Sous l'ère NIS2, un état des lieux de la cybersécurité dans l'UE

Attention au chevauchement, voire à la duplication, si ce n'est à la fragmentation ?

Pour ce qui est de sa législation en matière de cybersécurité, l'UE en a pris conscience. Le Conseil, par exemple, a appelé la Commission à identifier clairement la manière dont s'imbriquent lois horizontales et cadres sectoriels.

L'ENISA (Agence de l'Union européenne pour la cybersécurité) aborde ce même sujet dans un rapport publié en application de la NIS2. (La directive la charge en l'occurrence de dresser, tous les deux ans, un état des lieux de la cybersécurité dans le "bloc des 27".)

De la NIS2 à EUCC, les fondements du cadre horizontal

La NIS2 entra en vigueur en janvier 2023. Peu d'États membres ont respecté l'échéance de transposition (17 octobre 2024). Cette directive étend les objectifs et le périmètre d'application de la NIS première du nom. Elle donne par ailleurs un cadre formel au réseau CyCLONe, tout en étendant les prérogatives des CSIRT et des autorités compétentes.

Adopté le 23 octobre 2024, le Cyber Resilience Act ne s'appliquera, pour l'essentiel, qu'en 2027. Le texte établit des exigences communes pour les produits "comportant des éléments numériques". Il a récemment fait l'objet d'un amendement destiné à permettre, au moyen d'actes d'exécution, l'adoption de schémas européens de certification pour les services de sécurité managés.

Aux dernières nouvelles, le Cyber Solidarity Act doit entrer en vigueur début 2025. Ce règlement crée notamment un "bouclier cyber" (réseau de SOC transfrontières) et un "mécanisme d'urgence" (actions de préparation, assistance mutuelle entre autorités nationales, réserve de cybersécurité).

L'ENISA y ajoute le règlement 2023/2841 et le règlement d'exécution 2024/482. Le premier établit des mesures "destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union". Le second précise les rôles, les règles et les obligations - ainsi que la structure - de l'EUCC (schéma de certification de cybersécurité fondé sur des critères communs).

Des compléments sectoriels, dont une lex specialis

Le principe de la lex specialis (la loi spécifique l'emporte sur la loi générale) s'applique pour le règlement DORA (résilience opérationnelle numérique du secteur financier) par rapport à NIS2.

Sur le volet sectoriel, il y a aussi les règlements délégués 2022/1645 et 2024/1366. Le premier pose des exigences relatives à la gestion des risques cyber susceptibles d'avoir une incidence sur la sécurité aérienne. Le second établit des règles concernant la cybersécurité des flux transfrontaliers d'électricité.

L'ENISA mentionne les autres "textes pertinents" que sont l'AI Act, le Data Act, le Chips Act, le Digital Markets Act et le Digital Services Act.

Des CSIRT peu matures... sur la foi de la certification Trusted Introducer

Le rapport de l'agence se nourrit notamment des données de l'EU Cybersecurity Index. Y sont agrégés quelque 80 indicateurs répartis en 4 domaines (politique, opérations, capacités, marché/industrie) et 16 sous-domaines. L'ensemble est censé donner une photographie de la posture de cybersécurité de l'Union et de ses États membres. Outre ses propres données, l'ENISA utilise celles d'Eurostat, de l'Eurobaromètre, du Conseil de l'Europe, de l'ISO et du tableau de bord du programme Horizon Europe.

Le sous-domaine affichant le score le plus élevé (97,62 sur 100) concerne la présence internationale des CSIRT. Les critères d'évaluation peuvent l'expliquer : les États membres devaient disposer de CSIRT membres du réseau FIRST et a minima listés dans Trusted Introducer (base européenne des équipes de cybersécurité).
Si on y ajoute, toujours sur la base de Trusted Introducer, la dimension certification (censée traduire la conformité des CSIRT vis-à-vis des bonnes pratiques reconnues au niveau international), le score chute à 10,31.

La sécurité de la supply chain, peu développée, jusque dans les stratégies nationales

Parmi les sous-domaines à score élevé, l'usage sécurisé d'Internet par les citoyens. Là aussi, potentiellement une question de critère. On mesure en l'occurrence le taux d'internautes qui ont "changé la façon dont ils utilisent Internet du fait d'inquiétudes liées à la sécurité".
En filigrane, l'ENISA note que les intéressés ne sont que 22 % à connaître l'existence d'un canal officiel de signalement du cybercrime.

Score médiocre pour l'analyse du risque cyber par les entreprises (base Eurostat) : 32,01.
La gestion de la sécurité de la supply chain s'avère le champ le moins développé (en 2022, les trois quarts des entités entrant dans le périmètre de la NIS1 n'avaient pas d'employés dédiés à la gestion des risques tiers, souligne l'ENISA). De même, c'est l'objectif le moins récurrent dans les stratégies nationales de cybersécurité des États membres (la moitié l'ont inclus).

La cyber trouve sa place dans l'enseignement primaire et secondaire

S'ils ont globalement implémenté des mesures de soutien et de promotion de la R&D (64,1 sur 100), les États membres sont peu (6 sur 27) à avoir mis en place un mécanisme de détection des besoins de mise à jour de leurs objectifs en la matière.

Ils sont plus nombreux (12) à avoir établi un programme national d'exercices cyber et à disposer d'un processus d'intégration des leçons tirées de ces exercices (11). Dans la pratique, toutefois, si leur participation aux exercices au niveau de l'Union est forte, elle ne s'assortit pas toujours d'exercices nationaux structurés. Ce qui "peut affaiblir la capacité globale de l'UE à gérer une crise cyber", regrette l'ENISA.

Sur le sous-domaine "intégration de la cybersécurité dans l'enseignement primaire et secondaire", le score s'établit à 58,52 (13 États membres l'ont fait dans le primaire ; 14 dans le secondaire). Il est inférieur (45,65) concernant le nombre de diplômés en cybersécurité dans l'enseignement supérieur. L'ENISA l'a calculé sur la base de l'État membre présentant le plus haut ratio diplômés sur population. Elle ajoute que 16 sur 27 n'ont pas achevé la mise en place d'incitations financières au suivi de formations diplômantes.

Illustration générée par IA