L’initiative législative a fait sa première apparition mardi (28 février) dans la version mise à jour du programme de travail de la Commission européenne, mais est en préparation depuis un an. Voici à quoi s’attendre.
En mars 2022, alors que l’Europe était encore sous le choc de la nouvelle de l’agression russe en Ukraine, les ministres de l’UE se sont réunis à Nevers, en France, et ont discuté de l’idée de renforcer pour la première fois la capacité des pays européens à faire face à des cyberattaques à grande échelle.
La présidence française de l’époque a proposé la création d’un fonds d’urgence pour la cybersécurité, accessible aux gouvernements nationaux, afin d’employer des sociétés de cybersécurité de confiance pour mener des audits et répondre aux incidents.
C’est le postulat du Cyber Solidarity Act, un projet de règlement que la Commission devrait présenter le 5 avril. Selon une source informée sur la question, le modèle suit l’approche ukrainienne des institutions publiques et des entreprises privées s’associant pour assurer la cybersécurité.
Cyber Réserve
L’idée a fait son chemin dans la politique de cyberdéfense de l’UE, qui a ensuite été rebaptisée initiative européenne de cybersolidarité. Son objectif est d’établir une « cyberréserve » composée de fournisseurs privés de confiance qui seraient qualifiés avec une certification et soutiendraient les réponses aux cyberattaques importantes.
Les critères de sélection de ces fournisseurs de confiance ne sont toujours pas connus, mais les géants européens de la sécurité comme Atos, Thales, WithSecure et BitDefender sont les candidats les plus probables. La grande question est de savoir si l’accès à la réserve sera limité aux entreprises américaines comme Microsoft.
Compte tenu de la sensibilité de la question et de la tendance récente de la Commission à privilégier les entreprises européennes dans la certification de cybersécurité, il faut s’attendre à certaines limitations aux entreprises étrangères – à tout le moins, l’exclusion des entreprises jugées trop proches des puissances hostiles, comme ce fut le cas avec Huawei et la boîte à outils 5G.
Une indication significative de la façon dont le projet pourrait être exécuté est un projet pilote surnommé le programme de partenaires de confiance sur lequel l’ENISA, l’agence de cybersécurité de l’UE, travaille depuis l’été dernier.
Le pilote a lancé un appel d’offres public d’une valeur de 28 millions d’euros divisé en 28 lots pour l’UE27 plus un au niveau européen. Dans plusieurs pays, les candidats éligibles doivent recevoir une habilitation de sécurité, une certification ou une accréditation nationale, OTAN ou UE.
Cadre politique
Jusqu’à fin janvier, l’exécutif européen n’avait toujours pas décidé si l’initiative nécessitait une législation, a déclaré à l’époque un porte-parole de la Commission à EURACTIV.
Proposer une nouvelle législation à ce stade avancé du mandat ne sera pas bien accueilli par le Conseil des ministres de l’UE, où les représentants nationaux déplorent qu’ils aient déjà une capacité étirée et souhaitent se concentrer sur la loi sur la cyber-résilience.
Au niveau national, les pays de l’UE sont également occupés à mettre en œuvre la directive révisée sur la sécurité des réseaux et de l’information (NIS2) et la résilience des entités critiques et la mise en œuvre des centres régionaux d’opérations de sécurité (SOC), pour lesquels un appel à financement a été clôturé il y a deux semaines.
La vision de la Commission est que les SOC régionaux seraient fédérés pour partager les renseignements sur les menaces au niveau de l’UE et former un «cyberbouclier». L’initiative Cyber Solidarité vise à établir l’infrastructure de détection européenne sous-jacente.
Une autre question politique est de savoir si la Commission tentera d’imposer le partage de renseignements sur les menaces, une mesure à laquelle s’opposent les pays de l’UE, car elle pourrait contenir des informations sensibles susceptibles de compromettre la sécurité nationale si elles tombaient entre de mauvaises mains.
Mais la vraie raison d’une proposition législative est qu’il n’y a pas de cadre juridique pour allouer ce financement, a confirmé un porte-parole de la Commission à EURACTIV.
Un précédent récent peut être observé avec le Chips Act, qui définit dans quelles conditions les entreprises qui contribuent à renforcer la capacité européenne des semi-conducteurs peuvent recevoir des aides d’État.
Les organisations définies pour être éligibles pour recevoir le soutien des fournisseurs de confiance sont les entités critiques identifiées sous NIS2. Néanmoins, charger les pays de l’UE de distribuer le financement pourrait être contraire aux règles de l’UE en matière d’aides d’État.
Cependant, la question de la gouvernance est assez sensible car elle met en cause le rôle du Centre européen de compétences en cybersécurité.
Gouvernance
L’organe de l’UE a été créé en 2021 précisément pour renforcer la capacité de l’Europe en matière de cybersécurité. Cependant, la Commission avait espéré garder sous son aile le Centre de compétences de Bruxelles, mais la Roumanie a réussi à obtenir son premier organe de l’UE à Bucarest.
Comme EURACTIV l’a révélé en avril dernier, l’exécutif européen a par conséquent retardé la nomination du nouveau directeur exécutif du Centre afin de conserver son patronage sur celui-ci. Deux ans après sa création, l’organe de l’UE n’a toujours pas son poste le plus élevé et manque cruellement de personnel.
Cependant, la Commission hésite à accorder au centre de compétences une indépendance complète précisément parce qu’il est censé gérer les fonds de l’UE dédiés au renforcement des capacités en matière de cybersécurité.
En d’autres termes, exclure l’instance de l’UE de l’initiative discréditerait sa raison d’être. Dans le même temps, l’ENISA semble être la seule capable de mener un projet comme celui-ci.
Budget
Le financement de l’initiative Cyber Solidarité devrait provenir du programme Europe numérique. Cependant, tout comme le Chips Act, le projet se heurtera probablement à la dure réalité d’un budget européen déjà tendu et à la réticence des États membres à investir des ressources supplémentaires.
Remarquablement, la politique de cyberdéfense anticipe ces contraintes budgétaires en déclarant que « si la portée de l’action et la répartition des coûts d’interventions spécifiques dépendraient du financement de l’UE disponible, l’UE ajouterait également de la valeur en garantissant la disponibilité et la préparation d’une telle UE- réserve de niveau ».
[Edited by Nathalie Weatherald]