L’édition européenne 2024 du Forum InCyber s’est tenue à Lille du 26 au 28 mars, avec pour thème « Ready for AI ? Réinventer la cybersécurité à l’ère de l’IA ». Avec plus de 20 000 visiteurs pour la seule première journée, cette édition consacrée aux bouleversements engendrés par l’intelligence artificielle et la croissance exponentielle des données numériques sur la cybersécurité a confirmé son succès ainsi que le nouvel ancrage de la cybersécurité dans la société. Elle a aussi confirmé le dynamisme du secteur, et en particulier de l’écosystème français. A la veille d’élections européennes cruciales, Thierry Breton dresse un bilan rétrospectif de son action depuis 5 ans et se montre confiant sur une Europe résolument tournée vers l’innovation avec l’IA.
A l’occasion de la conférence plénière, Thierry Breton nous rappelle que l’espace cyber européen est un espace contesté et qu’il faut le défendre au même titre que nos espaces aérien, maritime et spatial . En 2019, l’enjeu était d’abord de bâtir un espace informationnel unique car les disparités des législations restaient grandes entre les 27. Ce fut l’objet de plusieurs actes législatifs : le DMA (sur les marchés numériques) visant à préserver la souveraineté européenne et limiter la domination des GAFAM et des grands acteurs du numérique ; puis le DSA (règlement sur les services numériques) pour lutter contre les contenus illégaux, haineux et la désinformation. Dans un deuxième temps, il fallait aussi favoriser l’émergence d’une économie de la donnée avec le Data Act, en encourageant l’innovation tout en régulant l’usage de l’IA : c’est l’AI Act, grâce auquel certaines applications sont interdites à l’IA, notamment l’utilisation des données personnelles (comme le social scoring pratiqué en Chine). Parce qu’il faut enfin détecter, prévenir et décourager les menaces cyber, la directive NIS (sur la sécurité des réseaux et de l’information), bientôt suivie d’une NIS 2, vise à établir une coopération accrue entre Etats.
Plus la surface d’attaque est grande et plus le risque est diffus. L’IOT (Internet des objets) met au défi la résilience de nos systèmes. C’est l’objet du CRA (Cyber Résilience Act) qui entend imposer des exigences à certains produits digitaux, tout particulièrement aux objets connectés qui peuvent constituer une porte dérobée pour nos systèmes d’information. Dans la lutte contre les menaces, les textes ne suffisent pas. L’implémentation exige aussi de couvrir le dernier kilomètre avec des moyens, un système de gouvernance et une défense qui pour être efficace se doit d’être en profondeur. Elle implique donc une collaboration renforcée entre le Etats Membres et les CERT / CSIRT (centres de sécurité) nationaux. L’objectif est de couvrir l’Europe de SOC (Security Operation Centers). Trois POC (Proof of concept) sont déjà en cours d’expérimentation. Il faut aussi augmenter le maillage pour créer un véritable cyber-dôme (ou cyber-shield) disposant d’une réserve active de spécialistes mobilisables et une capacité de détection des menaces en amont. C’est tout l’enjeu de l’IA dans l’automatisation du traitement des incidents et le déclenchement de contre-mesures[1] ou d’actions de remédiation. Voilà le domaine que couvrira NIS2.
L’acte d’implémentation (implementing Act) de NIS 2 repose sur une architecture multi-tiers constituée de plusieurs lignes de défense. Les secteurs industriels ou vitaux particulièrement exposés, les activités essentielles objet de l’annexe 1 ou importantes en annexe 2, les opérateurs de services et les CERT/ CSIRT enfin l’ENISA en tête de réseau. La transposition de la directive NIS2 est prévue avant le 17 octobre 2024 pour une entrée en vigueur au 1er janvier 2025. En renforçant le maillage territorial et le reporting auprès des centres nationaux, NIS2 cible d’abord les opérations transfrontières, en permettant une meilleure détection en amont et une anticipation plus efficace des menaces cyber.
Le commissaire européen souligne que ce package a été accepté et voté par l’ensemble des Etats membres, et cela de façon démocratique dans le cadre du trilogue Commission, Conseil et Parlement. Loin de constituer un cadre de régulation normatif et contraignant, cet ensemble est à la fois structurant et protecteur pour notre cyber espace et capable de soutenir l’innovation. « En votant ces textes, notre démocratie a accepté ce dispositif et cela me rend confiant pour la suite » conclut Thierry Breton.
[1] Les contre-mesures sont utilisées dans le domaine militaire pour déjouer une attaque