Navigation path

Left navigation

Additional tools

Commission européenne - Questions et réponses

Questions et réponses – La cybersécurité dans l'UE

Bruxelles, le 26 juin 2019

Qu'a fait l'UE jusqu'à présent pour renforcer la cybersécurité?

L'UE s'est dotée d'une série d'instruments pour protéger les réseaux de communications électroniques. Elle a notamment adopté la directive sur la sécurité des réseaux et des systèmes d'information (directive SRI), le règlement sur la cybersécurité et une nouvelle réglementation sur les télécommunications.

La directive a institué de nouveaux mécanismes de coopération à l'échelle de l'UE, elle prévoit des mesures pour accroître les capacités nationales et elle impose aux opérateurs de services essentiels et aux fournisseurs de services numériques d'adopter des pratiques de gestion des risques et de signaler aux autorités nationales les incidents dont l'impact est significatif.

Pour sa part, le règlement sur la cybersécurité instaure les toutes premières règles de l'UE en matière de certification de cybersécurité des produits, processus et services. En outre, il confie à l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ci-après l'«agence de l'UE pour la cybersécurité» ou ENISA) un nouveau mandat permanent et lui alloue plus de ressources pour lui permettre d'atteindre ses objectifs.

En vertu de la nouvelle réglementation sur les télécommunications (dite «code des communications électroniques»), les États membres doivent garantir l'intégrité et la sécurité des réseaux publics de communications, en veillant notamment à ce que les opérateurs prennent les mesures techniques et organisationnelles nécessaires pour gérer comme il se doit tout risque menaçant la sécurité des réseaux et des services. Les autorités de régulation nationales compétentes sont aussi investies de certains pouvoirs, dont celui d'émettre des instructions contraignantes et d'en imposer le respect. En outre, les États membres peuvent assortir l'autorisation générale qu'ils délivrent aux opérateurs de conditions relatives à la sécurité des réseaux publics face aux accès non autorisés, afin de protéger la confidentialité des communications.

Enfin, en mai 2019, le Conseil a établi un régime de sanctions qui permet à l'UE d'imposer des mesures restrictives ciblées pour décourager et contrer les cyberattaques menaçant l'UE et ses États membres de l'extérieur. Ce nouveau régime de sanctions fait partie de la «boîte à outils cyberdiplomatique» de l'UE, à savoir un cadre pour une réponse diplomatique commune de l'UE aux actes de cybermalveillance, qui lui permet de faire pleinement usage des mesures de la politique étrangère et de sécurité commune (déclarations de la haute représentante, démarches diplomatiques et, si nécessaire, mesures restrictives) pour répondre aux actes de cybermalveillance.

Qu'est-ce que le cadre européen de certification de cybersécurité, et quels sont ses avantages?

Un schéma européen de certification de cybersécurité est un ensemble complet de règles, d'exigences techniques, de normes et de procédures, qui sont établies à l'échelon de l'Union et permettent d'évaluer les caractéristiques en matière de cybersécurité d'un produit, d'un service ou d'un processus donné.

La certification en matière de cybersécurité joue un rôle important lorsqu'il s'agit de renforcer la confiance des utilisateurs et d'accroître la sécurité des produits, des services et des processus essentiels au bon fonctionnement du marché unique numérique. Compte tenu de la grande diversité et des nombreuses utilisations des produits, services et processus TIC, le cadre européen de certification de cybersécurité permet de créer des schémas de certification européens sur mesure et fondés sur les risques.

En particulier, chaque schéma européen devrait préciser: a) les catégories de produits et services couverts, b) les exigences de cybersécurité, par exemple par référence à des normes ou spécifications techniques, c) le type d'évaluation (par exemple, l'autoévaluation ou l'évaluation par un tiers), et d) le niveau d'assurance visé (par exemple, élémentaire, substantiel ou élevé).

Pour exprimer le risque en matière de cybersécurité, un certificat peut faire référence à trois niveaux d'assurance (élémentaire, substantiel, élevé) qui sont proportionnés au niveau de risque associé à l'utilisation prévue du produit, service ou processus, eu égard à la probabilité et à l'impact d'un incident. Par exemple, un niveau d'assurance élevé signifie que le produit certifié a satisfait aux tests de sécurité les plus exigeants.

Le certificat obtenu sera reconnu dans tous les États membres, ce qui facilitera l'activité transfrontière des entreprises et aidera les utilisateurs à mieux comprendre les caractéristiques de sécurité du produit ou du service. Cela permettra d'instaurer une concurrence bénéfique entre fournisseurs sur l'ensemble du marché de l'UE et, partant, d'améliorer la qualité des produits ainsi que leur rapport qualité-prix.

Sécurité dès la conception: le cadre encourage aussi les organisations, les fabricants ou les fournisseurs impliqués dans la conception et le développement de produits, services ou processus à mettre en œuvre des mesures aux stades les plus précoces de la conception et du développement. Cela permettra de protéger au mieux la sécurité de ces produits, services et processus, de manière que la survenue de cyberattaques soit anticipée et minimisée («sécurité dès le stade de la conception»).

Le cadre européen de certification s'appuiera autant que possible sur des normes internationales, de manière à éviter de créer des entraves aux échanges ou des problèmes d'interopérabilité technique.

Qui bénéficiera du cadre de certification et selon quelles modalités?

La possibilité de faire confiance aux systèmes numériques dont nous dépendons est directement liée à la capacité à comprendre si un produit, système ou service répond à des exigences spécifiques. Par conséquent, le cadre se révélera utile pour:

  • les particuliers et les utilisateurs finaux (par exemple, les opérateurs de services essentiels), qui seront en mesure de prendre des décisions d'achat plus éclairées quant aux produits et services qu'ils utilisent quotidiennement. Ainsi, un consommateur qui envisage d'acheter un téléviseur intelligent et est conscient des risques en matière de cybersécurité qu'implique la connexion d'objets intelligents à l'internet pourra consulter le site web consacré à la certification de cybersécurité en Europe de l'Agence de l'UE pour la cybersécurité. Il pourra y trouver un modèle certifié conforme aux exigences de cybersécurité appropriées, des conseils fournis par le vendeur sur la manière d'installer, de configurer et d'utiliser le téléviseur de manière sécurisée et savoir pendant combien de temps le vendeur s'engage à fournir des correctifs de sécurité en cas de découverte de nouvelles vulnérabilités;
  • les vendeurs et les fournisseurs de produits et services [y compris les petites et moyennes entreprises (PME) et les nouvelles entreprises], qui réaliseront des économies de temps et de coûts puisqu'ils n'auront qu'une seule procédure à suivre pour obtenir un certificat européen valable dans tous les États membres, ce qui leur permettra d'être réellement compétitifs sur ces marchés. En outre, les vendeurs de produits et services TIC seront désireux d'informer les acheteurs, éventuellement à l'aide d'une étiquette spécifique qui fait référence au certificat;
  • les pouvoirs publics, qui, comme tous les acheteurs individuels et commerciaux, seront mieux à même de prendre leurs décisions d'achat en connaissance de cause.

Afin d'apporter une valeur ajoutée aux certificats de cybersécurité, les fabricants ou fournisseurs de produits, services ou processus certifiés, notamment ceux auxquels une déclaration UE de conformité a été délivrée, fourniront des informations supplémentaires spécifiques en matière de cybersécurité (par exemple, des orientations et des recommandations pour aider les utilisateurs finaux à configurer, installer, déployer, utiliser et assurer la maintenance des produits ou services en toute sécurité).

Quelle sera la valeur ajoutée du cadre pour les PME et les start-up?

Généralement, il est plus difficile aux PME et aux nouvelles entreprises de conquérir de nouveaux marchés sur lesquels les exigences sont différentes. Le cadre contribuera à réduire ces obstacles à l'entrée sur le marché pour les PME et les nouvelles entreprises, puisqu'elles ne devront se soumettre qu'une seule fois au processus de certification de leurs produits et que le certificat obtenu sera valable dans toute l'UE. En outre, étant donné que les besoins de solutions mieux sécurisées devraient augmenter dans le monde entier, les entreprises, notamment les PME, dont les produits sont certifiés bénéficieront d'un avantage concurrentiel pour répondre à cette demande. Par ailleurs, la possibilité pour les entreprises de recourir à l'autoévaluation de la conformité aux exigences de sécurité pour les produits, processus et services qui présentent un risque faible rend le cadre encore plus attrayant pour les PME et les start-up.

Prenons l'exemple d'une PME qui développe et vend des applications TIC à des entreprises de plus grande taille qui exigent d'obtenir l'assurance que le niveau de sécurité de ces applications est approprié et que leur développement respecte les meilleures pratiques en vigueur en matière de sécurisation du codage. L'utilisation d'un certificat européen de cybersécurité permettra à cette PME d'attester aussi bien de la sécurité de ses produits que du caractère sécurisé de ses pratiques de développement et de satisfaire ainsi aux exigences de ses clients non seulement dans un État membre, comme c'est souvent le cas actuellement, mais aussi dans l'ensemble de l'UE.

La certification de cybersécurité deviendra-t-elle obligatoire?

Les schémas établis au titre du cadre sont volontaires, c'est-à-dire que les vendeurs peuvent décider eux-mêmes s'ils souhaitent que leurs produits soient certifiés au titre de ces schémas. Toutefois, le règlement sur la cybersécurité prévoit que la Commission évalue l'efficacité et l'utilisation des schémas européens de certification de cybersécurité adoptés. En particulier, elle déterminera si un schéma européen de certification de cybersécurité donné devrait être rendu obligatoire au moyen de dispositions pertinentes du droit de l'Union, pour garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union et améliorer le fonctionnement du marché intérieur En outre, les schémas existants pourraient servir, aux fins d'autres dispositions législatives au niveau national ou de l'UE, à fournir la description d'obligations futures concernant les produits ou les systèmes.

Comment l'Agence de l'Union européenne pour la cybersécurité est-elle renforcée?

L'Agence disposait jusqu'à présent d'un mandat temporaire, qui a été renouvelé en dernier lieu en 2013 et qui devait expirer en 2020. Le règlement sur la cybersécurité lui donne un mandat permanent, qui l'assoit donc sur un fondement stable pour l'avenir.

Les tâches actuelles de l'Agence de l'UE pour la cybersécurité, telles que l'assistance à l'élaboration et à la mise en œuvre des politiques liées à la cybersécurité et le soutien au renforcement des cybercapacités, ont été recentrées et renforcées. De nouvelles tâches ont été ajoutées, surtout en ce qui concerne la certification de cybersécurité.

Le nouveau mandat de l'Agence intègre enfin les missions supplémentaires importantes qui lui incombaient déjà en vertu de la directive SRI adoptée en 2016, comme assurer le secrétariat du réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), qui fédère les CSIRT nationaux des États membres. Afin de permettre à l'Agence de s'acquitter de ce surcroît de responsabilités, ses effectifs peuvent augmenter de 50 %, et ses ressources sont doublées, passant de 11 à 23 millions d'EUR sur une période de 5 ans.

Quelles sont les principales tâches confiées à l'Agence de l'UE pour cybersécurité par son nouveau mandat?

  • Soutien à la mise en œuvre des politiques dans le domaine de la cybersécurité, en particulier à la mise en œuvre de la directive SRI, mais aussi soutien à d'autres initiatives relevant de différents secteurs (énergie, transport, finance, par exemple) dès lors qu'elles intègrent des éléments de cybersécurité. L'Agence de l'UE pour la cybersécurité aidera aussi les États membres à mettre en œuvre les aspects touchant spécifiquement à la cybersécurité du droit et des politiques de l'Union relatifs à la protection des données et de la vie privée.
  • Renforcement des capacités en matière de cybersécurité. Par exemple, l'Agence dispensera des formations pour améliorer les compétences et l'expertise des pouvoirs publics européens et nationaux, notamment en termes de réaction aux incidents et de mesures réglementaires de surveillance de la cybersécurité.
  • Travail en lien avec le marché (normalisation, certification de cybersécurité). Par exemple, l'Agence analysera les tendances pertinentes sur le marché de la cybersécurité, afin de mieux faire correspondre l'offre et la demande, et soutiendra l'élaboration des politiques de l'UE dans les domaines de la normalisation des TIC et de la certification de cybersécurité des TIC.
  • Coopération opérationnelle et gestion des crises. L'objectif est de renforcer les capacités opérationnelles existantes en matière de prévention et, dans l'exercice du secrétariat du réseau des CSIRT, de promouvoir la coopération opérationnelle. L'Agence de l'UE pour la cybersécurité aidera également les États membres qui en font la demande à gérer les incidents et elle interviendra dans la réponse coordonnée de l'UE aux incidents et crises de cybersécurité transfrontières de grande ampleur.
  • Divulgation coordonnée des vulnérabilités. L'Agence de l'UE pour la cybersécurité aidera les États membres ainsi que les institutions, agences et organes de l'UE à établir et à mettre en œuvre, sur une base volontaire, des politiques de divulgation des vulnérabilités. Elle contribuera en outre à améliorer la coopération entre les organisations, les fabricants ou les fournisseurs de produits et services vulnérables, d'une part, et les membres de la communauté des chercheurs en cybersécurité qui identifient ces vulnérabilités, d'autre part.

Quelle approche commune de l'UE en matière de sécurité des réseaux 5G la Commission européenne recommande-t-elle?

Les réseaux de cinquième génération (5G) formeront l'épine dorsale de nos sociétés et de nos économies, notamment dans de nombreux secteurs critiques tels que l'énergie, les transports, la banque et la santé, ce qui met en lumière la nécessité de remédier à toute vulnérabilité en ce qui concerne la sécurité et la confiance. En mars 2019, la Commission européenne a recommandé une série d'étapes et de mesures opérationnelles pour garantir un niveau élevé de cybersécurité des réseaux 5G dans l'ensemble de l'UE. En particulier, elle a recommandé aux États membres de procéder à une évaluation des risques à l'échelle de l'UE avant octobre 2019 et de recenser un ensemble de mesures d'atténuation possibles d'ici à décembre 2019. Pour de plus amples informations sur la recommandation, y compris les prochaines étapes, veuillez consulter le communiqué de presse et les questions et réponses.

Quelles sont les prochaines étapes?

La Commission européenne a proposé d'augmenter sensiblement les investissements dans la cybersécurité et les technologies numériques avancées dans l'UE au cours de la prochaine période budgétaire de l'UE, notamment dans sa proposition de programme pour une Europe numérique. Elle a également proposé un nouveau centre et un nouveau réseau européens de compétences en matière de cybersécurité afin de regrouper les ressources, de coordonner les priorités avec les États membres et de mettre en œuvre des projets pertinents dans le domaine de la cybersécurité. La proposition vise également à créer un réseau de centres nationaux de coordination et une communauté de compétences en matière de cybersécurité afin d'assurer une meilleure coopération et des synergies entre les experts et les structures spécialisées existant dans les États membres. Elle sert parallèlement l'objectif clé d'accroître la compétitivité du secteur de la cybersécurité dans l'UE et de faire de la cybersécurité un avantage concurrentiel pour d'autres secteurs européens.

Pour en savoir plus

Brochure - Renforcer la cybersécurité dans l'Union européenne

Fiche d'information - Résilience, dissuasion et défense: Renforcer la cybersécurité en Europe

Proposition relative à un centre et à un réseau européens de compétences en matière de cybersécurité

Union de la sécurité: 15 initiatives législatives sur 22 approuvées à ce jour

Communiqué de presse - Les négociateurs de l'Union européenne décident de renforcer la cybersécurité en Europe

Communiqué de presse - La Commission européenne recommande une approche commune de l'UE concernant la sécurité des réseaux 5G

QANDA/19/3369

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar