Placés régulièrement sous le feu nourri des cybercriminels, en particulier avec les rançongiciels, les pays européens contre-attaquent. La Commission européenne soumet davantage d’entreprises et de secteurs d’activités à des exigences plus élevées en matière de cybersécurité. Explications.

Une toutes les 11 secondes. Il s’agit de la fréquence des attaques par rançongiciels dans le monde. Ces ransomwares coûteraient entre 180 et 290 milliards d’euros par an aux pays de l’Union européenne (UE). Laquelle a établi, dans une enquête publiée en mai 2022, que 28 % des PME européennes avaient été victimes de cybercriminels au cours de l’année 2021. 

Des chiffres qui préoccupent d’autant plus que les cyberattaques représentent la forme de criminalité à la croissance la plus rapide au monde. Le coût annuel de la cybercriminalité pour l’économie mondiale en 2020 a été estimé à 5 500 milliards d’euros, soit le double de celui constaté en 2015. Plus inquiétant encore, selon le Forum économique mondial : les cyberattaques font partie des 10 principaux risques encourus par l’humanité. 

La difficile harmonisation des règles de protection

Dans ce contexte, l’Union européenne édicte actuellement de nouvelles règles qui s’appliqueront à un panel élargi de secteurs d’activités. L’objectif est clair : il s’agit d’augmenter drastiquement leur niveau de protection, et d’aboutir à un cadre harmonisé entre les 27 pays membres de l’UE. 

Mais c’est bien là que le bât blesse. La première directive SRI (Sécurité des réseaux et de l’information), également connue sous son nom anglais NIS (Network and Information Security), sortie en 2016, visait déjà cet objectif. La directive SRI est considérée comme le socle juridique commun de la politique européenne de cybersécurité. Mais l’harmonisation entre les États n’a pas eu les effets escomptés en termes de protection.

La mise à jour de la directive SRI par l’Union européenne vise à promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber. 

C’est pourquoi, au cours des derniers mois, l’Union européenne a travaillé à une mise à jour de la directive SRI, pour selon elle « promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber ».

Cette mise à jour, la directive SRI 2, a été approuvée par le Parlement européen le 10 novembre 2022. Elle a désormais besoin d’un feu vert final des pays de l’UE au sein du Conseil européen. Ensuite, les États membres auront 21 mois pour la mettre en œuvre.

160 000 entités concernées à l’échelle de l’Union européenne

Avec la directive SRI 2, ce sont ainsi 160 000 entités (de moyenne et grande taille) qui vont devoir renforcer leur niveau de sécurité cyber. En effet, de nouveaux secteurs d’activités doivent s’y conformer : ces nouvelles dispositions de sécurité couvrent des secteurs dits « essentiels » comme l’énergie, le transport, la banque, les infrastructures digitales, les administrations publiques et le secteur de l’espace. 

Les nouvelles règles protégeront également des secteurs dits « importants », comme les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication de dispositifs médicaux, l’électronique, les moteurs de véhicules et les fournisseurs numériques. 

Quelles sont les principales mesures de la directive SRI 2 ?

Concrètement, qu’est-ce que cela va changer pour les entités concernées ? Selon les termes de l’UE, elles devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information ». 

Dans les faits, cela se traduit par exemple par : 

  • Analyser les risques encourus,
  • Détenir une feuille de route précise avec les mesures qui garantissent la continuité de l’activité,
  • Avoir une politique de sauvegarde des données,
  • Sécuriser les réseaux,
  • Se plier à des procédures d’audit de sa politique cyber,
  • Former et sensibiliser les collaborateurs et collaboratrices à la cybersécurité,
  • Appliquer une politique de contrôle des accès robuste,
  • Utiliser des solutions d’authentification à plusieurs facteurs.

Souvent considérés comme le maillon faible en matière de cybersécurité, les sous-traitants de ces entreprises sont également concernés par l’application de la directive SRI 2.

Vers de nouvelles obligations pour les constructeurs de matériels numériques

Le « Cyber Resilience Act » pourrait prochainement venir compléter les dispositions de la directive SRI 2. Cette proposition de loi a été présentée par la Commission européenne en septembre 2022. Elle va maintenant être examinée par le Parlement européen en première lecture, puis par le Conseil de l’Union européenne. Une fois qu’elle sera définitivement adoptée, les entreprises concernées auront deux ans pour s’y conformer. Cette fois, ce sont les constructeurs de matériels informatiques et d’objets connectés qui devront s’y plier. Le Cyber Resilience Act obligerait les constructeurs à sécuriser leurs appareils numériques, sous peine d’un retrait du marché.

Les constructeurs seront alors responsables de la sécurité de leurs produits durant toute la durée de vie prévue, soit un minimum de cinq ans. Chaque modèle commercialisé devra être sécurisé sous peine d’être retiré du marché. Les constructeurs s’exposent aussi à des amendes en cas de manquement. 

L’UE a visiblement décidé de frapper fort pour mieux se protéger des cybercriminels.

Lire aussi

JO 2024 : détecter les menaces grâce à l’IA

image d'immeubles et d'un coucher de soleil
Technologie & Systèmes
24 janvier 2023

À l’approche des Jeux olympiques et paralympiques de Paris 2024, les autorités publiques mettent le paquet pour renforcer leur dispositif de sécurité. Gestion des foules, actes de terrorisme, cyberattaques… les dangers sont multiples. À circonstances exceptionnelles, mesures exceptionnelles ! Le gouvernement prévoit le déploiement de systèmes d’intelligence artificielle (IA) pour détecter les…

Les forces de l’ordre investissent
déjà le métavers ! 

Ville en néon
Technologie & Systèmes
20 décembre 2022

Alors qu’il y a tout lieu de penser que ce nouvel espace virtuel et immersif sera un terrain prisé des escrocs et cybercriminels, les services de police et de gendarmerie polissent leurs armes. Au menu : communication, formation, travail collaboratif, mais aussi répression. Les analystes en parlent déjà comme d’une prochaine…

Tout savoir sur la biométrie comportementale :
une solution d’authentification innovante

doigts qui tape sur un clavier d'ordinateur
Technologie & Systèmes
13 décembre 2022

Entre hameçonnage, rançongiciels et attaques intermédiaires, les menaces informatiques donnent des sueurs froides aux entreprises. La riposte s’organise chez les professionnelles et professionnels de la sécurité-sûreté. Aux oubliettes, le simple mot de passe. Si les cyberattaques sont toujours plus sophistiquées, les technologies de défense évoluent elles aussi pour contrer l’usurpation…