L'acte de solidarité informatique de l'UE arrive : voici ce que cela signifie

L'acte de solidarité informatique de l'UE arrive bientôt : voici ce que cela signifie

Par Phil Muncaster • 14 Janvier 2025

L'UE ne manque pas de législation en matière de cybersécurité. Au cours de l'année écoulée, elle a introduit des lois couvrant dispositifs intelligents, Sécurité de l'IA, services financiers, « important » et « essentiel » entitésbauen certifications de sécurité. Pourtant, jusqu'à présent, il n'existe aucune stratégie à l'échelle du continent pour aider à se préparer, à détecter et à répondre aux cyberincidents de grande ampleur dans l'UE. Loi européenne sur la cybersolidarité, qui devrait prendre un essor significatif en 2025.

Cela promet beaucoup, mais heureusement pour la plupart des organisations britanniques, cela n’exigera pas grand-chose d’elles.

Pourquoi nous en avons besoin

Bien que la Commission européenne ait proposé le Cyber Solidarity Act en avril 2023, les graines de sa création ont été plantées il y a un an lorsque trois consortiums de centres d'opérations de sécurité transfrontaliers (SOC) ont été sélectionnésCe n’est pas une coïncidence si la Russie a envahi l’Ukraine plus tôt cette année-là. La menace des incursions numériques soutenues par l’État et des groupes de cybercriminels bien financés qui opèrent en toute impunité dans des juridictions hors de portée des États a en effet renforcé les projets d’actes.

Comme le reconnaissent la NIS 2, la DORA, la loi sur la cybersécurité, la loi sur la cyberrésilience, la loi sur l’IA et d’autres lois, les cyberattaques représentent une menace sociétale et économique croissante pour l’UE. Elles pourraient menacer la stabilité du système financier et des services de santé vitaux, comme en témoignent les pannes informatiques liées aux ransomwares dans les hôpitaux de la région. Elles menacent également de diffuser de fausses informations et de compromettre les élections, sans parler de la sécurité nationale. Et les violations de données alimentent une épidémie de fraude. Fraude aux paiements valait à elle seule 2 milliards d'euros au premier semestre 2023, alors que l'UE estime que la cybercriminalité en général coûte 5.5 billions d’euros par an. Ce dernier représente plus d’un quart du PIB total de l’UE.

Selon Microsoft, ces tendances convergent. Dans son récent rapport Rapport Défense Numérique 2024Le géant de la technologie a averti que les frontières entre les activités des États-nations et celles des cybercriminels sont de plus en plus floues. Cela signifie que davantage d’acteurs étatiques sont motivés par le gain financier, comme la Corée du Nord et l’Iran. Et que des groupes parrainés par des États utilisent des tactiques, techniques et procédures de cybercriminalité (TTP). Ce qui est peut-être le plus inquiétant, c’est que des pirates informatiques soutenus par l’État sous-traitent leurs opérations à des groupes de cybercriminalité, probablement pour des raisons de déni plausible. Microsoft a déjà observé que des pirates informatiques du Kremlin sollicitaient l’aide de Storm-0593 pour cibler des organisations ukrainiennes.

Alors que le paysage des menaces devient plus fluide et opaque à mesure que les tensions géopolitiques augmentent, il est tout à fait normal que l’UE cherche à mettre en place un dispositif de réponse aux incidents et de cyber-résilience à l’échelle régionale.

Que prévoit la loi ?

La loi comporte trois éléments principaux. Elle vise à introduire :

Un bouclier européen de cybersécurité : Également connu sous le nom de Système européen d’alerte de cybersécurité, il comprendra une série de centres d’opérations de sécurité (SOC) nationaux et transnationaux à travers le bloc, conçus pour exploiter la puissance de l’IA et de l’analyse pour détecter et partager les alertes de menace.

Un mécanisme d’urgence cybernétique : L’objectif est d’améliorer la préparation et la réponse aux incidents, notamment par le biais d’une réserve de cybersécurité de l’UE. Celle-ci sera composée de « prestataires de confiance » présélectionnés issus du secteur privé, qui pourront être déployés à la demande de l’UE ou des États membres pour apporter leur aide en cas d’incidents de sécurité majeurs.

Le mécanisme d'urgence cybernétique promet également de soutenir l'idée d'assistance mutuelle entre les États membres touchés par des incidents. Il prévoit également la sélection et les tests périodiques de vulnérabilité des secteurs d'infrastructures critiques tels que la santé et la finance. Les secteurs à tester seront sélectionnés en fonction d'une évaluation commune des risques au niveau de l'UE.

Un mécanisme d’examen des incidents de cybersécurité : L'ENISA est chargée d'évaluer et d'examiner les incidents graves à la demande de la Commission européenne ou des autorités nationales. L'ENISA mènera l'examen et fournira un document contenant les enseignements tirés de l'expérience et des recommandations visant à améliorer la posture de sécurité de l'Union.

Jeff Le, vice-président des affaires gouvernementales mondiales et des politiques publiques chez SecurityScorecard, plateforme de gestion des risques tiers, déclare à ISMS.online que l'initiative pourrait avoir besoin de plus que les 1.1 milliard d'euros (920 millions de livres sterling) qui lui sont actuellement alloués.

« Aux États-Unis, le système d’entraide est plus mature et mérite d’être pris en considération de manière significative au sein de l’UE en cas d’incident catastrophique paralysant les États membres », ajoute-t-il.

« L’ENISA devrait jouer un rôle plus important que celui des programmes et chercher à accroître sa part de leadership intellectuel. En particulier, des partenariats plus étroits avec le NIST et d’autres organismes mondiaux de normalisation pour se concentrer sur les mesures de résilience de la chaîne d’approvisionnement, les normes et les cadres de sécurité sont nécessaires à mesure que l’on s’oriente vers une harmonisation. »

Le ajoute que les rapports d’incidents de l’UE pourraient également bénéficier d’une harmonisation plus étroite avec les régimes mondiaux de rapports d’incidents d’infrastructures critiques tels que le processus américain CIRCIA.

« Les rapports devraient être plus cohérents et les décideurs politiques et les RSSI devraient être clairement informés des informations essentielles », affirme-t-il. « Compte tenu des récents problèmes liés aux ouragans Volt et Salt Typhoon dans les infrastructures critiques, il faudrait également mettre davantage l’accent sur l’évaluation des télécommunications. Si d’autres secteurs sont mentionnés, ce domaine vulnérable ne l’est pas. »

Comment s'y préparer

Cette loi n’exigera pas grand-chose de la plupart des entreprises britanniques.

« Après le Brexit, le Royaume-Uni ne fera pas partie des mécanismes de coopération introduits par le Cyber Solidarity Act », expliquent à ISMS.online Sarah Pearce et David Dumont, partenaires chez Hunton Andrews Kurth.

« La loi ne s’appliquera pas à toutes les organisations, mais uniquement à celles qui opèrent dans des secteurs hautement critiques. Au minimum, les organisations doivent se tenir au courant des évolutions et évaluer si elles relèvent ou non du champ d’application de la législation. Celles qui relèvent du champ d’application peuvent être soumises à des « tests de préparation coordonnés », de sorte que le RSSI et les autres équipes internes concernées devront intégrer ces tests dans leurs programmes de gouvernance. »

Toutefois, ISMS.online estime que seules les organisations d’infrastructures critiques ayant des opérations dans l’UE pourraient être soumises à ces exigences.

Edward Machin, avocat chez Ropes & Gray, prévient également que si ces tests révèlent des vulnérabilités critiques aux cybermenaces, ces organisations pourraient être exposées à des « risques plus larges en matière d'application de la loi et de réputation » liés au non-respect d'autres lois cybernétiques de l'UE.

« Les RSSI des secteurs industriels critiques qui se sont préparés aux autres lois cybernétiques de l'UE devraient constater que ces préparatifs les préparent bien pour répondre aux demandes de tests potentielles formulées dans le cadre du Cyber Solidarity Act », a-t-il déclaré à ISMS.online.

« Étant donné que d’autres lois européennes sur la cybersécurité ont et auront un impact plus important pour les RSSI au quotidien, je suggérerais de se concentrer sur ces lois pour le moment tout en gardant un œil sur la loi. »

Le Parlement européen et le Conseil sont parvenus à un accord provisoire sur la législation en mars 2024, et le texte provisoire a été publié le même mois. Cependant, on ne sait pas encore quand les législateurs pourront l'adopter formellement. Il y en aura beaucoup d'autres en 2025.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster