L’AESRI, garante de la stratégie commune de cybersécurité de l’UE

L’agence en charge de la cybersécurité a la mission d’ériger un système de défense commun contre les attaques cybernétiques au sein de l’Union européenne. Malgré de modestes prétentions initiales, elle a réussi, réforme après réforme, à devenir le fer de lance de l’UE contre les cybercriminels.

L’Agence européenne chargée de la sécurité des réseaux et de l'information (AESRI) a été fondée en 2004. Facebook n'en était alors qu'à ses débuts et le préfixe « cyber » relevait de la science-fiction. Créée initialement pour une durée de cinq ans, la Commission européenne a prolongé plusieurs fois son mandat jusqu’à en faire une agence permanente en 2019. En outre, son siège est situé à Héraklion et à Athènes, en Grèce, aux antipodes de Bruxelles. 

En dépit de ce contexte peu prometteur, l’AESRI a réussi à s’imposer comme un facteur de cohésion de la stratégie de cybersécurité européenne. Preuve en est sa nouvelle appellation après la dernière refonte : « Agence de l'Union européenne pour la cybersécurité » (son acronyme AESRI demeurant en l’état). Elle a désormais pour mission de « parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, y compris en aidant activement les États membres et les institutions, organes et organismes de l’Union ».

C’est donc à cette agence qu’a été confiée la tâche d’assurer la sécurité des réseaux et de l'information de l’Union européenne. En proposant sa création, la Commission visait en effet à mettre en place un organe de supervision chargé de combler les failles de sécurité tout en veillant à ce que toutes les directives soient mises en œuvre. Sans ce niveau de protection harmonisée, l’UE serait une cible facile pour les cybercriminels. En outre, l’agence collabore étroitement avec Europol et le Centre européen de la cybercriminalité.

En 2004, cette initiative ne faisait qu’anticiper l’importance qu’Internet allait prendre progressivement dans la vie quotidienne des citoyens. À mesure que se développaient les technologies de l'information et de la communication (TIC), les risques qui leur étaient liés augmentaient de façon exponentielle. Se protéger contre ces menaces ne relevait donc plus d’une démarche visionnaire, mais devenait une véritable obligation. L’Agence européenne pour la cybersécurité y a fait face avec brio et rigueur. 

Sans l’AESRI, les cyberattaques seraient beaucoup plus fréquentes. Certaines arrivent toutefois à passer entre les mailles du filet, comme celle qui a frappé l’Hôpital universitaire de Brno (République tchèque) en mars 2020 , en pleine pandémie. Suite à cette agression, les opérations urgentes ont dû être reportées et les patients graves ont été transférés dans d’autres services. La pandémie a rendu les choses plus difficiles, les menaces se multipliant au même rythme que le développement frénétique de la transformation numérique de la société et de l’économie. Des services d'approvisionnement en eau aux systèmes de surveillance du domicile, notre monde est de plus en plus connecté. Le corollaire est que le champ d’action des cybercriminels connaît de moins en moins de limites.

Une ascension progressive

Agence modeste au départ, l’AESRI avait une mission très précise : aider les institutions et les organisations de l’Union européenne à sécuriser leurs connexions. En 2008, un an avant l’expiration de son premier mandat, le Parlement et le Conseil européen, sur proposition de la Commission, ont décidé d’en prolonger la durée jusqu'en 2012, dans la mesure où le processus d’évaluation et d’amélioration de la protection des réseaux européens ne faisait que débuter.

En 2011, son mandat a été prolongé jusqu’en 2013, puis à nouveau jusqu’en 2020. Contrairement aux prolongations précédentes, cette dernière s’est accompagnée d’un élargissement de ses compétences. À l’occasion de la publication de la première stratégie de cybersécurité de l’UE, les institutions communautaires ont plaidé pour la modernisation de l’agence. Parmi ses nouvelles fonctions, mentionnons la coordination de la future équipe d'intervention en cas d'urgence informatique (EU CERT), répartie dans tous les États membres.

Mais c’est en 2019, suite à l’entrée en vigueur du règlement sur la cybersécurité , que l’AESRI a définitivement reçu ses lettres de noblesse : appelée désormais l’« Agence de l'Union européenne pour la cybersécurité », ses ressources ont augmenté et son mandat a été prolongé indéfiniment. Son rôle consultatif a été étendu et des tâches opérationnelles précises lui ont été confiées pour la première fois.

C’est ainsi qu’elle a commencé à aider les États membres à établir des priorités en matière d’investissement en recherche et développement et, surtout, à développer un système de certificats de sécurité pour les produits et services TIC dans l’Union.

Des dispositifs sécurisés sont nécessaires pour que les entreprises et les consommateurs aient l’assurance que leurs données en ligne sont bien protégées. Un système de certification unique s’avère donc indispensable pour renforcer leur confiance et stimuler le commerce frontalier. À cette fin, l’AESRI doit établir des critères communs et harmoniser les mécanismes nationaux afin de délivrer des certificats de cybersécurité pour les cartes intelligentes (cartes de crédit, de transport, SIM...), les services d’informatique en nuage, etc.

Sur le plan financier , l’agence a vu son enveloppe augmenter d’année en année, atteignant près de 22 millions d’euros en 2020 , soit cinq plus que son budget initial. La plupart des fonds proviennent de la Commission européenne, auxquels s’ajoute une contribution plus modeste des États de l'Association européenne de libre-échange, non membres de l’UE - Islande, Liechtenstein, Norvège et Suisse – et du gouvernement grec (qui prend en charge la location des installations). Elle employait 75 personnes en 2019.

L’importance croissante de l’AESRI dans la stratégie de cybersécurité de l’UE a incité la Commission européenne à la rapprocher de sa sphère d'influence. Au lieu de changer son siège, elle a donc autorisé en juin dernier l’établissement d’un troisième bureau local à Bruxelles, afin que l’agence maintienne « une coopération régulière et systématique » avec les institutions européennes.

Petit à petit, l’Agence européenne chargée de la sécurité des réseaux et de l'information s’est donc imposée comme le pilier de la cybersécurité européenne. Son installation à Bruxelles et la consolidation de ses fonctions opérationnelles marqueront l’aboutissement d’un processus qui s’inscrit dans la volonté de l’Union de passer à l’offensive contre les attaques cybernétiques et de contrer les desseins des cybercriminels du monde entier.

Cet article a été réalisé dans le cadre du projet Panelfit, soutenu par le programme Horizon 2020 de la Commission européenne (convention de subvention n° 788039). La Commission n'a pas participé à la production de l'article et n'est pas responsable de son contenu. L'article fait partie de la production journalistique indépendante d'EDJNet.

Traductions disponibles
lundi 13 décembre 2021

Auteur/s:

Álvaro Merino

Source/s:

El Orden Mundial

Traduction:

Pascal Roy | VoxEurop
share subcribe newsletter