Bref arrêt sur l’ENISA | Valentin Boullier

Bref arrêt sur l’ENISA mars 27, 2015

Située en Grèce (Crète), l’ENISA (European Union Agency for Network and Information Security) est une agence de l’Union européenne dont le rôle est de sensibiliser, conseiller et informer sur la sécurité informatique, en assurant « un niveau élevé de sécurité des réseaux et de l’information ». Si les particuliers peuvent librement accéder au site de l’ENISA, les entreprises et les États membres de l’UE sont plus particulièrement visés.

L’ENISA est-elle l’équivalente de l’ANSSI française ?

L’ANSSI a notamment pour mission de détecter, d’analyser et de contrer les menaces « cyber », mais également de sensibiliser les différents publics, et notamment les entreprises (voir, à ce titre, le guide des bonnes pratiques de l’informatique – .pdf – édités par l’ANSSI et la CGPME). L’ANSSI remplit donc une mission de sensibilisation et de réaction. Or, l’ENISA ne remplit qu’une mission d’information et de sensibilisation, et ne dispose pas de capacités de réaction ou de détection de menaces informatiques. En revanche, l’ENISA assure pleinement sa mission en participant à des conférences, en éditant des guides (notamment des guides relatifs au cloud, au secteur financier, aux CERT – Computer Emergency Response Teams), ou en organisant des exercices européens de cyberdéfense. L’agence rappelle par ailleurs qu’elle n’est pas une autorité de régulation et n’intervient pas de manière opérationnelle.

ENISA acts like a broker of knowledge and a switchboard of information.

Source : ENISA, faq.

L’ENISA tente également d’informer les institutions européennes, et notamment la Commission. De même, l’agence est récemment intervenue devant la Commission Sécurité et Défense du Parlement européen. Ainsi, lors de cette intervention, le directeur de l’agence a évoqué, parmi d’autres sujets, les exercices européens, le développement de rapports d’incidents européens, la sauvegarde des « infrastuctures informationelles essentielles », mais également « la nécessité d’une législation européenne protégeant la vie privée, en requérant aux développeurs et fournisseurs de services d’élaborer des mesures de protection des données depuis la phase de conception » (voir le communiqué de presse ici).

Ces défis pour le futur montrent que la cybersécurité et les cyber-attaques arborent différents aspects. Des actions fermes vont devoir être employées compte tenu d’une évolution notable attendue des menaces les plus importantes. Pour faire face à cela, une coopération entre les Etats Membres, les Institutions européennes et autres acteurs sera d’une priorité absolue. De plus, il sera nécessaire d’établir des moyens de prévention, de détection et des capacités de réaction à échelle européenne ainsi que la mise en oeuvre de systèmes d’alerte précoce.

ENISA, communiqué de presse du 16 mars 2015, EPR12/2015, « ENISA sur la cybersécurité de l’UE devant la Commission Sécurité et Défense (SEDE) du Parlement européen », disponible ici.

L’ENISA répertorie également sur son site web les stratégies étatiques de nombreux pays du monde, européens et non-européens. Le public peut ainsi librement lire les « National Cyber Security Strategies », et par exemple consulter le guide français, établi par l’ANSSI. Dans ce document, l’ANSSI indique notamment que :

Our legislative and regulatory framework must reflect recent developments in technology. Laws will be reviewed as new technologies and new pratices emerge in order to strengthen the security as individuals while at the same time ensuring a balance between the desire to minimise the impact on companies’ competitiveness and the need for the State to be able to intervene in the nation’s best interest ».

Information systems defense and security France’s strategy (.pdf), p. 18.

Pour aller plus loin :