UE : le mécanisme de notifications des incidents cyber peut mieux faire

Créée en 2004, l’Agence européenne chargée de la sécurité des réseaux de l’information ou ENISA est censée être bien rodée et fonctionner en plein régime à l’heure actuelle. Il n’en est rien ! À une époque ou nous avons plus que jamais besoin d’une structure fiable pour lutter contre les cyberattaques, de plus en plus fréquentes et de plus en plus virulentes, l’Agence peine à remplir sa mission. Lors de la dernière table ronde de l’ENISA, Juhan Lepassaar, le directeur exécutif fait part de sa déception et de ses inquiétudes.

ENISA : une efficacité largement en deçà des attentes

Le 26 avril dernier, le directeur général a déclaré :

« Nous avons besoin de quelque chose qui soit agile, qui fonctionne et où les informations peuvent être partagées de manière sécurisée ».

En effet, Juhan Lepassar a expliqué que l’agence, sur qui l’espoir de tout le continent repose, « ne fonctionnait pas ». Le vrai problème, selon les experts, concerne le système de notification des incidents. Jugé trop bureaucratique et trop lourd en l’état actuel, ce système intronisé en 2018 dans le cadre de la directive NIS est snobé par la majorité des Etats membres. Pourtant, son bon fonctionnement et les remontées d’informations qu’il est censé permettre sont vitaux pour que les autorités puissent suivre l’évolution de la menace cyber, ses tendances et ses tenants. S’il est bien exploité, c’est également un bon moyen de se jauger en permanence pour être en mesure de se renforcer régulièrement.

L’inefficacité du mécanisme de notifications des incidents est particulièrement inquiétant lorsqu’on sait qu’en 2021, l’Agence n’a recensé aucun incident transfrontalier alors que le cheval de Troie Sharkbot a sévi l’année dernière en touchant notamment des banques et une plateforme européenne de billetterie électronique.

Quelles sont les solutions ?

L’une des principales solutions proposées pour remédier à cette situation consiste à inclure le secteur privé. Certes, depuis que le directeur exécutif a tiré sur la sonnette d’alarme, les États membres montrent une volonté de s’impliquer davantage pour l’intérêt de tous. Pour Luukas Ilves, directeur des systèmes d’information d’Estonie, « il est tout aussi important que le secteur privé signale les incidents ». Un avis partagé par Anouck Teiller, la directrice de cabinet de l’ANSSI. De nombreux experts en cybersécurité vont dans le même sens en estimant que toutes les menaces sectorielles doivent être déclarées et centralisées au niveau de l’ENISA.

Actuellement, une mise à jour de la directive NIS est en cours d’étude. D’une part, l’obligation de notifier les menaces potentielles, les tentatives d’attaques (qui ont été évitées) et celles qui ont abouties devrait nous permettre de tirer pleinement profit du potentiel de l’ENISA. D’autre part, les équipes d’intervention (CSIRT) doivent « agir de manière pertinente sur ce partage de données et prévenir, pallier et aider la société grâce à ces informations » selon les mots du député et membre du Parlement Européen Bart Groothuis.

Le partage est donc la clé qui permettrait de rehausser la capacité de l’ENISA à lutter contre la cybercriminalité sur le Vieux Continent. Cela étant dit, Bart Groothuis reste sceptique sur le fait que l’Agence va devoir traiter un très grand volume d’informations. Il s’attend à ce que certaines données soient faussées. Iva Tasheva, l’experte en cybersécurité propose la hiérarchisation des incidents, plus précisément la définition d’un seuil pour distinguer les incidents majeurs de ceux de plus faible envergure ou intensité. Pour elle, il est également important de se partager les meilleures méthodes permettant d’améliorer la qualité des notifications.

Articles récents