Placés régulièrement sous le feu nourri des cybercriminels, en particulier avec les rançongiciels, les pays européens contre-attaquent. La Commission européenne soumet davantage d’entreprises et de secteurs d’activités à des exigences plus élevées en matière de cybersécurité. Explications.

Une toutes les 11 secondes. Il s’agit de la fréquence des attaques par rançongiciels dans le monde. Ces ransomwares coûteraient entre 180 et 290 milliards d’euros par an aux pays de l’Union européenne (UE). Laquelle a établi, dans une enquête publiée en mai 2022, que 28 % des PME européennes avaient été victimes de cybercriminels au cours de l’année 2021. 

Des chiffres qui préoccupent d’autant plus que les cyberattaques représentent la forme de criminalité à la croissance la plus rapide au monde. Le coût annuel de la cybercriminalité pour l’économie mondiale en 2020 a été estimé à 5 500 milliards d’euros, soit le double de celui constaté en 2015. Plus inquiétant encore, selon le Forum économique mondial : les cyberattaques font partie des 10 principaux risques encourus par l’humanité. 

La difficile harmonisation des règles de protection

Dans ce contexte, l’Union européenne édicte actuellement de nouvelles règles qui s’appliqueront à un panel élargi de secteurs d’activités. L’objectif est clair : il s’agit d’augmenter drastiquement leur niveau de protection, et d’aboutir à un cadre harmonisé entre les 27 pays membres de l’UE. 

Mais c’est bien là que le bât blesse. La première directive SRI (Sécurité des réseaux et de l’information), également connue sous son nom anglais NIS (Network and Information Security), sortie en 2016, visait déjà cet objectif. La directive SRI est considérée comme le socle juridique commun de la politique européenne de cybersécurité. Mais l’harmonisation entre les États n’a pas eu les effets escomptés en termes de protection.

La mise à jour de la directive SRI par l’Union européenne vise à promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber. 

C’est pourquoi, au cours des derniers mois, l’Union européenne a travaillé à une mise à jour de la directive SRI, pour selon elle « promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber ».

Cette mise à jour, la directive SRI 2, a été approuvée par le Parlement européen le 10 novembre 2022. Elle a désormais besoin d’un feu vert final des pays de l’UE au sein du Conseil européen. Ensuite, les États membres auront 21 mois pour la mettre en œuvre.

Route devant la Commission européenne à Bruxelles
Route devant la Commission européenne à Bruxelles

L’Europe de la cyberdéfense se construit
brique après brique

160 000 entités concernées à l’échelle de l’Union européenne

Avec la directive SRI 2, ce sont ainsi 160 000 entités (de moyenne et grande taille) qui vont devoir renforcer leur niveau de sécurité cyber. En effet, de nouveaux secteurs d’activités doivent s’y conformer : ces nouvelles dispositions de sécurité couvrent des secteurs dits « essentiels » comme l’énergie, le transport, la banque, les infrastructures digitales, les administrations publiques et le secteur de l’espace. 

Les nouvelles règles protégeront également des secteurs dits « importants », comme les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication de dispositifs médicaux, l’électronique, les moteurs de véhicules et les fournisseurs numériques. 

Quelles sont les principales mesures de la directive SRI 2 ?

Concrètement, qu’est-ce que cela va changer pour les entités concernées ? Selon les termes de l’UE, elles devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information ». 

Dans les faits, cela se traduit par exemple par : 

  • Analyser les risques encourus,
  • Détenir une feuille de route précise avec les mesures qui garantissent la continuité de l’activité,
  • Avoir une politique de sauvegarde des données,
  • Sécuriser les réseaux,
  • Se plier à des procédures d’audit de sa politique cyber,
  • Former et sensibiliser les collaborateurs et collaboratrices à la cybersécurité,
  • Appliquer une politique de contrôle des accès robuste,
  • Utiliser des solutions d’authentification à plusieurs facteurs.

Souvent considérés comme le maillon faible en matière de cybersécurité, les sous-traitants de ces entreprises sont également concernés par l’application de la directive SRI 2.

Vers de nouvelles obligations pour les constructeurs de matériels numériques

Le « Cyber Resilience Act » pourrait prochainement venir compléter les dispositions de la directive SRI 2. Cette proposition de loi a été présentée par la Commission européenne en septembre 2022. Elle va maintenant être examinée par le Parlement européen en première lecture, puis par le Conseil de l’Union européenne. Une fois qu’elle sera définitivement adoptée, les entreprises concernées auront deux ans pour s’y conformer. Cette fois, ce sont les constructeurs de matériels informatiques et d’objets connectés qui devront s’y plier. Le Cyber Resilience Act obligerait les constructeurs à sécuriser leurs appareils numériques, sous peine d’un retrait du marché.

Les constructeurs seront alors responsables de la sécurité de leurs produits durant toute la durée de vie prévue, soit un minimum de cinq ans. Chaque modèle commercialisé devra être sécurisé sous peine d’être retiré du marché. Les constructeurs s’exposent aussi à des amendes en cas de manquement. 

L’UE a visiblement décidé de frapper fort pour mieux se protéger des cybercriminels.

Lire aussi

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…

Voir plus d'articles

Abonnez-vous !