Enquêtes tribunes plaidoyers du ciss

I La loi (UE) 2019/881 définit la cybersécurité comme “l’ensemble des tâches essentielles à la sauvegarde du réseau ainsi que des systèmes d’information, des individus de ces systèmes ainsi que d’autres personnes influencées par les cyber-dangers”.

Les organisations, organes et entreprises page d’accueil de l’UE (organisations, organes et agences de l’UE – EUIBA) traitent des détails sensibles et sont par conséquent des cibles fascinantes pour les agresseurs potentiels, en particulier pour les équipes capables de mener des attaques hautement innovantes et imperceptibles pour la fonction de cyberespionnage ou divers autres.

Les EUIBA sont très étroitement interconnectées

Bien qu’elles soient institutionnellement indépendantes et également autonomes sur le plan administratif. Pour cette raison, les points faibles d’une EUIBA solitaire peuvent en révéler d’autres aux dangers sécuritaires.

  • II Compte tenu de la forte augmentation de la variété des cyberattaques contre les EUIBA, la Cour vise, par le présent audit, à établir si les EUIBA dans leur ensemble ont effectivement mis en place des mécanismes appropriés pour se protéger des cyberrisques.
  • La Cour conclut que le quartier EUIBA n’a en fait pas atteint un niveau de préparation à la cybersécurité compatible avec les dangers.

III Nous avons constaté que les bonnes méthodes dans ce domaine, consistant en quelques contrôles clés, ne sont pas toujours en place et que certaines EUIBA ne dépensent absolument pas assez pour la cybersécurité.

De plus, certaines EUIBA n’ont pas encore défini l’administration appropriée de la cybersécurité : les techniques de cybersécurité font souvent défaut ou ne sont pas soutenues par la haute direction, les politiques de sécurité ne sont pas toujours définies et les évaluations des risques ne couvrent pas l’ensemble de l’environnement informatique. Toutes les EUIBA ne soumettent pas périodiquement leur confirmation indépendante de cybersécurité.

IV La formation à la cybersécurité n’est pas constamment organisée. Un peu plus de cinquante pour cent des EUIBA proposent une formation continue en cybersécurité pour le personnel informatique ainsi que pour les experts en protection informatique.

Quelques EUIBA proposent une formation obligatoire détaillée à cet égard pour les superviseurs responsables des systèmes informatiques contenant des informations sensibles. Les exercices de phishing sont un outil essentiel de formation et de sensibilisation du personnel.

Mais tous les EUIBA ne les organisent pas systématiquement

V Alors que les EUIBA ont effectivement produit des structures pour la participation à la cybersécurité et l’échange de détails, nous avons constaté qu’elles ne manipulent pas complètement les harmonies potentielles.

  • Les EUIBA ne partagent pas systématiquement les détails sur les emplois en cybersécurité, les évaluations de sécurité et les accords de service.
  • De plus, les outils de communication de base tels que les e-mails ou les solutions de visioconférence cryptées ne sont pas totalement interopérables.
  • Cette circonstance peut rendre les échanges de détails beaucoup moins sûrs et entraîner également une duplication des efforts ainsi qu’une augmentation des coûts.

VI Le Groupe d’intervention d’urgence informatique des établissements, organismes mais aussi entreprises européens (CERT-EU) ainsi que la Société de l’Union européenne pour lamais-tous-les-euiba-ne-les-organisent-pas-systematiquement cybersécurité (ENISA) sont les deux principales entités d’assistance aux EUIBA en matière de cybersécurité.

Néanmoins, en raison de ressources limitées ou de la priorité absolue accordée à divers autres domaines, ils n’ont en fait pas eu la capacité de fournir aux EUIBA le soutien dont elles ont besoin, en particulier en ce qui concerne le renforcement des capacités des EUIBA beaucoup moins développées.

Bien que le CERT-EU soit extrêmement apprécié par les EUIBA, son efficacité est affectée par la charge de travail sans cesse croissante, l’instabilité des ressources humaines et financières ainsi que le partenariat insuffisant avec certaines EUIBA, qui ne partagent pas toujours les détails sur les susceptibilités en temps opportun et sur incidents de cybersécurité considérables dont ils ont effectivement été victimes ou qui peuvent affecter diverses autres EUIBA.