2025 Deep Lex

Loi européenne sur la cyber-solidarité : Faire progresser la cybersécurité grâce à l'IA et à la coopération transfrontalière

Actualités-Règlement
5 décembre 2024

Introduction

Le 2 décembre 2024, l'UE a adopté la loi sur la cyber-solidarité (règlement (UE) 2021/694)(la "loi").1 Les nouvelles mesures visent à faire face à l'escalade des cybermenaces, notamment les ransomwares, le phishing et les attaques contre les infrastructures critiques. La loi s'appuie sur les cadres de cybersécurité existants et vise à unifier et à améliorer les mécanismes de préparation, de réponse et de récupération de l'UE. Cet article explore l'intégration de l'IA dans le renforcement de la cybersécurité, examine son cadre de collaboration transfrontalière, et met en évidence les défis liés à l'application de la loi et les recommandations d'amélioration.

État actuel de la cybersécurité dans l'UE

L'Agence européenne pour la cybersécurité, l'ENISA, chargée de renforcer la cybersécurité et d'assurer la sécurité numérique des citoyens de l'UE2 a récemment mis en évidence les défis posés par la cybersécurité, notamment la pénurie importante de professionnels de la cybersécurité, qui exacerbe les vulnérabilités dans les secteurs public et privé.3

L'ENISA vient de publier son premier rapport sur l'état de la cybersécurité en Europe (2024).4 Parmi les principales conclusions du rapport, on peut citer le risque de menaces importantes pour la cybersécurité dans l'Union, où les attaques DOS/DDOS (par exemple, l'utilisation du trafic ou de plusieurs ordinateurs pour inonder un serveur et le rendre indisponible), les attaques à la bombe (par exemple, les attaques à la bombe) et les attaques à la bombe (par exemple, les attaques à la bombe).5 (41,1 %) et les ransomwares (25,79 %) représentent les types d'incidents les plus importants.6

Malgré ces difficultés, l'UE s'oriente vers des pratiques unifiées en matière de cybersécurité grâce à des mécanismes tels que le groupe de coopération NIS et le réseau des CSIRT. Ces efforts constituent la toile de fond des dispositions de la loi sur la cybersolidarité. En effet, à la suite de plusieurs attaques de cybersécurité très médiatisées contre des entreprises et des agences gouvernementales européennes,7 la loi arrive à un moment crucial.

Le cadre juridique de base de la loi

La loi établit trois mécanismes fondamentaux, chacun ayant des fondements juridiques et des cadres opérationnels distincts :

  1. Système européen d'alerte pour la cybersécurité (ECAS) L'article 3, paragraphe 1, établit l'ECAS comme "un réseau paneuropéen d'infrastructures composé de cyberhubs nationaux et de cyberhubs transfrontaliers qui s'y associent sur une base volontaire". Le système met l'accent sur les capacités technologiques avancées, l'article 3, paragraphe 2, point e), imposant spécifiquement le développement "d'outils et de technologies avancés, tels que des outils d'intelligence artificielle et d'analyse de données".
  2. Mécanisme d'urgence pour la cybersécurité Créé en vertu de l'article 10, ce mécanisme comprend la réserve de cybersécurité de l'UE, composée de prestataires de services de confiance. L'article 14, paragraphe 2, précise qu'il "consiste en des services d'intervention fournis par des prestataires de services de sécurité gérés de confiance" et qu'il peut inclure des services pré-engagés. Le mécanisme crée une capacité de "lutte contre les cyberincendies" qui peut être rapidement déployée en cas d'incidents majeurs.
  3. Mécanisme européen d'examen des incidents de cybersécurité L'article 21 habilite l'ENISA à procéder à un examen approfondi des incidents de cybersécurité importants, en tenant compte des enseignements tirés et des capacités analytiques avancées.

Intégration de l'IA et innovation

La loi met l'accent sur l'IA en tant qu'outil crucial pour la cybersécurité moderne, en accord avec les conclusions de l'ENISA sur la sophistication croissante des cybermenaces. L'intégration des capacités d'IA est particulièrement importante étant donné que le rapport identifie des lacunes substantielles dans les capacités de détection et de réponse dans les États membres.

  • L'article 2, paragraphe 4, reconnaît explicitement le rôle de l'IA dans la détection et l'analyse des menaces
  • L'article 24 reconnaît l'importance de la "mise en commun de données de haute qualité" pour le développement de l'IA.
  • Les cyberhubs transfrontaliers doivent fixer des objectifs pour le développement d'outils d'IA et d'analyse(article 6, paragraphe 2, point c)).
  • Le cadre maintient l'accent sur la supervision humaine parallèlement aux capacités de l'IA

Parmi les défis à relever, citons la prise en compte des biais algorithmiques, la conformité au GDPR et l'équilibre entre l'automatisation et le contrôle humain.

La loi sur la cyber-solidarité reconnaît l'IA comme un outil de transformation de la cybersécurité. Des dispositions clés encouragent son utilisation pour détecter, analyser et atténuer les cybermenaces(articles 3 et 24). Cependant, l'IA présente des défis uniques qui nécessitent un examen attentif pour garantir son application éthique et efficace.

Défis potentiels soulevés par l'IA

Malgré son potentiel, l'utilisation de l'IA dans le domaine de la cybersécurité se heurte à des obstacles importants. Ces problèmes, s'ils ne sont pas résolus, pourraient compromettre l'efficacité des initiatives en matière d'IA dans le cadre de la loi sur la cybersolidarité.

  1. Biais algorithmique:
    • Les modèles d'IA peuvent hériter des biais des données d'entraînement, ce qui entraîne une détection biaisée des menaces.Les modèles d'IA peuvent hériter des biais des données d'entraînement, ce qui entraîne une détection biaisée des menaces. Par exemple, des algorithmes biaisés peuvent signaler de manière disproportionnée le trafic de certaines régions comme suspect, ce qui favorise l'inégalité des mesures de sécurité. Des méthodes potentielles pour résoudre ces problèmes pourraient être des tests de biais plus robustes et des ensembles de données inclusifs.8
  2. Attaques adverses:
    • Les cybercriminels peuvent exploiter les vulnérabilités des modèles d'intelligence artificielle en y introduisant des données malveillantes afin d'échapper à la détection. Ils peuvent par exemple injecter des données malveillantes dans les systèmes d'apprentissage automatique afin de contourner les logiciels de détection de logiciels malveillants.9 Des contre-mesures telles que l'entraînement des adversaires et les mises à jour constantes des modèles peuvent s'avérer essentielles.
  3. Transparence et responsabilité:
    • La nature "boîte noire" de nombreux systèmes d'IA complique le contrôle et la responsabilité, en particulier en ce qui concerne la prise de décision automatisée (voir notre article ici pour en savoir plus). Cette opacité peut conduire à des contestations juridiques, en particulier si les décisions de l'IA affectent négativement des individus ou des organisations sans justification claire.
  4. Préoccupations en matière de confidentialité des données:
    • L'IA nécessite de grandes quantités de données pour la formation et les opérations, ce qui soulève des préoccupations quant à la conformité avec le règlement général sur la protection des données (RGPD). Les défis comprennent l'anonymisation des données tout en maintenant leur utilité pour le développement de l'IA et en abordant le risque de ré-identification.10
  5. Dépendance excessive à l'égard de l'automatisation:
    • Si l'IA améliore l'efficacité, une dépendance excessive peut conduire à négliger une surveillance humaine essentielle (ce que la loi européenne sur l'IA vise à éviter en exigeant une participation humaine lorsque l'IA est déployée dans certains domaines à haut risque tels que l'administration de la justice). Les opérateurs humains peuvent donc continuer à jouer un rôle essentiel dans la prise de décisions critiques afin d'éviter les erreurs catastrophiques, telles que les faux positifs ou les blocages de systèmes lors d'incidents à fort enjeu.
  6. Inégalités des ressources:
    • Les petits États membres ou les petites entreprises pourraient ne pas disposer des ressources nécessaires pour mettre en œuvre et entretenir des outils sophistiqués pilotés par l'IA, ce qui creuserait le fossé des capacités en matière de cybersécurité. Le financement collaboratif et les initiatives de formation dans le cadre de la loi sur la cybersolidarité pourraient contribuer à combler ce fossé.

Exemples actuels d'IA dans la cybersécurité

  • Prédiction des menaces: Les modèles d'IA comme l'analyse prédictive, tels que ceux déployés par Darktrace, Qualys ou Palo Alto Networks, aident à identifier les vulnérabilités avant leur exploitation, mais peuvent échouer si les hypothèses sous-jacentes sont incomplètes. Par exemple, la prévision des attaques de type "zero-day" reste un défi majeur.
  • Réponse automatisée aux incidents: L'IA peut isoler automatiquement les systèmes compromis, une fonction particulièrement utile lors des attaques de ransomware. Cependant, une mauvaise configuration ou des erreurs d'appréciation de l'IA peuvent perturber les opérations critiques.

Pour relever ces défis, il faut une surveillance continue, des cadres juridiques solides et des pratiques éthiques en matière d'IA. En intégrant des garanties et en promouvant la transparence, la loi sur la cyber-solidarité peut libérer le potentiel de l'IA tout en atténuant ses risques.

Cadre de coopération transfrontalière

La loi crée des structures solides pour la coopération multinationale :

  • Un minimum de trois États membres est requis pour les cybercentres transfrontaliers(article 5, paragraphe 1).
  • Accords de consortium écrits obligatoires(article 5, paragraphe 3)
  • Protocoles structurés d'échange d'informations(article 6, paragraphe 2)
  • Cadres clairs pour la participation des pays tiers(article 19)

Garanties opérationnelles

Le règlement comprend des exigences de sécurité exhaustives, notamment en vertu de l'article 17, paragraphe 2, qui fixe des critères stricts pour les prestataires de services de confiance, y compris des exigences en matière d'intégrité professionnelle, de protection des informations classifiées et d'habilitations de sécurité appropriées.

Financement et mise en œuvre

La loi modifie le programme pour une Europe numérique (règlement (UE) 2021/694), en allouant 1 372 020 000 euros aux initiatives en matière de cybersécurité et de confiance(article 9, paragraphe 2, point c)). La mise en œuvre comprend :

  • Cycles d'évaluation réguliers mentionnés ci-dessous(article 25)
  • Critères d'évaluation spécifiques pour l'efficacité opérationnelle
  • Intégration avec les initiatives numériques existantes de l'UE
  • Flexibilité pour la participation des États membres

Points forts et défis de la loi

Les points forts de la loi résident dans sa capacité à encourager la collaboration transfrontalière, l'innovation et le partage équitable des ressources :

  1. Coordination globale: L'accent mis par la loi sur la création de plateformes transfrontalières renforce la collaboration en matière de détection et de réponse.
  2. Priorité à la solidarité: En mettant en commun les ressources et l'expertise, le règlement apporte un soutien indispensable aux États membres moins bien préparés. Par exemple, la réserve de cybersécurité (voir l'article 14) permet d'accéder à des fournisseurs de services pré-engagés, offrant ainsi une assistance immédiate en cas d'incidents de grande ampleur.
  3. Exploitation de l'IA: la promotion de l'IA et de l'analyse avancée dans le cadre de la loi est une stratégie tournée vers l'avenir. Les capacités de l'IA permettent une détection prédictive des menaces, une réponse plus rapide aux incidents et une analyse médico-légale plus approfondie. Ces outils sont essentiels pour faire face à des menaces complexes telles que les vulnérabilités du jour zéro (une faille non découverte dans une application ou un système d'exploitation) et les attaques sophistiquées de ransomware, qui dépassent souvent les défenses traditionnelles en matière de cybersécurité.
  4. Révision régulière: La loi prévoit un cycle d'examen régulier (premier examen dans les deux ans, puis tous les quatre ans en vertu de l'article 25), afin d'évaluer l'utilisation et l'efficacité du règlement, ce qui devrait contribuer à renforcer la gouvernance et la mise en œuvre des mesures de cybersécurité dans l'ensemble de l'UE.

Bien que la loi sur la cyber-solidarité représente un progrès significatif, plusieurs défis doivent être relevés pour garantir une mise en œuvre réussie. Ces défis mettent en évidence la complexité de la création d'un cadre de cybersécurité unifié au sein d'une union diversifiée de nations et d'organisations.

  1. Des capacités fragmentées: Les disparités dans la maturité nationale en matière de cybersécurité peuvent entraver la mise en œuvre de mesures unifiées.
  2. Participation volontaire: Les États membres ne sont pas tenus d'adhérer au système européen d'alerte pour la cybersécurité, ce qui pourrait en limiter l'efficacité.
  3. Préoccupations en matière de protection de la vie privée: Le partage transfrontalier d'informations sensibles peut entraîner des problèmes de conformité au GDPR.
  4. Contraintes en matière de ressources: La constitution et le maintien de réserves de cybersécurité nécessiteront d'importants investissements financiers et humains.

Regarder vers l'avenir

La loi sur la cyber-solidarité représente une approche sophistiquée des défis modernes en matière de cybersécurité, combinant des cadres de coopération traditionnels avec des capacités technologiques de pointe. L'accent mis sur l'IA, parallèlement à l'expertise humaine, reflète une approche équilibrée de la cyberdéfense, tandis que la nature volontaire de la participation maintient la flexibilité nécessaire pour les États membres.

Le cycle d'examen régulier de la loi garantit que le cadre peut s'adapter à l'évolution des menaces et des capacités technologiques. Cette combinaison de coopération structurée, d'innovation technologique et d'adaptabilité permet à l'UE de mieux relever les défis actuels en matière de cybersécurité tout en se préparant aux menaces futures.

Toutefois, le succès dépend de la résolution de plusieurs problèmes clés. Les États membres doivent s'engager à une mise en œuvre solide, combler les disparités en matière de ressources et veiller à ce que les cadres de partage des données soient conformes au GDPR. La nature volontaire de la participation à certains mécanismes, tels que l'ECAS, pourrait nécessiter une réévaluation afin de garantir une couverture complète des menaces dans l'ensemble de l'Union.

Pour les praticiens du droit et les professionnels de la cybersécurité, la loi crée de nouvelles considérations pour la planification de la réponse aux incidents et la coopération transfrontalière, tout en donnant accès à des outils technologiques avancés et à des mécanismes de soutien. Son succès dépendra d'une mise en œuvre efficace et d'un véritable engagement à coopérer de la part des États membres, soutenus par une innovation technologique continue dans le domaine de l'IA et d'autres capacités de sécurité avancées.

Sources :

  1. Règlement établissant des mesures visant à renforcer la solidarité et les capacités dans
    l'Union à détecter les cybermenaces et les cyberincidents, à s'y préparer et à y répondre
    et modifiant le règlement (UE) 2021/694 (loi sur la cyber-solidarité). Texte complet disponible : https://data.consilium.europa.eu/doc/document/PE-94-2024-INIT/en/pdf ︎
  2. ENISA "What we do"(https://www.enisa.europa.eu/about-enisa/what-we-do).
  3. ENISA "Communiqué de presse : "L'Agence de l'Union européenne pour la cybersécurité (ENISA) publie le résumé exécutif du rapport "Foresight Cybersecurity Threats for 2030" de cette année, qui présente une vue d'ensemble des principales conclusions du classement des 10 premiers" 27 mars 2024(https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-soar-to-high-ranking-2030-cyber-threats) ︎
  4. ENISA "Communiqué de presse : Le tout premier rapport de l'UE sur l'état de la cybersécurité dans l'Union" 3 décembre 2024(https://www.enisa.europa.eu/news/eus-first-ever-report-on-the-state-of-cybersecurity-in-the-union) ︎
  5. Fortinet "What is the difference between DoS Attacks and DDoS Attacks ?" (Quelle est la différence entre les attaques DoS et les attaques DDoS ?)(https://www.fortinet.com/resources/cyberglossary/dos-vs-ddos).
  6. Rapport ENISA 2024 sur l'état de la cybersécurité dans l'Union : Version condensée. Décembre 2024, à la p. 7 (disponible au téléchargement :https://www.enisa.europa.eu/publications/2024-report-on-the-state-of-the-cybersecurity-in-the-union) ︎
  7. Par exemple, Unikey "Recent cyberattacks & data breaches in Europe in 2024" 12 mars 2024(https://blog.uniqkey.eu/recent-cyber-attacks-data-breaches/).
  8. "4 façons inattendues dont les biais de l'IA peuvent compromettre la cybersécurité". Cybersecurity Magazine. Consulté le 4 décembre 2024(https://cybersecurity-magazine.com/4-unexpected-ways-ai-bias-can-jeopardize-cybersecurity/) ︎
  9. EEE, "Adversarial Example Attacks Against Intelligent Malware Detection : A Survey". IEEE Conference Publications(https://ieeexplore.ieee.org/document/10056478); IEEE. "MalPatch : Evading DNN-Based Malware Detection with Adversarial Patches". IEEE Journals & Magazines. (https://ieeexplore.ieee.org/document/10319738).
  10. MIAI, "Re-Identification Attacks and Data Protection Law".(https://ai-regulation.com); Privacy Security Academy. "Is Anonymization Possible ? Experts Weigh In". Consulté le 4 décembre 2024. (https://www.privacysecurityacademy.com); Parlement européen. Conformité au GDPR et défis de l'intelligence artificielle : Une étude (https://www.europarl.europa.eu).

Tags :

Précédent
Suivant
Menu
Accueil
A propos de
Perspectives
Contact
Ressources
Glossaire de l'IA
Suivi de la réglementation mondiale en matière d'IA

2025 Deep Lex. Tous droits réservés. Le hub de l'IA pour les professionnels du droit.

Politique de confidentialitéConditions d'utilisation