Cyber Solidarity Act : où en est-on ?

Cette approche collaborative a déjà été initiée par le projet de coopération cyber CyCLONe (Cyber Crisis Liaison Organisation Network), qui rassemble l’ANSSI et ses homologues européens.

Sur quoi repose le Cyber Solidarity Act ?

Le Cyber Solidarity Act apparaît ainsi comme la pierre angulaire du renforcement de la coopération cyber. Il s’inscrit dans le prolongement de la promulgation de la loi sur la cyberrésilience, règlement encadrant la production de produits connectés à l’échelle européenne. L’objectif du CSA est clair : combler les lacunes en termes de détection et de préparation aux cyberattaques. Plus d’un milliard d’euros seront investis pour soutenir la détection et la sensibilisation aux menaces et incidents de cybersécurité majeurs,protéger les entités critiques et les services essentiels - tels que les services publics - ainsi que renforcer la solidarité au niveau de l'UE et les capacités de réaction des États membres.

A l’image des fonctions du cadre de sécurité du NIST, la déclinaison opérationnelle de ces trois piliers repose, notamment, sur les éléments suivants :

• Détecter les cybermenaces : le Cyber Solidarity Act prévoit la création de plusieurs centres opérationnels de sécurité (SOC, Security Operations Center), déployés sur l’ensemble du territoire de l’UE, dans l’optique de créer des pôles régionaux de coopération. L’objectif repose sur la surveillance et l’identification accélérée des cybermenaces. Dès fin 2022, trois consortiums de centres d’opérations de sécurité transfrontières ont déjà été sélectionnés, rassemblant des organismes publics de 17 États membres et de l’Islande, dans le cadre du programme pour une Europe numérique.

• Se préparer et répondre aux cyberattaques : les entités des secteurs d’importance vitale seront soumises à des analyses de risques, et des détections de failles de sécurité, afin d’apporter les mesures de sécurité adéquates. Parallèlement à cette phase de préparation, ce règlement prévoit la formation d’un centre de réservistes cyber - qui viendrait compléter cet arsenal cyber. Ils pourront être déployés à la demande des États membres ou des institutions, pour intervenir lors d’incidents de cybersécurité à grande échelle.

• Remédier et évaluer les incidents de cybersécurité spécifiques : le CSA encourage l’évaluation et l’analyse collectives du déroulé de l’incident, pour en tirer des enseignements et améliorer les pratiques de sécurité. Ce mécanisme inclut des actions de préparation, notamment en testant les vulnérabilités potentielles des entités dans les secteurs hautement critiques (soins de santé, transports, énergie, etc.), sur la base de scénarios de risques.

Quelles sont les limites du Cyber Solidarity Act ?

Cette nouvelle coopération européenne laisse envisager de beaux projets à venir, notamment pour les entreprises de conseil en cybersécurité françaises. Elles pourront apporter leur expertise sur le plan de la sécurité opérationnelle (déploiement de SOC), des CERTs (évaluation des incidents de sécurité) et des métiers de la gouvernance (exercices d’analyse de risques pour les services critiques).

Toutefois, des risques intrinsèques pèsent sur cette nouvelle alliance. Le premier défi pourrait bien être la rétention de certains profils experts à intervenir sur des cyberattaques transfrontalières, afin de conserver les effectifs au complet pour prévenir une potentielle attaque nationale. De plus, le manque de partage d'informations entre certains pays, de compromissions sur des sites sensibles par exemple, entrave donc intrinsèquement la coordination nécessaire. La dépendance financière de certains États membres vis-à-vis des fonds européens, pour le cofinancement des centres opérationnels de sécurité (SOC) soulève également des questions. Enfin, l’absence de définition claire concernant certains éléments fondateurs dudit règlement, tels que la durée du cofinancement européen des SOC ou les différentes étapes encadrant les mécanismes de cyber urgence, pourrait nuire à son efficacité ou à son application.

L’intégralité de ces risques représente une entrave au bon fonctionnement de cette collaboration européenne. De futures consultations doivent avoir lieu, avant la promulgation définitive de ce nouveau règlement, qui permettra de consolider les exigences en matière de coopération sur le plan matériel, juridique, financier et humain et, ainsi, de limiter les risques présentés.