Plus tôt cette année, une faille s’est produite dans une application de recrutement externe utilisée par le Parlement européen, un problème de cybersécurité qui est resté non identifié pendant des mois.
La faille, remontant au début de 2024, a été découverte il y a deux semaines alors que le Parlement européen intensifiait ses efforts pour renforcer sa cybersécurité en vue des prochaines élections européennes de juin, a déclaré à L’Observatoire de l’Europe un attaché de presse du Parlement européen.
L’application compromise, désormais mise hors ligne, s’appelle « PEOPLE ». Elle a rassemblé des informations sensibles relatives à environ 8 000 candidats à des postes temporaires (y compris des assistants parlementaires et des agents contractuels) et leur a fourni des détails sur le processus de recrutement. « Tous les utilisateurs actifs ou passés potentiellement concernés par la violation de données ont été dûment informés », selon l’attaché de presse. Des notifications ont également été envoyées au Contrôleur européen de la protection des données (CEPD) et aux autorités luxembourgeoises, où se trouve le siège de PEOPLE.
Le Parlement a assuré à L’Observatoire de l’Europe que son infrastructure n’était pas compromise. Cependant, l’étendue et l’origine de la violation restent inconnues, ce qui fait craindre qu’elle ne soit le résultat d’une cyberattaque étrangère.
Réponse lente
Cet incident n’est pas le premier défi de cybersécurité auquel l’institution est confrontée. En 2020, les données personnelles de 1 200 fonctionnaires de l’UE, dont des législateurs et du personnel, ont été exposées en ligne. En 2022, le site Internet du Parlement européen a été la cible de pirates informatiques soupçonnés d’être d’origine russe après que le Parlement ait condamné la guerre en Ukraine. Néanmoins, les réglementations à venir visent à améliorer le mécanisme de réponse.
D’ici octobre, les États membres de l’UE devront transposer la directive 2 sur la sécurité des réseaux et de l’information (NIS2), les règles de cybersécurité de l’UE liées aux entités critiques. Les règles proposées par la Commission européenne en 2020 remplacent l’ancienne directive NIS datant de 2016.
Les administrations publiques, ainsi que d’autres secteurs tels que les sociétés d’énergie, les fournisseurs de cloud computing, les sociétés de gestion de l’eau, seront soumis aux règles qui en font des secteurs dits critiques.
Cela signifie que les entreprises de l’un de ces secteurs qui sont soumises à un incident de cybersécurité disposeront d’un délai de 24 heures à compter du moment où elles en auront connaissance pour la première fois pour adresser un avertissement à une autorité nationale. L’Observatoire de l’Europe a rapporté en mars que seuls quelques pays avaient commencé à mettre en œuvre les règles dans leurs règlements nationaux.
