Page 24 - BIPAR Annual Report 2020_FR short
P. 24
Cybersécurité
Historique Règlement et Agence UE sur la cybersécurité Autres initiatives en matière de cybersécurité principaux acteurs du marché et infrastructures du secteur
financier européen.
En septembre 2017, la Commission La Commission européenne, le Parlement européen et le Conseil de l’UE Les tâches de l’ENISA seront complétées par le nouveau
européenne a adopté un ensemble sont parvenus début 2019 à un accord sur le texte final du Règlement Centre européen de compétences industrielles, Les AES voient clairement les avantages d’un tel cadre.
de mesures sur la cybersécurité, sur la cybersécurité. Ce Règlement sera publié au Journal officiel de l’UE technologiques et de recherche en matière de cybersécurité, Toutefois, l’évaluation des AES a démontré l’existence d’une
introduisant de nouvelles initiatives prochainement et entrera en vigueur 20 jours après sa publication. dont les activités ne devront pas faire double emploi fragmentation dans le champ d’application, la granularité
visant à améliorer la cyber-résilience, avec celles de l’ENISA. La proposition de la Commission, et la spécificité des dispositions relatives aux TIC et à la
la dissuasion et la défense de l’UE. Le Règlement établit des schémas européens de certification de cybersécurité adoptée en septembre 2018, prévoit que l’objectif de ce sécurité/cybersécurité dans la législation européenne
Ces mesures incluaient également la pour des processus TIC, produits TIC et services TIC (technologies de centre sera d’établir une base de connaissances de pointe sur les services financiers. Les AES ont recommandé à la
création d’une Agence européenne l’information et de la communication) spécifiques et transforme l’actuelle pour la cybersécurité. Il aura pour mission de renforcer Commission de se concentrer dans un premier temps sur
de cybersécurité basée sur l’actuelle ENISA en une agence permanente de l’UE pour la cybersécurité. Les la coordination de la recherche et de l’innovation dans le un niveau minimum de cyber-résilience dans l’ensemble des
Agence européenne pour la sécurité schémas européens de certification de cybersécurité visent à contribuer à domaine de la cybersécurité. Il constituera également le secteurs, proportionnel aux besoins et aux caractéristiques
des réseaux et de l’information (ENISA) l’harmonisation au sein de l’Union des pratiques en matière de cybersécurité principal instrument de l’UE pour mettre en commun les des entités concernées. En outre, les AES proposent
ainsi que la mise en place d’un cadre afin d’accroître la sécurité contre les menaces cybernétiques. investissements dans la recherche, les technologies et le d’établir, sur une base volontaire, un cadre d’essai cohérent
de certification volontaire à l’échelle développement industriel en matière de cybersécurité. à l’échelle de l’UE avec d’autres autorités compétentes, en
de l’UE pour garantir que les produits - Les schémas de certification européens seront adoptés par la Le Centre sera établi pour la période allant du 1er janvier tenant compte des initiatives existantes et en mettant
et les services répondent à toutes les Commission et mis en œuvre et supervisés par les autorités nationales de 2021 au 31 décembre 2029. Il sera ensuite supprimé, sauf l’accent sur les tests de pénétration fondés sur les menaces.
exigences de cybersécurité. certification en matière de cybersécurité. La certification sera volontaire, sauf décision contraire. A long terme, les AES visent à assurer un niveau suffisant
indication contraire dans la législation de l’UE ou des Etats membres. de cyber-maturité des entités intersectorielles identifiées.
- Les certificats délivrés dans le cadre de ces schémas attesteront La création d’un Réseau des compétences en cybersécurité
qu’un produit TIC/service TIC/processus TIC donné est conforme aux est envisagée en tant que mesure supplémentaire pour Consultation de la Commission sur la résilience
exigences de sécurité spécifiques et seront valables dans tous les pays renforcer les capacités de l’UE en matière de cybersécurité. numérique pour les services financiers et les
de l’UE. Les schémas de certification devront reposer sur des éléments Ce Réseau sera composé de centres nationaux de crypto-actifs
déjà existants au niveau international, européen et national. coordination désignés par les Etats membres. Les centres
- Chaque certificat européen de cybersécurité peut se référer à l’un nationaux possèderont ou auront accès à l’expertise Le 19 décembre 2019, la Commission européenne a lancé
des trois niveaux d’assurance différents : “élémentaire”, “substantiel” technologique en matière de cybersécurité, notamment deux consultations publiques :
et “élevé”. Les niveaux d’assurance prévoient la rigueur et l’ampleur dans des domaines tels que la cryptographie, la détection
correspondantes de l’évaluation du produit TIC, du service TIC ou du d’intrusion ou les aspects humains de la sécurité. 1. sur la résilience opérationnelle des services
processus TIC (le niveau d’évaluation, pas la sécurité du produit concerné) Une troisième structure sera également établie, à savoir la financiers sur le plan numérique ; et
et sont déterminés par référence aux spécifications techniques, normes communauté des compétences en matière de cybersécurité, 2. sur un cadre européen pour les marchés des
et procédures qui y sont liées, y compris les contrôles techniques, dont qui réunira les principales parties prenantes (notamment crypto-actifs.
l’objectif est de limiter les incidents ou de les prévenir. l’industrie, les milieux universitaires et les organisations
- Les fabricants ou les prestataires de services sont autorisés à de recherche, les entités publiques) afin d’améliorer et de Etant donné que le secteur financier est le plus grand
effectuer eux-mêmes des évaluations de conformité mais la déclaration diffuser l’expertise en matière de cybersécurité dans toute utilisateur de technologies de l’information et des
de conformité UE (au lieu du certificat) ne peut se référer qu’au niveau l’UE. communications (TIC) au monde et que cette dépendance
Mariya Gabriel, Commissaire pour d’assurance « élémentaire ». Le Parlement et le Conseil ont adopté leurs positions va encore s’accroître avec l’utilisation croissante de
l’Economie et la Société numériques, officielles concernant la création de ces centres et sont modèles, concepts ou technologies émergents, la résilience
a déclaré : “Nous devons renforcer En outre, l’ENISA sera un centre d’expertise sur la cybersécurité et disposera maintenant prêts à entamer les négociations sur le texte opérationnelle - et la cyberrésistance - du secteur dépend
la confiance des citoyens et des de davantage de ressources humaines et financières. Elle soutiendra la final (phase de trilogue). dans une large mesure des TIC, car il peut devenir
entreprises dans l’environnement politique de l’UE en matière de cybersécurité et jouera un rôle central dans vulnérable aux cyberattaques. Les crypto-actifs sont l’une
numérique, notamment dans une l’établissement et le maintien de schémas de certification avec l’assistance Avis des AES sur les coûts et avantages d’un des principales applications de la technologie de la chaîne
période où les cyber-attaques de d’experts et l’étroite coopération des autorités nationales de certification et de cadre cohérent de test de la cyber-résilience de blocs dans le secteur financier. Ils sont généralement
grande envergure sont de plus en l’industrie. L’ENISA mettra sur pied un site web d’information sur les certificats définis comme un type d’actifs privés dont la valeur
plus fréquentes. Mon souhait est et organisera régulièrement des exercices de cybersécurité au niveau de l’UE, Dans le prolongement du Plan d’action FinTech de mars inhérente dépend essentiellement de la cryptographie et
que des normes de cybersécurité y compris un exercice global à grande échelle tous les deux ans. 2018 de la Commission européenne, les AES ont publié en de la technologie des registres distribués.
élevées confèrent un nouvel avantage avril 2019 un avis conjoint sur les coûts et les avantages
concurrentiel à nos entreprises.” d’un cadre cohérent de test de la cyber-résilience pour les L’objectif de la consultation sur la résilience opérationnelle
24 25
