La directive CER : Un cadre européen pour la cyber-résilience

À une époque où l’incertitude plane – qu’il s’agisse de catastrophes naturelles, de tensions géopolitiques ou de pandémies imprévues – la résilience des infrastructures critiques est devenue une préoccupation primordiale. L’Union européenne (UE), consciente de la gravité de ces menaces, s’est lancée dans une mission globale visant à renforcer ses services essentiels contre les perturbations qui pourraient se répercuter sur les sociétés et les économies. Au cœur de cette mission se trouve la  directive sur la résilience des entités critiques (CER), un cadre tourné vers l’avenir conçu pour garantir que les systèmes et les services sur lesquels nous comptons au quotidien restent robustes, quels que soient les défis qui se présentent.

L’essor des menaces : Pourquoi le CER est-il nécessaire ?

La motivation de la directive CER découle du réseau de plus en plus complexe de menaces auxquelles sont confrontées les infrastructures critiques européennes. Alors que la cybersécurité fait souvent la une des journaux, la directive CER s’intéresse principalement à un spectre plus large de risques : ceux qui menacent la résilience physique et opérationnelle des services essentiels.

Imaginez les conséquences d’une catastrophe naturelle de grande ampleur, comme les inondations qui frappent de plus en plus de villes européennes, ou les effets dévastateurs d’une attaque terroriste visant un réseau électrique. Il s’agit des types de menaces que la directive CER cherche à atténuer. Il ne s’agit pas seulement de maintenir le fonctionnement, mais de veiller à ce que les systèmes qui alimentent les hôpitaux, les réseaux de transport qui déplacent les marchandises et les personnes, et les chaînes d’approvisionnement qui nourrissent des millions de personnes puissent résister et se rétablir quoi qu’il arrive.

Du passé vers le présent : l’évolution de la résilience des infrastructures dans l’UE

Le projet de l’UE de la directive CER ne date pas d’hier. Cette directive remonte à la directive européenne sur les infrastructures critiques de 2008, qui a jeté les bases de la protection de secteurs critiques comme l’énergie et les transports. Toutefois, le monde a évolué, et les menaces aussi. La révolution numérique a généré des risques en matière de cybersécurité que la directive initiale n’était pas entièrement apte à gérer, tandis que le changement climatique et l’instabilité géopolitique ont introduit de nouveaux niveaux de complexité.

Consciente de ces défis, l’UE avait besoin d’une directive qui ne soit pas seulement réactive mais proactive, et qui puisse répondre à la fois aux menaces anciennes et nouvelles. C’est ainsi que la directive CER, née en décembre 2022, a remplacé la version précédente pour adopter une approche plus large et plus globale. Cette nouvelle directive reconnaît que les infrastructures critiques actuelles sont plus interconnectées et interdépendantes que jamais, et qu’une perturbation dans un domaine peut avoir des effets en cascade sur plusieurs secteurs.

Objectif de la directive CER

Alors, qu’apporte exactement la directive CER ? L’objectif principal de la directive CER est de garantir que les infrastructures critiques de l’Europe puissent faire face à un large éventail de perturbations et les surmonter. La directive CER impose à chaque État membre de l’UE d’identifier les entités critiques sur son territoire et de s’assurer qu’elles sont préparées à faire face aux menaces potentielles. Cette préparation ne consiste pas seulement à corriger les vulnérabilités existantes ; elle vise à intégrer la cyber-résilience dans la structure même de ces entités.

Menaces critiques identifiées par la directive CER

La directive identifie plusieurs catégories clés de menaces auxquelles les entités critiques de l’UE doivent être prêtes à faire face :

• Risques naturels : Il s’agit notamment d’événements météorologiques extrêmes tels que les inondations, les tremblements de terre et les incendies de forêt, qui sont devenus plus fréquents et plus graves en raison du changement climatique.
• Attentats terroristes : La directive prend en compte la menace terroriste visant les infrastructures critiques, dans le but d’atténuer le risque de perturbations à grande échelle.
• Menaces internes : Il s’agit de risques posés par des individus au sein d’une organisation qui peuvent avoir des intentions malveillantes, que ce soit en raison de la radicalisation, de la coercition ou d’autres motifs.
• Sabotage : La directive CER couvre également les actions délibérées visant à endommager ou à perturber des services essentiels, tels que les actes de sabotage contre les réseaux électriques ou les réseaux de transport.
• Urgences de santé publique : À la lumière de la pandémie de COVID-19, la directive comprend des dispositions visant à renforcer la résilience des infrastructures face aux crises sanitaires généralisées qui pourraient perturber les fonctions sociétales.
• Menaces hybrides : Il s’agit d’une combinaison de tactiques conventionnelles et non conventionnelles, notamment la désinformation et la coercition économique, visant à déstabiliser les sociétés.

La directive CER impose à chaque État membre de l’UE d’identifier les entités critiques au sein de ces secteurs et de veiller à ce qu’elles mettent en œuvre des mesures appropriées pour résister à ces menaces. Ces entités doivent également signaler tout incident perturbant considérablement leurs services et procéder à des évaluations régulières des risques pour anticiper les vulnérabilités potentielles.

Entités couvertes par la directive CER

La directive CER cible un large éventail de secteurs essentiels au fonctionnement de la société et de l’économie. Ces secteurs sont considérés comme critiques car toute perturbation de leurs services pourrait avoir de graves conséquences, affectant potentiellement plusieurs États membres de l’UE. La directive identifie 11 secteurs clés, dont l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique, l’espace, ainsi que la production, la transformation et la distribution de denrées alimentaires. La nature interconnectée de ces secteurs signifie qu’une défaillance dans l’un d’eux pourrait déclencher des effets en cascade sur d’autres, soulignant l’importance de préserver leur cyber-résilience.

Principales obligations en vertu de la directive CER

La directive CER impose plusieurs obligations essentielles aux organisations identifiées comme entités critiques. Ces obligations visent à garantir que ces entités sont non seulement conscientes des risques auxquels elles sont confrontées, mais qu’elles travaillent également activement à les atténuer.

• Évaluation des risques: Les entités critiques doivent procéder à des évaluations des risques complètes qui prennent en compte les risques naturels et d’origine humaine, y compris les menaces transfrontalières et intersectorielles. Ces évaluations doivent être mises à jour au moins tous les quatre ans ou plus tôt si des changements importants surviennent.
• Mise en œuvre des mesures de résilience: Sur la base des évaluations des risques, les organisations sont tenues de mettre en œuvre des mesures techniques, de sécurité et organisationnelles proportionnées. Cela comprend la garantie de la protection physique des installations, la mise en place de plans de continuité des activités solides et la formation du personnel pour réagir efficacement aux incidents.
• Notification d’incident: Les entités critiques doivent informer les autorités compétentes des incidents qui perturbent considérablement ou sont susceptibles de perturber les services essentiels. Cette notification doit intervenir sans retard injustifié, et au plus tard dans les 24 heures après avoir pris connaissance de l’incident.
• Supervision et conformité: Les autorités nationales superviseront les entités critiques pour garantir le respect de la directive CER. Cela impliquera des audits réguliers, des inspections et l’imposition de sanctions en cas de non-conformité, telles que déterminées par chaque État membre.
• Élaboration de plans de résilience: Les entités doivent documenter leurs stratégies de résilience dans des plans formels, qui doivent être révisés et mis à jour régulièrement pour refléter l’évolution du paysage des menaces.
• Désignation d’un point de contact: Les organisations doivent désigner un point de contact spécifique pour communiquer avec les autorités nationales. Cela garantit des lignes de communication claires lors d’incidents ou de contrôles de conformité.
• Vérifications des antécédents du personnel: Pour atténuer les menaces internes, les entités sont tenues de procéder à des vérifications des antécédents du personnel occupant des postes sensibles, en particulier de ceux ayant accès à des infrastructures critiques ou à des informations sensibles.

La directive CER impose également d’importantes responsabilités aux États membres de l’UE. Les gouvernements sont tenus de procéder à des évaluations des risques pour chaque secteur tous les quatre ans, dont les résultats doivent être partagés avec les entités critiques concernées. En outre, les gouvernements doivent soutenir ces entités en leur fournissant des conseils, en partageant des informations et en proposant des outils et des ressources pour améliorer la cyber-résilience.

Non-conformité et sanctions

La directive CER impose aux entités critiques de se conformer aux exigences fixées par la directive, qui comprennent la réalisation d’évaluations des risques, la mise en œuvre de mesures de cyberrésilience et le signalement rapide des incidents. La directive ne prévoit toutefois pas d’amendes ou de sanctions uniformes au niveau de l’UE. Au lieu de cela, elle laisse la responsabilité de déterminer les sanctions aux États membres de l’UE lorsqu’ils transposent la directive dans leur droit national. Cela signifie que les sanctions en cas de non-respect de la directive CER varieront en fonction des réglementations établies par chaque État membre.

Chevauchement et distinctions entre les directives NIS 2 et CER

Les directives NIS 2 et CER, bien que chacune se concentre sur différents aspects de la résilience, fonctionnent ensemble pour créer un cadre de protection solide pour les entités critiques de l’UE. La directive NIS 2 est axée sur le renforcement de la cybersécurité, en particulier des infrastructures et des systèmes numériques pour les protéger des cybermenaces. D’autre part, la directive CER a une portée plus large en termes de résilience physique et opérationnelle, abordant un large éventail de risques tels que les catastrophes naturelles et le sabotage.

Pour comprendre comment ces directives s’appliquent à une entité particulière, les lignes directrices suivantes doivent être suivies :

• Les entités identifiées comme « critiques » au sens de la directive CER sont automatiquement considérées comme « essentielles » au sens de la directive NIS 2. Cela signifie qu’elles doivent se conformer à la fois aux exigences de cybersécurité de la directive NIS 2 et aux mesures de résilience plus larges prévues par la directive CER. Afin de réduire la charge administrative, les autorités sont encouragées à harmoniser les processus de déclaration des incidents et de surveillance dans les deux directives.
• La directive CER ne s’applique pas aux questions couvertes par la directive NIS2, notamment les questions de cybersécurité. Pour les entités qui relèvent des deux directives, la directive CER ne régira que les domaines qui ne relèvent pas du champ d’application de la NIS2. Il existe toutefois une exception pour le secteur des infrastructures numériques : Les entités de ce secteur sont considérées comme “critiques” au sens de la directive CER en raison des services “essentiels” qu’elles fournissent à d’autres secteurs. Ces entités doivent donc se conformer à la fois aux directives CER et NIS2 afin de garantir une protection complète contre un large éventail de risques, y compris, mais sans s’y limiter, la cybersécurité.

Ensemble, les directives CER et NIS 2 créent une approche unifiée de la résilience qui couvre à la fois la sécurité physique et la cybersécurité.

BC-DR : assurer la résilience dans le cadre de la directive CER

Sous l’angle de la directive CER, il est important pour les entités critiques de prendre en compte des stratégies robustes de continuité d’activité (BC) et de reprise après sinistre (DR) qui sont des éléments essentiels de la planification de la résilience. Dans les infrastructures de plus en plus interconnectées d’aujourd’hui, la continuité des opérations dépend fortement de la disponibilité et de la protection des données critiques.

L’une des stratégies clés pour y parvenir est la mise en œuvre de mécanismes de réplication au sein des sites et entre eux. En configurant des miroirs synchrones bidirectionnels et tridirectionnels, les entités critiques peuvent garantir que les données sont non seulement sauvegardées localement, mais également répliquées dans plusieurs emplacements proches. Cette redondance permet un basculement instantané vers un système ou un site secondaire en cas de panne, éliminant ainsi les temps d’arrêt et garantissant que les services essentiels peuvent continuer sans interruption. Cela permet de garantir la haute disponibilité (HA) lors d’événements d’interruption planifiés ou imprévus et évite les points uniques de défaillance.

De plus, la création de copies DR via une réplication asynchrone est essentielle pour se protéger contre les événements catastrophiques qui pourraient affecter les centres de données principaux. La réplication asynchrone permet de copier les données vers un emplacement distant avec une latence minimale, garantissant qu’une version récente des données est toujours disponible pour la récupération, même si le site principal est compromis.

Outre ces stratégies de réplication, il est essentiel d’utiliser des sauvegardes, des snapshots et la fonctionnalité Continuous Data Protection (CDP) pour ramener les systèmes au dernier état sain connu en cas de perte de données. Ces technologies permettent aux entités critiques de se remettre rapidement d’une corruption de données, de cyberattaques ou de dommages physiques, garantissant ainsi que la continuité des services essentiels est maintenue et que l’impact de toute perturbation est minimisé.

En intégrant ces stratégies de continuité et de reprise après sinistre dans leurs plans de résilience, les entités critiques peuvent mieux protéger leurs opérations contre un large éventail de menaces, conformément aux objectifs de la directive CER visant à maintenir une infrastructure robuste et fiable dans toute l’UE.

Un avenir résilient pour l’Europe

La directive CER est plus qu’une simple mesure réglementaire : c’est une étape cruciale vers un avenir résilient pour l’Europe. Dans un monde où l’inattendu est devenu la norme, garantir que nos infrastructures critiques puissent résister et se remettre de toute perturbation n’est pas seulement souhaitable, c’est essentiel. Les États membres ont eu jusqu’au 17 octobre 2024 pour transposer cette loi au niveau national, marquant ainsi une étape importante dans les efforts visant à renforcer et à sécuriser les services essentiels sur tout le continent.

En abordant de manière proactive un large éventail de menaces et en mettant en œuvre des mesures robustes de cyber-résilience, la directive CER ouvre la voie à une Europe plus sûre et plus résiliente, préparée à tous les défis que l’avenir pourrait réserver.

Ressources utiles

• Explication de la directive NIS2 : Une nouvelle ère de cybersécurité dans l’UE
• Solutions de continuité des activités et de reprise après sinistre
• RPO, RTO, RTA : le tiercé gagnant du stockage déterminant pour la résilience des entreprises