Supply chain et souveraineté au cœur du nouveau Cybersecurity Act

Dans un contexte d’accroissement des menaces cyber touchant les secteurs publics et essentiels de l'U.E, la Commission dévoile une nouvelle version de son Cybersecurity Act axée sur la sécurité de la supply chain et l'évaluation des actifs numériques contre les risques d'ingérence.

Consciente qu'elle ne peut réguler le marché européen sur l'axe de la souveraineté juridique, la Commission européenne a dévoilé un nouveau paquet législatif en matière de cyber sécurité qui cible la chaîne d'approvisionnement IT européenne et les risques d'ingérence étrangère.

La nouvelle loi Cybersecurity Act vise ainsi à réduire les risques liés aux fournisseurs de pays tiers présentant des problèmes de cybersécurité dans la toute la chaîne d'approvisionnement des TIC de l'UE ( y compris liés au Cloud Computing)

Une meilleure évaluation des risques cyber tiers et des actifs numériques clés

L’exécutif européen et les Etats membres pourront lancer des évaluations de risques pour des chaînes d’approvisionnement ICT spécifiques.

Ces évaluations viseront à identifier les vulnérabilités et les risques, y compris ceux liés à des facteurs non techniques, comme l’environnement juridique ou politique dans lequel opèrent certains fournisseurs.

Ce paquet cyber prévoit également l’identification des actifs ICT clés (key ICT assets).

A l’issue des analyses, des actifs clés pourront être définis dans les chaînes d’approvisionnement concernées, tels que composants, équipements ou services jugés critiques pour le fonctionnement des secteurs considérés comme essentiels ou importants, selon la terminologie de NIS 2

Mesures très ciblées pour les actifs critiques contre les risques d'ingérence.

La Commission européenne pourra proposer des mesures pour réduire les risques. Celles-ci peuvent inclure l’interdiction d’utiliser des composants fournis par des fournisseurs qualifiés de “high-risk suppliers” dans les actifs IT critiques.

Le texte prévoit également un mécanisme qui permet à la Commission européenne de désigner un pays comme présentant “des préoccupations en matière de cybersécurité” pour les chaînes d’approvisionnement ICT.

Gérer le problème de la souveraineté sous l'angle sécurité de l'approvisionnement.

L’évaluation de la Commission ne repose pas uniquement sur des critères techniques mais aussi sur des critères non techniques, comme le cadre juridique et institutionnel du pays concerné, tels que l’existence de lois pouvant obliger les entreprises à coopérer avec les autorités, les risques d’ingérence ou encore l’absence de garanties effectives en matière d’Etat de droit.

Si un pays est ainsi désigné, les entités qui y sont établies ou qui sont contrôlées par ce pays, par ses autorités ou ses ressortissants, peuvent se voir interdire certaines activités dans les chaînes d’approvisionnement ICT critiques.

Ce cadre législatif cyber pourrait ainsi s'étendre l'évaluation de services et d'actifs cloud dans la chaîne d'approvisionnement. (Stack, serveurs; matériels; réseau)

Prenons le cas d’un opérateur cloud européen qui utilise un stack technologique, ou des équipements réseau fournis par une entreprise liée à un pays que la Commission a désigné comme présentant des “préoccupations en matière de cybersécurité”.

Si ces équipements sont classés comme des “actifs ICT clés”, l’opérateur cloud ne pourra plus en acheter auprès de ce fournisseur.

S’il en a déjà en service, il pourra être obligé de les remplacer dans un délai fixé par la Commission.

Souveraineté numérique: Des recommandations aux obligations

Après l’échec des recommandations volontaires liées à la souveraineté technologique, l’U.E veut en effet passer à une obligation juridique.

Jusqu’ici, Bruxelles appelait les États membres à écarter les fournisseurs jugés à risque, sans pouvoir les y contraindre ou à proposer des framework de souveraineté pour les appels d'offres publics.

Le nouveau Cybersecurity Act change cette logique en donnant à la Commission un cadre légal pour identifier les “pays tiers posant des préoccupations en matière de cybersécurité”, lister les entités qui en dépendent et imposer leur exclusion des actifs ICT critiques.

Ce projet de réglementation intervient dans un contexte international explosif avec des relations particulièrement tendues entre la France et les Etats-Unis.

En résumé, pensez des maintenant à vérifier la chaîne d'approvisionnement de vos actifs critiques en matière IT et de cloud computing car demain ils pourraient se voir interdits par l'U.E dans un cadre de cyber sécurité totalement légal.