Jamais le péril « cyber » n’a été aussi élevé dans le monde. Les tentions internationales (guerres militaires et guerres commerciales) accroissent le nombre de cyberattaques et de rançongiciels. Le blackout total numérique n’est pas exclu. L’Europe met en place un e-bouclier, mais le risque demeure

L’Agence européenne pour la cybersécurité (Enisa), qui a été créée il y a plus de 20 ans et dont le rôle a été renforcé par le Cybersecurity Act (1) en 2019, ne compte plus les milliards d’euros que coûtent à l’économie en Europe les cyberattaques et la cybercriminalité. De même, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), dirigée par Vincent Strubel (photo), ne fait plus état – pas même dans son rapport du 11 mars (2) – des milliards de dommages financiers et des manques à gagner que provoquent cyberpirates, hackers, cyberescrocs et autres hacktivistes.

Sauve qui peut et branle-bas de combat
Le fléau est tel qu’il est devenu impossible de mesurer les pertes subies dans le monde. Potentiellement, personne n’est à l’abris : ni les Etats, ni les administrations publiques, ni les grandes entreprises, ni les PME-TPE, ni les artisans, et ni les particuliers. Face à la vulnérabilité numérique grandissante, l’UE avait adopté le 14 décembre 2022 pas moins de trois directives que la France (3) transpose actuellement dans sa législation nationale via le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte « Résilience & Cybersécurité » a été adopté le 12 mars dernier au Sénat (4) et est maintenant entre les mains de l’Assemblée nationale (5). Il y a urgent, le gouvernement ayant même engagé une « procédure accélérée ». Ces trois directives européennes sont :
• La directive « Network and Information Security » (6), surnommée NIS2, vise à (suite)

« assurer un niveau élevé de cybersécurité » dans l’UE. Ayant abrogé la directive « NIS1 » de 2016, la « NIS2 » veut non seulement « supprimer les divergences importantes entre les Etats membres », mais aussi met à jour la liste des secteurs et activités soumis à des obligations cybersécuritaires. Ainsi, elle porte à dix-huit – au lieu de six – le nombre de secteurs à protéger en priorité, qu’elle répartit entre les « secteurs hautement critiques » (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (7) interentreprises, administration publique, et espace), et les « autres secteurs critiques » (services postaux et d’expédition ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution des denrées alimentaires ; fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, ou encore de véhicules automobiles ; fournisseurs numériques, dont places de marché en ligne, moteurs de recherche en ligne et réseaux sociaux ; recherche).
• La directive « Critical Entities Resilience » (8), surnommée CER ou REC, vise à assurer « la résilience des entités critiques » dans l’UE. Ayant abrogé la directive EPCIP de 2008, la « REC » renforce la résilience des entités critiques dans l’UE. Dans un monde d’infrastructures sensibles, de plus en plus interconnectées et transfrontalières, la « REC » fait en sorte que les risques soient mieux pris en compte et que le rôle et les obligations des entités critiques (la France parle d’« activités d’importance vitale »), en tant que fournisseurs de services essentiels, soient mieux définis et cohérents dans les Vingt-sept. Il s’agit in fine de maintenir « les fonctions sociétales » et « les activités économiques vitales ». La « REC » liste elle aussi des secteurs à cyberprotéger, au nombre de onze (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux résiduaires, infrastructures numériques, administration publique, espace, et production, transformation et distribution de denrées alimentaires).
• La directive « Digital Operational Resilence Act » (9), surnommée DORA, vise à renforcer la « résilience opérationnelle numérique du secteur financier » au sein de l’UE. Son objectif principal est de garantir que les banques, les assureurs et les gestionnaires d’actifs soient capables de résister, de répondre et de se remettre des cyber-perturbations, ou de pire. La « DORA » est applicable depuis le 17 janvier 2025. La numérisation rend le monde financier vulnérable : paiements, opérations de compensation, règlement d’opérations sur titres, trading électronique et algorithmique, prêts, financement, notation de crédit, gestion de créances, ou encore souscription d’assurance.

Le capitalisme financier est aux abois
Les établissements financiers et de banque-assurance doivent mettre en place des cadres robustes pour identifier, gérer et atténuer les cyber-risques. Les incidents majeurs doivent être signalés rapidement aux autorités compétentes, tandis que des tests réguliers doivent être effectués afin d’évaluer la capacité à gérer des crises numériques. Les relations avec les fournisseurs de services numériques critiques sont encadrées pour minimiser les cyber-risques. @

Charles de Laubier