Bienvenue dans cette édition de « L’Europe au plus près » où nous suivons, chaque semaine, l’actualité des différentes institutions de l’Union européenne.
Cette semaine intéressons nous à la cyberdéfense de l’UE. En effet, les cyberattaques à l’encontre des Etats membres se sont multipliées depuis 2018. La dernière en date, le 24 février, a fortement impacté des milliers d’Européens qui ont été privés d’Internet, alors que les forces armées russes pénétraient sur le territoire ukrainien.
Oui, en février dernier, une cyberattaque a pris pour cible un réseau de satellites appartenant au groupe Orange. Un "cyber événement" selon les mots du fournisseur, qui a entravé la connexion Internet de plusieurs milliers d’Européens. Des perturbations qui ont été ressenties en France et dans toute l’Europe centrale. En addition du réseau internet perturbé, plus de 5000 éoliennes ont cessé de fonctionner en Allemagne. Une conséquence de la guerre en Ukraine selon l'Office fédéral allemand de la sécurité, qui redoute que le conflit russo-ukrainien ne donne lieu à une flambée de cyberattaques.
Oui car en dehors des frontières de l’UE, l’Ukraine est la première victime de ces attaques pirates
Effectivement Thomas, depuis le mois de janvier les sites des autorités ukrainiennes ont été régulièrement ciblés par des attaques. Peu avant le début de l’invasion du pays par les forces armées russes, Kiev avait accusé le Kremlin d’avoir lancé un assaut contre les serveurs de plusieurs de ses ministères dans le but de déstabiliser le gouvernement. Des accusations qui ont toujours été réfutées par Moscou, bien que depuis le début de la guerre en Ukraine, les services de sécurité européens craignent la multiplication de ce type d’attaques.
Alors que depuis plus de 2 ans les cyberattaques se multiplient en Europe et menacent la sécurité des Etats membres, la cour des comptes européenne a publié un rapport le 29 mars dernier à ce sujet. Quelles sont ses conclusions ?
Eh bien les auditeurs de la cour des comptes sont partis du constat que le nombre de cyberattaques en Europe est en nette augmentation. Une situation d’autant plus inquiétante que les Etats membres ne sont pas préparés à faire face à ces menaces. Selon les auditeurs, bien que le niveau de préparation en matière de cybersécurité varie d’un organe de l’UE à l’autre, les institutions ne sont globalement pas assez à l'abri des menaces de cyberattaques. De plus, le rapport de la Cour des Comptes révèle plusieurs failles des systèmes informatiques de l’UE, notamment dûes de leurs interconnexions.
Un constat partagé par la Commission spéciale sur l’ingérence étrangère du Parlement européen, qui avait déjà tiré la sonnette d’alarme au mois de janvier.
Après une enquête de 18 mois menée par les eurodéputés membres de la commission spéciale, ces derniers avaient fait état de graves failles de sécurité au sein des Etats membres de l’UE. Ils signalent notamment un manque “flagrant de prise de conscience” de la gravité de la situation de la part de l’opinion publique et des gouvernements de l’UE. Des conclusions que reprennent les auditeurs de la Cour des Comptes.
Quelles sont les recommandations des auditeurs pour résorber ces failles ?
Eh bien les auditeurs appellent les institutions à mettre en place des règles de cybersécurité beaucoup plus contraignantes pour les Etats membres et à renforcer les ressources des équipes d’intervention en cas d’urgence informatique. Ils ajoutent que la commission devrait promouvoir une coopération accentuée entre les organes de l’UE. Néanmoins, le rapport rappelle qu’il n’existe pour l’instant pas de cadre juridique pour la cybersécurité dans les institutions de l’UE, puisque ces dossiers ne tombent pas sous le coup des compétences de l’Union.
Malgré ces limites, des stratégies et des actions sont mises en place par les institutions de l’UE afin de lutter contre la cybercriminalité qui sévit au sein des Etats membres. Pouvez nous les présenter ?
Oui Thomas, la Commission européenne et le service d’action extérieure de l’UE sont en première ligne de la lutte contre les cybermenaces dans l’Union, à travers notamment une stratégie présentée en décembre 2020. L’objectif de ce plan : renforcer la défense de l’Europe face aux attaques en ligne. La coopération entre les différents organes nationaux de sécurité y est par exemple fortement encouragée. En mars 2021, le Conseil a également adopté plusieurs orientations concernant la cybersécurité européenne, renforçant notamment le rôle de l’agence européenne de cybersécurité, ENISA, créée en 2004. Cette dernière entend élever la sécurité numérique en tant que priorité de l’UE, afin de renforcer le leadership européen sur la question du numérique.
Pourtant, comme le rappelle la cour des comptes, l’UE ne possède pas les compétences nécessaires à l’édification d’un plan européen de cyberdéfense.
Tout à fait, c’est pourquoi les Etats membres ont eux-mêmes lancé des initiatives nationales destinées à les protéger d’attaques de plus en plus répétées. En France notamment, le “Campus Cyber” a été mis en place au mois de février, dans le but de réunir les principaux acteurs de la défense numérique et d’élaborer une politique nationale de cybersécurité.
Les banques européennes ont également dû renforcer leurs politiques de sécurité, et ce même avant l’invasion de l’Ukraine par la Russie.
La Banque centrale européenne avait alerté les banques nationales dès le début du mois de février quant au risque de cyberattaques en provenance de la Russie. De même les agences nationales italienne et lituanienne de cybersécurité ont appelé à renforcer les systèmes de sécurité pour contrer les logiciels de rançons, et les attaques par déni de service, par lesquelles les hackers tentent de surcharger un réseau ou un site internet en y attirant de gros volumes de trafic de données. Des tentatives qui restent pour le moment insuffisantes si l’on en croit le dernier rapport de la cour des comptes.
Juliane Barboni - Laura Léger