Au cours du Forum International de la Cybersécurité (FIC) 2016, Günther Oettinger, commissaire européen chargé de l’économie et de la société numériques a fait un constat simple : l’économie européenne est profondément interconnectée au reste du monde, et ses secteurs d’activité vitaux (santé, énergie, transport…), sont devenus dépendants des systèmes d’information.
Le cyberespace, talon d’Achille de l’Europe
En l’absence de sécurité suffisante, cette dépendance des États comme des entreprises peut rapidement se transformer en talon d’Achille. Elle peut en effet offrir à des individus, des organisations ou des États la possibilité de voler des secrets industriels ou des données en grande quantité, de détourner des fonds ou, pire, de détruire le potentiel économique ou de survie d’un État.
À titre d’exemple, en 2015 au Royaume-Uni, 90% des grandes entreprises et 74% des petites entreprises ont subi une cyberattaque. Par ailleurs – en guise d’illustration des conséquences financières atteignables – la cyberattaque subie par Talk Talk lui a couté au total plus de 75 millions d’euros. Enfin, la cyberattaque contre la centrale électrique ukrainienne démontre parfaitement le caractère potentiellement destructeur pour les États des cyberattaques contre leurs infrastructures critiques.
Face à un cyberespace qui est autant créateur de richesses que source de menaces, comment l’Union européenne prépare-t-elle sa cyber protection ?
Entre hétérogénéité, volonté d’harmonisation et désir de coopération
Aujourd’hui, l’Europe de la cybersécurité repose essentiellement sur des États européens qui avancent en ordre dispersé lorsqu’il s’agit de se prémunir contre les cybermenaces ; il existe en effet une forte hétérogénéité entre les pays membres dans leur sensibilité et leur niveau de préparation en matière de cybersécurité, et peu d’initiatives associant deux ou plusieurs États sont mises en œuvre.
Sans surprise, la question de la cybersécurité se pose avec plus d’acuité aux principales puissances économiques et militaires européennes, qui ont le plus d’intérêt et le plus de capacités financières et technologiques pour se prémunir contre les menaces venues du cyberespace.
Avec le Royaume-Uni et l’Allemagne, la France fait partie de ces États, créant dès 2008 l’ANSSI , l’autorité étatique dédiée à la cybersécurité, et se dotant dès 2013 d’un cadre juridique imposant aux Opérateurs d’Importance Vitale de protéger leurs systèmes d’importance vitale (article 22 de la loi de programmation militaire). À cela s’ajoute la mise en œuvre de moyens civils et militaires dédiés à la protection contre les cybermenaces.
Outre-Rhin nous pourrions par exemple citer une loi adoptée en 2015 visant à accroître la cybersécurité des OIV allemands, ainsi que la coopération étroite qui lie l’ANSSI et son homologue allemand, le BSI (Bundesamt für Sicherheit in der Informationstechnik), depuis plus de cinq ans.
Outre-Manche le gouvernement britannique a annoncé en 2015, 1,9 milliards de livres sur cinq ans pour renforcer la cybersécurité du pays.
Depuis quelques années, et face aux enjeux économiques que représente la cybersécurité pour la communauté européenne, les autorités de l’Union entendent participer davantage à la protection contre les cybermenaces, notamment en harmonisant la législation.
Depuis 2005, la Convention de Budapest , conçue par le Conseil de l’Europe, fournit par ratification à tout pays une trame et des outils juridiques leur permettant de mieux se prémunir contre la cybercriminalité.
Par ailleurs, la directive Network and Information Systems (NIS), prochainement adoptée, harmonisera automatiquement à l’échelle européenne les obligations des opérateurs de services essentiels (dénomination issue de la directive NIS) pour la protection de leurs systèmes d’information. Dans le même temps le futur règlement européen sur la protection des données personnelles devrait accroître la maîtrise des organisations sur les données qu’elles collectent, traitent et stockent, et donc limiter les conséquences des cyberattaques en terme de fuite.
Enfin, il a été annoncé par la Commission européenne lors du FIC 2016 que la cybersécurité fera, dans un avenir proche, de plus en plus partie des textes européens à portée sectorielle.
La directive NIS définit en outre une gouvernance européenne de la cybersécurité, inédite et résolument tournée vers la coopération entre les instances européennes (Commission européenne, ENISA – Agence Européenne chargée de la sécurité des réseaux et de l’information -, CERT-EU – Computer Emergency Response Team -) et entre les États membres.
Deux nouveaux organes seront donc créés :
- Un groupe de coopération chargé de soutenir et de faciliter la coopération stratégique entre les États membres, notamment à travers l’échange d’informations et de bonnes pratiques. Ce groupe réunira la Commission européenne, l’ENISA et les représentants des États membres.
- Un réseau de CSIRTs (Computer Security Incident Response Team), regroupant le CERT-EU et le CSIRT de chaque État membre dont l’existence est rendue obligatoire par la directive. Il est chargé de promouvoir la coopération opérationnelle entre les États membres. L’ENISA assurera le secrétariat de ce réseau et la Commission européenne aura un statut d’observateur.
Des défis qui appellent une volonté politique commune
Ces initiatives européennes – complémentaires des initiatives des États les plus avancés en matière de cybersécurité – sont évidemment salutaires, mais ne doivent pas faire oublier les défis, politiques et économiques, que l’Europe devra dépasser afin de disposer d’une cybersécurité efficace et assurant sa cyber résilience.
Au défi que pose la coopération de 28 États membres s’ajoute la question des moyens qui permettront sa mise en œuvre effective, tant au niveau stratégique qu’opérationnel. Nul doute que les États déjà en avance pérenniseront leurs efforts. Mais quid des autres États, les plus nombreux : mobiliseront-ils les moyens suffisants pour se protéger ? La problématique des moyens se pose aussi au niveau de la gouvernance européenne : à titre d’exemple le budget de l’ENISA est de seulement 10,1 millions d’euros. Ce budget est-il réellement à la hauteur des enjeux ?
Par ailleurs, comment envisager une Europe de la cybersécurité sans une véritable industrie européenne de la cybersécurité ? De l’aveu de la Commission européenne, l’offre européenne est encore trop fragmentée et portée par des acteurs qui n’ont pas encore atteint une taille suffisante, portant préjudice à leur compétitivité face aux multinationales, américaines notamment. Mais une industrie suffisamment puissante économiquement, sachant produire des produits et services européens, est aussi un enjeu de souveraineté. À l’heure de la compétition économique mondiale, peut-on bâtir une Europe de la cybersécurité avec du matériel et des services chinois ou américains ?
On ne peut que saluer les efforts que compte produire l’Europe en matière de cybersécurité dans les prochaines années. Stimulé par des cybermenaces toujours plus nombreuses, ce projet pourra-t-il s’appuyer sur une volonté politique et des actions communes et durables ? Ou bien la dynamique européenne lancée s’essoufflera-t-elle faute d’une volonté politique commune suffisante, laissant les États membres en ordre dispersé au sujet de la cybersécurité, à l’image de l’Europe de la sécurité ou de la défense ?