‘La législation européenne imposera aux États membres de renforcer la cybersécurité de leurs PME’

Face à des cybermenaces se démultipliant, la Commission européenne veut faire en sorte que toutes les entreprises de l’Union soient bien protégées. Ce qui amènera les pays membres à redéployer leur politique en la matière pour soutenir autrement les PME, nous indiquent des sources européennes.

La Commission européenne semble bien déterminée à protéger efficacement tous les citoyens et entreprises de l’Union, tant en ligne que hors ligne, contre des cyberattaques en pleine recrudescence.

Outre le fait qu’elles fassent partie des formes de criminalité qui se développent le plus rapidement dans le monde, les attaques informatiques augmentent également en termes d’échelle, de coût et de sophistication.

Pour en prendre la mesure, selon les plus récentes estimations, les coûts globaux des dommages causés par les ransomwares devraient s’élever à 20 milliards de dollars cette année (soit 57 fois plus qu’en 2015). Les entreprises risquent de subir ce genre de piratages avec demande de rançon toutes les 11 secondes.

Forte de cette tendance, la Commission européenne a présenté en décembre dernier une nouvelle stratégie en matière de cybersécurité. L’ambition consiste à renforcer la résilience collective de l’Europe face aux cybermenaces mais aussi assurer une offre de services et d’outils numériques dignes de confiance et fiables.

‘La stratégie permet également à l’UE de renforcer son leadership en matière de normes et de standards internationaux dans le cyberespace, et de renforcer la coopération avec les partenaires du monde entier pour promouvoir un cyberespace mondial, ouvert, stable et sûr’, assure un porte-parole de la Commission européenne.

Infographie « Cybersecurity in the EU » – Conseil de l’Union européenne

Cadre politique et législatif bétonné

Dans la foulée, l’institution européenne a d’ailleurs présenté des propositions législatives pour réviser la directive en matière de sécurité (NIS 2) et adopter un autre acte normatif propre lui à la résilience des entités critiques, cybernétiques comme physiques.

‘Nous disposons désormais d’un cadre stratégique, politique et législatif solide pour renforcer la cybersécurité de l’UE’, revendique le porte-parole.

Le cadre financier pluriannuel de l’Union ne fait à ce propos pas l’impasse sur la cybersécurité compte tenu des 2 milliards d’euros d’investissements prévus au travers du programme Digital Europe. Un accent particulier étant mis sur le soutien aux petites et moyennes entreprises (PME), et ce sans compter les probables interventions de l’industrie et des États membres.

Si le montant peut paraître homéopathique à première vue, notons que les investissements dans l’ensemble des technologies numériques devraient représenter au moins 20% (134,5 milliards d’euros) du mécanisme ‘Facilité pour la reprise et la résilience’, qui mettra à disposition 672,5 milliards d’euros sous forme de prêts et de subventions pour atténuer les conséquences économiques et sociales de la pandémie de COVID-19.

Menaces accrues, responsabilités d’États accrues

La Commission européenne a conscience qu’elle doit faire face à des défis gagnant rapidement de l’ampleur. Raison pour laquelle l’institution met à jour sa stratégie globale en y regroupant un large éventail d’éléments et d’acteurs nécessaires pour assurer la ‘cyberprotection’.

‘Nous assistons à des niveaux sans précédent de numérisation et de transformation numérique, qui sont largement stimulés par la crise du coronavirus qui a conduit de nombreuses activités à se mettre en ligne. En conséquence, le paysage des menaces s’est élargi, offrant des possibilités accrues de nouvelles attaques, comme nous le constatons régulièrement’, nous confirment des sources européennes.

Infographie « Cybersecurity in the EU » – Conseil de l’Union européenne

Prenons pour seul exemple l’affaire SolarWinds, le ‘hack du siècle’ impliquant cette entreprise américaine leader du marché de la gestion de réseaux informatiques. Son piratage d’une complexité jamais vue frappe en cascade ses milliers de clients institutionnels de par le monde. Même les plus sensibles tels que le Department of Homeland Security, la branche du gouvernement US en charge de… protéger les citoyens contre les menaces extérieures.

Cette cyberattaque sur fond d’espionnage étatique a des répercussions jusqu’en Belgique, où les autorités restent précautionneusement silencieuses sur le sujet et où siège notamment la Commission européenne. Une attachée de presse de l’institution nous laissait entendre début mars que la Commission utilisait des solutions de SolarWinds mais n’avait pas à déplorer jusqu’ici d’impact sur ses systèmes.

En tout cas, l’interventionnisme des instances européennes et nationales va devoir lui aussi aller grandissant pour lutter efficacement contre les cybermenaces. Les dirigeants des pays européens ne l’ont peut-être pas encore totalement compris, mais la trajectoire législative empruntée va les y encourager, pour ne pas dire les y forcer.

‘Alors que la proposition de nouvelle directive de la Commission visant un niveau élevé de cybersécurité commune dans l’Union se concentre principalement sur les moyennes et grandes entités, elle demande aux États membres d’inclure des politiques répondant aux besoins spécifiques des PME, en particulier celles exclues du champ d’application de la directive NIS2, dans les stratégies nationales de cybersécurité en ce qui concerne les conseils et le soutien pour améliorer leur résilience aux menaces de cybersécurité’, nous confient des sources européennes.

Pour aller plus loin:

Plus