Alors que l’Union européenne compte affermir sa cyber-résilience, ses 80 institutions, organes et agences (IOAUE) restent plus que jamais dans le viseur des pirates informatiques. Quel est le niveau de préparation et de maturité de ces dernières face aux cybermenaces ? Quelles solutions pour renforcer leur défense ?

Le 10 novembre 2022, le Parlement européen adoptait une nouvelle législation visant à renforcer la cyber-résilience à l’échelle de l’UE. L’objectif : inciter les États membres à respecter des mesures plus strictes de surveillance, de gestion des risques et d’exécution – notamment à travers l’établissement de rapports et le partage d’informations – et à harmoniser leurs sanctions. Ces exigences, entre autres dispositions, couvrent la réponse aux incidents, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.

Le 23 novembre, quelques heures après que le Parlement européen a reconnu « la Fédération de Russie comme État soutenant le terrorisme », une attaque DDoS, revendiquée par Killnet et Anonymous Russia, paralysait son site officiel. Cela démontre ainsi que les institutions européennes n’étaient pas à l’abri des menaces cyber.

Des entités toujours plus menacées

Dans son dernier rapport trimestriel, le CERT-UE indiquait avoir enregistré 186 attaques contre des entités européennes. « Nous avons publié 35 alertes de menace pour avertir des activités malveillantes détectées à leur proximité. Dans 63% des cas, l’activité malveillante était de nature cyber espionne. Les secteurs gouvernemental, diplomatique et de la défense restent les plus ciblés. 51% des attaques ont exploité le harponnage (spear-phishing) pour l’accès initial et 20% l’exploitation des vulnérabilités (zero-day ou n-days) », ont détaillé ses auteurs.

En dépit des législations et des interventions des CERTs, les atteintes cyber des prochaines années seront plus diverses, complexes et sophistiquées, prévenait Juhan Lepassaar. Lors de la Cybersecurity Week Luxembourg 2022 (CSWL2022) en septembre 2022, le patron de l’ENISA dévoilait les dix principales menaces à la cybersécurité susceptibles d’émerger d’ici 2030, selon une étude réalisée entre mars et août 2022 par ses services.

Au top trois des risques pressentis figurent la compromission des dépendances logicielles dans la chaîne d’approvisionnement, les campagnes de désinformation avancées, et la montée de l’autoritarisme de la surveillance numérique et la perte de la vie privée.

« Les menaces identifiées et classées sont extrêmement diversifiées et comprennent toujours celles qui sont les plus pertinentes aujourd’hui, comme le ransomware et le DDoS. Il est de notre responsabilité de prendre toutes les mesures possibles dès le départ pour nous assurer d’accroître notre résilience au fil des ans, et pour améliorer le paysage de la cybersécurité en 2030 et au-delà », a affirmé Juhan Lepassaar.

Dans ce contexte, les IOAEU sont-elles suffisamment préparées ? En mars 2022, la Cour des comptes européenne (CCE) publiait les résultats d’un audit visant à déterminer si ces dernières, dans leur ensemble, avaient pris des dispositions adéquates pour se protéger contre les cybermenaces. L’organe de contrôle des finances de l’UE se penche en effet sur les questions de sécurité et de résilience cyber des institutions européennes : « Une entité résiliente et efficace est essentielle ! », justifie Mirko Iaconisi, attaché à la CCE et co-auteur du rapport.

L’UE, une communauté trop hétérogène

Pour ce dernier, la trop grande hétérogénéité de cette communauté diverse et disparate constitue en soi une source de risque cyber : « L’UE compte plus de 80 organismes tous indépendants, dotés de mandats, de bases légales et d’infrastructures cyber spécifiques. Et ce depuis les grandes institutions qui ont leur propres capacités et équipes d’experts cyber dédiées, jusqu’aux petites agences, pour certaines avec moins de 30 employés, aux ressources budgétaires et humaines limitées », note-t-il.

Sans surprise, le résultat des auditeurs est sans appel : « Nous arrivons à la conclusion que leur niveau de préparation dans le domaine de la cybersécurité n’est pas à la hauteur des menaces. Les principales bonnes pratiques en matière de cybersécurité, notamment certains contrôles essentiels, ne sont pas toujours appliqués. Plusieurs IOAUE consacrent un budget clairement insuffisant à leur protection contre les cybermenaces », indique Mirko Iaconisi.

Par ailleurs, certains organismes ne se seraient pas encore dotés d’une véritable gouvernance en matière de cybersécurité, selon le rapport. Dans bien des cas, la cyber ne ferait l’objet d’aucune stratégie ou, lorsqu’il en existe une, n’est pas approuvée par l’encadrement supérieur. Enfin, les politiques de sécurité ne seraient pas toujours formalisées et les évaluations des risques ne couvriraient pas l’ensemble de l’environnement informatique.

Et si les IOAUE ont établi des structures de coopération et d’échange d’informations dans le domaine de la cybersécurité, elles n’exploiteraient pas pleinement les synergies potentielles, selon Mirko Iaconisi : « Ils ne s’échangent pas de manière systématique les informations relatives à leurs projets, à leurs évaluations de la sécurité et à leurs contrats de service en lien avec la cybersécurité. De plus, les outils de communication de base tels que les solutions de courrier électronique crypté ou de visioconférence ne sont pas totalement interopérables. Cela peut se traduire par des échanges d’informations moins sûrs, une duplication des efforts et des coûts plus élevés. »

Comment expliquer ces défauts de préparations ? « La plupart des entités interrogées sur leurs principaux défis cyber citent le manque de compétences et d’experts dédiés, les contraintes budgétaires et les connaissances limitées du staff sur les questions cyber, soit la première ligne de défense », répond l’attaché de la Cour des comptes européenne.

Soutien et compétences nécessaires

Et si les plus petites entités ont besoin d’un soutien pour construire leurs capacités et relever leur maturité en termes de cybersécurité, les entités chargées de les soutenir (l’ENISA et le CERT-UE) ne parviennent pas à remplir leur rôle.

« Nous avons remarqué que les deux opérateurs – et plus particulièrement le CERT-UE qui était surchargé – n’ont pas réussi à fournir tout le soutien dont celles-ci auraient besoin. Nous recommandons à l’ENISA et au CERT-UE de travailler en étroite collaboration et de se concentrer davantage sur les organes de l’UE les moins matures pour les aider à renforcer leurs capacités et donc à élever le niveau de maturité de l’ensemble de la communauté », relève Mirko Iaconisi.

Sur base de ces constats, la CCE recommandait à la Commission européenne d’améliorer la préparation des IOAEU en matière de cybersécurité. Et ce à travers « un texte législatif instaurant des règles contraignantes communes pour tous les IOAUE dans ce domaine et revoyant à la hausse les ressources du CERT-UE ».

Le 22 novembre dernier, le Conseil de l’Europe adoptait sa position sur un « projet de règlement établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l’Union. » Ce texte de compromis, corédigé par le Conseil et le Parlement européen, vise à « améliorer la résilience et les capacités de réaction aux incidents de toutes les entités de l’UE et à remédier aux disparités dans leur approche en créant un cadre commun ».

Il définit ainsi les différentes obligations des entités de l’Union concernant à la fois l’établissement d’un cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité. Mais aussi en termes de gestion des risques cyber, de communication et de partage d’informations. Il prévoit aussi de renforcer le mandat et le financement du CERT-UE, de rehausser le partage avec le CERT-UE d’informations relatives aux incidents, et de promouvoir la coordination et la coopération dans le cadre de la réaction aux incidents de cybersécurité.

Une fois ce cadre en place, les entités européennes devront composer avec la pénurie actuelle et future d’agents spécialisés en cybersécurité, « qui constitue un risque majeur pour l’efficacité de la gestion de la cybersécurité », selon Mirko Iaconisi.

Certes, ce déficit d’expertises figure parmi les dix principales cybermenaces susceptibles d’émerger d’ici 2030. Cela « restera un problème à plus long terme, » estime Juhan Lepassaar. Mais former les bons talents ne suffira pas. Aussi, « la question est de savoir si ces personnes compétentes resteront en Europe ; c’est là un des défis de notre future cybersécurité », avertit le patron de l’ENISA.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.