Face à une menace cyber qui semble sans limites et accentuée par la crise sanitaire, l’Union européenne tente de s’organiser pour maîtriser le risque à l’échelle des 27. Objectifs : établir des niveaux de protection communs toujours plus exigeants, et coordonner plus efficacement les réponses aux attaques. Mais où en est vraiment l’Europe sur ces sujets ?

Un nouvel espace de conflits pour l’Union européenne

La terre, l’air, la mer et l’espace… mais plus seulement. À ces quatre champs « classiques » de défense est venu s’ajouter depuis une vingtaine d’années – à mesure du développement d’Internet et des réseaux de télécommunications – un autre terrain propice aux attaques : le cyberespace. Un univers de criminalité qui ne connaît aucune frontière. Des organisations de hackers étrangères très structurées, comme des puissances étatiques hostiles n’hésitent plus à cibler les sites publics et stratégiques des États membres de l’Union européenne. 

Un puissant outil de déstabilisation potentielle, et un point de fragilité majeur que l’Union européenne a bien identifié. Dans sa communication officielle, l’Europe évoque ainsi « le cinquième domaine de guerre, qui est aussi critique pour les opérations militaires que les domaines terrestre, maritime, aérien et spatial ». 

Des tentatives successives d’harmonisation de la politique cyber

Cependant, la nécessité de s’organiser et de coordonner l’action de l’Europe en matière de sécurité cyber est relativement récente. Pour preuve, en 2013, la notion de cyberdéfense est incluse pour la première fois dans les activités de défense de l’UE, réunies dans le cadre de la politique de sécurité et de défense commune (PSDC).

Un premier cap important est ensuite franchi en 2016 avec l’adoption de la directive Sécurité des réseaux et de l’information (SRI) – ou Network and Information Security (NIS). Elle est considérée comme le socle juridique commun de la politique européenne de cybersécurité. Ce cadre illustre la volonté forte de collaboration renforcée entre les États dans le domaine cyber. Il établit par exemple les organisations essentielles à la survie de l’Union, à protéger en priorité. Et formalise des exigences pour parvenir à un niveau de sécurité minimum commun.

L’Union européenne tente d’harmoniser sa politique de cyberdéfense.

Avec un bémol cependant pointé par Rayna Stamboliyska, experte cyber et affaires européennes, fondatrice du cabinet RS Strategy et autrice de La Face cachée d’Internet : « La directive, comme toute directive européenne, indique des objectifs communs de cybersécurité à atteindre, mais laisse à chaque État le soin de la transposer en définissant sa propre stratégie et ses propres moyens ». 

Les niveaux hétérogènes de maturité cyber, des volontés plus ou moins affirmées d’avancer groupés, la souveraineté des États en la matière… autant d’éléments qui peuvent freiner les ambitions européennes. 

En 2017, l’UE lance cependant la Coopération structurée permanente (CSP). Le principe : 25 États volontaires travaillent ensemble sur les questions de cyberdéfense via la création d’équipes de réaction rapide d’assistance mutuelle en cas d’attaque. L’une des premières traductions concrètes de cette instance : un exercice cybersécuritaire européen mené en avril 2019. À quelques semaines des élections européennes de mai 2019, il s’agissait d’organiser la réaction aux potentielles cybercampagnes de désinformation et cyberattaques visant à déstabiliser l’échéance électorale.

Par ailleurs, dans le but d’harmoniser les pratiques, l’ENISA (Agence de l’Union européenne pour la cybersécurité) aide les États, institutions et agences de l’Union à atteindre les niveaux communs de cybersécurité requis.

Europol (Agence européenne de police criminelle) dispose, quant à elle, d’un centre européen spécialisé dans la lutte contre la cybercriminalité. Le but : soutenir les pays de l’UE dans leurs enquêtes sur la criminalité en ligne, et dans le démantèlement des réseaux criminels.

Le coup d’accélérateur de la crise sanitaire

Le spécialiste en cybersécurité Checkpoint Software Technologies a mené l’enquête. Selon ses chiffres, les cyberattaques ont augmenté de 36 % en Europe au premier semestre 2021. Et d’après la Commission européenne, une entreprise européenne sur huit aurait déjà été la cible d’une attaque depuis le début de la crise sanitaire. 

Les organisations publiques sont également ciblées. Et ce sont bien elles qui inquiètent tout particulièrement les institutions européennes. 200 sites gouvernementaux belges touchés par une gigantesque cyberattaque en mai 2021, quelques jours après les attaques successives ciblant la Commission européenne en avril 2021, l’Agence européenne des médicaments victime à son tour… Sans oublier les hôpitaux attaqués dans de nombreux pays européens.

Il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles.

La Commission européenne

Ce ne sont que quelques exemples parmi le flot continu des malwares et autres ransomwares qui ont rythmé – et rythment toujours – le quotidien de bon nombre d’entités publiques… comme privées. De quoi encourager l’Union européenne à passer la vitesse supérieure. D’autant que l’institution y voit l’ombre de puissances hostiles qu’elle n’hésite plus à nommer : la Russie, la Chine, la Corée du Nord… L’enjeu : renforcer encore la coopération et les capacités d’intervention communes. En juin 2021, la Commission européenne annonce ainsi la création d’une Unité conjointe de cybersécurité pour détecter et contrer plus rapidement les menaces. Selon elle, « il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles ».

Grâce à l’Unité conjointe de cybersécurité, « ils disposeront d’une plateforme virtuelle et physique de coopération : les institutions, organes et organismes compétents de l’UE ainsi que les États membres constitueront progressivement une plateforme européenne de solidarité et d’assistance pour lutter contre les cyberattaques majeures ». 

L’Unité conjointe de cybersécurité devrait être basée à Bruxelles, et sera doublée d’un espace virtuel pour le partage sécurisé d’informations. Elle devrait être opérationnelle au 30 juin 2022, puis entièrement mise en place en 2023. Dans un premier temps, seuls les établissements publics essentiels pourront en profiter. Cependant, la Commission prévoit une ouverture aux acteurs du secteur privé à l’horizon 2023.

Les ambitions de la présidence française de l’UE

La France, qui préside l’Union européenne depuis le 1er janvier 2022 et pour six mois, entend bien peser de tout son poids pour accélérer encore la construction de l’Europe de la cyberdéfense.

Lors du forum international de la cybersécurité 2021 qui s’est tenu à Lille en septembre 2021, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), bras armé de la France en la matière, n’a pas caché les ambitions tricolores. La France indique ainsi souhaiter « faire progresser les négociations sur la révision de la directive NIS et ainsi promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber ». Cette révision de la directive Sécurité des réseaux et de l’information (SRI) datant de 2016 est effectivement l’un des gros chantiers de 2022. Objectif : étendre sa portée, et renforcer encore les niveaux d’exigence de chaque État en matière de cybersécurité, pour que chaque pays dispose d’une infrastructure de cybersécurité d’un même niveau de fiabilité. Parmi les autres priorités françaises, « le développement d’un tissu industriel européen de confiance ». En clair : la création d’un cadre européen de certification de sécurité pour les prestataires et produits de sécurité informatique.Enfin, la France annonce travailler au « renforcement de la solidarité européenne en cas de crise majeure ». Avec, plus que jamais, l’ambition de jouer collectif !

Lire aussi

Cybersécurité : quel est le niveau
des entreprises françaises ?

Technologie & Systèmes
10 mai 2022

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux…

« Si l’humain continue de constituer une faille,
il y aura toujours un trou dans la raquette
en matière de cybersécurité »

image de plusieurs cadenas digital
Technologie & Systèmes
26 avril 2022

Pour Aurélie Luttrin, qui accompagne entreprises et collectivités dans la sécurisation de leur transformation digitale, l’humain doit plus que jamais être placé au cœur des stratégies de cybersécurité. À condition de rectifier certains travers, et de développer des compétences indispensables. Interview. En septembre 2021, vous avez signé une tribune titrée…

Cybersécurité : qu’est-ce que le Campus Cyber ?

Technologie & Systèmes
19 avril 2022

Inauguré le mardi 15 février 2022, le tout nouveau Campus Cyber a élu domicile aux portes de Paris, et plus précisément dans la tour Eria à La Défense. Dessinée par l’architecte Christian de Portzamparc, cette immense tour de 13 étages peut se vanter de réunir tous les acteurs de la…