Bientôt une super-agence de la #cybersécurité européenne

L’Europe confirme sa volonté d’améliorer sa cyber-sécurité et annonce la création d’une nouvelle agence pour mieux se défendre. Le 13 septembre, dans son discours annuel sur l’état de l’Union, le président Jean-Claude Juncker a donc annoncé les objectifs pour une meilleure cybersécurité et une libre circulation des données dans l’UE.

La cyber-sécurité prise au sérieux

Ses propositions prévoient en particulier une nouvelle directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces. L’objectif est d’apporter une réponse pénale plus efficace face à la cybercriminalité et un cadre globale européen et en mesure de renforcer la coopération internationale en matière de cybersécurité.

Ces nouvelles règles prévoient également d’assurer la libre circulation des données à caractère non personnel dans l’UE. Ceci permettra donc le stockage et le traitement de données à caractère non personnel dans l’Europe entière. Un coup d’accélérateur pour la création d’un environnement de cloud computing encadré par des règles uniques au sein de l’espace européen.

Une nouvelle agence de cybersécurité européenne

Dans son communiqué, l’UE annonce que son actuelle Agence européenne pour la sécurité des réseaux et de l’information, ENISA, sera transformée en une agence dotée d’un mandat permanent devant aider les États membres à prévenir efficacement les cyberattaques et à y répondre. C’est ainsi une confirmation du rôle que cette agence occupait jusqu’alors.

Pour améliorer la préparation de l’UE en cas d’attaques, elle sera également en charge d’organiser chaque année des exercices de cybersécurité paneuropéens. Elle devra également s’assurer d’un meilleur partage des connaissances et des informations sur les menaces par la création de centres d’échange et d’analyse d’informations.

pour ce faire, l’ENISA verra son budget plus que doubler de 11 à 23 Mios dans 4 ans et son équipe passera de 84 à 125 personnes.

Une certification et une obligation d’annonce de cyber-incident

L’Agence de la cybersécurité, ENISA, sera également en charge de mettre en œuvre un processus de certification. Ce projet proposé à l’échelle de l’UE devra poser un cadre de certification validant un ensemble complet de règles, exigences techniques, normes et de procédures de sécurité.

L’agence devra également contribuer à la mise en œuvre de la directive sur la sécurité des réseaux et des systèmes d’information. Il est d’ores et déjà prévu que celle-ci imposera le signalement des incidents graves aux autorités nationales.

Les pré-requis pour une cyber-sécurité

Cette annonce démontre que monde politique européen est maintenant bien conscient de la nécessité de réduire les cyber-risques.

La démarche est cohérente car elle ne s’offre pas uniquement une agence centrale mais également un cadre législatif lui permettant répondre pénalement à l’explosion de la cyber-criminalité. La création de certification de sécurité est également un point positif qui rappelle le rôle régulatoire des Etats pour éviter des pertes catastrophiques de données. La voie est maintenant tracée pour l’Europe.

Peut-être que l’évolution du paysage de la cyber-sécurité européenne influencera les prochaines décisions de la Suisse.  Pour l’instant MELANI reste notre point de repère national. A suivre donc.

Voici ci-dessous les liens utiles en commençant par l’annonce:

https://ec.europa.eu/commission/news/cybersecurity-and-free-flow-non-personal-data-eu-2017-sep-19_fr

Le communiqué de presse:

Press corner

Highlights, press releases and speeches

La présentation de la nouvelle agence:

https://dcod.ch/wp-content/uploads/2017/09/Cybersecurity-EU-agency-and-certification-framework.en_.pdf

Une présentation de l’état de la cyber-sécurité lors de cette annonce:

https://dcod.ch/wp-content/uploads/2017/09/Cybersecurity.en_.pdf