01 avril 2022

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#389 avant-projet de Règlement UE « EDINA » [podcast NoLimitSecu]

#389 avant-projet de Règlement UE « EDINA » [podcast NoLimitSecu]

#389 podcast NoLimitSecu: avant-projet de Règlement UE "EDINA"

Devant l’avalanche de projets de textes législatifs de l’Union Européenne en matière de cyber sécurité (oui, oui, je rectifie : de sécurité des systèmes d’information…), l’équipe du podcast NoLimitSecu m’a demandé de lire et d’analyser l’avant-projet de la prochaine législation de l’UE : le Règlement « EDINA ».

EDINA ? « European Digital Infrastructures and Networks Act » ou, pour prendre son titre en entier « EU Regulation harmonizing security measures promoting the strengthening of the level of trust in European Digital Infrastructures, Networks, tools and services » .

Ce n’est rien de moins que l’acte officiel de naissance de l’Internet européen !!!

Merci à Tania F. pour nous avoir transmis ce document de travail de l’UE et d’être intervenue lors de l’enregistrement de ce podcast.

L’épisode #361 du podcast NoLimitSecu – à écouter impérativement – est accessible depuis ce lien

Les quelques lignes de ce post de blog ne remplacent en rien l’épisode de NoLimitSecu dans lequel notre lanceuse d’alerte et les contributeurs évoquent successivement :

– le passage à IPV6 puis IPV10 (enfin !) avec généralisation de l’IPSec;

– l’abandon de l’infrastructure cuivre fin 2030;

– l’investissement massif de l’UE dans le quantique (les « QBits » );

– le futur VPN « souverain » de l’UE;

– la conversion généralisée des informations en data numériques (les fameuses « extra-données » );

– l’uniformisation des imprimantes/scanners avec qualification via schéma de certification EU (voir UE CyberSecurity Act de 2019), etc.

Je me contenterai ici de résumer les aspects juridiques les plus frappants de ce futur Règlement EDINA.

L’Union Européenne s’empare sérieusement des problématiques de cyber sécurité

Commençons par replacer ce projet dans la liste (très dense) des projets de Règlement et de Directive publiée par l’UE depuis janvier 2020 jusqu’à mars 2022 :

#389 avant projet reglement UE EDINA podcast NoLimitSecu © Ledieu-Avocats 03-04-2022.002

PROJET de Règlement UE "EDINA" : l'ENISA change de nom ?

Vous me direz (à juste titre) que le changement de nom d’une institution de l’UE n’est pas un événement en soit… Certes.

Néanmoins, ce changement donne le « la » de la posture adoptée par l’UE face à la croissance exponentielle de la menace, jusqu’ici civile (et crapuleuse) et maintenant manifestement militaire aussi (voir ce qui se déroule dans le cyber espace entre la Russie et l’Ukraine).

Donc adieu ENISA [European Union Agency for Network and Information Security] et bienvenue à « CANIS » [European Central Agency for Network and Information Security].

Pour les nouvelles attributions fonctionnelles de CANIS, allez écouter l’épisode de NoLimitSecu.


PROJET de Règlement UE "EDINA" : l'obligation de scoring des vulnérabilités avec le système souverain "EVES"

Là, ce n’est pas un changement de nom, c’est une révolution comportementale.

Manifestement, l’UE tient à se détacher du NIST (National Institute of Standards and Technology – organe du gouvernement des USA) pour se doter de son propre système de scoring des vulnérabilités. Adieu les CVSS et bienvenue à EVES.

« EVES » signifie simplement « European Vulnerability Evaluation Score » . Oui, cet acronyme sonne bien, ce qui permet à certains contributeurs de NoLimitSecu de faire de bons mots (Eves et Adam, toussa…).

La transparence du système sera assuré par un ancrage des vulnérabilités identifiées dans une blockchain opérée par l’ENISA / CANIS.

Il sera obligatoire de se référer, dès 2025 sur le territoire de l’UE, au scoring system EVES.

Donc attention dans les documents contractuels, interne à l’entreprise (notamment vos « exigences de sécurité » , PSSI et autres chartes ADMIN) ou à conclure avec les partenaires (service SaaS par exemple).

EVES European Vulnerability Evaluation Score PROJET de Règlement UE EDINA


PROJET de Règlement UE "EDINA" : les 3 axes de la législation à venir

Voici les 3 chapitres de cette future règlementation dont les titres sont particulièrement évocateurs :


PROJET de Règlement UE EDINA : ce projet de l'UE existe vraiment ? où le trouver ?

Trêve de plaisanterie : ce projet de Règlement UE n’existe tout simplement pas ! Un indice ? Regardez bien la date de publication de ce post et celle de l’épisode NoLimitSecu… 

[mise à jour du 5 avril 2022 : comme vous êtes plusieurs à nous passer des messages très sérieux sur ce projet de Règlement UE, j’ai pris soin de faire une entrée spéciale « EDINA » dans le dictionnaire légal auquel vous pouvez accéder sur ce site web]

C’est dommage que ce texte n’existe pas car certaines des dispositions que nous avons inventées auraient été bien utiles pour faire progresser la sécurité des systèmes d’information – privés comme publics – au sein de l’Union Européenne.

Ce poisson d’avril a (manifestement) énervé Ambroise 1er, le Grand Coordinateur de « La Nef des Fous » comme vous le prouve la slide ci-dessous…

#389 avant projet reglement UE EDINA podcast NoLimitSecu poisson d'avril © Ledieu-Avocats 03-04-2022.006


La véritable liste des projets de Directive / Règlement de l'UE depuis 2020 : tout était vrai (sauf le projet "EDINA")

Bon… rétablissons la vérité.

Voici dans la slide ci-dessous la véritable liste des projets de l’UE.

On aurait pu y ajouter le projet « DMA » (Digital Market Act) qui concerne surtout les obligations des « plateformes » structurantes au niveau de l’UE et dont le texte final ne devrait plus trop tarder à l’heure où j’écris ces quelques lignes, mais qui ne concerne pas la cyber sécurité.

#389 avant projet reglement UE EDINA podcast NoLimitSecu © Ledieu-Avocats 03-04-2022.007

OK, je vous sens échaudé(e) par l’ampleur de ce poisson d’avril…

Voici la liste avec lien HTTP actif des propositions de Règlement/Directive de l’UE depuis septembre 2020 :

Proposition de Règlement « DORA » sur la résilience opérationnelle numérique du secteur financier (version finale du 24 septembre 2020)

Proposition de Règlement « MICA » sur les marchés de crypto-actifs (version finale du 24 septembre 2020)

Proposition de Règlement « DLT » sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (version finale du 24 septembre 2020)

Proposition de Règlement « DSA » relatif à un marché intérieur des services numériques (version finale du 15 décembre 2020)

Proposition de Règlement « DMA » relatif aux marchés contestables et équitables dans le secteur numérique (version finale du 15 décembre 2020)

Proposition de Directive « NIS #2 » concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 [NIS #1] (version finale du 16 décembre 2020)

Proposition de Directive « Entités Critiques » sur la résilience des entités critiques (version finale du 16 décembre 2020)

Proposition de Règlement « IA » établissant des règles harmonisées concernant l’intelligence artificielle (version finale du 24 avril 2021)

Proposition de Règlement « eIDAS 2 » relatif à une identification électronique européenne fiable et sécurisée (version finale du 28 mai 2021) modifiant le Règlement UE « eIDAS » n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques (oufffffff)

Proposition de Règlement « European Cyber Résilience Act » (version EN seulement du 22 mars 2022) laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union 

Proposition de Règlement « Information Security » (version EN seulement du 22 mars 2022) on information security in the institutions, bodies, offices and agencies of the Union

On s’arrête là ? Sinon, je peux aussi vous parler du projet de 6ème directive anti-blanchiment…

Bravo NoLimitSecu !

#389 podcast NoLimitSecu: avant-projet de Règlement UE "EDINA"


Découvrez la BD ayant servi d'illustration à cette présentation (merci aux éditions Delcourt / Soleil !)

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? 

« La nef des Fous » 11 tomes par Turf © éditions Delcourt

Et pour approfondir vos connaissances en BD, parmi les autres oeuvres servant régulièrement d’illustration sur ce blog, allez regarder :

« Arctica » 11 tomes par Pecqueur et Kovacevic © éditions Delcourt

« Odin » 2 tomes par Jarry et Seure-Le Bihan © éditions Soleil

« Le Crépuscule des Dieux » 9 tomes par Jarry et Djief © éditions Soleil

« Les 5 Terres » 7 tomes (au 11 janvier 2022) par Lewelyn et Lereculey © éditions Delcourt

« Carmen mc Callum » premier cycle (tome 1 par Duval Vatine Blanchard et Gess et tomes 2 et 3 par Duval et Gess) © éditions Delcourt  

« Olympus Mons » premier cycle en 6 tomes par Bec et Raffaele © éditions Soleil

« Au-delà des merveilles » 2 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune (2 tomes re-colorisés et ré-édités en 2021)

« Souvenirs de la Grande Armée » 4 tomes par Dufranne et Alexander © éditions Delcourt

« Excalibur-Chroniques » 5 tomes par Istin et Brion © éditions Soleil

« lE dERNIER tROYEN » 6 tomes par Mangin et Démarez © éditions Soleil

« Horologiom » 7 tomes par Stéphane Lebeault © éditions Delcourt

« Badlands » 3 tomes par Corbeyran et Kowalski © éditions Soleil

« L’Oeil de la Nuit » 3 tomes par Lehman et Gess © éditions Delcourt

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​