Dans l’Union européenne, l’heure est à l’harmonisation en matière de cybersécurité, notamment avec des certifications communes pour les États membres. La directive NIS v2 est en approche, ainsi que des expérimentations pour la première moitié de 2022.
Dans la première partie de notre dossier, nous sommes revenus sur la création de la directive Network and Information Security (NIS) et l’European Union Agency for Cybersecurity. Il est désormais temps de laisser le passé derrière nous pour nous concentrer sur l’avenir de la cybersécurité en Europe.
Avec le Cyber Security Act, harmoniser les pratiques dans l’Union
Le Cyber Security Act donne à l’institution une autre mission fondamentale : le « cadre européen de certification de sécurité ». Le but est d’harmoniser les pratiques des États membres afin de « permettre une reconnaissance mutuelle au sein de l’UE ». Une prestation certifiée dans un État l’est ainsi automatiquement dans un autre.
Il y a un avantage certain pour les acteurs de la cybersécurité : « Développer l’accès à un marché européen les incite donc à se lancer dans cette démarche. Et par effet domino, cela sert notre objectif : l’élévation du niveau global de sécurité », explique Amélie Perron, cheffe adjointe du bureau affaires politique européenne et internationale de l’ANSSI. Elle ajoute que pour l’Agence française, l’un des principaux enjeux était d’éviter un nivellement par le bas.
L’Agence française rappelle que si le Cyber Security Act définit « un cadre et une gouvernance », il ne précise par contre pas « les règles de certification ». Le cloud est le premier domaine à l’étude, avec trois niveaux de certification pour le moment : élémentaire (ou basique), substantiel et élevé.
Pour rappel, le premier palier « démontre une intention dans la mesure où l’audit est principalement documentaire », le second correspond à « un profil de risque moyen » et devrait concentrer le plus de demandes. Le dernier se base sur le SecNumCloud français. À terme, SecNumCloud sera d’ailleurs remplacé par le certificat européen « élevé ». Trois sociétés ont une telle certification : OVHcloud (qui vient de lancer ses offres), Oodrive et Outscale.
Concernant les deux premiers niveaux, l’Agence parle d’une « révolution » même s’ils sont moins forts, car « les prestations certifiées s’adresseront aux petites entreprises, associations, collectivités et citoyens... ». Précisons que les certifications ont également vocation à s’étendre sur l’ensemble des produits et objets, pas qu'au cloud.
Et maintenant ? de la coordination, NSI v2 en approche
Aude Le Tellier, cheffe du bureau Affaires politiques européennes et internationales, revient sur une autre « étape majeure » qui vient d’être franchie concernant la cybersécurité en Europe : un nouveau règlement afin de coordonner les recherches. « Il s’agit d’établir une feuille de route commune pour permettre à tous ces acteurs de travailler sur la base de priorités identifiées […] On évitera ainsi de disperser des fonds sur des projets qui ne se transformeraient pas en solutions sur le marché, ou qui ne correspondraient pas aux besoins des utilisateurs ».
L’ANSSI explique qu’une « v2 » de la directive NIS est en préparation. Elle promet d’introduire des « évolutions majeures », selon Anne Tricaud : « À travers cette nouvelle directive, nous pourrions être amenés à réguler un champ beaucoup plus vaste d’opérateurs. De très nombreuses entreprises et organisations seraient concernées ». Cette réforme, encore vague pour le moment, serait la conséquence de la forte évolution des menaces cyber.
Oui au chiffrement, sans affaiblissement ou porte dérobée
L’Agence revient au passage sur des considérations plus techniques, et fait un plaidoyer en faveur du recours au chiffrement, qui se doit « d’être porté à l’échelle européenne ». Guillaume Poupard rappelle qu’il y a régulièrement des débats aux quatre coins du monde « sur l’entrave que cela pouvait constituer pour les services d’enquête ».
Il ne faut parfois pas aller bien loin pour trouver des exemples, avec la Belgique qui veut des portes dérobées dans le chiffrement de bout en bout. Quoi qu’il en soit, la position de l’ANSSI sur ce sujet est sans ambiguïté :
« Mettre en place une solution systémique (visant, par exemple, à interdire ou affaiblir le chiffrement) rendrait possibles des scénarios d’attaques potentiellement catastrophiques. Quant à l’intégration de portes dérobées (ou backdoors), elle reviendrait à créer des passe-partout qui, inévitablement, se retrouveraient entre les mains des attaquants ».
Guillaume Poupard en ajoute une couche :
« Ces mesures ne seraient probablement pas utiles aux services d’enquête : les personnes malfaisantes se débrouilleraient bien pour utiliser d’autres outils. Tout ce qui a été envisagé jusqu’à présent pour permettre un contournement systématique du chiffrement a démontré son inefficacité et sa dangerosité ».
Le directeur général propose d’autres pistes : « On peut imaginer, avec les fournisseurs de services over-the-top (OTT), des pistes intermédiaires respectueuses des données privées, mais permettant l’accès à certaines données sous requête d’un juge […] Par exemple en permettant, dans les cas qui l’exigent, l’accès à certaines informations annexes au contenu des communications ». Il faudra voir ce qu’il en est plus précisément avant de pouvoir juger.
Quoi qu’il en soit, cette réflexion doit être menée au niveau européen affirme Guillaume Poupard… Et ça tombe bien puisque la France prendra la présidence du Conseil de l’Union européenne sur le premier semestre de l’année, elle y poussera donc ses idées. Les sujets en attente pour cette période sont déjà nombreux.
Des idées d’expérimentations pour 2022
Dans certains cas, plusieurs portes sont encore ouvertes : « si une crise dépasse les capacités d’un État membre, comment réagir ? "On ne croit pas que la solution souhaitable soit de créer une équipe européenne permanente" », répond Guillaume Poupard. De son côté, l’ANSSI « penche plus volontiers pour des mécanismes d’assistance mutuelle bien délimités et respectueux des besoins propres des États ».
Une idée sort néanmoins du lot : mettre en place une liste de prestataires de services certifiés à l’échelle européenne. « La solidarité ne pourra se mettre en place que si la capacité des États est démultipliée grâce aux prestataires privés de confiance », affirme Anne Tricaud.
Guillaume Poupard reconnait que, même en France, « l’autorité nationale ne peut pas répondre à tous les incidents ». Les opérateurs critiques pourraient ainsi faire appel à des prestataires de confiance pour des travaux d’audit, de détection ou de réponse à des incidents. Reste à voir comment cette mesure sera accueillie par les gouvernements et victimes, qui n’ont pas forcément envie que d’autres acteurs privés viennent mettre leur nez dans leurs affaires.
L’ANSSI estime que « toutes ces pistes pourraient être expérimentées pendant la présidence française à travers un exercice de crise qui pourrait lier les niveaux technique, stratégique et politique, au niveau des ministres des Affaires étrangères ». « Cet exercice nous permettrait […] de répondre à cette question : que signifie concrètement la solidarité européenne ? », indique Célia Nowak, chargée de mission en management des crises cyber à l’Agence.
Cybersécurité en Europe : château de sable ou château fort ?
Pour le moment, Guillaume Poupard (à la tête de l’ANSSI depuis plus de sept ans) continue néanmoins d’avoir le « cul entre deux chaises » : « Au sens technique comme au sens politique, le sujet cyber est, sur certains aspects, très national […] mais sur d’autres, il est aussi profondément européen ».
Dans tous les cas, il dresse un bilan positif de la cybersécurité en Europe : « D’abord, on a fait en sorte que les États développent leurs propres capacités et protègent leurs opérateurs critiques. Puis, on les a mis en réseau. On a ensuite travaillé à l’émergence d’un écosystème industriel de confiance. Et maintenant qu’on a posé toutes ces bases, nous sommes prêts à appréhender sérieusement cette question de solidarité européenne ».
Maintenant que les fondations de la cybersécurité sont (en théorie) posées dans chaque État membre, la suite de la construction peut continuer… en espérant que les fondations soient solides et durables et que les briques à venir s’emboitent bien les unes avec les autres.
Commentaires (3)
Personnellement si on commençais déjà par rendre obligatoire des audits de sécurité (et patch les problème trouvé) chez tous les FAI en Europe, et imposé a toute entreprise en Europe d’avoir DNSSEC activé sur leur domaine (obligation étendue au entreprise non située en Europe comme le RGPD)
Et imposé au FAI d’implémenté des DNS comme Quad9 en Upstream.
Ca augmenterais déjà méchamment le niveau globale de la sécurité européenne.
Car les mauvais élève (pas de 2FA pour les FAI) les domaine mal sécurisé ou les FAI totalement insécurisé serait découvert et forcé a se mettre au niveau.
EDIT : bien entendu pour le DNS je pense uniquement pour les clients “home” et non les Entreprise sensé gérer leur DNS (et donc leur sécurité elle même donc pour eu une simple recommandation d’utilisé quad9 (ou équivalent) serait suffisante).
Ce qui permettrais d’exit de force les entreprise (ou école) qui utilise un internet pour particulier alors que ce n’est pas des particulier).
Enfin l’implémentation d’un DNS filtrant en upstream permet d’éliminer les malwares via DNS sans implémenté de filtre chez les FAI (ce qui deviendrais un dangereux précédent).
Tout en laissant la possibilité a l’utilisateur final (home aussi) de changer les DNS qu’il utilise (ce que la majorité ne font pas) pour des dns Filtrant anti-pub, ou des dns non filtrant (ou leur propre résolveur dns).
T’as fait une petite erreur, j’ai corrigé ça pour toi
+1 pour DNSSEC. Je suis chez protonmail, j’ai une alerte quand les sécurités DNS ne sont pas activées sur le domaine, bah autant te dire que c’est presque tout le temps….