Face à une menace cyber qui semble sans limites et accentuée par la crise sanitaire, l’Union européenne tente de s’organiser pour maîtriser le risque à l’échelle des 27. Objectifs : établir des niveaux de protection communs toujours plus exigeants, et coordonner plus efficacement les réponses aux attaques. Mais où en est vraiment l’Europe sur ces sujets ?

Un nouvel espace de conflits pour l’Union européenne

La terre, l’air, la mer et l’espace… mais plus seulement. À ces quatre champs « classiques » de défense est venu s’ajouter depuis une vingtaine d’années – à mesure du développement d’Internet et des réseaux de télécommunications – un autre terrain propice aux attaques : le cyberespace. Un univers de criminalité qui ne connaît aucune frontière. Des organisations de hackers étrangères très structurées, comme des puissances étatiques hostiles n’hésitent plus à cibler les sites publics et stratégiques des États membres de l’Union européenne. 

Un puissant outil de déstabilisation potentielle, et un point de fragilité majeur que l’Union européenne a bien identifié. Dans sa communication officielle, l’Europe évoque ainsi « le cinquième domaine de guerre, qui est aussi critique pour les opérations militaires que les domaines terrestre, maritime, aérien et spatial ». 

Des tentatives successives d’harmonisation de la politique cyber

Cependant, la nécessité de s’organiser et de coordonner l’action de l’Europe en matière de sécurité cyber est relativement récente. Pour preuve, en 2013, la notion de cyberdéfense est incluse pour la première fois dans les activités de défense de l’UE, réunies dans le cadre de la politique de sécurité et de défense commune (PSDC).

Un premier cap important est ensuite franchi en 2016 avec l’adoption de la directive Sécurité des réseaux et de l’information (SRI) – ou Network and Information Security (NIS). Elle est considérée comme le socle juridique commun de la politique européenne de cybersécurité. Ce cadre illustre la volonté forte de collaboration renforcée entre les États dans le domaine cyber. Il établit par exemple les organisations essentielles à la survie de l’Union, à protéger en priorité. Et formalise des exigences pour parvenir à un niveau de sécurité minimum commun.

L’Union européenne tente d’harmoniser sa politique de cyberdéfense.

Avec un bémol cependant pointé par Rayna Stamboliyska, experte cyber et affaires européennes, fondatrice du cabinet RS Strategy et autrice de La Face cachée d’Internet : « La directive, comme toute directive européenne, indique des objectifs communs de cybersécurité à atteindre, mais laisse à chaque État le soin de la transposer en définissant sa propre stratégie et ses propres moyens ». 

Les niveaux hétérogènes de maturité cyber, des volontés plus ou moins affirmées d’avancer groupés, la souveraineté des États en la matière… autant d’éléments qui peuvent freiner les ambitions européennes. 

En 2017, l’UE lance cependant la Coopération structurée permanente (CSP). Le principe : 25 États volontaires travaillent ensemble sur les questions de cyberdéfense via la création d’équipes de réaction rapide d’assistance mutuelle en cas d’attaque. L’une des premières traductions concrètes de cette instance : un exercice cybersécuritaire européen mené en avril 2019. À quelques semaines des élections européennes de mai 2019, il s’agissait d’organiser la réaction aux potentielles cybercampagnes de désinformation et cyberattaques visant à déstabiliser l’échéance électorale.

Par ailleurs, dans le but d’harmoniser les pratiques, l’ENISA (Agence de l’Union européenne pour la cybersécurité) aide les États, institutions et agences de l’Union à atteindre les niveaux communs de cybersécurité requis.

Europol (Agence européenne de police criminelle) dispose, quant à elle, d’un centre européen spécialisé dans la lutte contre la cybercriminalité. Le but : soutenir les pays de l’UE dans leurs enquêtes sur la criminalité en ligne, et dans le démantèlement des réseaux criminels.

Le coup d’accélérateur de la crise sanitaire

Le spécialiste en cybersécurité Checkpoint Software Technologies a mené l’enquête. Selon ses chiffres, les cyberattaques ont augmenté de 36 % en Europe au premier semestre 2021. Et d’après la Commission européenne, une entreprise européenne sur huit aurait déjà été la cible d’une attaque depuis le début de la crise sanitaire. 

Les organisations publiques sont également ciblées. Et ce sont bien elles qui inquiètent tout particulièrement les institutions européennes. 200 sites gouvernementaux belges touchés par une gigantesque cyberattaque en mai 2021, quelques jours après les attaques successives ciblant la Commission européenne en avril 2021, l’Agence européenne des médicaments victime à son tour… Sans oublier les hôpitaux attaqués dans de nombreux pays européens.

Il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles.

La Commission européenne

Ce ne sont que quelques exemples parmi le flot continu des malwares et autres ransomwares qui ont rythmé – et rythment toujours – le quotidien de bon nombre d’entités publiques… comme privées. De quoi encourager l’Union européenne à passer la vitesse supérieure. D’autant que l’institution y voit l’ombre de puissances hostiles qu’elle n’hésite plus à nommer : la Russie, la Chine, la Corée du Nord… L’enjeu : renforcer encore la coopération et les capacités d’intervention communes. En juin 2021, la Commission européenne annonce ainsi la création d’une Unité conjointe de cybersécurité pour détecter et contrer plus rapidement les menaces. Selon elle, « il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles ».

Grâce à l’Unité conjointe de cybersécurité, « ils disposeront d’une plateforme virtuelle et physique de coopération : les institutions, organes et organismes compétents de l’UE ainsi que les États membres constitueront progressivement une plateforme européenne de solidarité et d’assistance pour lutter contre les cyberattaques majeures ». 

L’Unité conjointe de cybersécurité devrait être basée à Bruxelles, et sera doublée d’un espace virtuel pour le partage sécurisé d’informations. Elle devrait être opérationnelle au 30 juin 2022, puis entièrement mise en place en 2023. Dans un premier temps, seuls les établissements publics essentiels pourront en profiter. Cependant, la Commission prévoit une ouverture aux acteurs du secteur privé à l’horizon 2023.

Les ambitions de la présidence française de l’UE

La France, qui préside l’Union européenne depuis le 1er janvier 2022 et pour six mois, entend bien peser de tout son poids pour accélérer encore la construction de l’Europe de la cyberdéfense.

Lors du forum international de la cybersécurité 2021 qui s’est tenu à Lille en septembre 2021, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), bras armé de la France en la matière, n’a pas caché les ambitions tricolores. La France indique ainsi souhaiter « faire progresser les négociations sur la révision de la directive NIS et ainsi promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber ». Cette révision de la directive Sécurité des réseaux et de l’information (SRI) datant de 2016 est effectivement l’un des gros chantiers de 2022. Objectif : étendre sa portée, et renforcer encore les niveaux d’exigence de chaque État en matière de cybersécurité, pour que chaque pays dispose d’une infrastructure de cybersécurité d’un même niveau de fiabilité. Parmi les autres priorités françaises, « le développement d’un tissu industriel européen de confiance ». En clair : la création d’un cadre européen de certification de sécurité pour les prestataires et produits de sécurité informatique.Enfin, la France annonce travailler au « renforcement de la solidarité européenne en cas de crise majeure ». Avec, plus que jamais, l’ambition de jouer collectif !

Lire aussi

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…