« Il faudrait avoir des ressources en place 7 jours sur 7, 24 heures sur 24 », estime Udo Helmbrecht, directeur de l'ENISA.  Début mai, des milliers de personnes ont été touchées par le virus WannaCry, qui crypte les données personnelles, les prenant en otage et exigeant le paiement d'une rançon. Selon Udo Hembrecht, la réaction de l'UE face à cette cyberattaque (partage d'information entre experts nationaux et avertissements des utilisateurs) a constitué le premier exemple de collaboration entre les autorités de cybersécurité des États membres.

La directive sur la sécurité des réseaux et des systèmes d'information (NIS), adoptée l'an dernier, prévoit que les autorités de cybersécurité nationales de l'UE partagent les données liées aux cyberattaques entre elles. L'ENISA aide donc les États membres plus petits à entrer en contact avec les pays plus grands, qui bénéficient souvent de plus de ressources pour faire face aux menaces.

« Le message, c'est qu'il existe une communauté technique en Europe [et] cette communauté fonctionne », se félicite le directeur de l'agence européenne.

Un manque de moyens ?

Dix ans après une cyberattaque qui a coulé les sites web en Estonie, il n'existe cependant toujours pas de procédure européenne de réaction à une crise cybersécuritaire, souligne-t-il. L'ENISA a pour objectif de changer cela.

« Nous devons être plus flexibles, plus agiles, à l'avenir », assure-t-il. L'agence, située en Grèce, ne compte que 84 employés et un budget annuel de 11 millions d'euros. Udo Helmbrecht milite depuis des années pour que ce budget soit augmenté. En 2017, la Commission a refusé de lui accorder 5 millions d'euros supplémentaires.

Avant de passer à l'ENISA, Udo Helmbrecht dirigeait l'agence allemande de cybersécurité (BSI), qui compte aujourd'hui plus de 600 employés. Il est donc très conscient des ressources nécessaires pour contrer les menaces sur Internet.

« Quand on parle de cybersécurité, il faut aussi parler de priorités. On dit que tout doit devenir numérique et que le secteur des TIC est la colonne vertébrale de notre société. Or, si un responsable politique fait ces déclarations, il doit aussi y mettre un budget », fait-il remarquer.

Les problèmes budgétaires de l'agence sont liés à son statut. Elle est en effet censée fournir des conseils, mener des recherches et organiser des exercices auprès des autorités nationales, afin de faciliter les échanges d'information, mais elle n'a pas de rôle juridique.

« Il n'y a aucun contrôle, il faut changer cela. »

Andrus Ansip, le commissaire européen chargé des politiques numériques, s'est rendu dans le siège de l'ENISA, à Athènes, il y a deux semaines. Il venait d'annoncer son intention de présenter en septembre une révision du mandat juridique de l'agence, ainsi qu'une série de nouvelles politiques cybersécuritaires.

« Avec ce nouveau mandat, l'ENISA pourra sans doute se renforcer », indique Udo Helmbrecht. Or, « si le monde évolue dans ce sens, nous aurons besoin de plus » qu'une approche légère sur la cybersécurité.

Andrus Ansip a confirmé que ses propositions incluront des mesures de certification et étiquetage des produits en fonction de leur sûreté. Un sujet qui tient à cœur à Udo Helmbrecht, qui souhaite un débat plus large sur une possible modification des règles de responsabilité, afin que celles-ci tiennent compte des cyberattaques.

« N'importe quelle petite entreprise peut mettre ses produits en vente, il n'y a aucun contrôle. Il faut changer cela », estime-t-il.

Une des options possibles serait d'exiger que les producteurs fournissent un logiciel de réparation des problèmes de sécurité. Si les firmes ne les créent pas elles-mêmes, elles pourraient alors être tenues responsables des piratages. Pour le directeur de l'ENISA, il est important que les utilisateurs sachent qui est responsable.

La sécurité des produits comme argument de vente

La Commission encourage l'étiquetage comme moyen d'inciter les entreprises à utiliser leurs garanties sécuritaires comme argument de vente. Cela « permettrait à long terme d'aider l'UE à se positionner comme pionnière des politiques de certifications informatiques mondiales et hausser la compétitivité de l'industrie européenne sur les marchés internationaux », estime la Commission.

Les entreprises du secteur ont cependant rejeté cette proposition, assurant que la comparaison pourrait être mauvaise pour certaines entreprises. Après les déclarations récentes d'Andrus Ansip à ce sujet, l'association DigitalEurope, qui représente notamment Google et Microsoft, s'est ainsi exprimée contre la proposition.

« Plutôt que de promouvoir les certifications et l'étiquetage, [la Commission] ferait mieux d'investir dans des ressources supplémentaires pour l'ENISA et d'encourager les partenariats privé-public pour développer des solutions et normes proposées par l'industrie », déclare DigitalEurope dans un communiqué de presse.

L'an dernier, la Commission a lancé un partenariat privé-public de 450 millions d'euros sur la cybersécurité. Selon Udo Helmbrecht, le programme a déjà attiré près de 2 milliards d'euros d'investissement, mais doit continuer à être au centre de l'attention s'il veut renforcer un marché technologique sûr.

« Nous ne voulons pas voir nos talents partir vers l'Asie ou les États-Unis, et nous ne voulons pas que les petites entreprises européennes soient rachetées par des Américains. Nous devons créer une croissance en Europe [...] une fois lancée, personne ne pourra l'arrêter », conclut-il.

____

Par Catherine Stupp, Euractiv.com

(Article publié le lundi 22 mai 2017)

____

>Retrouvez toutes les actualités et débats qui animent l'Union Européenne sur Euractiv.fr