business
Cybersecurity Act : un nouvel élan pour l’Europe

La Commissaire européenne, Mariya Gabriel, ainsi que le Vice-Président de la Commission Andrus Ansip, ont salué le 8 juin 2018 l’accord politique du Conseil des Télécommunications en faveur du Cybersecurity Act. Ces deux hauts responsables politiques sont en charge de la mise en place du nouveau plan de lutte contre les cybermenaces avec l’objectif de développer un système de protection collectif et uniformisé dans l’ensemble des pays de l’Union Européenne. Ce projet annoncé lors du discours de l’État de l’Union en septembre 2017 avance à grands pas, notamment, grâce au suivi renforcé des autorités européennes.

La première étape de cette stratégie est d’ores et déjà rentrée en application au travers de la transposition de la directive NIS (Network and Information Security) dans le droit national des pays membres en date du 9 mai 2018. Ce texte comprend d’importantes avancées à l’instar de l’obligation de la mise en place d’une capacité de réponse aux menaces en ligne au travers de la création de CSIRTs (Computer Security Incident Response Team) nationaux et de leur intégration dans un réseau européen commun, ou encore la supervision au niveau national des risques de cybersécurité pour les opérateurs de services essentiels.

Parmi ses nouveaux objectifs, la Commission souhaite donner une place plus importante à l’ENISA (European Union Agency for Network and Information and Security) en redéfinissant son statut comme l’agence européenne consacrée à la cybersécurité avec un mandat permanent, valorisant d’autant plus son expertise, avec une lettre de mission élargie, afin de répondre directement aux besoins croissants des États membres. Dans le cadre de ses nouvelles prérogatives, elle aura pour responsabilité de développer un cadre de certification européen qui assurera aux différents acteurs que leurs produits et services répondent aux standards de sécurité applicables.

Cette stratégie comprendra également le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétences, et un cadre légal mieux adapté aux problématiques de la cyber criminalité. Certaines de ces initiatives ont déjà été mises en place dans plusieurs pays telles que la création du Cybersecurity Competence Center (C3) et du projet MISP au Luxembourg. La création d’un fonds d’intervention d’urgence européen pourra également être envisagé en fonction de l’évolution des structures et outils précédemment cités et des besoins des parties prenantes.

Bien que cette problématique fasse déjà partie intégrante du plan Horizon2020, et plus particulièrement dans le cadre du Marché unique numérique (DSM), la place de la cybersécurité a grandement évoluée au cours de ces dernières années, passant d’un sujet d’expert à une menace ressentie par l’ensemble de la société civile. C’est ce qui a donné naissance à différents programmes de sensibilisation à l’image du Mois européen de la cybersécurité (European Cyber Security Month).

Grâce à la définition de ce plan d’action, certains acteurs européens ont créé le cadre juridique et institutionnel pour développer un écosystème de la cybersécurité capable de soutenir et protéger le développement de l’économie numérique de l’Union Européenne.

François Thill, directeur de la cybersécurité au Ministère de l’économie du Luxembourg et représentant du Grand-Duché auprès de l’ENISA, a partagé son expertise concernant les enjeux de la cybersécurité en Europe.

« la cybersécurité n’est plus considérée comme un combat solitaire mais un travail collectif »                                                 François Thill, Directeur de la cybersécurité au Ministère de l’économie    et représentant du Grand-Duché auprès de l’ENISA

Quelles sont vos premières réactions face à l’avancée de cette stratégie de régulation de la cybersécurité européenne ?

Je dénote qu’il y a une nouvelle compréhension, la cybersécurité n’est plus considérée comme un combat solitaire mais un travail collectif, et que celle-ci est un facteur de développement économique, une position défendue par le Luxembourg depuis plusieurs années. Cette évolution de point de vue répond à la professionnalisation des menaces, il est maintenant impossible de créer un système efficace de protection sans s’appuyer sur un réseau de partage de connaissances. L’attaque ILOVEYOU survenue au début des années 2000, qui a été l’une des premières attaques de grande envergure, a démontré la facilité de créer une menace pénalisant les acteurs institutionnels et l’impact direct de la cybersécurité sur l’économie réelle.  Rapidement à la suite de cette menace, la décision a été prise en Europe de changer les aspects organisationnels, comportementaux et techniques de la cybersécurité. Le système CASES a été mis en place à ce moment, d’après l’inspiration d’un projet belge. Cependant le Luxembourg ne voulait pas s’arrêter aux virus, mais suivre l’ensemble des typologies d’attaque. Ensuite SECURITYMADEIN.LU a été créé en réponse aux besoins croissants du marché et en 2014 il y a eu un changement de paradigme, menant à la perception de la cybersécurité comme un relais de croissance économique à part entière.

Il semble que le Cybersecurity Act soit traité avec une célérité particulière, quelles peuvent en être les raisons ?

Tout d’abord, il faut reconnaître que la coopération entre les pays membres ne fonctionnait pas bien dans la configuration actuelle. Cependant, même si cette loi constitue un pas important, cela ne reste qu’une première étape. L’élément le plus important de cette nouvelle stratégie est le fait que l’ENISA aura maintenant un mandat permanent.

Quels sont les blocages empêchant une prise de conscience commune ?

Le grand problème est l’état d’esprit de nombreuses personnes s’occupant de la cybersécurité. Dans beaucoup de pays toutes les informations liées à la cybersécurité sont classées « secret défense » ». Ce qui implique que des structures étatiques sont souvent des boîtes noires, elles agrègent les données, mais ne partagent aucune information au grand public et cela constitue un frein à une prise de conscience de tous les acteurs. Nombreuses sont les entités qui gardent, pour des raisons historiques, un fonctionnement très fermé. Ils récoltent de l’information, la traitent en interne et la conservent pour leur usage unique. Ce qui est très différent au Luxembourg, aussi parce qu‘une structure en charge de la cybersécurité est reliée au Ministère de l’économie. Celle-ci ayant pour objectif de catalyser l’information, l’analyser et la redistribuer aux acteurs du marché, afin de les inciter à innover de manière sécurisée.

Existe-t-il d’autres pays avec un système similaire ?

Il y en a quelques-uns. Le Luxembourg a décidé d’investir dans des structures telles que SECURITYMADEIN.LU qui ont pour objectif de démocratiser la cybersécurité. Ainsi, la plateforme MISP est l’une des solutions répertoriant le plus d’indicateurs d’évaluation des risques, du fait de son caractère ouvert qui permet l’intégration permanente de nouveaux acteurs. La cybersécurité est comme la météo, il y a des espaces où il y a beaucoup d’attaques à un certain moment, puis cela se transmet d’un endroit a un autre du web. Le suivi et le transfert d’information sont très important, car les acteurs peuvent se préparer en amont et donc mieux appréhender l’attaque. Il y a eu plusieurs essais de mettre en place des ISACs (Information Sharing and Analysis Centers), des systèmes spécifiques au domaine bancaire, mais une fois de plus cela a été généralement fait au sein d’un très petit groupe d’utilisateurs. Cela était malheureusement trop élitiste, trop lent et trop lourd et s’est fait avec la même mentalité de troc d’information plutôt que d’un partage.

Est-ce que les choix pris par le Luxembourg de placer certains services de cybersécurité sous la responsabilité du ministère de l’économie donne plus de poids aux besoins de l’économie, afin de créer des standards en direction du marché ?

Ce qui encadre la cybersécurité aujourd’hui est un héritage des standards ISO/IEC 27001 et surtout common criteria, ce dernier étant un vieux standard se concentrant uniquement sur des niveaux très élevés de protection. Seule la très haute sécurité est concernée par ce standard. Cependant cela est discriminatoire envers les petites entreprises qui sont pourtant créatrices d’innovation. Elles sont laissées de fait en dehors du cadre des certifications existantes, parce que les démarches peuvent durer entre une et deux années et coûter dans les 1 million d’euros. C’est une approche qui est aussi usurpée pour éviter la concurrence. A l’inverse, créer un cadre de certification uniformisé est nécessaire à la création d’un réel marché unique numérique. Donner cette mission a l’ENISA est une très bonne approche, mais le problème réside dans le fait de définir quels seront les standards à certifier. Il faudrait adopter trois niveaux de certitude : haute, moyenne et basse. Cela pourrait ainsi permettre de certifier toutes les typologies d’entreprises.

Comment se crée un standard ?

La création du standard est en général assez lente, car le but recherché est de contenter l’ensemble des acteurs concernés. Mais de cette manière le résultat fonctionne assez bien et est basé sur un consensus. Par exemple, il a été demandé à l’ILNAS de créer un standard pour la dématérialisation et la conservation de  documents. Ils font donc appel à la communauté afin que celle-ci s’exprime, il en résultera un compromis qui conviendra à la majorité des acteurs du marché.

Le fait d’avoir des standards de tous niveaux permettra-t-il aux PME, composant la majorité du tissu économique, d’accéder à des mesures de cybersécurité souvent délaissées pour des questions de ressources ?

L’idée derrière ces standards est de créer des signes de reconnaissance, afin de savoir à qui se fier sur un marché étendu tel que celui de l’Union Européenne. Le marché vivant de la confiance, la certification est un outil qui aide à reconnaître et donc créer de la confiance.

Est-ce que les règles du Cybersecurity Act s’appliqueront aux pays non membres de l’UE ?

C’est une solution possible, mais cela dépendra de l’organisme choisi afin de créer ces standards certifiables. Soit l’ISO, pour une certification mondiale, soit l’ETSI pour une certification au niveau européen. Le Luxembourg va, par exemple, créer un standard national pour la collecte et conservation des données qui va aussi être proposé à l’ISO.

De manière générale, quels sont selon vous les nouveaux défis de la cybersécurité ?

Aujourd’hui la cybersécurité subit un effet domino gigantesque émanant des liens de dépendance entre acteurs et pays, on vit dans une unique société mondialisée.  De plus, on ne peut plus croire que l’on peut acheter la sécurité. On peut comparer cette situation à notre comportement sur la route : la voiture est déjà sécurisée, mais le comportement du conducteur, des autres conducteurs ainsi que les infrastructures sont tout aussi importants. La solidité de ce système doit donc reposer sur un partage d’informations au plus grand nombre de personnes au travers d’outils tels que MONARC et MISP entre autres. La certification, quant à elle, permettra de reconnaître les acteurs compétents et les aider à se mettre en valeur sur le marché.

Notre démarche, au Luxembourg, est axée sur une gestion inclusive et participative de la cybersécurité. La taille du pays simplifie les prises de contact et les processus car les chemins entre les acteurs sont plus courts. Les décisions des ministres sont flexibles et peuvent s’adapter rapidement aux tendances de l’économie, il n’y a donc que très peu de force d’inertie du fait d’un système moins lourd que dans d’autres pays. Le Luxembourg ambitionne aujourd’hui de devenir une data driven économie. Pour atteindre cet objectif il nous faudra investir dans la cybersécurité de manière intelligente, en invitant tous les acteurs publics et privés autour de la table afin d’inventer ensemble un modèle de travail innovant.