Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Fiche d'information

La Commission redouble d'efforts pour aider le secteur de la cybersécurité à lutter contre les cybermenaces

Bruxelles, le 5 juillet 2016

Questions et réponses

Quel est l’impact des incidents liés à la cybersécurité?

Les incidents liés à la cybersécurité causent d’importants dommages économiques aux entreprises européennes et à l’économie au sens large, représentant des centaines de milliards d'euros chaque année. De tels incidents ébranlent la confiance des citoyens et des entreprises dans la société numérique. Vol de secrets commerciaux, de données commerciales et de données à caractère personnel, interruption de services et interruption d'infrastructures se traduisent par des pertes économiques de l’ordre de centaines de milliards d’euros par an.

D’après un récent sondage, au moins 80 % des entreprises établies en Europe ont connu au minimum un incident lié à la cybersécurité au cours de l’année écoulée et le nombre d’incidents de sécurité tous secteurs confondus dans le monde a augmenté de 38 % en 2015, par rapport à 2014.

Qu’est-ce que la Commission a déjà fait pour renforcer la cybersécurité?

Depuis l’adoption en 2013 de la stratégie de cybersécurité de l'UE, la Commission européenne a intensifié ses efforts pour mieux protéger les Européens en ligne. Elle a adopté une série de propositions législatives, notamment en matière de sécurité des réseaux et de l’information, consacré plus de 600 millions d’euros€ d’investissements de l'UE en faveur de la recherche et de l’innovation à des projets dans le domaine de la cybersécurité pour la période 2014-2020, et encouragé la coopération dans ce domaine au sein de l'UE et avec des partenaires sur la scène internationale.

Des efforts supplémentaires sont toutefois nécessaires pour faire face au nombre et à la complexité croissants des cybermenaces. C’est la raison pour laquelle la Commission propose aujourd’hui un train de mesures destiné à renforcer la coopération aux fins de la sécurisation de l’économie et de la société numériques en Europe et à contribuer au développement de technologies, produits et services innovants et sûrs dans l’ensemble de l’UE.

Pour de plus amples informations sur les initiatives de l’UE en matière de cybersécurité, consulter la fiche d’information.

Que compte faire la Commission à présent?

La Commission a proposé un plan d’action visant à renforcer encore la cyber-résilience de l’Europe et son secteur de la cybersécurité. Cela passe notamment par les mesures suivantes:

  • Intensifier la coopération dans toute l'Europe: la Commission encourage les États membres à tirer le meilleur parti des mécanismes de coopération prévus par la future directive sur la sécurité des réseaux et de l'information (SRI) et à améliorer la façon dont ils travaillent ensemble pour se préparer à un cyberincident de grande ampleur. Il s'agira entre autres de travaux dans les domaines de l'enseignement, de la formation et des exercices en matière de cybersécurité (tels que les exercices «CyberEurope» de l’ENISA).
  • Soutenir le marché unique émergent des produits et services de cybersécurité dans l'UE: par exemple, la Commission étudiera la possibilité de créer un cadre de certification des produits et services informatiques concernés, complété par un système d’étiquetage volontaire, ne représentant pas une charge excessive, en matière de sécurité des produits informatiques; elle suggère également d’éventuelles mesures visant à accroître les investissements dans la cybersécurité en Europe et à soutenir les PME exerçant leur activité sur ce marché.
  • Établir un partenariat public-privé (PPP) contractuel avec l’industrie afin de favoriser la création de capacités industrielles en matière de cybersécurité et l’innovation dans l’UE.

I. Intensification de la coopération et amélioration des capacités

Pourquoi la Commission a-t-elle besoin de proposer de nouvelles mesures de coopération en matière de cybersécurité?

La stratégie de cybersécurité de l’UE et la future directive SRI ouvrent déjà la voie à une amélioration de la coopération et de la cyber-résilience au niveau de l’UE.

Toutefois, le niveau de la menace évolue constamment et la gestion d'un cyberincident à grande échelle touchant plusieurs États membres simultanément représentera un défi. La coopération au niveau de l’UE est dès lors indispensable pour faire face, d'une part, à une éventuelle cyberattaque de grande ampleur dans plusieurs États membres et, d'autre part, à des cyberincidents de moindre ampleur mais susceptibles de se multiplier. Un plan d'action prévoyant une réaction coordonnée, fondée sur l’échange transfrontière d’informations, sera nécessaire pour remédier le plus efficacement possible à de tels incidents. Nous devons intégrer la cybersécurité dans les mécanismes et procédures existants de gestion des crises. Cela exige aussi une meilleure coopération et des mécanismes plus rapides d'échange d’informations entre secteurs et entre États membres pour réagir à de tels incidents et en limiter les effets.

En quoi ces projets sont-ils liés à la directive SRI?

La future directive SRI prévoit deux mécanismes de coordination:

  • le groupe de coopération qui est chargé de soutenir la coopération stratégique et l’échange d’informations pertinentes relatives aux cyberincidents entre les États membres, et
  • le réseau des équipes de réaction aux incidents touchant la sécurité informatique (dénommé le «réseau des CSIRT») qui vise à promouvoir une coopération opérationnelle rapide et efficace pour certains cyberincidents et un partage d'informations sur les risques.

Étant donné la nature et la multitude des cybermenaces, la Commission encourage les États membres à tirer le meilleur parti possible de ces mécanismes et à renforcer la coopération transfrontière en matière de préparation à un cyberincident de grande ampleur.

Comment la Commission propose-t-elle de renforcer la coopération au cours d’une cyberattaque paneuropéenne?

Au premier semestre de 2017, la Commission présentera un «plan d’action» qui exposera les grandes lignes d'une approche coordonnée de la coopération de crise en cas de cyberincident de grande ampleur. Ce plan d’action devrait notamment prévoir le rôle des organes à l’échelon de l’UE, tels que l’Agence de l'Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), l’équipe d’intervention en cas d’urgence informatique de l’UE (CERT-EU) et le Centre européen de lutte contre la cybercriminalité (EC3) au sein d’Europol, et recourir aux outils développés dans le cadre du réseau des équipes de réaction aux incidents touchant la sécurité informatique. Il conviendrait ensuite de tester régulièrement l’approche présentée dans le plan d'action dans le cadre d'exercices de gestion de crises.

Pourquoi avons-nous besoin d’un «pôle d’information» pour favoriser l’échange d’informations entre les organes de l’UE et les États membres?

Actuellement, les connaissances et l’expertise en matière de cybersécurité existent d’une manière dispersée et non structurée. Pour soutenir les mécanismes de coopération prévus par la directive SRI, les informations devraient être regroupées au sein d'un «pôle d’information» de façon à ce que tous les États membres puissent y accéder plus facilement sur demande. Ce «pôle» deviendrait un point central permettant aux institutions de l’UE et aux États membres d’échanger des informations en tant que de besoin. La Commission, avec le soutien de l’ENISA et de la CERT-EU, ainsi que l’expertise de son Centre commun de recherche, facilitera la création de ce pôle et en assurera la viabilité.

Que propose la Commission en ce qui concerne la formation en matière de cybersécurité?

D'après différentes estimations, la demande de main-d’œuvre dans le domaine de la cybersécurité devrait s’élever à 6 millions de travailleurs au niveau mondial d’ici à 2019, ce qui représentera une pénurie de main-d'œuvre de l'ordre de 1 à 1,5 million de travailleurs.

Il importe que les Européens se forment et acquièrent les compétences nécessaires tant pour prévenir les cyberincidents que pour y remédier lorsqu’ils se produisent. De nombreuses initiatives sont déjà en cours dans ce domaine, mais il est également nécessaire, par exemple, de développer la coopération entre civils et militaires et d'examiner les façons dont ces deux secteurs peuvent s'enrichir mutuellement dans le domaine de la formation et des exercices pour accroître la résilience de l’UE et sa capacité à réagir aux incidents. La Commission, en coopération avec les États membres, le service européen pour l’action extérieure, l’ENISA et d'autres organes compétents de l’UE, mettra en place une plateforme d'enseignement, d'exercice et de formation en matière de cybersécurité afin de contribuer à ce processus.

Pourquoi la Commission envisage-t-elle l'adoption de dispositions et/ou de lignes directrices supplémentaires concernant la préparation aux cyber-risques pour les secteurs critiques?

Un cyberincident grave dans un secteur ou dans un État membre peut avoir des répercussions directes ou indirectes sur d’autres secteurs ou d’autres États membres ou s'y propager. La capacité de chaque secteur à détecter les cyberincidents, à s'y préparer et à y réagir est une condition préalable et nécessaire pour faire face aux risques intersectoriels. C'est pourquoi la Commission évaluera le risque résultant de cyberincidents dans des secteurs hautement interdépendants à l'intérieur et au-delà des frontières nationales, en particulier dans les secteurs couverts par la directive SRI, tels que l'énergie, les transports, la santé ou les banques. Une fois cette évaluation effectuée, la Commission déterminera s'il est nécessaire d’établir des dispositions spécifiques et/ou des lignes directrices supplémentaires concernant la préparation aux cyber-risques pour ces secteurs critiques.

Pourquoi la Commission entend-elle encourager les contrôles des infrastructures de réseau publiques essentielles?

Les pouvoirs publics ont un rôle à jouer dans la vérification de l’intégrité des infrastructures de réseau publiques essentielles, telles que les réseaux de télécommunications ou d'électricité intelligents, afin de déceler tout problème, d’informer la partie responsable de ces réseaux et — si nécessaire — de fournir une aide pour remédier aux vulnérabilités connues.

Les autorités réglementaires nationales pourraient utiliser les capacités des CSIRT pour soumettre régulièrement les infrastructures de réseau publiques à un examen attentif et, sur cette base, encourager les exploitants à remédier aux défaillances ou vulnérabilités détectées par ces examens. Ces mesures pourraient considérablement contribuer à la sécurité des infrastructures clés de l’internet.

La Commission étudiera, dès lors, les conditions juridiques et organisationnelles requises pour permettre aux autorités réglementaires nationales, en coopération avec les autorités nationales compétentes en matière de cybersécurité, de demander aux CSIRT de procéder régulièrement à des contrôles de vulnérabilité des infrastructures de réseau publiques.

Quel sera le rôle de l’ENISA? Son mandat sera-t-il modifié?

Depuis sa création en 2004, l’ENISA contribue à l’objectif général consistant à assurer un niveau élevé de sécurité des réseaux et de l’information dans l’UE.

Cette agence collabore étroitement avec les États membres, les institutions de l’UE et le secteur privé afin de remédier et d'apporter des réponses aux problèmes de SRI, mais surtout de les prévenir. Il s'agit, entre autres, de la gestion des exercices paneuropéens de cybersécurité, de la fourniture d'informations essentielles concernant la SRI, telles que le rapport annuel sur les cybermenaces, et de la formation.

La Commission est tenue d’évaluer l’ENISA d’ici au 20 juin 2018 afin d’apprécier l’éventuelle nécessité d’étendre ou de réviser son mandat actuel, qui expire en 2020. Compte tenu de la situation actuelle en matière de cybersécurité, en particulier le nombre et la complexité croissants des cybermenaces et l’adoption prochaine de la directive sur la sécurité des réseaux et de l’information, la Commission entend avancer l’évaluation et, en fonction de ses conclusions, présenter une proposition dès que possible. Elle fera en sorte de pouvoir lancer l’évaluation d'ici à la fin de cette année.

II. La nécessité d’un marché unique de la cybersécurité

Pourquoi la Commission européenne propose-t-elle des mesures de marché liées à la cybersécurité?

L’Europe a besoin de produits et de solutions de très bonne qualité, abordables et interopérables en matière de cybersécurité. Cependant, la fourniture de produits et services de sécurité des TIC au sein du marché unique reste très fragmentée sur le plan géographique. Il en résulte, d’une part, qu'il est difficile pour les entreprises européennes d'être concurrentielles aux niveaux national, européen et mondial, et d’autre part, que le choix des technologies viables et utilisables en matière de cybersécurité qui s'offre aux citoyens et aux entreprises est restreint. Aucun pays de l’UE ne peut surmonter seul cette fragmentation du marché de façon à permettre au secteur de réaliser des économies d’échelle au niveau européen.

Pourquoi serait-il utile de disposer d'un cadre européen de certification pour les produits de sécurité des TIC?

La certification est importante pour accroître la sécurité des produits et services et renforcer la confiance qui leur est accordée. On voit apparaître des initiatives nationales visant à fixer des exigences élevées en matière de cybersécurité applicables aux composants TIC des infrastructures traditionnelles, et notamment des exigences de certification. Bien qu'elles représentent une reconnaissance de l’importance de la certification, ces initiatives risquent de fragmenter le marché unique et d'entraîner des problèmes d’interopérabilité. Seul un petit nombre d'États membres est doté de systèmes de certification efficaces en matière de sécurité des produits TIC. Un fournisseur de TIC pourrait donc être obligé de se soumettre à plusieurs processus de certification pour pouvoir vendre dans plusieurs États membres. Un produit ou service TIC conçu pour répondre aux exigences de cybersécurité dans un État membre donné pourrait ne pas être considéré comme remplissant les exigences applicables en la matière dans un autre. Aussi la Commission examinera-t-elle différentes options en vue d’instaurer un cadre européen de certification en matière de sécurité des TIC. 

Pourquoi serait-il utile de disposer d'un système européen d'étiquetage des produits de sécurité des TIC?

L’étiquetage pourrait s’avérer utile pour aider les utilisateurs à comprendre le niveau de cybersécurité des produits commerciaux et accroître la compétitivité de ces derniers sur le marché unique et au niveau mondial. Des initiatives nationales commencent à apparaître à cet égard. Aussi, outre la certification, la Commission examinera-t-elle l'opportunité de créer, pour l'étiquetage en matière de sécurité des produits TIC, un système européen volontaire, axé sur le circuit commercial et ne représentant pas une charge trop lourde.

Pourquoi avons-nous besoin de plus d’investissements dans la cybersécurité dans l’Union européenne?

Le secteur de la cybersécurité dépend fortement des PME innovantes, et les problèmes qui touchent l’investissement dans ce domaine pèsent lourdement sur la capacité à développer le secteur européen de la cybersécurité. Les PME innovantes dans ce domaine sont bien souvent incapables de développer leurs activités faute d'obtenir le financement nécessaire pour les soutenir lors des premières étapes de leur expansion. En outre, les entreprises n'ont pas facilement accès au capital risque en Europe et les budgets dont elles disposent pour accroître leur visibilité grâce au marketing ou faire face à la disparité des exigences en matière de normalisation et de conformité sont insuffisants. 75 % des répondants à la récente consultation publique sur la cybersécurité estimaient qu’ils n’avaient pas suffisamment accès à des ressources financières pour financer des projets et initiatives en matière de cybersécurité.

Que compte faire la Commission?

Afin de faciliter l’accès au financement et de soutenir l’émergence de pôles de cybersécurité et de centres d'excellence en la matière compétitifs sur le plan mondial, la Commission entend:

  • mieux sensibiliser la communauté de la cybersécurité aux possibilités de financement disponibles aux niveaux européen, national et régional (à la fois en ce qui concerne les instruments horizontaux et les appels spécifiques) en ayant recours aux instruments et canaux existants tels que le réseau «Entreprise Europe»;
  • étudier, avec la Banque européenne d'investissement (BEI) et le Fonds européen d'investissement (FEI), des moyens de faciliter l'accès au financement. Il pourra s'agir de fonds propres, d'investissements en quasi-fonds propres, de prêts et de garanties pour des projets ou de contre-garanties fournies à des intermédiaires, par exemple dans le cadre du Fonds européen pour les investissements stratégiques;
  • examiner la possibilité de créer, avec les États membres et régions intéressés, une plateforme de spécialisation intelligente en matière de cybersécurité pour aider à coordonner et à planifier les stratégies de cybersécurité et mettre en place une collaboration stratégique entre les acteurs dans les écosystèmes régionaux.

III. Partenariat public-privé sur la cybersécurité

Pourquoi l’Union européenne a-t-elle besoin d’un partenariat public-privé en matière de cybersécurité?

La mise en place d’un partenariat public-privé (PPP) sur la cybersécurité dans le domaine des technologies et des solutions pour la sécurité des réseaux en ligne est l’une des 16 initiatives présentées dans la stratégie pour un marché unique numérique de la Commission. Certaines lacunes subsistent dans le domaine en rapide mutation des technologies et des solutions pour la sécurité des réseaux en ligne et une approche plus concertée peut contribuer à renforcer l’offre de solutions plus sûres par le secteur en Europe et encourager leur utilisation par les entreprises, les pouvoirs publics et les particuliers.

L’expérience acquise par la Commission dans le cadre des partenariats public-privé numériques existants montre qu'ils permettent aux partenaires de développer une approche stratégique, à long terme, de la recherche et de l’innovation et qu'ils réduisent les incertitudes en permettant des engagements à long terme. Le PPP sur la cybersécurité permettra de réunir des ressources publiques et privées afin d’atteindre l’excellence dans la recherche et l’innovation et d'optimiser l’utilisation des fonds disponibles grâce à une meilleure coordination avec les États membres et les régions. L’objectif est d’aider le secteur européen de la cybersécurité à tirer parti de l’expansion du marché mondial de la cybersécurité (estimé à 65,9 milliards de dollars en 2013 et devant atteindre 80 à 120 milliards de dollars d’ici à 2018 — source).

Le PPP sur la cybersécurité permettra:

  • d'instaurer un climat de confiance parmi les États membres et les acteurs du secteur en promouvant la coopération dès les premières étapes du processus de recherche;
  • d'aligner l'offre et la demande de produits et services de cybersécurité pour permettre aux entreprises de mieux comprendre les besoins des utilisateurs finals et des secteurs qui recourent aux solutions de cybersécurité (énergie, santé, transports, finance, par exemple);
  • de développer des éléments fondamentaux communs, reproductibles et ne dépendant pas du secteur de la cybersécurité, tels que le stockage et le traitement cryptés ou la communication sécurisée. Ces éléments devraient contribuer à garantir la compatibilité des solutions par-delà les frontières, tout en offrant une certaine souplesse, les produits pouvant être ensuite adaptés aux besoins de certains marchés ou de certains clients.

Qui fera partie du PPP?

Le PPP est un partenariat entre la Commission européenne et les acteurs du marché de la cybersécurité, représentés par l’organisation européenne pour la cybersécurité (ECSO). Ce partenariat regroupera également des membres d’administrations publiques nationales, régionales et locales, de centres de recherche et d'universités.

L’organisation européenne pour la cybersécurité (ECSO) a été créée le 13 juin à Bruxelles. Entièrement autofinancée, l'ECSO est une association sans but lucratif (ASBL) de droit belge. Elle est dirigée par le secteur de la cybersécurité, ses membres comprenant de grandes entreprises européennes, des PME et de jeunes entreprises innovantes, des centres de recherche, des universités, des pôles et des associations ainsi que des administrations locales, régionales et nationales des États membres de l’Union européenne et de l’Espace économique européen (EEE) et de l’Association européenne de libre-échange (AELE) et des pays associés à Horizon 2020. Les membres fondateurs sont l'Organisation européenne pour la sécurité, l'Alliance pour la confiance numérique, Guardtime qui agit au nom de l’Association estonienne des TIC, et Teletrust. L’accord de partenariat est signé aujourd’hui à Strasbourg. De plus amples informations sur l’association seront publiées à l’adresse suivante: http://www.ecs-org.eu/.

Quand le PPP sera-t-il opérationnel?

Le contrat entre l’Union européenne, représentée par la Commission européenne, et l'ECSO, qui représente le secteur de la cybersécurité, sera signé le 5 juillet à Strasbourg. Les activités dans le cadre du PPP pourront alors commencer; il est envisagé de lancer au premier trimestre de 2017 les premiers appels à propositions relatifs au PPP, au titre d'Horizon 2020.

À combien s'élèvera le montant de l'investissement?

L'UE investira 450 millions d'euros€ dans les appels à propositions relatifs à ce partenariat, au titre de son programme de recherche et d'innovation Horizon 2020 [Primauté dans le domaine des technologies génériques et industrielles (LEIT-ICT) et le défi de société intitulé «Des sociétés sûres» - SC7].

Les acteurs du marché de la cybersécurité, représentés par l'ECSO, devraient investir trois fois plus. La Commission s'attend à ce que les entreprises du secteur complètent le financement public par des investissements privés à fort effet de levier, notamment le financement d'activités de recherche et d’innovation et d'activités de marché connexes.

Comment le PPP agira-t-il sur la cybersécurité?

Le PPP permettra de conseiller la Commission européenne sur le volet «cybersécurité» des futurs programmes de travail relevant d’Horizon 2020. Il constituera également une plate-forme de discussion entre l'offre et la demande de produits et de solutions de cybersécurité, ce qui permettra aux parties prenantes de définir un ensemble commun d’exigences pour différents secteurs. Les subventions en faveur des projets relatifs au PPP seront accordées dans le cadre d’appels à propositions, conformément à la réglementation d'Horizon 2020. Ces appels seront décrits dans le programme de travail Horizon 2020, établi d’un commun accord par la Commission et les États membres. En règle générale, ces appels sont ouverts à toutes les parties intéressées éligibles, c’est-à-dire les entreprises, les universités et les organismes de recherche établis dans l’UE et dans les pays associés à Horizon 2020.

Qu'apportera ce partenariat?

Le secteur de la cybersécurité a élaboré un programme stratégique de recherche et d’innovation, qui recense les priorités techniques suivantes:

  • Assurance et sécurité / respect de la vie privée dès la conception
  • Gestion des identités et des accès et gestion de la confiance
  • Sécurité des données (par exemple, techniques de protection des données, analyse des mégadonnées respectueuse de la vie privée, traitement sécurisé des données, stockage sécurisé; responsabilisation des utilisateurs et opérations effectuées sur des données cryptées)
  • Protection des infrastructures TIC (gestion des cybermenaces, sécurité des réseaux, sécurité des systèmes, sécurité de l'informatique en nuage et matériel sécurisé/sécurité des points de terminaison/sécurité mobile)
  • Services de cybersécurité (par exemple, audit, mise en conformité et certification, gestion des risques, organisation de la cybersécurité et services de formation à la sécurité)

Ce programme stratégique mentionne aussi plusieurs domaines de nature non technique dans lesquels il convient d’agir:

  • Enseignement, formation et développement des compétences
  • Promotion de l’innovation dans le secteur de la cybersécurité
  • Normalisation, réglementation et certification
  • Aspects sociétaux
  • Développement d’un écosystème en matière de cybersécurité
  • Définition de la chaîne de valeur de la cybersécurité
  • Stimulation des PME
  • Suivi ascendant de l'innovation en matière de cybersécurité

La Commission prendra ces éléments en considération pour définir les prochains programmes de travail Horizon 2020.

La Commission a-t-elle consulté les parties prenantes pour créer le PPP?

La Commission a lancé une consultation publique le 18 décembre 2015 en vue de recueillir des avis aux fins du futur PPP sur la cybersécurité. Cette consultation a permis de recueillir les points de vue et les attentes d'entreprises, d'organismes publics et de particuliers en ce qui concerne l’innovation en matière de cybersécurité et le fonctionnement du marché unique européen dans le domaine des produits et services de cybersécurité. Elle était accompagnée d’une feuille de route en vue d'un partenariat public-privé sur la cybersécurité.

La Commission et l’ENISA ont organisé plusieurs ateliers avec les parties prenantes. Voir les informations générales sur le processus de consultation.

 

MEMO/16/2322

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar