L'Union européenne en quête d'une cyberdéfense - GeoStrategia

Avec la guerre en Ukraine, le besoin d’un renforcement de la cyberdéfense devient encore davantage patent, y compris au niveau de l’Union Européenne. L’auteur met en exergue l’engagement de l’UE dans une politique de cyberdéfense. Il souligne combien l’arme numérique, désormais intégrée dans toute opération militaire, peut être profitablement affutée au niveau collectif européen, en renfort de celle des Etats membres.

Marc WATIN-AUGOUARD

Les opinions exprimées dans cet article n'engagent pas le CNAM.

Les références originales de cet article sont : Marc Watin-Augouard, « L’Union européenne en quête d’une cyberdéfense », Revue de la gendarmerie nationale. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site du CREOGN.

Depuis la directive NIS (2016) et, plus récemment, avec le règlement européen sur la cybersécurité (2019), l’Union européenne s’est engagée dans une politique de cyberdéfense venant compléter le dispositif de lutte contre la cybercriminalité. L’agression russe en Ukraine a démontré combien l’arme numérique était désormais intégrée dans toute opération militaire. L’Europe montre une solidarité inattendue qui pourrait être le moteur du renforce- ment d’une cyberdéfense collective renforçant celle des États membres.

L’Europe s’est d’abord construite sur une ambition économique, initiée par la Communauté européenne du charbon et de l’acier (CECA) devenue Communauté européenne, avant de se muer en Union européenne.

Cela explique pourquoi l’intervention européenne dans le du citoyen-consommateur^[1]. Après la libre circulation des personnes et des biens, il a fallu organiser la libre circulation des données. Le « Paquet Télécom », le règlement e-IDAS et le règlement général relatif à la protection des données à caractère personnel (RGPD) sont les textes les plus significatifs.

Protéger le consommateur, c’est aussi lutter contre la cybercriminalité. Outre sa participation très active à l’élaboration et au suivi de la Convention de Budapest sur la cybercriminalité (2001), l’Union européenne a créé deux agences qui, sans être exclusivement dédiées à la lutte contre les infractions cyber, Issue d’une convention conclue en 1995 entre les États membres, Europol est devenue une agence européenne à la suite de la décision du Conseil du 6 avril 2009. Le traité de Lisbonne a permis de renforcer son efficacité et sa légitimité en communautarisant la coopération policière. L’unité cyber d’Europol (European Cybercrime Centre – EC3) constitue un dispositif de soutien aux services d’investigation des pays de l’UE. Les programmes EMPACT (European Multidisciplinary Platform Against Criminal Threats) concernent notamment la lutte contre les cyberattaques, les fraudes aux moyens de paiement non liquides et les atteintes aux mineurs. Eurojust est une agence instituée par la décision du Conseil 2002/187/JHA, amendée par la décision du Conseil 2009/426/JHA du 16 décembre 2008. Sa mission est de renforcer l’efficacité des autorités nationales chargées des enquêtes et des poursuites dans les dossiers de criminalité transfrontalière grave et de criminalité organisée pour traduire les criminels en justice de façon rapide et efficace. Eurojust met en œuvre les équipes communes d’enquête (ECE)^[2]. De récents succès (Encrochat, Emotet, Revil, etc.) soulignent la qualité de la coopération entre États membres.

La lutte contre la cybercriminalité progresse, mais il faut la compléter par une politique de cyberdéfense, notamment dans le haut du spectre des cybermenaces. La cyberattaque ayant visé l’Estonie, en 2007, a sans doute été un déclencheur. La directive 2008/114/CE du Conseil du 8 décembre 2008 concerne le recensement et la désignation des infrastructures critiques européenne ainsi que l’évaluation de la nécessité d’améliorer leur protection. C’est une première étape suivie, à l’initiative de la France, par la directive du 6 juillet 2016^[3] concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (direc- tive SRI ou NIS). Cette directive, qui devrait être prochainement renforcée (directive NIS2 en cours d’élaboration), s’inscrit dans la logique de la démarche française relative aux OIV et fixe des règles de protection des opérateurs de services essentiels (OSE) et des fournisseurs de services numérique (FSN). À Tallin, lors du Sommet européen des chefs d’État ou de gouvernement sur le numérique (29 septembre 2017), la décision est prise d’élaborer un « paquet cyber ».

La SSI est au programme avec l’élaboration de labels européens de cybersécurité pour les entreprises, la lutte contre la cybercriminalité également (traçabilité, lutte contre la fraude, poursuites pénales). Mais la cyberdéfense fait son apparition avec le règlement européen sur la cybersécurité^[4], qui comprend comme éléments « phares », la pérennisation de l’Agence européenne pour la cybersécurité (ENISA) et la création d’une « boîte à outils cyberdiplomatique ». S’agissant de l’ENISA, son appellation en anglais est European Union Agency for Cybersecurity. C’est donc une agence pour la cybersécurité et non de la cybersécurité. Le choix de la préposition n’est pas neutre en termes de souveraineté nationale. La France et l’Allemagne, en particulier, se sont opposées à toute velléité supranationale pouvant animer certains européistes. Les aspects les plus régaliens, en premier lieu la cyberdéfense, ne peuvent être transférés.

Le règlement du 17 avril 2019 relatif à la cybersécurité européenne consacre donc la prise en compte des enjeux par l’Union sans remettre en cause les prérogatives des États. Il s’agit davantage d’hisser tous les États membres à un niveau comparable, de partager l’information, l’expertise. Plus directement tournée vers la cyberdéfense, la « boîte à outil cyberdiplomatique » s’inscrit dans une posture de rétorsion, de sanction contre les auteurs de cyberattaques agissant hors de l’Union. Parmi les mesures prises, une décision relevant de la Politique étrangère et de sécurité commune (PESC)^[5] et un règlement^[6] prévoient des mesures restrictives (gel des avoirs financiers, interdiction d’accès ou de transit sur le territoire de l’UE).

Les cyberattaques constituant une menace pour les États membres sont notamment celles qui portent atteinte aux systèmes d’information en ce qui concerne, notamment

les infrastructures critiques, y compris les câbles sous-marins et les objets lancés dans l’espace extra-atmosphérique, qui sont indispensables au main- tien des fonctions vitales de la société, ou à la santé, la sûreté, la sécurité et au bien-être économique ou social des citoyens ;
les services nécessaires au maintien d’activités sociales et/ou économiques critiques, en particulier dans les secteurs de l’énergie (électricité, pétrole et gaz), des transports (aériens, ferroviaires, fluviaux, maritimes et routiers), des activités bancaires, des infrastructures des marchés financiers, de la santé (prestataires de soins, hôpitaux et cliniques privées), de l’approvisionnement en eau potable et sa distribution, des infrastructures numériques et tout autre secteur essentiel pour l’État membre concerné.

Les menaces extérieures ont leur origine ou sont menées à l’extérieur de l’Union ; elles utilisent des infrastructures situées à l’extérieur de l’Union. Elles sont menées par toute personne physique ou morale, toute entité ou tout organisme établi ou agissant à l’extérieur de l’Union ou avec l’appui, sur les instructions ou sous le contrôle de toute personne physique ou morale, entité ou organisme agissant à l’extérieur de l’Union.

À deux reprises^[7], des sanctions ont visé des organismes russes, chinois et Nord-coréens et des ressortissants de ces pays. C’est, dans le contexte de l’époque, une affirmation de l’autorité de l’Union puisqu’elle sanctionne des personnes morales ou physiques en précisant leurs liens avec des organes officiels des États dont elles relèvent. Depuis la prise de sanctions à l’égard de la Russie, il y a fort à parier que les sanctions seront prises sans circonvolutions diplomatiques, sous réserve cependant que l’on puisse attribuer à la Russie toutes les cyberattaques ciblant l’Union européenne.

Le développement de la cybersécurité européenne devrait déboucher, selon Thierry Breton, sur un « bouclier européen ». Cette expression doit sans doute être reformulée, car elle laisse imaginer un « parapluie cyber » qui ne peut exister, dès lors que les cyberattaques, dans leur forme paroxystique, y compris les actions qui relèvent de la manipulation de l’information via internet, relèvent de la sécurité nationale et donc de la souveraineté des États membres. La « tortue romaine » serait l’image la plus adaptée. Chacun se protège directement et protège indirectement les autres. Les institutions de l’Union dédiées à la cybersécurité interviennent pour renforcer les plus faible et donner de la cohésion à l’ensemble. L’agression qui vise l’Ukraine est un défi pour l’Union européenne qui a montré sa solidité dans l’adversité.

Depuis la guerre du Kosovo, mais surtout à l’occasion de l’attaque de la Géorgie par la Russie, en 2008, le cyber dans la guerre est une réalité. « La guerre cyber a bel et bien commencé. Nous ne serons ni naïfs ni aveugles, et nous allons nous y préparer ».

Ainsi s’exprimait Florence Parly, lors du FIC, en janvier 2019. Aujourd’hui, pas une opération militaire ne se déroule sans être précédée, accompagnée et poursuivie par des cyberopérations. L’agression russe en est l’une des démonstrations les plus criantes.

Les « dividendes de la paix » n’ont jamais été encaissés. Les investissements pour la défense sont désormais urgents. La cyber- défense, dans ses volets défensifs et offenssifs, figurera parmi les actions prioritaires. Ce n’est pas à l’Union de faire la force de chacun, mais à chacun de contribuer à la force de l’Union. Aide-toi, le ciel t’aidera ! telle pourrait être le slogan qui sous-tend une Europe qui a aujourd’hui une voix à exprimer, une voie à tracer.

References[+]

References
↑1	Directive cadre 002/21/CE (directive « cadre » Paquet Telecom) du Parlement européen et du Conseil du 7 mars 2002 ; Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ; Règlement (UE) No 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE Règlement eidas ; Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques et le règlement (UE) no 531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union ; Règlement (UE) n°679/2016 relatif à la protection des données à caractère personnel RGPD. Directive (UE) du Parlement européen et du Conseil du 11 décembre 2018 instituant un code européen des communications électroniques.
↑2	Article 13 de la Convention relative à l’entraide judiciaire en matière pénale conclue le 29 mai 2000.
↑3	Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
↑4	Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification (Cybersecurity Act).
↑5	Décision (PESC) 2019/797 DU CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États
↑6	Règlement (UE) 2019/796 du Conseil du 17 mai 2019, concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États
↑7	Décision du Conseil (CFSP) 2020/1127 du 30 juillet 2020 et décision (PESC) 2020/1537 du Conseil.