Du fait de la recrudescence de cyberattaques, en particulier depuis le début de la pandémie et la généralisation du télétravail, de nombreux dispositifs fleurissent pour lutter contre ce phénomène. À l’échelle nationale, un « bouclier cyber » comporte une enveloppe de 25 millions d’euros pour sensibiliser les petites et moyennes entreprises (PME) et entreprises de taille intermédiaire (ETI) aux bonnes pratiques, leur faire bénéficier d’un autodiagnostic gratuit en ligne, ainsi que d’un diagnostic de sécurisation pour les entreprises jugées prioritaires.
À échelle européenne, l’approche dirigiste de l’UE n’a pas fini de nous surprendre : le Cyber Resilience Act, présenté par la Commission européenne le 15 septembre 2022, impose de nouvelles obligations aux fabricants d’objets connectés. Parmi celles-ci, on trouve notamment un signalement à l’Agence de l’Union européenne pour la cybersécurité (ENISA) dans un délai de 24 heures en cas de vulnérabilité découverte. À la clé, de potentielles restrictions à la commercialisation au sein du marché européen, et des amendes pouvant s’élever à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial de l’entreprise. Cerise sur le gâteau bureaucratique : l’obligation de créer une autorité nationale de surveillance par les États membres de l’UE. Drôle de manière d’aider les entreprises en leur imposant des sanctions parfois plus coûteuses que les pertes engendrées par une attaque informatique.
Plus récemment, c’est Thierry Breton, commissaire européen chargé du Marché intérieur, qui a annoncé la création d’un « bouclier cyber européen ». Présenté en décembre 2020, ce dispositif de plus d’un milliard d’euros, financé aux deux tiers par l’UE, prévoit la construction de centres opérationnels de sécurité (SOC) dès 2024, mais aussi une Cyber Skill Academy européenne pour former des spécialistes en cybersécurité. Une question demeure : les entreprises ont-elles réellement besoin d’une intervention étatique pour sécuriser leurs réseaux ? Ces réglementations ressemblent beaucoup à des prétextes pour les taxer davantage de manière insidieuse. Le renforcement des dispositifs de cybersécurité devrait pourtant être mis en place spontanément par les entreprises, et non être imposé par la réglementation européenne. Leur passivité en la matière est déjà sanctionnée en cas d’attaque, et les expose au risque de faillite. Il est désolant de constater que Thierry Breton ait encore fait le choix de la contrainte et de la sanction, alors que le marché élimine bien mieux les acteurs irresponsables.
