En l'espace d'un an, les cyberattaques se sont considérablement multipliées au sein de l'Union européenne. Un constat alarmant qui appelle à une réaction coordonnée entre États membres et entreprises du secteur privé pour éviter une crise majeure.
On s’en doutait, mais l’information vient d’être confirmée : les cyberattaques frappent l’Europe avec une intensité sans précédent. Dans son tout premier Rapport sur l’état de la cybersécurité dans l’Union, l’Agence de l’Union européenne pour la cybersécurité (ENISA) met en lumière un constat inquiétant : les infrastructures critiques, les PME et les chaînes d’approvisionnement sont devenues des cibles privilégiées des acteurs malveillants. Mais alors que l’Union européenne multiplie les initiatives pour renforcer la cybersécurité, les disparités entre États membres et le manque de coordination fragilisent encore et toujours la réponse collective.
Un paysage numérique sous tension
Il ne vous aura certainement pas échappé que l'Europe navigue dans un environnement numérique de plus en plus instable, secoué par des tensions géopolitiques croissantes et des cybermenaces évoluant à un rythme effréné. Les cyberattaques continuent de se multiplier, alimentées par des acteurs criminels, des groupes soutenus par des États et des hacktivistes. Entre juin 2023 et juin 2024, les attaques par déni de service distribué (DDoS) représentaient 41,2 % des incidents signalés, suivies par les ransomwares (25,79 %) et le vol de données (19 %).
Les attaques DDoS, souvent associées à des hacktivistes et des acteurs étatiques, visent fréquemment les infrastructures publiques, le secteur des transports et les systèmes financiers. Les ransomwares, bien que moins fréquents, restent parmi les menaces les plus dévastatrices. Leur stratégie évolue, privilégiant le vol et la divulgation de données sensibles plutôt que le simple chiffrement, notamment à l’encontre des PME, perçues comme des cibles plus vulnérables.
Enfin, les attaques sur les chaînes d’approvisionnement, bien qu’en déclin relatif, continuent de poser un risque majeur en raison de leur potentiel à provoquer des effets en cascade que l'ENISA n'hésite pas à qualifier de "catastrophiques". Là encore, les PME sont jugées plus à risque. Et pour cause : seules 53 % d’entre elles disposent d’une politique de gestion des risques pour leurs fournisseurs, contre 85 % des grandes entreprises. Un déséquilibre structurel qui fragilise non seulement ces sociétés, mais aussi et surtout l’ensemble de l’économie face à des attaques coordonnées.
Une réponse européenne encore fragmentée
Pourtant, les bases institutionnelles sont en place. Mandatée par le Cybersecurity Act, l’ENISA travaille à renforcer les capacités des États membres et à harmoniser leur posture en matière de cybersécurité. Mais dans la pratique, les disparités restent criantes. Si tous les États membres disposent aujourd’hui d’une stratégie nationale de cybersécurité requise par un cadre législatif européen solide, leur mise en œuvre reste inégale. À titre d’exemple, certains États membres en sont déjà à la troisième version de leur stratégie nationale, tandis que d'autres n’ont encore qu'un cadre initial. Des écarts qui compliquent l’application de la directive NIS2, qui vise justement à uniformiser la protection des infrastructures critiques.
Pour réduire ces disparités, le NIS Cooperation Group, créé dans le cadre de la directive NIS, doit pouvoir favoriser la coopération entre les États membres. Il partage des bonnes pratiques, harmonise la gestion des cyberincidents et soutient l’application des exigences de la directive.
Toutefois, un obstacle persiste : la sous-déclaration des incidents, en particulier par les PME. De nombreuses entreprises hésitent encore à signaler les cyberattaques, souvent par peur de ternir leur réputation ou par manque de sensibilisation, ce qui tend à freiner la collecte de données précises, fausser la perception globale de la menace, et entraver la capacité à élaborer des réponses collectives adaptées.
Renforcer les lignes de défense
L’Europe a les outils pour évaluer sa résilience numérique, mais les résultats sont contrastés. L’EU Cybersecurity Index, développé par l'ENISA, révèle une progression globale, mais inégale : avec un score moyen de 62,65 sur 100, certains États avancent rapidement, tandis que d’autres peinent encore à combler leurs lacunes.
Bien évidemment, les investissements jouent un rôle essentiel pour espérer combler ces écarts. Si des secteurs critiques, comme l’énergie et les télécommunications, progressent, d’autres, comme la santé ou le transport ferroviaire, doivent composer avec des infrastructures vieillissantes. Le lancement de la Cybersecurity Skills Academy – destinée à combler le déficit de compétences via des formations certifiées – est prometteur, mais son succès dépendra de l’engagement des États membres et du secteur privé.
La sécurisation des chaînes d’approvisionnement, enfin, s’impose comme une urgence. Actuellement, seuls 50 % des États membres incluent explicitement cette problématique dans leurs stratégies nationales, et bien que 74 % aient légiféré sur le sujet, les efforts manquent encore de cohérence. Pour éviter que des failles isolées ne se transforment en crises généralisées, il faudra encore travailler dur sur une coordination transfrontalière.
Anticiper les menaces de demain
Aujourd’hui, l’Europe ne peut plus se contenter de réagir. Elle doit anticiper. Pour l’ENISA, priorité doit être donnée à deux axes stratégiques : l’intelligence artificielle et la cryptographie post-quantique. Si ces technologies promettent de transformer la cybersécurité, elles ouvrent aussi de nouvelles portes aux cybercriminels. L’IA, par exemple, est déjà utilisée pour créer des deepfakes ou orchestrer des campagnes de désinformation trop efficaces.
Dans ce contexte, la coopération entre États membres n’est plus une option, c'est une obligation. Les cyberattaques ignorent les frontières, et la réponse doit être à la hauteur. L'ENISA recommande des exercices communs, une coordination renforcée des alertes et des scénarios prospectifs pour anticiper les crises. Son rapport sur l’état de la cybersécurité constitue certes un point de départ prometteur, mais pour aller plus loin, il faudra surtout compter sur l’engagement des États membres et du secteur privé.
Source : ENISA
30 décembre 2024 à 09h35
