Cyber Solidarity Act : qui va constituer le « bouclier cyber » européen ?

Dernière ligne droite pour le Cyber Solidarity Act (règlement sur la cybersolidarité).

Cette semaine, Parlement et Conseil ont trouvé un accord politique. Il leur reste à le formaliser, après quoi le texte pourra être publié. ll entrera en vigueur vingt jours plus tard.

Entre autres mesures, le Cyber Solidarity Act instaure un « bouclier de cybersécurité », sous la forme d’une infrastructure paneuropénne de SOC. Il en distingue deux types :

– SOC nationaux
Organismes publics chargés de coordonner les activités de détection des menaces. Chaque État membre est tenu d’en désigner au moins un.

– SOC transfrontaliers
Ils réunissent des SOC nationaux d’au moins trois États membres.

En 2020, la stratégie de cybersécurité de l’UE pour la décennie numérique avait ouvert la voie à ce dispositif. Le Cyber Solidarity Act en précise les conditions de mise en œuvre. Concernant, en particulier, le partage d’informations – entre SOC, mais aussi avec EU=CyCLONe et le réseau des CSIRT.

Des premiers jalons furent posés dans le cadre de l’agenda 2021-2022 du programme pour une Europe numérique. Celui-ci comprenait un objectif consistant à renforcer les capacités des SOC. Budget : 110 M€.
Parmi les actions envisagées figurait un appel à manifestation d’intérêt destiné à sélectionner les entités qui hébergeraient les SOC transfrontaliers. Il était question d’engager, sur cette base, un mécanisme d’acquisition conjointe « d’outils et d’infrastructures avancés » avec l’ECCC (Centre européen de compétences en cybersécurité). Enveloppe allouée : 30 M€.

Deux véhicules de financement pour les SOC transfrontaliers

L’AMI fut lancé en novembre 2022. L’UE s’engageait à financer jusqu’à 75 % des coûts d’acquisition conjointe.
Les entités sélectionnées allaient pouvoir postuler à des subventions complémentaires pour couvrir jusqu’à 50 % des autres coûts des SOC transfrontaliers (ressources humaines notamment). Ce fut l’objet d’un des volets d’un appel à propositions « Cybersécurité et confiance » lancé en parallèle. Et qui touchait aussi, entre autres, à la sécurité de la 5G et à l’implémentation de la NIS.

Doté de 72,5 M€, le volet SOC de cet AP comprenait deux sections. Une consacrée à l’axe « développement des capacités », ouverte à tout acteur public ou privé. L’autre focalisé les SOC transfrontaliers… et réservé aux participants à l’AMI.

Les résultats tombèrent en mai 2023. Sur 32 propositions reçues, une n’était pas admissible, deux étaient inéligibles et 17 dépassaient les plafonds de financement. L’UE envisageait alors l’échéance d’octobre 2023 pour la signature des premiers accords d’acquisition conjointe.

Écartée de la procédure, l’Union internationale des chemins de fer a introduit un recours devant le Tribunal de l’UE. L’association conteste la décision de Bruxelles, qui l’a jugée contrôlée par des entités d’États tiers à l’Espace économique européen.

« En avril 2023, deux consortiums d’États membres ont été consultés pour acquérir conjointement et recevoir des subventions pour l’exploitation et le lancement d’une phase pilote », nous rappelle-t-on à l’occasion de l’annonce de l’accord politique. On les retrouve effectivement parmi les 16 lauréats de l’AP.

Bouclier cyber : les acteurs français impliqués

Dans la liste se trouvent des représentants français. Parmi eux, les Hospices civils de Lyon. Ils emmènent l’initiative SOC4Health. Celle-ci cible les organismes de santé publique, au premier rang desquels les CHU. Il s’agira de leur fournir à la fois une infrastructure de partage de renseignements sur les menaces et une « boîte à outils SOC ».

Orange est aussi de la partie, à travers sa filiale roumaine. Elle participe au projet SOCCER (Security Operation Centres Capacity building for European Resilience), qu’emmène la compagnie d’assurances allemande SIGNAL IDUNA. La société Trout Software, issue de Station F, fait aussi partie du consortium, comme l’Institut d’informatique et de contrôle de Budapest (Hongrie). Objectif : développer des technologies de partage sécurisé de renseignements sur le menaces à destination des SOC.

Autre lauréat : CYDERCO (CYber DEtection, reponse and COllaboration). Il implique la filiale espagnole d’Atos et la branche roumaine d’Eviden, aux côtés de l’Institut supérieur d’ingénierie de Porto (Portugal) et de l’ANSSI roumaine. Promesse : développer deux plates-formes qui amélioreront les capacités de détection et de réponse des SOC privés et publics.

Les projets de SOC transfrontaliers

L’ANSSI grecque emmène le projet ATHENA (europeAn THreat intelligence, rEspoNse and prepAredness platform). Des ministères bulgare, chypriote et maltais sont membres du consortium, qui vise à mettre sur pied un SOC transfrontalier associant ces quatre pays.

Le renseignement espagnol est à la tête d’ENSOC. Cet autre projet transfrontalier associe également les ANSSI italienne, luxembourgeoise, portugaise et roumaine. Ainsi que le ministère de la Justice néerlandais et le ministère de l’Intérieur allemand. L’Autriche est aussi impliquée.

On retrouve l’ANSSI luxembourgeoise dans le projet FETTA (Federated European Team for Threat Analysis). Celui-ci comporte aussi une dimension transfrontalière. Un institut de recherche polonais (Naukowa i Akademicka Sieć Komputerowa) le coordonne. L’objectif : améliorer le partage de renseignements sur la menace, y compris en créant une équipe qui aidera les CSIRT nationaux à collaborer.

Il existe, parmi les lauréats, un deuxième projet SOCCER. Son coordinateur : l’École des mines et de la métallurgie de Cracovie (Pologne). Les autres membres sont des organismes académique dans la CEE (universités Mykolas Romeris en Lituanie, Tomas Data en Tchéquie, de Tartu en Suède…). Objectif : accompagner le développement de SOC pour ce secteur.

Chypre, Grèce, Irlande… Les projets nationaux d’initiative publique

L’ANSSI chypriote coordonne CY-TRUST (CYpriot seToRial secuUrity operationS cenTres). Objectif : développer des SOC pour divers secteurs économiques (énergie, maritime, gouvernement, PME).

En Irlande, on retrouve la LGMA (Local Government Agency) à la tête d’ILG-SOG. Cette agence nationale travaille avec une trentaine de collectivités locales. Elle cherche à constituer, en son sein, un SOC. Celui-ci travaillera avec « une société de cybersécurité basée dans l’UE ». Et avec « d’autres parties externes » pour la réponse aux menaces…

En Grèce, l’université technique de Crète a pris le lead sur le projet GR-SME-SOC. Le ministère de la Gouvernance numérique accompagne la démarche. Comme plusieurs sociétés grecques (Cybersafe, Karavias, Obrela Security Industries, Sphynx Hellas, Zelus). Objectif : constituer, sous l’égide de l’ANSSI grecque, un SOC ciblant les PME.

Le ministère grec de la Gouvernance numérique chapeaute un autre projet : EL-SOC (Hellenistic Consolidated SOC). Les sociétés grecques Odyssey Consultants et Space Hellas sont dans la boucle, comme l’institut de recherche Diophante. Objectif : renforcer les capacités de ce SOC actuellement opéré sous l’aile de l’ANSSI grecque.

En Lituanie, SOCshare a pour chef de file l’entreprise NRD CS, fournisseur d’un SOC. Mais elle implique aussi la municipalité de Vilnius. Objectif : le développement commun d’une plate-forme CTI ouverte.

Les initiatives privées

L’ESN slovaque Exe, qui compte lancer son SOC, bénéficiera d’un financement dans le cadre du projet EXE-SOC. Autre ESN lauréate, avec le projet SOCulus : Soitron (Tchéquie), qui compte quant à elle étendre les capacités de son offre.

En Croatie, Erste&Steiermärkische Bank porte le projet SOC4EBC. Cette banque du groupe Erste (fournisseur de services financiers en CEE) cherche à développer un SOC pour elle-même et son écosystème.

La Banque d’Irlande (100 % privée depuis 2022) a aussi son projet : CTIOC (Cyber Threat Intelligence Operations Centre). Objectif : approfondir une initiative CTI interne en place depuis 2021 à destination des OSE et d’entités du secteur financier.

Illustration © Zerbor – Adobe Stock