Cybersécurité














 Historique  Règlement et Agence UE sur la cybersécurité  Autres initiatives en matière de cybersécurité  principaux acteurs du marché et infrastructures du secteur
                                                                financier européen.

 En septembre 2017, la Commission   La  Commission  européenne,  le  Parlement  européen  et  le  Conseil  de  l’UE   Les  tâches  de  l’ENISA  seront  complétées  par  le  nouveau
 européenne a adopté un ensemble   sont  parvenus  début  2019  à  un  accord  sur  le  texte  final  du  Règlement   Centre   européen   de   compétences   industrielles,   Les  AES  voient  clairement  les  avantages  d’un  tel  cadre.
 de mesures sur la cybersécurité,   sur  la  cybersécurité.    Ce  Règlement  sera  publié  au  Journal  officiel  de  l’UE   technologiques et de recherche en matière de cybersécurité,   Toutefois, l’évaluation des AES a démontré l’existence d’une
 introduisant de nouvelles initiatives   prochainement et entrera en vigueur 20 jours après sa publication.  dont les activités ne devront pas faire double emploi   fragmentation dans le champ d’application, la granularité
 visant à améliorer la cyber-résilience,   avec  celles  de  l’ENISA.  La  proposition  de  la  Commission,   et  la  spécificité  des  dispositions  relatives  aux  TIC  et  à  la
 la dissuasion et la défense de l’UE.   Le Règlement établit des schémas européens de certification de cybersécurité   adoptée  en  septembre  2018,  prévoit  que  l’objectif  de  ce   sécurité/cybersécurité  dans  la  législation  européenne
 Ces mesures incluaient également la   pour  des  processus  TIC,  produits  TIC  et  services  TIC  (technologies  de   centre sera d’établir une base de connaissances de pointe   sur les services financiers.  Les AES ont recommandé à la
 création d’une Agence européenne   l’information  et  de  la  communication)  spécifiques  et  transforme  l’actuelle   pour  la  cybersécurité.  Il  aura  pour  mission  de  renforcer   Commission de se concentrer dans un premier temps sur
 de cybersécurité basée sur l’actuelle   ENISA  en  une  agence  permanente  de  l’UE  pour  la  cybersécurité.  Les   la coordination de la recherche et de l’innovation dans le   un niveau minimum de cyber-résilience dans l’ensemble des
 Agence européenne pour la sécurité   schémas  européens  de  certification  de  cybersécurité  visent  à  contribuer  à   domaine  de  la  cybersécurité.  Il  constituera  également  le   secteurs, proportionnel aux besoins et aux caractéristiques
 des réseaux et de l’information (ENISA)   l’harmonisation au sein de l’Union des pratiques en matière de cybersécurité   principal instrument de l’UE pour mettre en commun les   des  entités  concernées.  En  outre,  les  AES  proposent
 ainsi que la mise en place d’un cadre   afin d’accroître la sécurité contre les menaces cybernétiques.   investissements dans la recherche, les technologies et le   d’établir, sur une base volontaire, un cadre d’essai cohérent
 de certification volontaire à l’échelle   développement industriel en matière de cybersécurité.  à l’échelle de l’UE avec d’autres autorités compétentes, en
 de l’UE pour garantir que les produits   -   Les  schémas  de  certification  européens  seront  adoptés  par  la   Le Centre sera établi pour la période allant du 1er janvier   tenant compte des initiatives existantes et en mettant
 et les services répondent à toutes les   Commission et mis en œuvre et supervisés par les autorités nationales de   2021 au 31 décembre 2029. Il sera ensuite supprimé, sauf   l’accent sur les tests de pénétration fondés sur les menaces.
 exigences de cybersécurité.    certification en matière de cybersécurité. La certification sera volontaire, sauf   décision contraire.  A long terme, les AES visent à assurer un niveau suffisant
 indication contraire dans la législation de l’UE ou des Etats membres.  de cyber-maturité des entités intersectorielles identifiées.
 -   Les  certificats  délivrés  dans  le  cadre  de  ces  schémas  attesteront   La création d’un Réseau des compétences en cybersécurité
 qu’un  produit  TIC/service  TIC/processus  TIC  donné  est  conforme  aux   est  envisagée  en  tant  que  mesure  supplémentaire  pour   Consultation de la Commission sur la résilience
 exigences de sécurité spécifiques et seront valables dans tous les pays   renforcer les capacités de l’UE en matière de cybersécurité.     numérique pour les services financiers et les
 de l’UE. Les schémas de certification devront reposer sur des éléments   Ce Réseau sera composé de centres nationaux de   crypto-actifs
 déjà existants au niveau international, européen et national.  coordination désignés par les Etats membres. Les centres
 -   Chaque certificat européen de cybersécurité peut se référer à l’un   nationaux possèderont ou auront accès à l’expertise   Le 19 décembre 2019, la Commission européenne a lancé
 des  trois  niveaux  d’assurance  différents  :  “élémentaire”,  “substantiel”   technologique  en  matière  de  cybersécurité,  notamment   deux consultations publiques :
 et  “élevé”.  Les  niveaux  d’assurance  prévoient  la  rigueur  et  l’ampleur   dans des domaines tels que la cryptographie, la détection
 correspondantes  de  l’évaluation  du  produit  TIC,  du  service  TIC  ou  du   d’intrusion ou les aspects humains de la sécurité.  1.   sur  la  résilience  opérationnelle  des  services
 processus TIC (le niveau d’évaluation, pas la sécurité du produit concerné)   Une troisième structure sera également établie, à savoir la   financiers sur le plan numérique  ; et
 et sont déterminés par référence aux spécifications techniques, normes   communauté des compétences en matière de cybersécurité,   2.   sur  un cadre  européen  pour les  marchés  des
 et procédures qui y sont liées, y compris les contrôles techniques, dont   qui réunira les principales parties prenantes (notamment   crypto-actifs.
 l’objectif est de limiter les incidents ou de les prévenir.  l’industrie,  les  milieux  universitaires  et  les  organisations
 -   Les  fabricants  ou  les  prestataires  de  services  sont  autorisés  à   de recherche, les entités publiques) afin d’améliorer et de   Etant  donné  que  le  secteur  financier  est  le  plus  grand
 effectuer eux-mêmes des évaluations de conformité mais la déclaration   diffuser l’expertise en matière de cybersécurité dans toute   utilisateur de technologies de l’information et des
 de conformité UE (au lieu du certificat) ne peut se référer qu’au niveau   l’UE.  communications (TIC) au monde et que cette dépendance

 Mariya Gabriel, Commissaire pour   d’assurance « élémentaire ».  Le Parlement et le Conseil ont adopté leurs positions   va  encore  s’accroître  avec  l’utilisation  croissante  de
 l’Economie et la Société numériques,   officielles  concernant  la  création  de  ces  centres  et  sont   modèles, concepts ou technologies émergents, la résilience
 a déclaré : “Nous devons renforcer   En outre, l’ENISA sera un centre d’expertise sur la cybersécurité et disposera   maintenant prêts à entamer les négociations sur le texte   opérationnelle - et la cyberrésistance - du secteur dépend
 la confiance des citoyens et des   de  davantage  de  ressources  humaines  et  financières.    Elle  soutiendra  la   final (phase de trilogue).  dans  une  large  mesure  des  TIC,  car  il  peut  devenir
 entreprises dans l’environnement   politique de l’UE en matière de cybersécurité et jouera un rôle central dans   vulnérable aux cyberattaques.  Les crypto-actifs sont l’une
 numérique, notamment dans une   l’établissement et le maintien de schémas de certification avec l’assistance   Avis  des  AES  sur  les  coûts  et  avantages  d’un   des principales applications de la technologie de la chaîne
 période où les cyber-attaques de   d’experts et l’étroite coopération des autorités nationales de certification et de   cadre cohérent de test de la cyber-résilience  de blocs dans le secteur financier. Ils sont généralement
 grande envergure sont de plus en   l’industrie.  L’ENISA mettra sur pied un site web d’information sur les certificats   définis  comme  un  type  d’actifs  privés  dont  la  valeur
 plus fréquentes. Mon souhait est   et organisera régulièrement des exercices de cybersécurité au niveau de l’UE,   Dans  le  prolongement  du  Plan  d’action  FinTech  de  mars   inhérente dépend essentiellement de la cryptographie et
 que des normes de cybersécurité   y compris un exercice global à grande échelle tous les deux ans.  2018 de la Commission européenne, les AES ont publié en   de la technologie des registres distribués.
 élevées confèrent un nouvel avantage   avril 2019 un avis conjoint sur les coûts et les avantages
 concurrentiel à nos entreprises.”  d’un cadre cohérent de test de la cyber-résilience pour les   L’objectif de la consultation sur la résilience opérationnelle


 24                                                         25