Développer (et conserver) les capacités en matière de cybersécurité

Etabli par l’Union européenne pour soutenir la recherche et améliorer la résilience, l’European Cybersecurity Competence Center (ECCC) met en réseau les centres nationaux de cybersécurité des Etats membres dans une volonté de développer la coopération entre les parties prenantes du monde cyber s’agissant du volet capacitaire.

Enième preuve du dynamisme de l’UE pour favoriser un cyber-écosystème fiable, sûr et ouvert, cette initiative contribue à créer et renforcer la capacité de dissuasion et la capacité de réaction de l’Union face aux cyberattaques dans la lignée de la communication « Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide » de 2017.

Quels sont les objectifs et l’agenda stratégique de l’ECCC et comment les centres nationaux contribueront-ils à l’ECCC ?

Missions de l’ECCC

Alors que l’UE compte plus de 660 centres dédiés à la cybersécurité dans les Etats membres et qu’au moins 18 sources de financements européens sont disponibles, les communautés de recherche et les pouvoirs publics ont besoin d’accéder à des capacités clés (expérimentations, installation d’essais) qui sont souvent hors de portée dans un Etat en raison de l’insuffisance des ressources humaines et financières.

De plus, le domaine de la cybersécurité est extrêmement vaste en termes d’acteurs : parties prenantes provenant d’organismes publics, d’Etats membres ainsi que de l’industrie, de la société civile, tels que les syndicats, les associations de consommateurs, la communauté des logiciels libres et ouverts et les milieux académiques et de la recherche. La coordination entre les entreprises, projets et chercheurs n’est pas suffisante.

L’objectif principal de l’ECCC (le Centre) est d’aider les Etats membres à adopter une perspective stratégique active à long terme au-delà de la recherche et de l’innovation autrement dit soutenir les secteurs public et privé en adoptant des solutions de sécurité de pointe inventées et développées en Europe.

La création d’une communauté des compétences en cybersécurité en réseau vise à combler le déficit de compétences et éviter une fuite des cerveaux en facilitant l’accès des talents à des projets européens d’envergure tout relevant en le niveau de la coordination et de la coopération stratégiques et durables entre ces entités et les pouvoirs publics qui est à ce jour insuffisante.

Ce Centre pilotera aussi les lignes pertinentes des programmes de financement européens Horizon Europe et Europe Numérique en allouant les subventions et en réalisant les marchés publics. Il prendra également des décisions d’investissement stratégiques et mettra en commun les ressources de l’UE, de ses Etats membres et de l’industrie.

Agenda stratégique

Etabli en mars 2023, l’Agenda stratégique de l’ECCC énonce trois déclarations d’impact à court terme (2023-2027) et envisage vingt-sept mesures.

Par exemple concernant les PME, elles devraient (légalement et pratiquement) recevoir et bénéficier de renseignements sur la cybermenace (indicateurs de compromission, avis de menace) dans un langage plus compréhensible pour le rendre directement exploitable.

Sur la résilience, il s’agira de soutenir la mise en œuvre de solutions de cybersécurité dans le développement de produits et l’utilisation dans des environnements IT (anciens et nouveaux) tels que l’automobile, la production d’énergie et la gestion de l’eau, et de rechercher la convergence entre sûreté et cybersécurité.

Pour accroître la visibilité des produits et services de cybersécurité de l’UE au niveau mondial et accroître la compétitivité industrielle, la stratégie de l’ECCC s’appuie sur trois volets :

• Adopter et normaliser la cryptographie post-quantique,
• Soutenir les cadres européens de certification en cybersécurité en lien avec l’ENISA et le Cyber Resilience Act, et
• Soutenir le marché de la cybersécurité ouvert à l’échelle de l’UE sur lequel les petits acteurs peuvent vendre immédiatement aux grandes organisations et en particulier lorsque la certification n’est pas utilisée pour protéger les marchés nationaux.

Pour faciliter le partage d’information, l’ECCC promeut le renforcement des capacités du Centre de partage et d’analyse de l’information (ISAC) et des initiatives de coopération de type transfrontalières, intersectorielles, intercommunautaires (y compris avec les forces de l’ordre et la cyberdéfense) et des contextes multilingues, en utilisant des taxonomies et/ou ontologies standardisées et indicateurs de maturité comparables.

Enfin sur la formation, l’ECCC préconise de déployer des campagnes dédiées au développement de parcours de carrière en cybersécurité pour stimuler les jeunes professionnels et étudiants :

• Soutenir des initiatives spécifiques pour attirer plus de femmes et de filles dans ce cheminement de carrière et
• Développer la cybersécurité transversale avec des programmes de formation d’un à deux ans pour les professionnels exerçant des professions autres que la cybersécurité : avocats, psychologues, enseignants, professionnels de l’administration des affaires…

Pour ce faire, le Centre s’appuie sur le réseau de centres nationaux de coordination (CNC) dont la première mission est de coordonner ses membres nationaux en tant que point de contact unique.

Actions des centres nationaux de cybersécurité

De nombreux Etats membres ont déjà désigné une autorité nationale (leur centre national de cybersécurité) pour remplir les tâches assignées aux centres nationaux de coordination et soumis à la Commission européenne une proposition détaillant comment exécuter leur mission et avec quels impacts mesurables.

Chaque CNC peut solliciter jusqu’à deux millions d’euros pour sa mise en place d’ici 2025 et deux millions d’euros supplémentaires pour le financement de tierces parties. En effet, chaque centre doit créer une gouvernance adaptée aux besoins de l’ECCC, une coordination externe et un fonctionnement stratégique afin de limiter la redondance des actions tout en déployant celles-ci du niveau local, transfrontalier national et européen.

Le CNC a d’abord pour mission d’animer la communauté des membres de la communauté cyber nationale et de piloter les objectifs stratégiques sectoriels nationaux et régionaux. Les CNC jouent ainsi un rôle clé dans le déploiement des stratégies nationales de cybersécurité à l’échelon européen.

Les CNC seront l’unique point d’entrée pour l’accès aux financements européens ce qui facilitera grandement l’accès des PME à des solutions de cybersécurité à la pointe de l’état de l’art tout en encourageant tout l’écosystème national (entreprises de toutes tailles, chercheurs) à créer une communauté de compétences en cybersécurité.

Sur le plan stratégique, les CNC doivent identifier les synergies sectorielles de leur périmètre (y compris transfrontalier) en innovation, recherche et formation en lien avec l’ENISA.

La mission de dissémination est également très présente dans les taches des CNC car finalement ce sont des nations cyber entières qui émergeront grâce au Centre européen de compétences en cybersécurité.

Bibliographie

• Communication conjointe de la Commission européenne au Parlement européen et au conseil, Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide, JOIN(2017)450final, 13 septembre 2017
• Institutions de recherche en cybersécurité dans l’Union européenne, Competency map | Cybersecurity Atlas (europa.eu)
• Règlement (UE) 2021/887 du Parlement européen et du Conseil établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, L_2021202FR.01000101.xml (europa.eu)
• Office des publications de l’Union européenne, CORDIS results pack on cybersecurity, Publications Office, 2018, https://data.europa.eu/doi/10.2830/387267
• European Cybersecurity Competence Center, Strategic Agenda, mars 2023
• Choix du siège du Centre de compétences européen en matière de cybersécurité – Consilium (europa.eu)