Pour sa présidence du conseil de l'UE, la France a de nombreuses ambitions et de vastes chantiers en perspectives: Réviser la NIS sur les OSE, améliorer la coopération cyber entre les états membres, définir le contenu du schéma de certification cloud. 6 mois pour promouvoir la souveraineté numérique européenne.
Révision de la directive NIS
Le premier axe de cette présidence concerne la négociation de la révision de la directive "Network and Information Security" -NIS-. Adopté le 6 juillet 2016, ce texte vise à l'émergence d'une Europe forte qui s'appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d'une coopération efficace et la protection des activités économiques et sociétales critiques. Objectif : faire face collectivement aux risques d'attaques informatiques.
Ce texte est surtout connu pour avoir encadré la sécurité informatique des "opérateurs de services essentiels" (OSE), notamment l'énergie (pétrole, gaz, électricité), les transports, la logistique, la banque, les infrastructures de marchés financiers, numérique, administration publique, l'espace. La révision de la directive doit permettre d'élargir son périmètre d'application, afin de couvrir plus de potentielles victimes.
C'est aussi l'occasion d'aborder le sujet de la supply chain en particulier par le début de couverture des entreprises de services numériques dont la sécurisation à un mauvais niveau peut constituer des voies d'entrée problématiques vis-à-vis de leurs clients.
Coopération cyber entre les états
Le deuxième axe de la présidence française est de favoriser la solidarité au sein de l'Union européenne en cas d'attaque informatique. Ces dernières années, la France, par le biais de l'Anssi a œuvré avec un engagement fort pour mettre en place des réseaux de coopération entre Etats membres, notamment au niveau des CERT.
A ce titre, la directive NIS a créé le CSIRTs Network : le premier réseau de coopération et de partage d'informations techniques entre CERT nationaux. L'Anssi a déjà signé une convention avec 7 régions françaises pour la création de CSIRT -Cyber Security Incidence Response Team-.
La France en tant que présidente du conseil de l'UE compte réaliser un exercice qui constituera une opportunité inédite de sensibiliser les échelons politiques aux enjeux d'une crise cyber de haut niveau, de mettre en valeur l'action de l'Union en matière de gestion de crise d'origine cyber et de renforcer les capacités européennes d'assistance mutuelle.
En revanche, il n'est pas à l'ordre du jour de mutualiser les capacités d'intervention directe sur le terrain, car celles-ci se heurtent à un grand nombre d'obstacles, notamment sur le plan juridique.
Il est difficile d'envisager une souveraineté européenne si les institutions ne sont pas en mesure de se protéger à un niveau suffisant. Yves Verhoeven, sous-directeur stratégie de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
Un Cloud sécurisé et perméable aux lois extra territoriales
Pour l'Anssi : "le cloud sécurisé à haut niveau doit être techniquement de très bon niveau mais aussi protégé face aux lois extraterritoriales". Sans cela, la souveraineté européenne dans la cyberespace est vaine. L'enjeu au niveau français est donc de pouvoir "sereinement faire disparaître la certification SecNumCloud au profit d'une certification européenne au moins équivalente", sous un label commun ESCloud
Il est à noter que les contours de ce label ont été révisés avec la nouvelle doctrine gouvernementale "cloud au centre", présenté par le gouvernement en mai 2021.
Elle permet à des entreprises françaises, fournisseurs Cloud, de distribuer sous licence des services cloud proposés par des entreprises étrangères, telles que Google ou Microsoft.
En octobre dernier, l'Anssi a publié une version révisée de son référentiel "SecNumCloud" pour l'adapter aux nouvelles exigences techniques et juridiques.
Promotion d'un tissu industriel européen de confiance
Elle passe par "la mise en place du centre européen de compétences industriel et technologique en matière de cybersécurité" situé à Bucarest en Roumanie.
Ce futur centre travaillera avec un réseau de centres nationaux de coordination désignés par les Etats membres. Il réunira les principales parties prenantes européennes, notamment les entreprises, des organisations universitaires et de recherche ainsi que des associations de la société civile.
L'objectif est de constituer une communauté de compétences en matière de cybersécurité destinée à renforcer et à diffuser l'expertise en matière de cybersécurité dans toute l'Europe.
On le sait, les futurs conflits de demain reposeront sur la menace cyber, il est donc plus qu'urgent que l'Europe se dote des mécanismes pour s'y préparer au mieux.
Le déploiement d'un stress test à l'échelle européenne ou encore le futur schéma de certification européen sur le cloud doivent œuvrer dans ce sens.
En tant que moteur des négociations durant le premier semestre 2022, la France est donc en première ligne.