La cybersécurité européenne à l’épreuve de la souveraineté des nations

A six mois de la présidence française du Conseil de l’Union européenne, les débats entre les États-membres restent vifs sur les dossiers de cybersécurité. Alors que les attaques informatiques se multiplient, les 27 entendront mieux se protéger en leurs règles communes. C’était l’un des principaux sujets de discussion à la Paris Cyber ​​Week qui s’est déroulée ce début de semaine, réunissant tout le gratin européen du secteur.

Les réflexions ont beaucoup tourné autour de la fameuse directive NIS (Network and Information Security), adoptée en 2016 et qui a vocation à harmoniser les mesures de sécurité prises dans chaque pays. En fin d’année passée, la Commission européenne a lancé une révision de ce texte qui a déjà imposé un premier volet d’obligations à des milliers d’organisations publiques ou privées dont l’activité est considérée comme indispensable au fonctionnement normal du continent.

Réviser la directive NIS

Que la menace s’accumule ces dernières années, avec des attaques de plus de nombreuses européennes et généralement, la Commission propose d’élargir le champ des organisations concernées. Elle veut par ailleurs transformer en obligation ce qui n’est aujourd’hui que recommandation. Par exemple, l’usage du chiffrement ou la mise à l’épreuve ponctuelle des défenses numériques via des tests de pénétration.

« C’est l’occasion d’inclure dans le dispositif des secteurs susceptibles de n’avoir pensé qu’il y a cinq ans, par exemple l’industrie pharmaceutique, les équipements médicaux ou les services postaux », se réjouit Maria-Manuela Catrina, l ‘ex-secrétaire d’Etat au numérique en Roumanie, présente à la Paris Cyber ​​Week. Cependant, l’Europe peine à s’accorder sur la liste des entreprises qui seront bientôt soumises à de nouvelles contraintes.

Compétence nationale

« Le problème c’est que les questions de sécurité responsables de la compétence nationale de chaque État-membre », reprend l’observatrice. Certains États rechignent à répondre aux exigences de leurs administrations publiques.

Côté français, le discours est totalement inversé. « Etre régulé n’est pas une punition, ça demande des efforts mais c’est une chance », expliquait récemment devant les sénateurs Guillaume Poupard, le directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi).

De la fenêtre des grands groupes français, il n’y aura pas de gros changements à attendre, dit-il aussi en substance. La loi française prévoit déjà un statut d’opérateur d’importance vitale plus contraignant que le statut européen.

27 définitions de la souveraineté numérique

Les mêmes types de débats agitent les milieux européens au sujet des critères de certification des technologies que l’Europe entend garantir après une analyse technique et juridique. Là aussi, la France, mais également l’Allemagne, sont en avance sur leurs homologues européens.

Mais, à 27, les discussions virent parfois à la querelle géopolitique. Quand la ligne française se méfie des solutions américaines exposées aux législations extraterritoriales des États-Unis, des pays de l’Est, eux, ne voient pas de raison de ne pas faire confiance aux technologies de l’allié d’outre-Atlantique qui les protège de leur voisin russe au sein de l’OTAN… « Si vous voyagez en Europe, je suis presque sûr que vous entendez 27 définitions de la souveraineté numérique », pointe le danois Casper Klynge, vice-président en charge des relations avec les gouvernements européens pour Microsoft.

Harmonisation

Les entreprises européennes de la cybersécurité demandent cette harmonisation simplificatrice qui leur éviterait de faire certifier leurs technologies auprès de vingt-sept guichets. Pour l’Alliance pour la Confiance Numérique, la certification permet même de « déplacer la compétition non plus uniquement sur le terrain du prix mais également sur celui de l’excellence technique, favorisant ainsi naturellement les acteurs français ».

Publié il y a quelques jours, l’observatoire de cette organisation représentant du secteur indique que le marché de la cybersécurité a enregistré 11 % de croissance en 2020 en France. Mais aussi que les acteurs français ont continué à perdre des parts de marché au profit de concurrents américains.