Accueil Confidentialité des données Un niveau de cybermenace “substantiel” pour l’Europe, selon l’agence de l’UE pour...

Un niveau de cybermenace “substantiel” pour l’Europe, selon l’agence de l’UE pour la cybersécurité

Les menaces actuelles et futures identifiées par ENISA
Les menaces actuelles et futures identifiées par ENISA

L’évaluation des risques menée à l’échelle de l’Union a révélé un niveau de cybermenace substantiel pour l’UE, mettant en évidence les vulnérabilités découvertes exploitées par les acteurs de la menace ciblant les entités de l’UE, », affirme l’Agence de l’UE pour la cybersécurité (Enisa) dans son premier rapport publié le 3 décembre 2024.

L’évaluation montre que malgré l’alignement des stratégies de cybersécurité des différents États, les secteurs critiques n’ont pas une mise en œuvre uniforme des mesures de cybersécurité. Les PME mais aussi les collectivités ont été particulièrement touchées par les cyberattaques ainsi que le secteur financier.

Au niveau des citoyens, il est suggéré que la sensibilisation à la cybersécurité a probablement augmenté parmi les citoyens de l’UE. Le niveau de compétences numériques des jeunes générations semble plus élevé, malgré des variations dans la disponibilité des programmes d’éducation et la maturité de l’éducation entre les États membres », constate l’Agence.

L’Enisa anticipe plusieurs menaces émergentes en matière de cybersécurité jusqu’en
2030 notamment menées par des acteurs non étatiques de plus en plus nombreux. “Plus précisément, selon les tendances identifiées, même si l’importance perçue de
menaces telles que la « compromission de la chaîne d’approvisionnement des
dépendances logicielles » et les « campagnes avancées de désinformation/d’influence » devrait légèrement diminuer d’ici 2030, elles continueront de représenter un risque
important ».

Les menaces probables d’ici à 2030

Selon l’Enisa, les “erreurs humaines, l’exploitation de systèmes non corrigés et obsolètes et l’impact physique des perturbations naturelles/environnementales sur les infrastructures numériques critiques » gagneront du terrain.

Le risque de “menaces hybrides avancées » liées aux interférences, aux tactiques d’ingénierie sociale et à la diffusion de désinformation est considéré comme parmi très probable. La probabilité que des « IA perturbant ou renforçant les cyberattaques » augmente également.

Autre constat, les “pénuries de compétences” vont s’intensifier.

Les 6 recommandations de l’Enisa

Pour améliorer la situation, le rapport propose six recommandations politiques couvrant quatre domaines prioritaires qui sont la mise en œuvre des politiques IT, la gestion des cyber crises, la protection de la chaîne d’approvisionnement et l’enrichissement des compétences. Ainsi, l’Enisa propose de :

1 Renforcer le soutien technique et financier apporté aux institutions, organes et agences de l’Union européenne (UIBAs), aux autorités nationales compétentes ainsi qu’aux entités relevant du champ d’application de la directive NIS2 afin de garantir une mise en œuvre harmonisée, complète, opportune et cohérente du cadre politique de cybersécurité de l’UE en constante évolution en utilisant les structures déjà existantes au niveau de l’UE telles que le groupe de coopération NIS, le réseau CSIRT et les agences de l’UE.

2 Réviser le plan directeur de l’UE pour une réponse coordonnée aux incidents cybernétiques de grande ampleur, tout en tenant compte de toutes les dernières évolutions de la politique de cybersécurité de l’UE. Le plan directeur révisé de l’UE devrait promouvoir davantage l’harmonisation et l’optimisation de la cybersécurité de l’UE, ainsi que renforcer les capacités nationales et européennes en matière de cybersécurité pour une résilience accrue à l’échelle nationale et européenne.

3 Renforcer la main-d’œuvre de l’UE dans le domaine de la cybersécurité en mettant en œuvre la Cybersecurity Skills Academy et en établissant, en particulier, une approche européenne commune en matière de formation à la cybersécurité, en identifiant les besoins futurs en compétences, en élaborant une approche européenne coordonnée de l’implication des parties prenantes pour combler le déficit de compétences et en mettant en place un système européen d’attestation des compétences en cybersécurité.

4 Assurer la sécurité de la chaîne d’approvisionnement dans l’UE en intensifiant les évaluations des risques coordonnées à l’échelle de l’UE et en élaborant un cadre politique horizontal de l’UE pour la sécurité de la chaîne d’approvisionnement visant à relever les défis de cybersécurité auxquels sont confrontés les secteurs public et privé.

5 Améliorer la compréhension des spécificités et des besoins sectoriels, améliorer le niveau de maturité en matière de cybersécurité des secteurs couverts par la directive NIS2 et utiliser le futur mécanisme d’urgence en matière de cybersécurité qui sera établi dans le cadre de la loi sur la cyber solidarité pour la préparation et la résilience sectorielles en mettant l’accent sur les secteurs faibles ou sensibles et les risques identifiés par des évaluations des risques à l’échelle de l’UE.

6 Promouvoir une approche unifiée en s’appuyant sur les initiatives politiques existantes et en harmonisant les efforts nationaux pour atteindre un niveau commun élevé de sensibilisation à la cybersécurité et d’hygiène informatique parmi les professionnels et les citoyens, quelles que soient leurs caractéristiques démographiques.

L’Enisa pointe également la nécessité de renforcer la recherche, le développement et l’innovation en matière d’intelligence artificielle et de cryptographie post-quantique. “Pour se préparer aux défis de demain, une connaissance commune de la situation et une coopération opérationnelle bien éprouvée sont fondamentales” prévient l’Agence.