Nouvelle stratégie de cybersécurité de l’UE: un pas en avant, selon le CESE

Le Comité économique et social européen (CESE) accueille favorablement le nouveau train de mesures proposées par l’UE en matière de cybersécurité, mais relève des faiblesses dans la lutte contre l’énorme déficit de compétences en matière de cybersécurité en Europe. De l’avis du CESE, les entités critiques ont également besoin d’une rationalisation et d’une simplification des règles, et de lignes directrices plus claires pour les mettre en œuvre.

Dans l’ensemble, le CESE salue la nouvelle stratégie de cybersécurité de l’UE, qu’il considère comme une avancée positive vers la protection des gouvernements, des citoyens et des entreprises contre les cybermenaces et la préservation de la croissance économique — un domaine dans lequel l’UE semble être très vulnérable, puisque l’impact économique de la cybercriminalité est estimé à 0,84 % du PIB, contre 0,78 % en Amérique du Nord.

Dangereuse pénurie de compétences en matière de cybersécurité

Le CESE souligne cependant qu’il existe une pénurie grave de compétences en matière de cybersécurité en Europe et que la stratégie ne suffira pas pour la combler. La demande de spécialistes en cybersécurité a augmenté ces dernières années et a explosé depuis le début de la pandémie. Étant donné que les entreprises ont rapidement déplacé leurs activités en ligne et que 40 % des travailleurs de l’UE sont passés au télétravail en 2020, l’on estime que dans l’Union, 40 % des utilisateurs ont rencontré des problèmes de sécurité en 2020, plus de 12 % des entreprises ayant été touchées par des cyberattaques.

Il est devenu urgent de sécuriser les données et de déjouer les actes de piratage continus, et le recrutement de professionnels de la cybersécurité est une priorité absolue. Pourtant, le nombre de postes disponibles est bien supérieur au nombre de candidats: d’ici à 2022, il devrait y avoir dans l’UE au moins 200 000 emplois vacants dans le domaine de la cybersécurité. Pour la majorité des entreprises européennes, et plus particulièrement les PME, le déficit croissant de compétences représente un problème de taille.

Il est clair que l’Union a besoin de toute urgence de spécialistes de la cybersécurité bien formés, travaillant à la fois dans le secteur privé et dans le secteur public, pour assurer la sécurité des particuliers, des entreprises et de l’UE, a déclaré Philip von Brockdorff, rapporteur de l’avis du CESE sur la stratégie. C’est la raison pour laquelle le CESE recommande vivement l’élaboration de parcours de carrière harmonisés en cybersécurité afin de contribuer à combler le déficit croissant de compétences dans l’ensemble de l’UE.

Les États-Unis ont mis au point un outil de sélection de parcours de carrière en cybersécurité afin d’aider les personnes qui envisagent une carrière dans ce domaine à choisir, bâtir et suivre un parcours de carrière pertinent. Cet outil interactif permet aux personnes intéressées d’explorer une grande variété de métiers, en détaillant les tâches et les connaissances, compétences et aptitudes requises, et en cartographiant les parcours de carrière depuis le niveau d’entrée jusqu’aux postes d’encadrement supérieur. Le CESE suggère que l’Union élabore son propre outil de parcours de carrière en cybersécurité afin de contribuer à la formation d’une main-d’œuvre européenne dotée de compétences comparables en la matière, mobile internationalement, et capable de répondre à la demande dans ce secteur à forte croissance dans l’ensemble de l’Union.

Cybersécurité et résilience des entités critiques: une rationalisation et des définitions claires sont nécessaires

Dans le deuxième avis, élaboré par Maurizio Mensi, le CESE accueille favorablement les deux propositions de la Commission visant à accroître la résilience des entités publiques et privées face aux menaces informatiques et physiques, soulignant la nécessité de renforcer la capacité de l’industrie et l’innovation de manière inclusive au moyen d’une stratégie fondée sur quatre piliers: la protection des données, les droits fondamentaux, la sécurité et la cybersécurité.

Toutefois, dans un souci de rationalisation et de simplification, le Comité demande que les deux propositions soient regroupées en un seul texte, étant donné qu’elles sont étroitement liées et complémentaires (l’une se concentre principalement sur la cybersécurité et l’autre sur la sécurité physique) et que certaines dispositions se recoupent.

En outre, le CESE estime que des règlements auraient été préférables à des directives, eu égard à l’importance et à la complexité des objectifs poursuivis par les deux propositions, à la lumière des résultats de l’analyse d’impact et de la consultation qui ont précédé la présentation des propositions et de l’intention commune d’éviter la fragmentation des règles adoptées au niveau national.

Enfin, en ce qui concerne le champ d’application, le Comité souligne que des lignes directrices spécifiques et plus claires sont nécessaires pour définir précisément les entités «critiques» couvertes par la proposition de directive. À ce propos, M. Mensi a déclaré: Il convient de définir plus précisément les critères permettant de distinguer les entités “essentielles” des entités “importantes” dans les secteurs considérés comme critiques pour l’économie et la société. Nous devons veiller à ce que des approches divergentes au niveau national n’entravent pas les échanges et la libre circulation des biens et des services, ce qui risquerait de porter préjudice aux entreprises et de nuire aux échanges commerciaux.

Contexte

La Commission européenne a présenté la nouvelle «stratégie de cybersécurité de l’UE pour la décennie numérique» en décembre 2020, accompagnée de deux propositions législatives: la révision de la directive sur la sécurité des réseaux et de l’information (directive SRI) et une nouvelle directive sur la résilience des entités critiques (REC).

Cette stratégie constitue un élément clé de la communication intitulée «Façonner l’avenir numérique de l’Europe», du plan de relance pour l’Europe et de la stratégie de l’UE pour l’union de la sécurité, et vise à renforcer la résilience collective de l’Europe face aux cybermenaces et à faire en sorte que tous les citoyens et toutes les entreprises puissent bénéficier pleinement de services et d’outils numériques sûrs et fiables.