en toute sécurité par les sites web et 65 % d’entre eux qu’elles ne sont peut-être pas conservées en toute sécurité par les pouvoirs publics. La majorité des répondants craignent d’être victimes de différentes formes de cybercriminalité, et plus précisément d’un logiciel malveillant installé sur leur appareil (69 %), d’une usurpation d’identité (69 %) ou d’une fraude à la carte bancaire et aux opérations bancaires en ligne (66 %).

Afin de renforcer le cadre européen en matière de cybersécurité, le CESE propose un certain nombre de mesures pratiques.

  • Renforcer les pouvoirs de l’ENISA en tant qu’agence de l’UE en matière de cybersécurité

L’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) est un centre d’expertise en matière de cybersécurité en Europe. Elle est installée en Grèce. Le CESE rejoint la Commission sur le fait que son mandat devrait être rendu permanent. Toutefois, le Comité est d’avis que l’ENISA devrait également se voir doter de ressources financières supérieures et centrer son action sur le soutien à l’administration en ligne, en particulier concernant l’identité numérique des personnes et des organisations à l’échelle européenne et mondiale, ainsi que prévenir et combattre le vol d’identité et la fraude en ligne, et lutter contre le vol de la propriété intellectuelle.

En outre, l’intensification de la coopération entre les parties prenantes est essentielle, ce qui pourrait être facilité par une collaboration renforcée avec les États membres et la création d’un réseau formel d’agences de cybersécurité nationales. L’ENISA pourrait alors contrôler les organismes nationaux et, ce faisant, établir un lien de confiance entre toutes les agences. Il importe que tous les États membres mettent en place une agence nationale de cybersécurité, a commenté M. Mazzola. Aujourd’hui, plus de la moitié d’entre eux ne disposent pas d’un équivalent à l’ENISA. La Commission européenne devrait veiller à ce que les bonnes pratiques et les mesures efficaces des États membres soient compilées et partagées.

Afin de contrer l’insuffisance des ressources de l’ENISA et de tirer parti de leurs compétences spécifiques, le Comité préconise la participation et la coopération de toutes les agences sectorielles de l’UE, avant tout l’Autorité bancaire européenne (ABE), l’Agence européenne de la sécurité aérienne (AESA), l’Agence européenne des médicaments (EMA) et l’Agence de l’Union européenne pour les chemins de fer (AFE).

  • Accroître les investissements stratégiques

Le CESE insiste sur le fait que l’Union européenne devrait investir davantage en vue de réaliser les objectifs stratégiques en matière de cybersécurité, et ce, en instaurant une solide coopération des secteurs public et privé. Les ressources pourraient provenir de différents fonds européens et nationaux, d’investissements du secteur privé, ainsi que d’un Fonds européen en matière de cybersécurité spécialement créé à cet effet.

Plus spécifiquement, le Comité propose de transformer l’actuel partenariat public-privé contractuel en une entreprise commune tripartite (Commission européenne, États membres et entreprises), ce qui permettrait non seulement d’augmenter les ressources mais également de développer la confiance des parties intéressées. L’UE doit également envisager d’ouvrir de nouvelles perspectives dans la configuration actuelle et future du mécanisme pour l’interconnexion en Europe ainsi que dans le futur EFSI 3.0.

  • Un réseau européen de compétences en matière de cybersécurité

Afin d’être réellement compétitive sur le marché mondial et de constituer une base technologique solide, l’UE doit acquérir une «souveraineté numérique». Sur ce point, le CESE partage l’avis de la Commission selon laquelle il est indispensable de constituer un réseau européen de compétences en matière de cybersécurité, s’inscrivant dans un cadre cohérent et durable englobant toutes les étapes de la chaîne de valeur de la cybersécurité.

Le réseau proposerait une expertise technique et des formations en hygiène informatique et, en contribuant à réduire la dépendance vis-à-vis des savoir-faire développés en dehors de l’UE en matière de technologies clés, il permettrait de stimuler la compétitivité de la base industrielle européenne.

Un Centre européen de recherche et de compétences en matière de cybersécurité viendrait étayer le réseau en assurant la liaison entre les centres de compétence nationaux dans l’ensemble de l’UE. Il coordonnerait les projets de recherche et de ce fait permettrait la mise en place effective d’un écosystème européen de cybersécurité favorable à l’innovation.

  • Une certification européenne en matière de cybersécurité

Le Comité est d’avis qu’un cadre européen de certification en matière de cybersécurité devrait être établi, selon des critères différents en fonction des secteurs. Les systèmes de certification contribueraient à renforcer la sécurité en fonction des besoins du moment et de la connaissance de menaces et devraient se fonder sur des normes européennes communes en matière de cybersécurité et de TIC à l’échelle internationale.

Un cadre de certification pourrait aussi servir de base commune pour relever le défi de la fragmentation du secteur de la cybersécurité. Une interprétation homogène des règles, et notamment une reconnaissance mutuelle entre États membres au titre d’un cadre unifié, faciliterait en particulier la protection du marché unique numérique.

  • Un système d’étiquetage agréé à l’échelle européenne

La procédure de certification doit inclure un système d’étiquetage adéquat pour les matériels et logiciels, qui serait également appliqué aux produits importés de pays tiers. Les avantages du système d’étiquetage sont divers: la réduction des coûts supportés par les entreprises, la suppression des fragmentations du marché dues à la coexistence de différents systèmes de certification nationaux, et la compréhension par le consommateur des informations concernant les caractéristiques de l’objet acheté.

Afin de renforcer la confiance des consommateurs, le CESE estime qu’il serait également profitable de créer un logo ad hoc, à l’instar de la «serrure» apparaissant au début de la barre d’adresse d’un site web. Cela permettrait d’attirer immédiatement l’attention des utilisateurs et de les informer sur la fiabilité des produits et des sites web.

  • Le facteur humain: éducation et protection

Les citoyens sont des acteurs clés des processus numériques parce qu’ils tirent des bénéfices de l’internet, tout en risquant d’être victimes d’incidents informatiques majeurs. Le Comité estime que la proposition de la Commission devrait aller plus loin et se concentrer sur l’amélioration des compétences informatiques des particuliers et des entreprises.

Afin d’améliorer l’hygiène informatique et la sensibilisation en matière de cybersécurité, le CESE recommande trois lignes d’action basées sur des programmes de formation et d’apprentissage tout au long de la vie, des campagnes de sensibilisation et la création d’un programme de formation certifié par l’UE à l’intention des établissements du second degré et des professionnels.

«Les citoyens doivent jouer un rôle essentiel si l’on veut faire de la cybersécurité une réalité. Ils sont utilisateurs et consommateurs. Nous devons investir dans l’éducation et la formation afin de faciliter la mise en place d’une solide base de compétences informatiques, de sensibiliser davantage aux comportements numériques «sûrs», tout en développant la confiance des utilisateurs en l’internet. À cette fin, il est essentiel que toutes les autorités régionales et nationales, de même que les entreprises et les PME, s’associent dans une approche collective», a déclaré M. Longo.

  • L’internet des objets (IdO)

Le facteur humain joue également un rôle central dans les dispositifs communs de l’«internet des personnes» (IdP) que nous utilisons quotidiennement, tels que les composants numériques de nos voitures et de nos habitations. Nous nous appuyons sur un nombre croissant de dispositifs connectés qui, souvent, ne sont pas aussi bien protégés que les dispositifs traditionnels, ce qui ouvre de nouvelles possibilités pour les cyberdélinquants. Une certification de l’UE pourrait dès lors assurer une meilleure sécurité de ce qui est appelé l’internet des objets (IdO).

Downloads