Cybersécurité des institutions, organes et agences de l'UE: Un niveau de préparation globalement insuffisant par rapport aux menaces

Synthèse

I Le règlement de l'UE sur la cybersécurité définit cette dernière comme «les actions nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces». En raison des informations sensibles qu'ils traitent, les institutions, organes et agences de l'UE (IOAUE) sont des cibles de choix pour les éventuels pirates, en particulier pour les groupes capables de commettre des attaques furtives très sophistiquées à des fins de cyberespionnage entre autres. En dépit de leur indépendance institutionnelle et de leur autonomie administrative, les IOAUE sont fortement interconnectés. Si l'un d'entre eux présente des failles, il risque donc d'exposer les autres à des menaces pour leur sécurité.

II Face à la hausse spectaculaire du nombre de cyberattaques visant les IOAUE, notre audit visait à déterminer si ceux-ci, dans leur ensemble, avaient pris des dispositions adéquates pour se protéger contre les cybermenaces. Nous arrivons à la conclusion que le niveau de préparation des IOAUE dans le domaine de la cybersécurité n'est pas à la hauteur des menaces.

III Nous avons constaté que les principales bonnes pratiques en matière de cybersécurité, notamment certains contrôles essentiels, ne sont pas toujours appliquées et que plusieurs IOAUE consacrent un budget clairement insuffisant à leur protection contre les cybermenaces. Certains IOAUE ne se sont pas encore dotés d'une véritable gouvernance en matière de cybersécurité: dans bien des cas, la sécurité informatique ne fait l'objet d'aucune stratégie ou, lorsqu'il en existe une, elle n'est pas approuvée par l'encadrement supérieur. En outre, les politiques de sécurité ne sont pas toujours formalisées et les évaluations des risques ne couvrent pas l'ensemble de l'environnement informatique. Les IOAUE ne soumettent pas tous de manière régulière leur cybersécurité à une certification indépendante.

IV Les formations à la cybersécurité ne sont pas toujours systématiques. Un peu plus de la moitié des IOAUE seulement offrent une formation continue en cybersécurité à leurs informaticiens et à leurs experts en sécurité informatique. Peu d'IOAUE imposent une formation en cybersécurité aux managers en charge des systèmes informatiques contenant des informations sensibles. Les exercices d'hameçonnage constituent un important outil de formation et de sensibilisation du personnel, mais tous les IOAUE n'y recourent pas systématiquement.

V Si les IOAUE ont bien mis en place des structures de coopération et d'échange d'informations dans le domaine de la cybersécurité, nous avons relevé qu'ils n'exploitaient pas pleinement les synergies potentielles. Ils ne s'échangent pas de manière systématique les informations relatives à leurs projets, à leurs évaluations de la sécurité et à leurs contrats de service en lien avec la cybersécurité. Par ailleurs, les outils de communication de base tels que les solutions de courrier électronique crypté ou de visioconférence ne sont pas totalement interopérables. Cela peut se traduire par des échanges d'informations moins sûrs, une duplication des efforts et des coûts plus élevés.

VI L'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union européenne (CERT-UE) et l'Agence de l'Union européenne pour la cybersécurité (ENISA) sont les deux principales entités chargées d'aider les IOAUE à assurer leur cybersécurité. Toutefois, en raison de leurs ressources limitées et des priorités accordées à d'autres domaines, elles n'ont pas été en mesure de fournir aux IOAUE toute l'assistance dont ils avaient besoin, notamment en ce qui concerne le renforcement des capacités des IOAUE qui en sont à un stade moins avancé. Bien que la CERT-UE soit très appréciée des IOAUE, son efficacité est compromise par une charge de travail croissante, un financement et des effectifs instables, et une coopération insuffisante de la part de certains IOAUE, qui ne partagent pas toujours en temps utile les informations sur les vulnérabilités et sur les incidents de cybersécurité importants qui les ont touchés ou sont susceptibles d'avoir une incidence sur les autres organisations.

VII Sur la base de ces conclusions, nous recommandons:

• à la Commission d'améliorer la préparation des IOAUE en matière de cybersécurité en proposant un texte législatif qui instaure des règles contraignantes communes dans ce domaine pour tous les IOAUE et qui revoie à la hausse les ressources de la CERT-UE;
• à la Commission, dans le cadre du Comité interinstitutionnel pour la transformation numérique, d'encourager de nouvelles synergies entre les IOAUE dans des domaines ciblés;
• à la CERT-UE et à l'ENISA de se concentrer davantage sur les IOAUE moins avancés en matière de cybersécurité.

Introduction

Qu'est-ce que la cybersécurité?

01 Le règlement de l'UE sur la cybersécurité¹ définit cette dernière comme «les actions nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces». La cybersécurité passe par la sécurité de l'information, qui consiste à préserver la confidentialité, l'intégrité et la disponibilité des données², qu'elles soient physiques ou électroniques. À cela s'ajoute la sécurité informatique, qui concerne la protection des réseaux et des systèmes d'information dans lesquels ces données sont stockées (voir figure 1).

02 En tant que discipline, la cybersécurité suppose d'identifier les cyberincidents, de les prévenir ou de les détecter, d'y répondre, puis de rétablir la situation. Ces incidents peuvent aller, par exemple, de la divulgation accidentelle d'informations aux attaques contre les infrastructures critiques en passant par l'usurpation d'identité et le vol de données à caractère personnel³.

03 Un cadre de cybersécurité comporte de nombreux éléments, parmi lesquels des exigences et des contrôles techniques concernant la sécurité des réseaux et des systèmes d'information, mais aussi des dispositions appropriées en matière de gouvernance et des programmes de sensibilisation du personnel à la cybersécurité.

Cybersécurité des institutions, organes et agences de l'UE

04 En raison des informations sensibles qu'ils traitent, les institutions, organes et agences de l'UE (IOAUE) sont des cibles de choix pour les éventuels pirates, en particulier pour les groupes capables de commettre des attaques furtives très sophistiquées – ils représentent ce qu'on appelle des «menaces persistantes avancées» – à des fins de cyberespionnage entre autres⁴. Les cyberattaques réussies contre les IOAUE peuvent avoir d'importantes implications politiques, nuire à la réputation de l'Union et ébranler la confiance dans ses institutions.

05 La pandémie de COVID-19 a obligé les IOAUE, ainsi que bien d'autres organisations de par le monde, à accélérer brutalement la transformation numérique et à adopter le travail à distance. Cette évolution a augmenté considérablement le nombre de points d'accès potentiels pour les cybercriminels (la «surface d'attaque») en élargissant le périmètre de chaque organisation à des habitations et appareils mobiles connectés à Internet et présentant de nouvelles vulnérabilités à exploiter. Les services d'accès à distance constituent l'une des voies les plus couramment empruntées par les groupes représentant des menaces persistantes avancées pour pénétrer dans les réseaux des IOAUE⁵.

06 Le nombre de cyberincidents est en augmentation, et la multiplication spectaculaire des incidents importants touchant les IOAUE⁶ a vraiment de quoi inquiéter, 2021 étant une année record à cet égard. Les incidents importants sont des incidents qui ne sont ni répétitifs ni basiques. Typiquement, ils impliquent l'utilisation de nouvelles méthodes et technologies, et il faut parfois des semaines, voire des mois, pour les analyser et s'en remettre. Leur nombre a plus que décuplé entre 2018 et 2021⁷. Pas moins de 22 IOAUE ont été touchés par des incidents importants rien qu'au cours des deux dernières années. Parmi les exemples récents, citons la cyberattaque menée contre l'Agence européenne des médicaments: cette action a provoqué une fuite de données sensibles, qui ont ensuite été manipulées pour saper la confiance dans les vaccins⁸.

07 Les IOAUE forment un groupe très hétérogène, composé d'institutions, d'agences et d'un certain nombre d'organes. Les sept institutions de l'UE ont été établies en vertu des traités. Quant aux agences décentralisées de l'UE et aux autres organes, ils sont créés en vertu d'actes de droit dérivé et constituent des entités juridiques distinctes. Il existe des agences de différentes formes juridiques: six agences exécutives de la Commission et 37 agences décentralisées de l'UE⁹. Les IOAUE englobent également les bureaux de l'UE, un corps diplomatique (le Service européen pour l'action extérieure), les entreprises communes et d'autres organes. Ils sont tenus de définir leurs propres exigences en matière de cybersécurité et de mettre en œuvre leurs propres mesures de sécurité.

08 En 2012, afin de renforcer la cybersécurité des IOAUE, la Commission a mis en place l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union européenne (CERT-UE) sous la forme d'une task force permanente. La CERT-UE fait office, au profit des IOAUE, de plateforme d'échange d'informations et de coordination des réponses aux incidents dans le domaine de la cybersécurité. Elle coopère avec d'autres centres de réponse aux incidents de sécurité informatique (CSIRT) ainsi qu'avec des entreprises spécialisées dans la sécurité informatique. Actuellement, l'organisation et le fonctionnement de la CERT-UE sont régis par un accord interinstitutionnel¹⁰ (AII) de 2018 conclu entre les IOAUE qu'elle sert (les «parties»), aujourd'hui au nombre de 87.

09 L'Agence de l'Union européenne pour la cybersécurité (ENISA) est un autre partenaire clé des IOAUE. Son objectif consiste à atteindre un niveau élevé commun de cybersécurité dans l'ensemble de l'UE. Établie en 2004, l'ENISA a pour mission de renforcer la fiabilité des produits, processus et services des technologies de l'information et de la communication (TIC) au moyen de systèmes de certification de cybersécurité, de coopérer avec les IOAUE et les États membres, et de les aider à se préparer aux cybermenaces. Elle assiste les IOAUE dans le renforcement des capacités et la coopération opérationnelle.

10 En dépit de leur indépendance institutionnelle, les IOAUE sont fortement interconnectés. Ils échangent quotidiennement des informations et partagent un certain nombre de systèmes et de réseaux. Si des IOAUE présentent des failles, ils risquent d'exposer les autres à des menaces pour leur sécurité, étant donné que, souvent, les cyberattaques procèdent en plusieurs étapes pour atteindre leur objectif ou leur cible finale¹¹. Une attaque réussie contre une institution, un organe ou une agence de l'UE moins bien protégé(e) peut servir de tremplin pour cibler d'autres IOAUE. Les IOAUE sont également interconnectés avec des organisations publiques ou privées dans les États membres. S'ils ne sont pas bien préparés, ils peuvent par conséquent les exposer de la même manière à des cyberattaques.

11 Pour l'instant, il n'existe pas de cadre juridique pour la sécurité de l'information et la cybersécurité dans les IOAUE. Ces deux domaines ne tombent pas sous le coup de la législation générale de l'UE en matière de cybersécurité, à savoir la directive SRI de 2016¹² et celle qui lui succédera (la directive SRI 2¹³). Il n'existe pas non plus d'informations exhaustives sur le montant que les IOAUE consacrent à la cybersécurité.

12 En juillet 2020, la Commission a publié une communication sur la stratégie de l'UE pour l'union de la sécurité¹⁴ pour la période 2020‑2025. Parmi les actions clés à entreprendre, citons l'établissement de «règles communes en matière de sécurité de l'information et de cybersécurité pour l'ensemble des institutions, organes et organismes de l'UE». Ce nouveau cadre vise à soutenir une coopération solide et efficiente sur le plan opérationnel, avec la CERT-UE dans le rôle principal. Dans son document intitulé «La stratégie de cybersécurité de l'UE pour la décennie numérique»¹⁵ et publié en décembre 2020, la Commission s'est engagée à proposer un règlement établissant des règles communes en matière de cybersécurité pour tous les IOAUE. Elle a également proposé d'établir une nouvelle base juridique pour la CERT-UE afin de renforcer son mandat et son financement.

Étendue et approche de l'audit

13 Face à la hausse spectaculaire du nombre de cyberattaques et étant donné qu'une faille dans la sécurité d'une institution, d'un organe ou d'une agence de l'UE risque de mettre en péril la sécurité des autres IOAUE, notre audit visait à déterminer si ceux-ci avaient pris des dispositions adéquates, dans l'ensemble, pour se protéger contre les cybermenaces. Pour répondre à cette question d'audit principale, nous nous sommes penchés sur les trois sous-questions ci-après.

1. Les principales pratiques en matière de cybersécurité sont-elles adoptées par l'ensemble des IOAUE?
2. Les IOAUE coopèrent-ils de manière efficiente dans le domaine de la cybersécurité?
3. L'ENISA et la CERT-UE fournissent-elles un soutien adéquat aux IOAUE dans le domaine de la cybersécurité?

14 Nous avons programmé notre audit de façon à tenir compte du calendrier de la stratégie de l'UE pour l'union de la sécurité. En évaluant les dispositions actuelles des IOAUE en matière de cybersécurité, nous essayons de cerner les domaines perfectibles, afin que la Commission puisse les prendre en considération au moment de rédiger sa proposition législative relative à des règles contraignantes communes pour l'ensemble des IOAUE.

15 L'audit a couvert les développements et les initiatives qui ont eu lieu dans le domaine de la cybersécurité au cours de la période comprise entre janvier 2018, soit le mois où l'accord interinstitutionnel de la CERT-UE a été établi, et octobre 2021.

16 Nous avons limité l'étendue de notre audit à la cyberrésilience et aux systèmes non classifiés. Nous nous sommes concentrés sur les aspects liés à la préparation, c'est-à-dire les activités visant à «identifier, protéger et détecter». Nous ne nous sommes pas intéressés aux aspects «répondre» et «rétablir». Nous avons toutefois examiné certains éléments organisationnels de la réponse aux incidents. Par ailleurs, nous avons également exclu de notre audit les aspects liés à la protection des données, à l'application de la loi, à la cyberdéfense et à la cyberdiplomatie (voir figure 2).

17 Nos constatations d'audit s'appuient sur l'analyse approfondie de la documentation disponible, complétée par des entretiens. Nous avons réalisé une enquête d'autoévaluation auprès de 65 IOAUE afin de recueillir des informations sur leurs dispositions en matière de cybersécurité ainsi que leurs avis à propos de la coopération interinstitutionnelle. Nous avons sondé tous les IOAUE qui sont couverts par le mandat d'audit de la Cour et gèrent leur propre infrastructure informatique, ainsi que notre propre institution. Ce groupe englobait les institutions, des agences décentralisées, des entreprises communes et des organes de l'Union. Nous avons également interrogé des représentants de missions civiles, qui sont des entités temporairement autonomes financées par le budget de l'UE et indépendantes en matière informatique. L'annexe I présente la liste complète des IOAUE concernés par l'enquête. Le Médiateur européen et le Contrôleur européen de la protection des données n'ont pas été inclus dans notre audit.

18 L'enquête a obtenu un taux de réponse de 100 % et a servi de point de départ à une analyse plus poussée. En outre, nous avons sélectionné un échantillon de sept IOAUE représentatif de leur caractère hétérogène, puis organisé des entretiens et demandé de la documentation pour compléter leurs réponses. Nous avons effectué notre sélection notamment en fonction de la base juridique, de la taille (effectifs et budget) et du secteur d'activité. Notre échantillon d'IOAUE se composait de la Commission européenne, du Parlement européen, de l'Agence de l'Union européenne pour la cybersécurité (ENISA), de l'Autorité bancaire européenne (ABE), de l'Agence européenne pour la sécurité maritime (AESM), de la mission de conseil de l'UE en Ukraine (EUAM Ukraine) et de l'entreprise commune Initiative en matière de médicaments innovants (IMI).

19 Nous avons également organisé des visioconférences avec la CERT-UE, le comité consultatif des agences de l'UE sur les technologies de l'information et de la communication (ICTAC) et d'autres parties prenantes concernées.

Observations

Les institutions, organes et agences de l'UE ont des niveaux de maturité très différents en matière de cybersécurité et ne respectent pas toujours les bonnes pratiques

20 Cette section est consacrée aux différents cadres et dispositions des institutions, organes et agences de l'UE (IOAUE) dans le domaine de la cybersécurité. Nous avons examiné s'ils abordaient celle-ci de manière cohérente et adéquate, tant en ce qui concerne la gouvernance de la sécurité informatique, la gestion des risques et l'affectation des ressources que pour ce qui est de la sensibilisation, des contrôles et de la certification indépendante.

La gouvernance de la sécurité informatique des IOAUE est souvent peu développée et les évaluations des risques sont incomplètes

Il y a des lacunes dans la gouvernance de la sécurité informatique de nombreux IOAUE

21 Le cadre de sécurité de l'information et des systèmes informatiques ne peut être efficace sans une bonne gouvernance, étant donné qu'elle définit les objectifs de l'organisation et donne le cap à suivre par la hiérarchisation des priorités et la prise de décision. Selon l'Information Systems Audit and Control Association (ISACA)¹⁶, un cadre de gouvernance de la sécurité informatique devrait en principe comporter plusieurs éléments:

• une stratégie globale de sécurité intrinsèquement liée aux objectifs de l'entreprise;
• des politiques de sécurité pratiques qui traitent de chaque aspect de la stratégie, des contrôles et de la réglementation;
• un ensemble exhaustif de normes pour chaque politique, décrivant les étapes opérationnelles nécessaires pour se conformer à celle-ci;
• des processus de suivi institutionnalisés pour garantir le respect des règles et fournir un retour d'information sur l'efficacité;
• une structure organisationnelle efficace, exempte de conflits d'intérêts.

22 Nous avons relevé des insuffisances dans la gouvernance de la sécurité informatique de nombreux IOAUE. À peine 58 % d'entre eux (38 sur 65) disposent d'une stratégie dans ce domaine ou, au moins, d'un plan de sécurité informatique approuvé au niveau du conseil d'administration/de l'encadrement supérieur. Si nous ventilons ce chiffre par type d'IOAUE, nous constatons que les missions civiles et agences décentralisées (elles représentent ensemble 71 % de notre sélection) présentent les pourcentages les plus faibles (voir tableau 1). Le fait de ne pas disposer de stratégie ou de plan de sécurité informatique approuvé(e) par l'encadrement supérieur entraîne le risque que la haute direction n'ait pas conscience des problèmes de sécurité informatique ou ne leur accorde pas une priorité suffisante.

23 Nous avons examiné les stratégies/plans de sécurité informatique fournis par les sept IOAUE de l'échantillon (voir point 18). Selon nous, ces stratégies sont plutôt bien alignées sur les objectifs de l'organisation. Dans le cas de la Commission, par exemple, la stratégie de sécurité informatique couvre le volet «sécurité informatique» de la «Stratégie numérique de la Commission européenne»¹⁷ et est conçue pour étayer sa feuille de route et ses objectifs. Cependant, trois IOAUE seulement de notre échantillon avaient inclus dans leurs stratégies/plans de sécurité informatique des objectifs concrets et un calendrier pour les réaliser.

24 Les politiques de sécurité fixent les règles et les procédures à suivre par les personnes qui utilisent ou gèrent l'information et les ressources informatiques. Elles contribuent à atténuer les risques en matière de cybersécurité et donnent des indications sur ce qu'il convient de faire en cas d'incidents. Nous avons constaté que 78 % des IOAUE disposent d'une politique de sécurité de l'information formelle, tandis qu'ils ne sont que 60 % à s'être dotés de politiques de sécurité informatique formelles (voir figure 1 pour les définitions des concepts de sécurité de l'information et de sécurité informatique). Nous avons également relevé que quatre des IOAUE de notre échantillon ont des politiques de sécurité conformes à leurs stratégies en matière de sécurité informatique. Toutefois, dans trois cas sur quatre, les politiques de sécurité informatique ne sont que partiellement complétées par des normes de sécurité détaillées et actualisées décrivant les étapes opérationnelles nécessaires pour mettre ces politiques en œuvre. L'absence de normes de sécurité formelles accroît le risque que les problèmes de sécurité informatique ne soient pas traités de manière appropriée et cohérente au sein d'une même organisation. Il est en outre plus difficile de mesurer le respect, par l'organisation, de sa politique de sécurité informatique. Des sept IOAUE de l'échantillon, seule la Commission dispose de procédures structurées pour suivre le respect de ses politiques et normes de sécurité informatique, quoiqu'elles ne soient utilisées que par un nombre limité de ses directions générales (DG) (voir encadré 1).

25 Un autre élément important de la bonne gouvernance en matière de cybersécurité est la nomination d'un responsable central de la sécurité informatique (CISO). Bien que la famille de normes ISO 27 000 ne le requière pas explicitement¹⁸, le fait de se doter d'un CISO ou d'une fonction équivalente est devenu une pratique répandue dans les organisations et s'inscrit dans le cadre des lignes directrices de l'ISACA. Typiquement, le CISO assume la responsabilité générale des programmes de l'organisation en matière de sécurité de l'information et de sécurité informatique. Afin d'éviter tout conflit d'intérêts, le CISO devrait jouir d'un certain degré d'indépendance par rapport à la fonction/au service informatique¹⁹.

26 Selon notre enquête, 60 % des IOAUE n'ont pas désigné de CISO indépendant ni créé de fonction équivalente. Même lorsque des CISO (ou des équivalents) sont nommés, la nature de leurs rôles diffère fortement et leurs fonctions sont comprises différemment selon l'entité concernée. Au sein des petits et moyens IOAUE en particulier, les CISO ont tendance à être associés à des rôles plus opérationnels, qui ne sont pas indépendants du service informatique sur le plan fonctionnel. Cette situation peut limiter l'autonomie des CISO dans la mise en œuvre de leurs priorités de sécurité. L'ENISA travaille actuellement à l'élaboration d'un cadre européen de compétences en matière de cybersécurité qui vise, entre autres, à permettre une compréhension commune des rôles, des compétences et des aptitudes.

Les évaluations des risques des IOAUE en matière de sécurité informatique ne couvrent pas l'ensemble de leur environnement informatique

27 Toutes les normes internationales relatives à la sécurité informatique soulignent combien il importe d'établir une méthode fiable pour évaluer et traiter les risques de sécurité menaçant les systèmes informatiques et les données qu'ils contiennent. Des évaluations des risques devraient avoir lieu périodiquement pour tenir compte des modifications intervenues dans les exigences d'une organisation en matière de sécurité de l'information et des risques auxquels elle est exposée²⁰. Ces évaluations devraient donner lieu ensuite à un plan d'atténuation des risques (ou à un plan de sécurité informatique).

28 La plupart des IOAUE ayant pris part à l'enquête (58 sur 65) ont indiqué qu'ils suivent un cadre ou une méthodologie pour effectuer les évaluations des risques concernant leurs systèmes informatiques. Il n'existe toutefois aucune méthodologie commune à tous les IOAUE. Au moins 26 IOAUE utilisent partiellement ou totalement celles développées par la Commission. En particulier, 31 % des IOAUE ont eu recours à la méthodologie de gestion des risques de sécurité informatique de 2018 (ITSRM2). Les autres suivent des méthodologies fondées sur des normes sectorielles bien connues (comme ISO 27 001, ISO 27 005, le cadre pour la cybersécurité du National Institute of Standards and Technology (NIST-CSF) ou les contrôles du Center for Internet Security (CIS)) ou appliquent d'autres méthodes internes.

29 Des sept IOAUE de notre échantillon, deux seulement procèdent à des évaluations complètes des risques couvrant l'intégralité de leur environnement informatique (c'est-à-dire l'ensemble de leurs systèmes informatiques). La plupart effectuent des évaluations des risques au cas par cas, uniquement pour leurs systèmes informatiques les plus importants. Nous avons recensé plusieurs exemples d'évaluations des risques réalisées avant le déploiement de nouveaux systèmes. Nous n'avons toutefois pas trouvé d'éléments attestant l'existence d'évaluations de suivi des risques liés, par exemple, à des modifications ultérieures de leurs systèmes/leur infrastructure.

Les IOAUE n'ont pas une approche cohérente de la cybersécurité, et des contrôles essentiels font parfois défaut

L'affectation des ressources à la cybersécurité varie fortement entre les IOAUE

30 Dans notre enquête, nous avons demandé aux IOAUE d'indiquer le total de leurs dépenses informatiques de 2020 et d'estimer le montant affecté à la cybersécurité. Les données recueillies montrent d'importantes variations du pourcentage des dépenses informatiques consacrées à la cybersécurité par les différents IOAUE. Cette remarque s'applique aussi à des IOAUE de taille similaire (sur le plan des effectifs). Comme l'illustre la figure 3, les différences tendent à être particulièrement marquées dans les IOAUE employant moins de personnel.

31 Il est difficile d'évaluer, en termes absolus, un niveau optimal pour les dépenses de cybersécurité. Cela dépend de nombreux facteurs, comme la surface d'attaque de l'organisation, la sensibilité des données qu'elle traite, son profil de risque et son appétence au risque, ainsi que les exigences juridiques/réglementaires sectorielles. Cependant, nos données révèlent que les différences sont substantielles et que les raisons qui sous-tendent ces écarts ne sont pas toujours évidentes. Certains IOAUE consacrent à la cybersécurité un budget nettement moindre que leurs pairs de taille similaire, budget qui peut s'avérer insuffisant s'ils sont exposés à des menaces ou risques du même ordre.

32 Les IOAUE sont généralement des organisations petites à moyennes sur le plan tant des effectifs que des dépenses informatiques, puisque deux tiers d'entre eux emploient moins de 350 agents. La plus petite organisation ne compte que 15 personnes. La gestion de la cybersécurité est plus délicate et nécessite proportionnellement plus de ressources dans les IOAUE de taille plus modeste. Dans la plupart des cas, ceux-ci ne peuvent profiter d'économies d'échelle et ne disposent pas d'une expertise interne suffisante. Sur la base de notre enquête et de nos entretiens, les plus grandes institutions, telles que la Commission et le Parlement européen, sont dotées d'équipes d'experts qui gèrent la cybersécurité à temps plein. Par contre, dans les IOAUE plus petites, où les effectifs et les ressources sont particulièrement limités, il n'y a aucun expert, et la cybersécurité fait l'objet d'une gestion à temps partiel par des agents possédant un bagage informatique. Étant donné que les IOAUE sont fortement interconnectés, cette dichotomie se traduit par un risque accru (voir aussi point 10).

33 Dans notre enquête, nous avons demandé aux IOAUE de nous préciser les principaux défis liés à la mise en œuvre d'une politique de cybersécurité efficace au sein de leur organisation (voir figure 4). L'écueil le plus important est la rareté des experts en cybersécurité, avec, comme corollaire, le fait que bon nombre d'IOAUE éprouvent les pires difficultés à les attirer, en raison de la concurrence livrée tant par le secteur privé que par les autres IOAUE. Parmi les autres problèmes récurrents, citons la longueur des procédures de recrutement, les conditions contractuelles non concurrentielles et l'absence de perspectives de carrière attrayantes. La pénurie d'agents spécialisés constitue un risque majeur pour l'efficacité de la gestion de la cybersécurité.

La plupart des IOAUE proposent certaines actions de sensibilisation à la cybersécurité, mais celles-ci ne sont pas systématiques ni toujours bien ciblées

34 Les vulnérabilités des systèmes et dispositifs ne sont pas le seul moyen de nuire à la disposition des cybercriminels potentiels. Ils peuvent aussi amener les utilisateurs à divulguer des informations sensibles ou à télécharger des logiciels malveillants, par exemple par l'hameçonnage ou l'ingénierie sociale. Le personnel fait partie de la première ligne de défense de toute organisation. Les programmes de sensibilisation et de formation constituent donc un élément essentiel d'un cadre de cybersécurité efficace.

35 La grande majorité des IOAUE sondés (95 %) prévoient une certaine forme d'action générale de sensibilisation à la cybersécurité pour l'ensemble de leur personnel. Ils sont trois à faire exception à la règle. Toutefois, 41 % des IOAUE à peine organisent des séances de formation ou de sensibilisation spécifiques à l'intention des managers, et ils ne sont que 29 % à imposer une formation en cybersécurité aux managers responsables de systèmes informatiques contenant des informations sensibles. La sensibilisation et l'engagement de l'encadrement sont essentiels pour une gouvernance efficace de la cybersécurité. Des 11 IOAUE qui ont indiqué l'absence de soutien de l'encadrement comme une difficulté pour atteindre une cybersécurité efficace, trois seulement ont organisé l'une ou l'autre action de sensibilisation à l'intention de la direction. Le personnel informatique et les spécialistes de la sécurité informatique se voient proposer une formation continue en cybersécurité par 58 % et 51 % des IOAUE respectivement.

36 Les IOAUE ne disposent pas tous de mécanismes pour suivre la participation du personnel aux formations en cybersécurité ainsi que l'évolution ultérieure de leur comportement et de leur degré de sensibilisation. En particulier dans les organisations plus petites, les séances de sensibilisation à la cybersécurité peuvent se dérouler dans le cadre de réunions du personnel informelles. Le principal moyen utilisé par les organisations pour mesurer le degré de sensibilisation de leurs agents consiste à les tester périodiquement sur leur comportement, notamment par des enquêtes de maturité ou des exercices d'hameçonnage. Au cours des cinq dernières années, 55 % des IOAUE ont effectué une ou plusieurs campagnes de simulation d'hameçonnage (ou des actions similaires). L'hameçonnage étant l'une des principales menaces auxquelles sont confrontés les agents des administrations publiques²¹, ces exercices sont un important outil de formation et de sensibilisation du personnel. Nous avons constaté que les actions de sensibilisation de la Commission en matière de cybersécurité étaient une bonne pratique, de surcroît disponible pour les autres IOAUE intéressés (voir encadré 2).

Des contrôles essentiels font parfois défaut ou ne sont pas systématisés sous la forme de normes

37 Nous avons demandé aux IOAUE d'autoévaluer leur mise en œuvre d'une sélection de contrôles essentiels²². Nous avons choisi un ensemble de bonnes pratiques que même une organisation plus petite devrait pouvoir raisonnablement appliquer²³. Une synthèse des résultats est présentée à la figure 5. La plupart des IOAUE sondés ont adopté les contrôles essentiels sélectionnés. Toutefois, dans certains domaines, les contrôles se révèlent déficients ou limités dans au moins 20 % des IOAUE.

38 Nous avons demandé aux IOAUE de l'échantillon de nous fournir des pièces justificatives ainsi que les normes/politiques correspondantes pour chaque contrôle qu'ils avaient déclaré avoir mis en œuvre. Nous avons obtenu ces documents pour 62 % des contrôles. Comme cela a été précisé lors des entretiens, des contrôles techniques étaient en place dans plusieurs cas, mais ils n'étaient pas systématisés sous la forme de normes ou de politiques (actualisées), ce qui accroît le risque de voir les problèmes de sécurité informatique ne pas être traités de manière cohérente au sein d'une même organisation (voir aussi point 24).

Plusieurs IOAUE ne soumettent pas régulièrement leur cybersécurité à une certification indépendante

39 Selon l'ISACA²⁴, l'audit interne constitue l'une des trois lignes de défense essentielles d'une organisation, les deux autres étant le management et la gestion des risques. Les audits internes contribuent à améliorer la gouvernance de la sécurité de l'information et de la sécurité informatique. Nous avons examiné à quelle fréquence les IOAUE obtiennent une certification indépendante sur leur cadre de sécurité informatique au travers d'audits internes et externes et au moyen de tests proactifs de leurs cyberdéfenses.

40 Le service d'audit interne (SAI) de la Commission est chargé, entre autres, de réaliser les audits informatiques de l'institution, mais aussi des agences décentralisées, des entreprises communes et du SEAE. Le mandat du service couvre 46 des 65 IOAUE (70 %) de notre enquête, et le SAI a procédé à des audits de la sécurité informatique de 6 IOAUE différents au cours des cinq dernières années. Par ailleurs, la DG HR est compétente pour effectuer des inspections dans le domaine de la sécurité informatique qui couvrent les aspects techniques de la sécurité de l'information²⁵. Des IOAUE restants, sept ont indiqué disposer de leur propre fonction d'audit interne pour les aspects informatiques, tandis que pour les douze autres, les réponses fournies à notre enquête n'étaient pas suffisantes pour nous permettre de déterminer s'ils disposent d'une capacité d'audit interne de ce type.

41 Les audits externes de la sécurité informatique effectués par des entités indépendantes constituent un autre moyen d'obtenir une certification indépendante. En dépit de l'évolution rapide du contexte cybernétique, 34 % des IOAUE n'avaient fait l'objet d'aucun audit interne ou externe de leur sécurité informatique entre début 2015 et le premier trimestre de 2021. Si nous ventilons ce dernier pourcentage par type d'IOAUE, nous voyons que 75 % des organes de l'UE, 66 % des entreprises communes et 45 % des missions civiles n'ont connu aucun audit interne ou externe de leur sécurité informatique depuis 2015.

42 Outre les audits internes et externes, il existe un autre moyen permettant aux organisations d'obtenir une assurance relative à leur cadre de sécurité informatique: les tests proactifs de leurs cyberdéfenses destinés à mettre au jour les vulnérabilités. Les tests de pénétration (également appelés «piratage éthique»), qui consistent en des simulations de cyberattaques autorisées sur des systèmes informatiques individuels, sont l'une des méthodes utilisées. En réponse à notre enquête, 69 % des IOAUE ont déclaré avoir effectué au moins un test de pénétration au cours des cinq dernières années. Dans 45 % des cas, ces tests ont été réalisés par la CERT-UE.

43 Les exercices d'équipe rouge (red team) sont encore un autre moyen de tester les cyberdéfenses par des attaques simulées faisant appel à des techniques récemment utilisées lors d'attaques réelles. Ils sont plus complexes et plus complets que les tests de pénétration en ce qu'ils concernent de multiples systèmes et voies d'attaque potentielles. Les IOAUE y recourent moins souvent: 46 % des IOAUE ont déclaré au moins un exercice d'équipe rouge au cours des cinq dernières années. La CERT-UE a réalisé 75 % de ces exercices. Comme ces derniers exigent un important travail de préparation et d'exécution, la CERT-UE n'a pas, dans l'état actuel des choses, la capacité d'en effectuer plus de cinq ou six par an.

44 Si nous ne tenons pas compte de deux IOAUE récemment créés, 16 des organisations sondées (25 %) n'ont effectué aucun test de pénétration ni le moindre exercice d'équipe rouge au cours des cinq dernières années. Globalement, sept IOAUE (10 %) – une entreprise commune, une agence décentralisée et cinq missions civiles – n'ont fait l'objet d'aucune forme de certification indépendante relative à leur cadre de sécurité informatique.

Les IOAUE ont mis en place des mécanismes de coopération, mais ils présentent des lacunes

45 Cette section est consacrée aux acteurs et aux comités mis en place pour promouvoir la coopération entre les IOAUE dans le domaine de la cybersécurité, ainsi qu'aux dispositions en matière de gouvernance et de coordination sur le plan interinstitutionnel. Plus précisément, nous nous sommes intéressés à deux acteurs interinstitutionnels – l'ENISA et la CERT-UE – et à deux comités interinstitutionnels – le Comité interinstitutionnel pour la transformation numérique (CITN), en particulier son sous-groupe «cybersécurité» (CSSG), et le comité consultatif sur les technologies de l'information et de la communication (ICTAC). Nous avons également évalué la mesure dans laquelle ces quatre entités ont permis de dégager des synergies pour améliorer le niveau de préparation des IOAUE dans le domaine de la cybersécurité.

Une structure formalisée permet aux IOAUE de coordonner leurs activités, bien que certains problèmes de gouvernance se posent

46 Le CITN et l'ICTAC sont les deux principaux comités chargés de promouvoir la coopération entre IOAUE sur le plan informatique. Composé des responsables informatiques des institutions et organes de l'UE, le CITN est un forum destiné à encourager l'échange d'informations et la coopération. Il comprend un sous-groupe «cybersécurité» (CSSG) qui lui fait rapport et peut lui recommander de prendre des décisions sur des questions spécifiques. De son côté, l'ICTAC est un sous-groupe du réseau des agences de l'UE, réseau informel créé par les directeurs des agences de l'Union et mettant l'accent sur la coopération au niveau des agences et des entreprises communes. Le CITN et l'ICTAC ont chacun des rôles bien définis, qui sont complémentaires: le premier couvre les institutions et les organes de l'UE, tandis que le second est axé sur les agences décentralisées et les entreprises communes. De par leur nature, tant le CITN que l'ICTAC sont plutôt des groupes consultatifs informels et des forums pour l'échange d'informations et de bonnes pratiques. De plus amples détails sur ces deux comités interinstitutionnels sont présentés à l'annexe II.

Les IOAUE ne sont pas toujours bien représentés au sein des forums concernés

47 Bien que les structures de représentation soient claires, les IOAUE n'estiment pas tous, à l'heure actuelle, être suffisamment représentés. Lorsque, dans le cadre de notre enquête, nous leur avons demandé d'exprimer leur avis sur la question de savoir si leurs besoins étaient suffisamment pris en considération dans les forums interinstitutionnels concernés et si leur représentation au sein des organes décisionnels était adéquate, 42 % des IOAUE ont donné une réponse négative. Certains IOAUE parmi les plus petits ont souligné qu'ils ne disposaient pas de ressources suffisantes pour participer activement aux forums interinstitutionnels.

48 En ce qui concerne la CERT-UE, le comité de pilotage, qui est son principal organe décisionnel, n'est pas non plus, dans l'ensemble, représentatif des «parties». La CERT-UE fournit des services à 87 IOAUE ainsi qu'à trois autres entités. Or son comité de pilotage se compose uniquement de représentants des 11 signataires de l'accord interinstitutionnel, à savoir les sept institutions de l'UE, le SEAE, le Comité économique et social, le Comité des régions et la Banque européenne d'investissement, auxquels s'ajoute un représentant de l'ENISA. Chaque membre de ce comité dispose d'une voix²⁶.

49 Les agences décentralisées et les entreprises communes de l'UE, qui emploient au total 12 000 agents environ, correspondent à plus de la moitié des «parties» de la CERT-UE. Officiellement, l'ENISA représente leurs intérêts au sein du comité de pilotage de la CERT-UE. Toutefois, ce mandat de représentation est faible, étant donné que l'ENISA n'a pas été désignée ni choisie directement par ces agences décentralisées et entreprises communes. Dans la pratique, les opinions de ces dernières sont relayées lors des réunions du comité de pilotage par un délégué de l'ICTAC, qui est autorisé à assister l'ENISA dans son rôle de représentante des agences. Bien qu'il exprime les vues et défende les intérêts de 48 IOAUE, le délégué de l'ICTAC n'a actuellement ni siège officiel ni voix au comité de pilotage. En avril 2021, l'ICTAC a adressé à la présidence du comité de pilotage de la CERT-UE une demande officielle afin d'obtenir le droit de vote au sein de ce comité. Au moment de l'élaboration du présent rapport, cette demande n'avait pas encore été acceptée. La figure 6 présente une vue d'ensemble de la représentation des IOAUE dans les organes décisionnels.

50 La gouvernance de la cybersécurité des IOAUE au niveau interinstitutionnel est fragmentée: à l'heure actuelle, aucune entité ne possède de vision complète du niveau de maturité des IOAUE en matière de cybersécurité, ni l'autorité requise pour jouer un rôle de chef de file ou pour imposer des règles contraignantes communes. L'ENISA et la CERT-UE ne peuvent que «soutenir» et «assister» les IOAUE. Les comités concernés ne disposent d'aucun pouvoir de décision et doivent se contenter de formuler des recommandations aux IOAUE. En outre, pour un cinquième des IOAUE sondés, il n'est pas toujours clair de savoir à qui s'adresser pour un service, un outil ou une solution spécifiques.

Il existe des protocoles d'accord entre les principaux acteurs, mais jusqu'ici, ils n'ont pas produit de résultats concrets

51 Un protocole d'accord entre l'ENISA, la CERT-UE, le Centre européen de lutte contre la cybercriminalité (EC3) et l'Agence européenne de défense (AED) a été signé en mai 2018. Il portait sur cinq domaines de coopération: l'échange d'informations, l'éducation et la formation, les exercices de cybersécurité, la coopération technique, et les questions stratégiques et administratives. Ce protocole d'accord pourrait contribuer à éviter les doubles emplois par l'adoption d'un programme de travail commun, mais nous n'avons relevé aucun élément attestant qu'il s'est traduit par des résultats concrets et des actions communes.

52 Le règlement sur la cybersécurité, qui est entré en vigueur en juin 2019, envisageait la signature d'un nouvel accord de coopération spécifique entre la CERT-UE et l'ENISA. Il convient d'observer à cet égard qu'il aura fallu plus d'un an et demi pour que ce protocole d'accord soit finalement signé, en février 2021. Ce document vise à mettre en place une coopération structurée entre la CERT-UE et l'ENISA. Il établit leurs domaines de coopération (renforcement des capacités, coopération opérationnelle, et connaissances et informations) et répartit grossièrement les rôles entre ces deux acteurs: la CERT-UE dirigera l'assistance fournie aux IOAUE, l'ENISA participant à l'effort. Le protocole d'accord ne définit pas les modalités pratiques, étant donné que celles-ci sont précisées dans un plan de coopération annuel. Le premier plan de ce type, relatif à 2021, a été adopté par le conseil d'administration de l'ENISA en juillet 2021 et par le comité de pilotage du CERT-UE en septembre 2021. Il était dès lors trop tôt pour déterminer, dans le cadre de notre audit, si ce plan a produit un quelconque résultat tangible.

53 Vu que les deux protocoles d'accord évoqués aux points 51 et 52 comportent des objectifs et des domaines de coopération communs (la formation, les exercices ou l'échange d'informations, par exemple), il y a un risque de chevauchements et de doublons.

Les synergies permises par la coopération ne sont pas encore pleinement exploitées

Des mesures positives ont été prises pour réaliser des synergies

54 Les programmes de travail de l'ICTAC et du sous-groupe «cybersécurité» du CITN définissent des thèmes pertinents pour lesquels une collaboration peut aboutir à des gains d'efficience. Parmi les exemples d'initiatives ayant permis aux IOAUE de bénéficier de synergies, citons:

• des contrats-cadres interinstitutionnels;
• un centre commun de rétablissement après sinistre, hébergé depuis 2019 par l'Office de l'Union européenne pour la propriété intellectuelle (OUEPI) pour les agences décentralisées et permettant de réaliser des économies d'au moins 20 % par rapport aux prix du marché (neuf agences ont adopté cette solution de rétablissement après sinistre);
• des accords conclus entre six entreprises communes situées dans le même bâtiment afin de partager une infrastructure et un cadre de sécurité informatique communs (depuis 2014).

55 Le «GovSec» constitue un autre exemple important: il s'agit d'un système qui aide les IOAUE à réaliser des évaluations des risques en vue d'adopter des solutions d'informatique en nuage. Selon notre enquête, 75 % des IOAUE utilisent déjà certaines plateformes publiques d'informatique en nuage, et parmi ceux qui ne le font pas, plusieurs ont l'intention de migrer vers le nuage. Depuis 2019, la Commission poursuit une approche qui accorde la priorité au nuage et envisage une offre de services sécurisée, hybride et multinuage²⁷. Elle agit également en tant que courtier en solutions en nuage pour tous les IOAUE, au titre du contrat-cadre «Cloud II». La gestion des risques pour la sécurité et pour la protection des données sur les plateformes d'informatique en nuage exige de nouvelles compétences et une approche différente par rapport à une infrastructure informatique traditionnelle «sur site». Gérer efficacement les risques pour la sécurité de l'information dans le nuage est un défi commun à tous les IOAUE, et GovSec est un exemple de solution susceptible de répondre aux besoins de certaines, voire de l'ensemble, de ces entités.

La collaboration et l'échange de bonnes pratiques entre les IOAUE ne sont toujours pas optimaux

56 L'existence de comités interinstitutionnels ne se traduit pas automatiquement par des synergies, et les IOAUE ne partagent pas toujours leurs bonnes pratiques, leur expertise, leurs méthodes et les enseignements tirés. Par ailleurs, il incombe à chacun des IOAUE de décider de son niveau d'engagement dans les travaux du sous-groupe «cybersécurité» (CSSG) du CITN. En outre, bien qu'ils assistent aux réunions, les membres de ce sous-groupe ne peuvent contribuer que dans la mesure où leurs fonctions régulières au sein des IOAUE le permettent, ce qui a déjà ralenti la mise en œuvre des actions convenues par certaines task forces.

57 Nous avons relevé certains domaines pour lesquels il n'existe aucun dispositif permettant aux IOAUE de partager leurs expériences et leurs initiatives. Par exemple, en vertu du contrat-cadre relatif à la capacité de défense des réseaux (CDR), les IOAUE peuvent demander une étude afin de consolider les exigences en matière de cybersécurité et de trouver des solutions. Toutefois, il n'existe pas de répertoire des études réalisées ou sollicitées par les autres IOAUE, si bien que l'on ne peut exclure le risque de voir la même étude être réalisée plusieurs fois. En outre, les IOAUE ne s'informent pas mutuellement, de manière systématique, des relations contractuelles qu'ils entretiennent avec des fournisseurs spécifiques, ni des solutions logicielles particulières qu'ils utilisent. Ce déficit de connaissances peut entraîner des coûts supplémentaires et empêcher des synergies.

58 Par ailleurs, les IOAUE ne communiquent pas systématiquement entre eux sur les projets qu'ils entreprennent dans le domaine de la cybersécurité, même si ceux-ci pourraient avoir une incidence interinstitutionnelle. Le mandat du CSSG du CITN dispose notamment que les IOAUE partagent leurs informations sur les nouveaux projets susceptibles d'avoir des répercussions sur la cybersécurité d'autres IOAUE et/ou sur la protection des informations qui en émanent. Or le CSSG n'est pas tenu au courant de tels projets.

59 Lorsqu'une nouvelle agence est créée, elle doit bâtir son infrastructure informatique et son cadre de sécurité informatique à partir de zéro. Il n'existe ni «catalogue de services» ni boîte à outils ou orientations/exigences claires pour les nouvelles agences. Il en résulte une grande hétérogénéité des environnements informatiques des différents IOAUE, chaque organisation étant potentiellement libre d'acquérir ses propres logiciels et matériels et de développer son infrastructure et ses services de manière indépendante. Le constat est le même pour le cadre de sécurité informatique, faute d'exigences et de normes communes. Cette situation peut non seulement entraîner une duplication des efforts et un manque d'efficience dans l'utilisation des fonds de l'UE, mais encore compliquer un peu plus la tâche de la CERT-UE lorsqu'il s'agit de décider du soutien à fournir.

Des insuffisances d'ordre pratique ont été constatées en matière d'échange d'informations sensibles

60 Les IOAUE ne disposent pas encore tous de solutions appropriées pour échanger des informations sensibles non classifiées, et ceux qui en ont recourent généralement à des produits et à des systèmes qui leur sont propres, ce qui pose des problèmes d'interopérabilité. Il existe des plateformes sécurisées communes, mais elles ne peuvent être utilisées qu'à des fins bien précises, à l'instar des plateformes proposées par la CERT-UE à ses «parties» pour l'échange d'informations sensibles sur les incidents, les menaces et les vulnérabilités.

61 Par ailleurs, plus de 20 % des IOAUE n'utilisent pas de service de courrier électronique crypté, et ceux qui le font rencontrent souvent des problèmes d'interopérabilité, les certificats n'étant pas mutuellement reconnus. L'ICTAC et le CITN, qui explorent depuis des années les possibilités de solution évolutive et interopérable, ont réalisé un projet pilote en 2018, mais le problème n'a toujours pas été résolu.

62 L'absence de marquages communs pour les informations sensibles non classifiées est également problématique. Les marquages correspondent à des catégories qui renseignent les détenteurs d'informations sur les exigences de protection spécifiques applicables à ces dernières. Ils varient entre les différents IOAUE, ce qui complique l'échange et le traitement adéquat des informations.

63 En 2020, la pandémie de COVID-19 a contraint les IOAUE à généraliser l'emploi des outils de communication et de visioconférence pour garantir la continuité des opérations. Nous avons constaté que les IOAUE utilisaient pas moins de 15 logiciels de visioconférence différents, mais même lorsque plusieurs IOAUE recourent à un logiciel/une plateforme identique, l'interopérabilité fait bien souvent encore défaut. En outre, les orientations indiquant quelles informations peuvent être partagées ou examinées (selon le degré de sensibilité) sur telle ou telle plateforme diffèrent entre les IOAUE. Tous ces problèmes sont source d'inefficience sur le plan économique et opérationnel et peuvent mettre en péril la sécurité.

L'ENISA et la CERT-UE n'ont pas encore fourni aux IOAUE tout le soutien nécessaire

64 Dans cette section, nous nous intéressons aux deux principales entités chargées de soutenir les IOAUE dans le domaine de la cybersécurité, à savoir l'ENISA et la CERT-UE. Nous examinons si les IOAUE ont bien bénéficié du soutien apporté par ces deux entités et si celui-ci a répondu à leurs besoins, en soulignant par ailleurs les raisons qui expliquent les insuffisances constatées.

L'ENISA est un acteur essentiel du paysage européen de la cybersécurité, mais son soutien n'a jusqu'ici profité qu'à très peu d'IOAUE

65 Entré en vigueur en juin 2019, le règlement sur la cybersécurité²⁸ remplaçant le précédent règlement fondateur de l'ENISA²⁹ a renforcé le mandat conféré à celle-ci. Plus précisément, il dispose que l'ENISA doit aider activement tant les États membres que les IOAUE à améliorer la cybersécurité en renforçant les capacités et la coopération opérationnelle et en créant des synergies. Dans le domaine du renforcement des capacités, l'ENISA est à présent chargée d'assister les IOAUE «dans leurs efforts pour améliorer la prévention, la détection et l'analyse des cybermenaces et incidents, et pour améliorer leur capacité à y réagir, notamment en apportant un soutien adapté à la CERT-UE»³⁰. Elle doit également assister les institutions de l'UE dans l'élaboration et la révision des stratégies de l'Union en matière de cybersécurité, la promotion de leur diffusion et le suivi de l'avancement de leur mise en œuvre.

66 Même si le règlement sur la cybersécurité dispose clairement qu'elle doit aider les IOAUE à s'améliorer dans ce domaine, l'ENISA n'a encore élaboré aucun plan d'action pour remplir son objectif de renforcer leurs capacités (voir encadré 3 pour plus de précisions).

67 Le principal organe décisionnel de l'ENISA est son conseil d'administration, composé d'un membre nommé par chacun des 27 États membres, et de deux membres nommés par la Commission³¹ (voir figure 6). Chaque membre dispose d'une voix et les décisions sont prises à la majorité³². Par conséquent, les actions concernant les États membres peuvent se voir accorder la priorité par rapport à celles concernant les IOAUE. Par exemple, dans le programme de travail 2018 de l'ENISA, compte tenu de l'insuffisance des ressources, le conseil d'administration a décidé d'accorder la priorité à certaines activités et d'en supprimer trois, dont celle concernant le soutien à l'évaluation des politiques/procédures/pratiques existantes en matière de SRI au sein des institutions de l'UE. Cette activité devait permettre à l'ENISA d'obtenir une vue d'ensemble des pratiques des IOAUE et une indication de leur niveau de maturité en matière de cybersécurité, à utiliser comme base pour de futures actions ciblées.

68 L'ambition de l'ENISA de fournir de manière proactive une assistance aux IOAUE, comme le prévoient ses objectifs stratégiques, n'a donc pas été déclinée en objectifs opérationnels et n'a donné lieu à aucune action concrète. Le soutien dans les domaines du renforcement des capacités et de la coopération opérationnelle n'a jusqu'ici concerné que certains IOAUE bien précis, qui en ont fait la demande.

69 Le règlement sur la cybersécurité dispose également que, pour aider les IOAUE à renforcer leurs capacités, l'ENISA doit fournir un soutien approprié à la CERT-UE. Au moment de notre audit, ce soutien était limité à quelques actions spécifiques. Par exemple, en 2019, l'ENISA a réalisé un examen par les pairs de la CERT-UE, en sa qualité de membre du réseau des CSIRT de l'UE (créé en vertu de la directive SRI).

70 Selon les réponses à notre enquête, l'ENISA a publié des rapports et des orientations de grande qualité sur la cybersécurité, dont certains sont utilisés par les IOAUE. Cependant, elle n'a pas émis d'orientations ciblant spécifiquement les IOAUE ainsi que l'environnement et les besoins qui leur sont propres. Les IOAUE, en particulier ceux qui sont moins avancés en matière de cybersécurité, ont besoin d'orientations pratiques non seulement sur ce qu'il convient de faire, mais également sur la manière de le faire. Jusqu'à présent, l'ENISA et la CERT-UE n'ont pas systématiquement fourni un tel soutien et, lorsqu'elles l'ont fait, c'était de manière limitée.

71 L'ENISA a organisé un certain nombre de formations sur la cybersécurité, qui étaient principalement destinées aux autorités des États membres, mais qui ont également accueilli un petit nombre de participants issus des IOAUE. Elle n'a fourni que deux cours d'auto-apprentissage ciblant spécifiquement les IOAUE. Elle propose également, sur son site internet, des outils d'apprentissage en ligne accessibles aux IOAUE, mais qui ont jusqu'ici consisté principalement en des formations à l'intention des experts techniques des CSIRT, donc sans véritable intérêt pour les IOAUE.

72 L'ENISA peut soutenir les IOAUE par des formations, mais aussi par des exercices de cybersécurité. En octobre 2020, en coopération avec la CERT-UE, elle a contribué à la réalisation d'un exercice de cybersécurité pour l'ICTAC, le seul qu'elle a organisé spécialement pour des participants issus des IOAUE. Par ailleurs, à la demande de certains IOAUE (comme l'eu-LISA, l'AESM, le Parlement européen ou encore Europol), l'ENISA a aidé à réaliser un certain nombre d'exercices essentiellement destinés à leurs parties prenantes au sein des autorités des États membres et auxquels quelques agents d'IOAUE ont également participé.

73 Le règlement sur la cybersécurité a également prévu un nouveau rôle pour l'ENISA, à savoir assister les IOAUE qui le souhaitent dans leurs politiques en matière de divulgation des vulnérabilités. L'ENISA ne dispose toutefois pas encore d'une vue d'ensemble des différentes politiques des IOAUE dans ce domaine et elle ne les aide pas à en établir ou à les appliquer.

La CERT-UE est très appréciée par ses «parties», mais ses moyens ne sont pas à la hauteur des enjeux de la cybersécurité moderne

74 En septembre 2012, après une série d'initiatives (voir figure 7), la Commission a adopté une décision³³ portant création de l'équipe d'intervention en cas d'urgence informatique (CERT-UE) en tant que task force permanente pour les IOAUE (voir point 08)

75 Bien qu'elle opère en toute indépendance, la CERT-UE n'en reste pas moins une task force, dénuée de personnalité juridique. Elle relève administrativement de la Commission européenne (DG DIGIT), qui lui fournit un soutien logistique et administratif. Elle a pour but de rendre l'infrastructure TIC des IOAUE plus sûre en renforçant leur capacité à affronter les menaces et à traiter les vulnérabilités, ainsi qu'à prévenir les cyberattaques ou à les détecter et y répondre. La CERT-UE dispose d'un effectif de 40 agents, organisés en équipes de spécialistes en renseignements sur les menaces, en criminalistique informatique et en réponse aux incidents.

La CERT-UE est un partenaire apprécié, dont la charge de travail ne cesse de croître

76 La CERT-UE demande un retour d'information et des suggestions à ses «parties» dans le cadre d'ateliers trimestriels, ainsi que de réunions bilatérales et d'enquêtes de satisfaction organisées chaque année. Ses enquêtes de satisfaction et notre propre enquête montrent que les «parties» sont très satisfaites des services fournis par la CERT-UE. L'évolution du catalogue de ses services témoigne de ses efforts d'adaptation aux besoins des IOAUE.

77 Si les grands IOAUE, qui disposent de capacités importantes en interne, ont tendance à utiliser la CERT-UE principalement comme une plateforme de partage d'informations et une source de renseignements sur les menaces, les plus petites organisations s'appuient sur elle pour un plus large éventail de services, tels que la journalisation des événements, les tests de pénétration, les exercices d'équipe rouge et le soutien à la réponse aux incidents. Les services de la CERT-UE sont particulièrement précieux pour les IOAUE de taille plus modeste, qui disposent d'une expertise limitée en leur sein et ne sont pas en mesure de réaliser des économies d'échelle (voir points 31 et 33).

78 La CERT-UE a renforcé ses capacités et ses procédures au cours des dernières années, dans un contexte d'augmentation fulgurante des menaces et des incidents. Le nombre de ses produits d'information, en particulier les alertes et ses notes sur les menaces, n'a cessé de croître (figure 8). En 2020, la CERT-UE a émis 171 notes et 53 alertes relatives à des menaces (soit beaucoup plus que les 80 notes et 40 alertes qu'elle prévoyait initialement).

79 La CERT-UE aide également les IOAUE à traiter les cyberincidents. Si 52 % des IOAUE disposent en interne d'une équipe d'intervention ou du moins d'une personne chargée de coordonner le traitement des incidents, les 48 % restants sont tributaires de la CERT-UE et/ou d'autres prestataires externes en cas d'incident. Toutefois, il arrive aussi que les grands IOAUE possédant une capacité de réaction en interne demandent l'aide de la CERT-UE si l'incident est complexe.

80 Le nombre total d'incidents traités par la CERT-UE est passé de 561 en 2019 à 884 en 2020. Celui des incidents importants, en particulier, a grimpé à 13 en 2020, alors qu'il n'y en avait eu qu'un seul en 2018, mais ce record était déjà battu en septembre 2021, avec 17 incidents de ce type. Ces incidents importants sont généralement dus à des menaces très sophistiquées. Ils peuvent toucher plusieurs IOAUE et nécessiter des contacts avec les autorités, et il faut généralement des semaines, voire des mois de travail pour que les parties qui en sont victimes et la CERT-UE les analysent et réussissent à en venir à bout.

81 Par ailleurs, la réalisation proactive des évaluations et des tests concernant les cyberdéfenses des IOAUE sont principalement le fait de la CERT-UE. La figure 9 présente une synthèse de ses activités dans ce domaine. En outre, depuis 2020, la CERT-UE réalise également des analyses réseau externes.

Les «parties» ne partagent pas en temps utile les informations pertinentes avec la CERT-UE

82 L'AII³⁴ prévoit que les «parties» qui font face à un cyberincident important doivent en informer la CERT-UE. Or il n'en a pas toujours été ainsi dans la pratique. L'AII ne prévoit pas de mécanisme permettant d'imposer une notification rapide des incidents «importants» par les «parties» de la CERT-UE. Le fait que la notion de «cyberincident important» soit définie de manière générale dans l'AII permet aux IOAUE de décider s'il convient ou non de notifier un incident. Selon la direction de la CERT-UE, certaines «parties» n'ont pas partagé d'informations sur des incidents importants en temps utile, ce qui a nui au rôle de la CERT-UE en tant que plateforme d'échange d'informations et de coordination des réponses aux incidents dans le domaine de la cybersécurité pour tous les IOAUE. À titre d'exemple, une «partie» confrontée à une menace très sophistiquée n'en a pas informé la CERT-UE et n'a pas demandé son assistance, ce qui a empêché la CERT-UE de recueillir des informations qui auraient été utiles pour aider d'autres «parties» confrontées à la même menace. Au moins six IOAUE ont été touchés par cette attaque informatique.

83 Les «parties» ne partagent pas non plus rapidement avec la CERT-UE des informations sur les menaces et les vulnérabilités concernant leur cybersécurité, alors que l'AII³⁵ exige qu'elles le fassent. L'équipe de la CERT-UE chargée de la criminalistique informatique et de la réponse aux incidents ne reçoit aucune information sur les vulnérabilités ou les carences des contrôles mises au jour en dehors du contexte des incidents sur lesquels elle est amenée à enquêter. Les «parties» ne partagent pas spontanément les constatations pertinentes issues des audits de sécurité internes ou externes.

84 En outre, l'AII n'obligeant pas les IOAUE à signaler à la CERT-UE les changements importants apportés à leur environnement informatique, ils ne l'en informent pas systématiquement. Par exemple, ils ne lui communiquent pas toujours les modifications de leurs plages IP (à savoir la liste des adresses internet utilisées par leur infrastructure). La CERT-UE a besoin d'informations actualisées sur les plages IP, notamment pour effectuer des analyses lorsque des vulnérabilités majeures sont découvertes. Le fait que les IOAUE ne lui signalent pas ces modifications réduit sa capacité à les aider. Il a également des conséquences sur sa capacité à surveiller les systèmes et conduit à un surcroît de travail pour corriger les données inexactes dans les outils de suivi. Selon sa direction, la CERT-UE découvre parfois l'une ou l'autre infrastructure informatique inconnue lorsqu'elle traite un incident. Qui plus est, au-delà des cas précis sur lesquels elle travaille, elle ne dispose pas actuellement d'une vue d'ensemble des systèmes et réseaux informatiques des IOAUE.

85 Tant que l'AII ne prévoira aucun mécanisme qui permette de faire respecter les engagements pris, la communication d'informations à la CERT-UE par les IOAUE restera aléatoire. Or il s'agit là d'un élément essentiel pour permettre à cette dernière de jouer pleinement son rôle dans la préparation des IOAUE en matière de cybersécurité.

La dotation de la CERT-UE en ressources n'est ni stable ni adaptée au niveau actuel de la menace

86 Selon l'AII³⁶, «[il] convient de doter durablement la CERT-UE de moyens financiers et humains, tout en garantissant un bon rapport coût-avantages et un noyau suffisant de personnel permanent». Le principal atout de la CERT-UE est son personnel hautement qualifié et spécialisé. La figure 10 montre l'évolution des effectifs de la CERT-UE, de sa création en 2011 à ce jour.

87 Plus des deux tiers des agents de la CERT-UE sont sous contrat temporaire. Leur salaire n'est pas très compétitif sur le marché des experts en cybersécurité et, selon la direction de la CERT-UE, il devient de plus en plus difficile de les recruter et de les fidéliser. Lorsque les salaires ne sont pas suffisamment attrayants pour les candidats confirmés, la CERT-UE doit embaucher de jeunes professionnels et consacrer du temps à leur formation. En outre, les contrats ayant une durée maximale de six ans, elle n'a pas d'autre choix que de laisser les agents contractuels partir au sommet de leur expertise. La rotation du personnel a été particulièrement élevée en 2020: 21 % des agents ont quitté la CERT-UE et leurs remplaçants n'ont pas tous pu être recrutés. En ce qui concerne les années précédentes, 9 % des agents avaient quitté le service en 2019 et 13 %, en 2018.

88 La direction de la CERT-UE a souligné qu'à l'heure actuelle, son équipe chargée de la criminalistique informatique et de la réponse aux incidents était fréquemment surchargée et que ses autres équipes ne parvenaient pas à donner suite à toutes les demandes. La CERT-UE a donc été contrainte de réduire ses activités. Aujourd'hui, faute de ressources suffisantes, elle ne réalise plus d'évaluations du niveau de maturité de ses «parties», par exemple. Son service d'«alertes relatives aux activités suspectes» est devenu opérationnel plus tard que prévu, là aussi par manque de ressources. Par ailleurs, plusieurs «parties» avec lesquelles nous nous sommes entretenus ont indiqué avoir dû attendre longtemps avant de pouvoir accéder aux services de la CERT-UE.

89 En raison des contraintes en matière de ressources, la CERT-UE a été obligée jusqu'ici de centrer plus particulièrement son action sur la protection des infrastructures informatiques «sur site» contre les menaces majeures émanant de groupes (généralement soutenus par des États) représentant des menaces persistantes avancées. Mais selon sa direction, le périmètre informatique élargi des IOAUE (qui comprend à présent l'informatique en nuage, les appareils mobiles et les outils de télétravail) nécessite une surveillance et une protection renforcées, tandis que les menaces moins importantes (telles que la cybercriminalité et les rançongiciels) requièrent également une plus grande attention.

90 L'AII ne prévoit pas que la CERT-UE doit disposer d'une capacité opérationnelle vingt-quatre heures sur vingt-quatre et sept jours sur sept. Actuellement, la CERT-UE ne possède pas les ressources nécessaires, notamment humaines, pour fonctionner de manière permanente et structurée en dehors des heures de bureau, bien que les cyberattaques ne se produisent pas que dans ces créneaux horaires. Du côté des IOAUE, seules 35 des 65 entités que nous avons sondées ont un responsable informatique joignable en dehors des heures de bureau.

91 Pour financer les activités de la CERT-UE, le comité de pilotage a approuvé en 2012 un modèle d'accord de niveau de service (ANS). En concluant un ANS, toutes les «parties» bénéficient gratuitement des services essentiels et peuvent acquérir des services supplémentaires payants. Le budget 2020 de la CERT-UE s'est élevé à 3 745 000 euros, dont 6 % ont été financés sur le budget de l'UE et 94 % grâce aux accords de niveau de service. Les «parties» se trouvent toutefois dans des situations très différentes: certaines affichent des exigences poussées en matière de sécurité informatique, tandis que d'autres ont un budget informatique modeste et un faible niveau de maturité en matière de cybersécurité. De ce fait, lors des négociations relatives aux ANS, certains IOAUE présentent un véritable cahier des charges en matière de sécurité, alors que d'autres pèchent par un manque de volonté ou une incapacité à apporter une contribution.

92 De plus, les ANS doivent être renouvelés individuellement chaque année, ce qui engendre non seulement une charge administrative supplémentaire, mais également des problèmes de trésorerie, étant donné que la CERT-UE ne reçoit pas en une fois tous les financements dus au titre de ces accords. En outre, les agences peuvent mettre fin aux accords de niveau de service à tout moment, ce qui risque d'entraîner un cercle vicieux où, du fait de la perte de recettes, la CERT-UE serait amenée à revoir ses services à la baisse et ne pourrait plus satisfaire la demande, poussant ainsi d'autres IOAUE à résilier leur accord de niveau de service et à se tourner vers des prestataires privés. Compte tenu de ces considérations, le modèle de financement actuel n'est pas idéal pour garantir un niveau de service stable et optimal.

93 Lors de sa réunion du 19 février 2020, face à l'évolution rapide du paysage des cybermenaces (voir points 06 et 80), le comité de pilotage de la CERT-UE a adopté une proposition stratégique visant à élargir les services de cybersécurité de la CERT-UE et à doter celle-ci d'une «capacité opérationnelle totale». Cette proposition était accompagnée d'une analyse des besoins de la CERT-UE en ressources humaines et financières, analyse dont la conclusion était que celle-ci aurait besoin de 14 postes d'administrateurs permanents supplémentaires, à ajouter progressivement sur la période 2021‑2023. La CERT-UE serait alors en mesure de fonctionner à pleine capacité à partir de 2023. Sur le plan du financement, le budget de la CERT-UE devrait, selon cette même proposition, augmenter de 7,6 millions d'euros sur la période 2021‑2023 pour atteindre 11,3 millions d'euros d'ici à 2024.

94 Cependant, malgré l'adoption de la proposition stratégique relative à la mise à disposition de ressources supplémentaires pour la CERT-UE, les IOAUE n'ont pas encore réussi à s'accorder sur les modalités pratiques, d'abord pour la période intermédiaire de 2021‑2023, puis à plus long terme, soit après l'entrée en vigueur du futur règlement sur la cybersécurité (voir point 12).

Conclusions et recommandations

95 Nous arrivons à la conclusion que le niveau de préparation des institutions, organes et agences de l'UE (IOAUE) dans le domaine de la cybersécurité n'est pas à la hauteur des menaces. Nos travaux montrent que les IOAUE ont des niveaux de maturité très différents en matière de cybersécurité et que, comme ils sont souvent interconnectés entre eux, mais aussi avec des organisations publiques ou privées dans les États membres, une faille dans la cybersécurité de l'un d'entre eux peut en exposer d'autres à des cybermenaces.

96 Nous avons constaté que les principales bonnes pratiques en matière de cybersécurité, notamment certains contrôles essentiels, ne sont pas toujours appliquées. Une véritable gouvernance de la cybersécurité est primordiale pour la sécurité de l'information et des systèmes informatiques, mais certains IOAUE ne s'en sont pas encore dotés. En effet, dans bien des cas, la sécurité informatique ne fait l'objet d'aucune stratégie ni d'aucun plan ou, lorsqu'il y en a, ils ne sont pas approuvés par l'encadrement supérieur. En outre, les politiques de sécurité ne sont pas toujours formalisées et les évaluations des risques ne couvrent pas l'ensemble de l'environnement informatique. Les dépenses de cybersécurité sont inégales, certains IOAUE y consacrant nettement moins de moyens que leurs pairs de taille comparable (voir points 21 à 33, 37 et 38).

97 Les programmes de sensibilisation et de formation constituent un élément essentiel d'un cadre de cybersécurité efficace. Or seuls 29 % des IOAUE imposent une formation en cybersécurité aux managers responsables de systèmes informatiques contenant des informations sensibles, et les formations proposées sont souvent informelles. Au cours des cinq dernières années, 55 % des IOAUE ont organisé au moins une campagne de simulation d'hameçonnage (ou des actions similaires). Ces exercices constituent un important outil de formation et de sensibilisation du personnel, mais les IOAUE n'y recourent pas systématiquement (voir points 34 à 36). En outre, les IOAUE ne soumettent pas tous régulièrement leur cybersécurité à une certification indépendante (voir points 39 à 44).

98 La CERT-UE est très appréciée par les IOAUE qu'elle sert, mais elle est trop sollicitée par rapport à sa capacité d'action. Sa charge de travail en matière de renseignements sur les menaces et de traitement des incidents augmente rapidement depuis 2018. Le nombre de cyberincidents importants a plus que décuplé. Dans le même temps, les IOAUE ne partagent pas toujours en temps utile les informations dont elles disposent à propos des incidents importants, des vulnérabilités et des principaux changements de leur infrastructure informatique. Cela nuit à l'efficacité de la CERT-UE, puisque celle-ci ne peut alerter à temps les IOAUE potentiellement concernés et que des incidents importants risquent de ne pas être détectés. Par ailleurs, les ressources de la CERT-UE ne sont pas stables ni pour l'instant adaptées au niveau de menace actuel ou aux besoins des IOAUE. Une proposition stratégique relative à la mise à la disposition de la CERT-UE des ressources supplémentaires requises a été adoptée en 2020 par le comité de pilotage de celle-ci, mais les «parties» n'ont pas encore réussi à s'accorder sur les modalités pratiques. De ce fait, le personnel de la CERT-UE ne peut plus suivre la demande et est contraint de réduire les activités (voir points 74 à 93).

Recommandation n° 1 – Améliorer la préparation des IOAUE en matière de cybersécurité par l'instauration de règles contraignantes communes et une augmentation des ressources de la CERT-UE

La Commission devrait intégrer les principes ci-après dans la proposition de règlement établissant des mesures en faveur d'un niveau de cybersécurité commun élevé dans l'ensemble des IOAUE:

1. l'encadrement supérieur devrait assumer la responsabilité de la gouvernance de la cybersécurité en adoptant des stratégies de cybersécurité et les principales politiques de sécurité et en nommant un responsable central et indépendant de la sécurité informatique (ou une personne assurant des fonctions équivalentes);
2. les IOAUE devraient disposer d'un cadre de gestion des risques pour la sécurité informatique qui couvre l'intégralité de l'infrastructure informatique et procéder régulièrement à des évaluations des risques;
3. les IOAUE devraient organiser systématiquement des formations de sensibilisation à l'intention de leur personnel, y compris la direction;
4. les IOAUE devraient réaliser régulièrement des audits et des tests de leurs cyberdéfenses. Ces contrôles devraient également porter sur l'adéquation des ressources consacrées à la cybersécurité;
5. les IOAUE devraient informer sans délai la CERT-UE des cyberincidents importants ainsi que des modifications pertinentes et des vulnérabilités concernant leur infrastructure informatique;
6. les IOAUE devraient accroître les ressources allouées à la CERT-UE et les lui réserver clairement dans leur budget en tenant compte des besoins recensés dans la proposition stratégique adoptée par le comité de pilotage de la CERT-UE;
7. le règlement devrait comporter des dispositions qui prévoient la désignation d'une entité représentative de l'ensemble des IOAUE et dotée du mandat et des moyens appropriés pour contrôler le respect, par tous les IOAUE, des règles communes en matière de cybersécurité et pour publier des orientations, des recommandations et des appels à prendre des mesures.

Quand? Au premier trimestre de 2023 au plus tard.

99 Les IOAUE ont mis en place des mécanismes de coopération dans le domaine de la cybersécurité, mais nous avons observé qu'ils n'exploitaient pas pleinement les synergies potentielles. Il existe une structure formalisée pour l'échange d'informations, dans laquelle les acteurs et les comités jouent des rôles complémentaires. Cependant, la participation des IOAUE de taille plus modeste aux forums interinstitutionnels pâtit de ressources limitées. En outre, la représentation des agences décentralisées et des entreprises communes au sein du comité de pilotage de la CERT-UE n'est pas optimale. Nous avons également constaté que les IOAUE ne s'échangent pas systématiquement les informations relatives à leurs projets, à leurs évaluations de la sécurité et à leurs contrats de service en lien avec la cybersécurité. Cela peut se traduire par une duplication des efforts et des coûts plus élevés. Nous avons relevé des problèmes d'ordre opérationnel dans l'échange d'informations sensibles non classifiées, par courrier électronique crypté ou visioconférence, en raison du manque d'interopérabilité entre les solutions informatiques, d'orientations contradictoires sur leur utilisation autorisée ainsi que de l'absence de marquages communs et de règles communes de traitement concernant les informations (voir points 45 à 63).

Recommandation n° 2 – Plaider pour de nouvelles synergies entre les IOAUE dans des domaines ciblés

Dans le cadre du Comité interinstitutionnel pour la transformation numérique, la Commission devrait encourager les IOAUE:

1. à adopter des solutions garantissant l'interopérabilité des canaux de communication sécurisés (du courrier électronique crypté à la visioconférence) et à préconiser des marquages communs et des règles de traitement communes pour les informations sensibles non classifiées;
2. à échanger systématiquement des informations sur les projets de cybersécurité ayant une incidence interinstitutionnelle, sur les évaluations de sécurité concernant les logiciels et sur les contrats en vigueur avec des fournisseurs externes;
3. à définir les cahiers des charges des marchés publics et des contrats-cadres communs relatifs à des services de cybersécurité, auxquels tous les IOAUE peuvent prendre part et favoriser ainsi des économies d'échelle.

Quand? Au quatrième trimestre de 2023 au plus tard.

100 L'Agence de l'Union européenne pour la cybersécurité (ENISA) et la CERT-UE sont les deux principales entités chargées d'aider les IOAUE à assurer leur cybersécurité. Toutefois, en raison de leurs ressources limitées et des priorités accordées à d'autres domaines, elles n'ont pas été en mesure de fournir aux IOAUE toute l'assistance dont ils avaient besoin, notamment en ce qui concerne le renforcement des capacités des IOAUE moins avancés en matière de cybersécurité (voir points 64 à 93).

Recommandation n° 3 – Centrer davantage l'action de la CERT-UE et de l'ENISA sur les IOAUE moins avancés en matière de cybersécurité

La CERT-UE et l'ENISA devraient:

1. déterminer les domaines prioritaires dans lesquels les IOAUE requièrent un maximum de soutien, par exemple au moyen d'évaluations de leur niveau de maturité;
2. mettre en œuvre des actions de renforcement des capacités, conformément à leur protocole d'accord.

Quand? Au quatrième trimestre de 2022 au plus tard.

Le présent rapport a été adopté par la Chambre III, présidée par Bettina Jakobsen, Membre de la Cour des comptes, à Luxembourg le 22 février 2022.

Annexes

Annexe I – Liste des IOAUE sondés

Annexe II – Informations complémentaires sur les principaux comités interinstitutionnels

Comité interinstitutionnel pour la transformation numérique (CITN)

Le CITN est un forum visant à encourager l'échange d'informations et la coopération dans le domaine informatique. Établi en mai 2020, il remplace le Comité interinstitutionnel pour l'informatique (CII). Il se compose des responsables des services informatiques des IOAUE. Il dispose d'un sous-groupe «cybersécurité» (CSSG), qui a pour mission de promouvoir la coopération entre les IOAUE en matière de cybersécurité et d'offrir une plateforme pour l'échange d'informations.

Le pouvoir de décision du CITN est limité aux questions sans incidence sur la manière dont les institutions remplissent leur mission et sur la gouvernance au sein de chaque institution. En ce qui concerne les décisions qui ne sont pas de son ressort, le CITN peut adresser des recommandations au collège des secrétaires généraux des institutions et organes de l'UE.

Comme le prévoit son mandat, ses membres sont des représentants issus de chaque institution ou organe de l'UE, auxquels s'ajoute un représentant désigné par les agences de l'UE (ICTAC). Le CITN est actuellement présidé par le Secrétariat général du Conseil.

Sous-groupe «cybersécurité» (CSSG) du CITN

Le CSSG, dans sa configuration actuelle, a été mis en place en septembre 2020, en remplacement du sous-groupe «sécurité» permanent de l'ancien CII. Par rapport à son prédécesseur, il suit une approche mieux structurée, plus ambitieuse et davantage orientée sur les résultats. Ses activités sont menées par des task forces (TF) qui se réunissent régulièrement et se concentrent sur des questions communes essentielles:

• TF1 – Normes communes, benchmarking et maturité
• TF2 – Plateforme de partage, méthodes, outils et contrats
• TF3 – Sécurité de l'informatique en nuage
• TF4 – Compétences en matière de cybersécurité: développement des talents
• TF5 – Sensibilisation à la cyberesécurité
• TF6 – Sécurité des visioconférences

Comme le prévoit le mandat du CSSG, son secrétariat est chargé d'effectuer un suivi et un compte rendu réguliers de l'avancement des activités des TF. Il soumet ainsi à intervalles réguliers des rapports à la présidence et à la vice-présidence du CSSG, après avoir consulté les coordonnateurs des différentes TF. À la fin de chaque année, le CSSG doit également présenter un rapport d'activité de synthèse.

Il est actuellement présidé par la Commission, la vice-présidence étant assurée par un représentant de l'ICTAC. Bien qu'il n'ait aucun pouvoir décisionnel, le CSSG peut recommander au CITN des décisions sur des questions pertinentes.

Réseau des agences de l'UE

Le réseau des agences de l'UE est un réseau informel créé par les chefs des agences de l'UE en 2012. Il se compose actuellement de 48 agences décentralisées et entreprises communes de l'UE. Il vise à offrir une plateforme d'échange et de coopération aux membres du réseau dans des domaines d'intérêt commun. Le comité consultatif sur les technologies de l'information et de la communication (ICTAC) est un sous-groupe du réseau des agences de l'UE. Il a pour mission de promouvoir la coopération dans le domaine des TIC, notamment la cybersécurité.

Comité consultatif sur les technologies de l'information et de la communication (ICTAC)

L'ICTAC encourage la coopération entre les agences et les entreprises communes dans le domaine des TIC. Il vise à trouver des solutions économiques et viables à des problèmes communs, à promouvoir l'échange d'informations et à permettre l'adoption de positions communes, le cas échéant. Comme le prévoit le mandat de l'ICTAC, une assemblée générale a lieu deux fois par an, ce qui permet de réunir l'ensemble des membres. Des réunions mensuelles sont également organisées entre les représentants de l'ICTAC au sein des task forces du CSSG, le représentant de l'ICTAC au CSSG et la «troïka». Celle-ci est formée par trois présidents de l'ICTAC (l'actuel, le précédent et le prochain), chaque président ayant un mandat d'un an. La troïka a pour mission de soutenir le président en exercice pour toutes les questions en lien avec sa fonction, y compris son remplacement, si les circonstances l'exigent.

Acronymes, sigles et abréviations

AII: Accord interinstitutionnel

ANS: accord de niveau de service

CERT-UE: équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union européenne

CISO: responsable central de la sécurité informatique (Chief Information Security Officer)

CITN: Comité interinstitutionnel pour la transformation numérique

CSIRT: centre de réponse aux incidents de sécurité informatique

CSSG: sous-groupe «cybersécurité» du Comité interinstitutionnel pour la transformation numérique

DG HR: direction générale des ressources humaines et de la sécurité (Commission européenne)

DG DIGIT: direction générale de l'informatique (Commission européenne)

ENISA: Agence de l'Union européenne pour la cybersécurité

eu-LISA: Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice

ICTAC: Comité consultatif sur les technologies de l'information et de la communication

IOAUE: institutions, organes et agences de l'Union européenne

ISACA: Information Systems Audit and Control Association

SRI: sécurité des réseaux et de l'information

TIC: technologies de l'information et de la communication

Glossaire

Cyberespace: environnement mondial dans lequel a lieu la communication en ligne entre les personnes, les logiciels et les services, par l'intermédiaire de réseaux informatiques et d'autres dispositifs connectés.

Cyberespionnage: acte ou pratique consistant à obtenir des secrets et des informations sans l'autorisation ou à l'insu de leur propriétaire par l'intermédiaire d'Internet, de réseaux ou d'ordinateurs personnels.

Cybersécurité: mesures destinées à protéger les réseaux et l'infrastructure informatiques, ainsi que les informations qu'ils contiennent, contre les menaces extérieures.

Équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union européenne: plateforme d'échange d'informations et de coordination des réponses aux incidents, dont les clients («parties») sont les institutions, organes et agences de l'UE.

Exercice d'équipe rouge (red team): simulation réaliste de cyberattaque utilisant l'effet de surprise et les techniques récemment observées dans le monde réel, centrée sur des objectifs spécifiques sous plusieurs angles d'attaque.

Hameçonnage: envoi de courriers électroniques supposés provenir d'une source fiable afin de tromper les destinataires pour qu'ils ouvrent des liens malveillants ou qu'ils partagent des données à caractère personnel.

Ingénierie sociale: dans le domaine de la sécurité de l'information, manipulation psychologique visant à tromper une personne pour l'amener à effectuer une action ou à divulguer des informations confidentielles.

Menace persistante avancée: attaque permettant à un utilisateur non autorisé d'accéder à un système ou à un réseau afin de voler des données sensibles, et d'y rester pendant un laps de temps considérable.

Test de pénétration: méthode d'évaluation de la sécurité d'un système informatique consistant en des tentatives visant à forcer ses dispositifs de sécurité au moyen de techniques et d'outils utilisés habituellement par les cybercriminels.

Réponses de la Commission

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=60922

Réponses de la CERT-UE et de l'ENISA

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=60922

Calendrier

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=60922

Notes

¹ Règlement (UE) 2019/881.

² ISO/IEC 27 000:2018.

³ Cour des comptes européenne, document d'analyse n° 02/2019 intitulé «Défis à relever pour une politique de l'UE efficace dans le domaine de la cybersécurité (document d'information)».

⁴ CERT-UE,Threat Landscape Report, juin 2021.

⁵ Ibidem.

⁶ Ibidem.

⁷ Ibidem.

⁸ Cyberattack on EMA – update 6, 25.1.2021.

⁹ Rapport spécial n° 22/2020 de la Cour des comptes européenne intitulé «L'avenir des agences de l'UE – La souplesse et la coopération pourraient être renforcées», point 1.

¹⁰ JO C 12 du 13.1.2018, p. 1.

¹¹ ENISA, analyse sectorielle/thématique des menaces intitulée Threat Landscape 2020.

¹² Directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

¹³ Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union.

¹⁴ COM(2020) 605 final.

¹⁵ JOIN(2020) 18 final.

¹⁶ ISACA,Certified Information System Auditor review manual, 2019.

¹⁷ Communication à la Commission, Stratégie numérique de la Commission européenne: Une Commission transformée numériquement, centrée sur l'utilisateur et fondée sur les données, C(2018) 7118 final, 21.11.2018.

¹⁸ Norme ISO/IEC 27 000:2018, chapitre 5.

¹⁹ COBIT 5 for Information Security, section 4.2.

²⁰ Voir par exemple ISO/IEC 27 000:2018, section 4.5.

²¹ ENISA, analyse sectorielle/thématique des menaces intitulée Threat Landscape 2020.

²² Ensemble de contrôles inspiré des CIS Controls 7.1, cadre de bonnes pratiques établi par le Center for Internet Security.

²³ Implementation group 1 (IG1) des CIS Controls.

²⁴ ISACA,Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

²⁵ Décision (UE, Euratom) 2017/46 sur la sécurité des systèmes d'information et de communication au sein de la Commission européenne.

²⁶ Article 7 de l'accord interinstitutionnel (AII) conclu le 20 décembre 2017.

²⁷ Commission européenne, The European Commission Cloud Strategy, 2019.

²⁸ Les missions de l'ENISA sont énoncées au chapitre II (articles 5 à 12) du règlement (UE) 2019/881.

²⁹ Règlement (UE) n° 526/2013 du Parlement européen et du Conseil (pour les missions de l'ENISA au titre de ce règlement, voir son article 3).

³⁰ Article 6 du règlement (UE) 2019/881.

³¹ Article 14 du règlement sur la cybersécurité.

³² Article 18 du règlement sur la cybersécurité.

³³ Communiqué de presse de la Commission européenne, «La cybersécurité des institutions de l'UE a été renforcée suite au succès d'un projet pilote».

³⁴ Article 3, paragraphe 3, de l'accord interinstitutionnel (AII) conclu le 20 décembre 2017.

³⁵ Article 3, paragraphe 2, de l'accord interinstitutionnel (AII).

³⁶ Considérant 7 de l'accord interinstitutionnel (AII).

³⁷ Le CESE et le CdR sont comptés comme une seule entité.

Contact

COUR DES COMPTES EUROPÉENNE
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tél. +352 4398-1
Contact: eca.europa.eu/fr/Pages/ContactForm.aspx
Site internet: eca.europa.eu
Twitter: @EUAuditors

De nombreuses autres informations sur l’Union européenne sont disponibles sur l’internet via le serveur Europa (https://europa.eu).

Luxembourg: Office des publications de l’Union européenne, 2022

PDF	ISBN 978-92-847-7601-6	ISSN 1977-5695	doi:10.2865/509190	QJ-AB-22-003-FR-N
HTML	ISBN 978-92-847-7585-9	ISSN 1977-5695	doi:10.2865/11756	QJ-AB-22-003-FR-Q

DROITS D'AUTEUR

© Union européenne, 2022

La politique de réutilisation de la Cour des comptes européenne est définie dans la décision n° 6-2019 de la Cour des comptes européenne sur la politique d'ouverture des données et la réutilisation des documents.

Sauf indication contraire (par exemple dans une déclaration distincte concernant les droits d'auteur), le contenu des documents de la Cour, qui appartient à l'UE, fait l'objet d'une licence Creative Commons Attribution 4.0 International (CC BY 4.0). Ainsi, en règle générale, vous pouvez en réutiliser le contenu à condition de mentionner la source et d'indiquer les éventuelles modifications que vous avez apportées. Si vous réutilisez du contenu de la Cour des comptes européenne, vous avez l'obligation de ne pas altérer le sens ou le message initial des documents. La Cour des comptes européenne ne répond pas des conséquences de la réutilisation.

Vous êtes tenu(e) d'obtenir une autorisation supplémentaire si un contenu spécifique représente des personnes physiques identifiables, comme par exemple sur des photos des agents de la Cour, ou contient des travaux de tiers.

Lorsqu'une telle autorisation a été obtenue, elle annule et remplace l'autorisation générale susmentionnée et doit clairement indiquer toute restriction d'utilisation.

Pour utiliser ou reproduire des contenus qui n'appartiennent pas à l'UE, il peut être nécessaire de demander l'autorisation directement aux titulaires des droits d'auteur.

Les logiciels ou documents couverts par les droits de propriété industrielle tels que les brevets, les marques, les modèles déposés, les logos et les noms, sont exclus de la politique de réutilisation de la Cour des comptes européenne.

La famille de sites internet institutionnels de l'Union européenne relevant du domaine europa.eu fournit des liens vers des sites tiers. Étant donné que la Cour n'a aucun contrôle sur leur contenu, vous êtes invité(e) à prendre connaissance de leurs politiques respectives en matière de droits d'auteur et de protection des données.

Utilisation du logo de la Cour des comptes européenne

Le logo de la Cour des comptes européenne ne peut être utilisé sans l'accord préalable de celle-ci.

COMMENT PRENDRE CONTACT AVEC L’UNION EUROPÉENNE?

En personne
Dans toute l’Union européenne, des centaines de centres d’information Europe Direct sont à votre disposition. Pour connaître l’adresse du centre le plus proche, visitez la page suivante: https://europa.eu/european-union/contact_fr

Par téléphone ou courrier électronique
Europe Direct est un service qui répond à vos questions sur l’Union européenne. Vous pouvez prendre contact avec ce service:

• par téléphone:
• via un numéro gratuit: 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
• au numéro de standard suivant: +32 22999696;
• par courrier électronique via la page https://europa.eu/european-union/contact_fr

COMMENT TROUVER DES INFORMATIONS SUR L’UNION EUROPÉENNE?

En ligne
Des informations sur l’Union européenne sont disponibles, dans toutes les langues officielles de l’UE, sur le site internet Europa à l’adresse https://europa.eu/european-union/index_fr

Publications de l’Union européenne
Vous pouvez télécharger ou commander des publications gratuites et payantes à l’adresse https://op.europa.eu/fr/publications. Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre d’information local (https://europa.eu/european-union/contact_fr).

Droit de l’Union européenne et documents connexes
Pour accéder aux informations juridiques de l’Union, y compris à l’ensemble du droit de l’UE depuis 1951 dans toutes les versions linguistiques officielles, consultez EUR-Lex à l’adresse suivante: http://eur-lex.europa.eu

Données ouvertes de l’Union européenne
Le portail des données ouvertes de l’Union européenne (http://data.europa.eu/fr) donne accès à des ensembles de données provenant de l’UE. Les données peuvent être téléchargées et réutilisées gratuitement, à des fins commerciales ou non commerciales.