La Commission européenne propose plusieurs outils, en particulier des actes législatifs, visant à poursuivre l’amélioration de la cybersécurité de l’Union européenne. L’un des actes, le Cyber Solidarity Act, est une proposition de règlement pour permettre la mise en place d’un dispositif européen de détection et de défense contre des cyberattaques à grande portée. L’autre est une proposition d’amendement au Règlement européen 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des Technologies de l’Information et des Communications (TIC), aussi appelé le Cybersecurity Act, ou CSA. Ce dernier couvre actuellement les produits, services, et process TIC, et l’amendement a pour but d’étendre cette couverture aux services de gestion de la sécurité (managed security services). Enfin, la Commission a également présenté la Cybersecurity Skills Academy, une plateforme en ligne pour publiciser à l’échelle de l’union toute initiative en matière de formation en cybersécurité.
Le Cyber Solidarity Act s’articule autour de trois piliers :
- la création d’un réseau composé de centres d’opérations de sécurité répartis dans toute l’union. Ces centres seront capables d’analyser des menaces, et de partager efficacement des informations utiles avec toute entité concernée, même au-delà des frontières ;
- la mise en place d’un mécanisme de cyber-alerte. Ceci englobe aussi bien la réalisation des tests de vulnérabilité sur des infrastructures critiques, que la réaction en cas d’incident à grande échelle, notamment à la demande d’un état membre ; et
- le lancement d’un système de révision d’incidents de cybersécurité, pour tirer toutes les leçons des évènements gérés.
L’amendement proposé au CSA permettrait de proposer des schémas de certification harmonisés dans toute l’Union pour plusieurs types de services en matière de cybersécurité, tels que les tests d’intrusion, la réalisation d’audits, la gestion d’incidents, et la consultance. Au-delà de simplement servir d’outil pour soutenir un marché unique en la matière, de tels schémas fourniraient une base commune de compétences pour les entités amenées à prester ces services dans le cadre d’autres actes légaux de l’Union, entre autres les Security Operation Centers envisagés par le Cyber Solidarity Act.
Ces deux actes législatifs vont à présent être examinés par le Parlement européen et le Conseil.
Pour finir, la Cyber Skills Academy servira de plateforme en ligne commune pour donner une visibilité accrue à toute initiative dans l’Union proposant des formations ou sensibilisations en cybersécurité. Elle sera hébergée par la Digital Skills and Jobs Platform de la Commission, pour consultation de la part de toute personne intéressée à se former en sécurité informatique, contribuant ainsi à la montée en compétences de l’ensemble de l’Union dans ce domaine.
Rappelons que dans le cadre du CSA, l’ILNAS a été désigné autorité nationale de certification de cybersécurité (ANCC) comme responsable des tâches de supervision au Luxembourg. De fait, l’ILNAS est directement concerné en particulier par la proposition d’amendement. Pour toute question relative au CSA ou aux schémas de certification associés, vous pouvez nous contacter à l’adresse suivante : supervision-cybersecurite@ilnas.etat.lu.