ENISA Agence de l'Union européenne pour la cybersécurité.

ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certification. Elle est impliquée opérationnellement dans la coopération NIS 2, les normes d'exécution DORA et le socle de sécurité de l'AI Act. Son rapport annuel sur le paysage des menaces est la publication annuelle la plus citée du secteur.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

La vision de Cyber Academy

ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certification. Elle est impliquée opérationnellement dans la coopération NIS 2, les normes d'exécution DORA et le socle de sécurité de l'AI Act. Son rapport annuel sur le paysage des menaces est la publication annuelle la plus citée du secteur.

ENISA est l'Agence de l'Union européenne pour la cybersécurité. Sa mission est d'élever le niveau commun de cybersécurité dans toute l'Union.

Ce que fait ENISA, et ce qu'elle ne fait pas

ENISA est l'organe de l'UE dédié à la cybersécurité. Son siège est à Athènes.

Elle travaille aux côtés des États membres, de la Commission européenne et des institutions de l'UE. Elle soutient trois domaines :

  • La politique.
  • La coopération opérationnelle.
  • Le renforcement des capacités.

ENISA n'assure pas elle-même la défense nationale. La distinction compte en pratique. ENISA ne fait pas les choses suivantes :

  • Enquêter sur les violations.
  • Infliger des amendes contraignantes.
  • Superviser des entreprises individuelles.

Les autorités nationales compétentes et les régulateurs sectoriels assurent ce travail. ENISA produit ce sur quoi ces autorités s'appuient :

  • Des recommandations.
  • Du renseignement sur les menaces.
  • Des référentiels techniques.

Les organisations régulées par ces autorités s'appuient sur le même matériel.

ENISA comparée à une agence nationale

Une bonne manière de situer ENISA est de la comparer à une agence nationale. Prenons l'ANSSI en France.

L'ANSSI est une autorité d'un État membre. Elle dispose de pouvoirs opérationnels et réglementaires à l'intérieur d'un seul pays.

ENISA agit un niveau au-dessus. Elle coordonne l'ensemble des États membres. Elle donne à l'UE un point de référence technique unique.

Cela empêche vingt-sept approches nationales de diverger. Ainsi, quand un RSSI français cite les deux, la répartition est claire :

  • L'ANSSI est l'autorité dont il relève.
  • ENISA est la source à l'échelle de l'UE avec laquelle il s'aligne.

Là où ENISA touche les réglementations auxquelles vous devez vous conformer

Pour un praticien GRC, ENISA n'est pas une abstraction. Elle apparaît directement dans les textes qui définissent votre périmètre.

NIS 2

Au titre de NIS 2, ENISA soutient les mécanismes de coopération entre les États membres. Elle maintient une connaissance partagée de la situation.

Elle contribue aussi à des recommandations techniques. Cela aide les entités essentielles et importantes à interpréter leurs obligations de manière cohérente. Ces obligations couvrent la sécurité et la notification des incidents.

DORA

Au titre de DORA, ENISA contribue aux normes techniques d'exécution et de réglementation. Celles-ci transforment les exigences de haut niveau du règlement pour les entités financières en attentes concrètes.

AI Act

Les dispositions de sécurité de l'AI Act sont encore en cours d'élaboration. ENISA est en position d'aider à définir le socle de cybersécurité attendu des systèmes d'IA à haut risque.

EU Cybersecurity Act

ENISA gère le cadre européen de certification de cybersécurité. Elle élabore des schémas pour les produits, les services et les processus.

Un schéma permet à chacun d'être certifié une seule fois. Le résultat est ensuite reconnu dans toute l'Union.

Ce que les praticiens lisent réellement

ENISA publie beaucoup. Son rapport annuel Threat Landscape est le travail le plus cité.

C'est le document de référence vers lequel les équipes se tournent quand elles ont besoin d'une vision faisant autorité, au niveau de l'UE. Il montre comment le paysage des menaces évolue selon les secteurs. Les praticiens l'utilisent pour :

  • Vérifier la cohérence de leurs propres évaluations des risques.
  • Informer les conseils d'administration avec une source indépendante et paneuropéenne.
  • Justifier les priorités de contrôle auprès des auditeurs et des régulateurs.

ENISA publie également plus que ce rapport :

  • Des recommandations sectorielles.
  • Des guides de bonnes pratiques.
  • Les fondements techniques des schémas de certification.

Comment traiter ENISA en pratique

Traitez ENISA comme une source d'autorité. Ce n'est pas un organe auquel vous rendez compte. Vous ne déposez rien auprès d'ENISA.

À la place, alignez votre propre travail sur ce qu'elle publie :

  • Votre vocabulaire du risque.
  • Vos référentiels de contrôle.
  • Vos hypothèses sur les menaces.

Ce matériel est aussi la référence que lisent votre autorité nationale et votre auditeur. De plus en plus, votre régulateur le lit également.

Frequently asked questions

01L'ENISA est-elle un régulateur qui peut infliger une amende à mon entreprise ?

Non. L'ENISA est une agence d'appui et de coordination. L'application, la supervision et les sanctions au titre de régimes comme NIS 2 et DORA relèvent des autorités nationales compétentes et des régulateurs sectoriels, et non de l'ENISA.

02Quelle est la différence entre l'ENISA et l'ANSSI ?

L'ENISA est l'agence à l'échelle de l'UE qui coordonne la cybersécurité dans tous les États membres. L'ANSSI est l'autorité nationale française de cybersécurité, dotée de pouvoirs opérationnels et réglementaires à l'intérieur de la France. Une organisation française relève de l'ANSSI et s'aligne sur l'ENISA.

03Quel est le rôle de l'ENISA dans le cadre européen de certification de cybersécurité ?

Au titre de l'EU Cybersecurity Act, l'ENISA élabore et gère des schémas de certification européens afin que les produits, services et processus TIC puissent être certifiés une fois et reconnus dans tous les États membres, plutôt que certifiés séparément dans chaque pays.

04Quelle publication de l'ENISA devrais-je réellement lire ?

Le rapport annuel ENISA Threat Landscape est le plus largement cité. Il offre une vue indépendante, à l'échelle de l'UE, de l'évolution des menaces, que les praticiens utilisent pour valider les évaluations des risques et informer la direction.

05Dois-je notifier les incidents à l'ENISA ?

En général, non. La notification des incidents au titre de NIS 2 et de DORA remonte vers les autorités nationales désignées et les CSIRT. L'ENISA appuie la conscience situationnelle partagée entre États membres, mais n'est normalement pas l'entité auprès de laquelle vous déposez un rapport d'incident.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.