En route vers une Union européenne plus forte et cyber-résiliente

La transformation numérique est depuis longtemps l’une des priorités de l’UE (Union européenne), un engagement que la pandémie de Covid-19 n’a fait que renforcer. Ces vingt dernières années, les progrès technologiques ont bouleversé de multiples aspects de notre vie quotidienne, notamment avec l’apparition de nombreux produits liés aux technologies de l’information et de la communication (TIC). Tout est devenu plus « intelligent » et plus « connecté », d’une manière encore inimaginable il y a quelques années.

Dans le même temps, les réseaux et les systèmes d’information sont devenus vitaux. Leur fiabilité et leur sécurité sont donc essentielles, tant pour l’économie que pour la société dans son ensemble. Si le progrès a offert des opportunités sans précédent aux entreprises et aux particuliers, il a également engendré de nouveaux défis de taille. À commencer par la menace d’une cyber-attaque, en particulier dans les secteurs critiques, un problème auquel les entreprises sont de plus en plus exposées, et les décideurs politiques de plus en plus attentifs.

Face à ce défi, l’UE soutient diverses initiatives visant à renforcer la cybersécurité au sein du marché unique. Au début des années 2000, la Commission européenne insistait déjà sur l’importance d’une meilleure résilience des réseaux et systèmes d’information en matière de cybersécurité. Elle a donc rédigé une proposition de mise en place d’un mécanisme européen visant à favoriser la collaboration et le partage d’informations sur les risques et les incidents liés aux réseaux et aux systèmes d’information, et à sécuriser les services et les systèmes transfrontaliers. Cette proposition a été adoptée en 2016, pour devenir la Directive sur la sécurité des réseaux et des systèmes d’information, la première loi européenne dont l’ambition est d’améliorer la résilience en matière de cybersécurité.

En parallèle, dès 2005, la Commission reconnaissait le rôle primordial de la cybersécurité des produits liés aux technologies de l’information et de la communication pour la croissance économique de l’UE. Si ce domaine a connu un développement régulier, il occupe le devant de la scène depuis 18 mois. En décembre 2020, le Conseil européen a souligné la nécessité d’adopter une approche plus globale sur la cybersécurité des produits, en intégrant des aspects comme la sécurité, la disponibilité et la confidentialité. En juin 2021, face au risque de fragmentation du marché unique en raison de l’hétérogénéité des réglementations nationales en matière de cybersécurité, le Parlement européen a chargé la Commission d’étudier la possibilité d’une législation horizontale qui imposerait des critères de cybersécurité aux TIC d’ici 2023.

Dans ce contexte, la Commission a voulu rassembler des informations susceptibles d’étayer et d’orienter la réflexion sur les interventions de l’UE en matière de politique de cybersécurité dans les années à venir. Grâce à son expérience stratégique et à son expertise digitale, Wavestone s’est positionné comme un candidat de choix pour participer à la construction d’une UE plus cyber-résiliente. La Commission s’est donc adressée au cabinet pour réaliser deux études en 2020 et 2021 et répondre à ce besoin.

La première étude, pour laquelle Wavestone s’est associé à deux autres entreprises, a porté sur la révision de la Directive sur la sécurité des réseaux et des systèmes d’information. Wavestone a évalué le cadre juridique et politique existant en matière de sécurité des réseaux et systèmes d’information, et son réel impact. À la lumière de ces éléments, le cabinet a proposé de nouveaux concepts et mesures politiques à inclure dans un cadre révisé.

La deuxième étude a consisté en une évaluation exploratoire d’impact et a examiné la nécessité d’appliquer des critères de cybersécurité aux TIC. Pour celle-ci, Wavestone a dirigé un consortium de quatre entreprises afin de définir le problème, de catégoriser les produits et d’évaluer les niveaux de risque dans chaque catégorie. Cette étude a aussi permis d’élaborer un ensemble de critères essentiels en matière de cybersécurité à appliquer tout au long du cycle de vie des TIC, mais aussi d’envisager des options politiques éventuelles à l’échelle de l’UE et leurs possibles répercussions économiques et sociales sur le marché unique.

Pour ces deux études, Wavestone a répondu au besoin de disposer de preuves solides de la Commission. Une vaste collecte de données a été effectuée, y compris des recherches informatiques sur des documents politiques, juridiques et universitaires, ainsi que des consultations au moyen d’entretiens, de groupes de discussion et d’ateliers. Ainsi, Wavestone a pu dresser un tableau complet pour la Commission, comprenant les points de vue et les idées de multiples acteurs de l’UE, des autorités nationales compétentes aux associations de consommateurs, en passant par l’industrie.

Wavestone a fourni des informations clés sur la cybersécurité des réseaux et systèmes d’information et des technologies de l’information et de la communication. Ces informations aideront la Commission européenne à prendre des décisions fondées pour sa politique future et à mettre en œuvre la stratégie de cybersécurité de l’UE. En particulier, la Commission a déjà adopté une proposition visant à réviser la Directive sur la sécurité des réseaux et des systèmes d’information (version NIS 2). Elle prévoit de combler les points faibles de la directive existante et de la rendre plus adaptée aux besoins d’aujourd’hui et de demain.

Par ailleurs, dans son dernier discours sur l’état de l’Union, Ursula von der Leyen, la présidente de la Commission européenne, a souligné l’ambition de l’UE de devenir un leader mondial en matière de cybersécurité. Elle a insisté une fois de plus sur l’importance d’une politique de cyberdéfense européenne, et notamment d’une législation établissant des normes et critères communs (dans le cadre d’une nouvelle loi européenne relative à la cyber-résilience).