Retrouvez chaque semaine sur euradio l'analyse d'une actualité européenne avec Joséphine Staron, directrice des études et des relations internationales du think tank Synopia.
Mi-avril, la Commission européenne a annoncé un nouveau projet de règlement sur la cyber solidarité qui a été salué par beaucoup d’observateurs. En quoi est-ce une avancée majeure pour l’Union européenne ?
Ce nouveau projet européen est ambitieux puisque, pour la première fois, l’UE décide d’agir dans un champ qui relève normalement exclusivement de la souveraineté des États. Or, vu les enjeux actuels et les risques grandissants liés au domaine cyber, le niveau européen de gouvernance apparait comme pertinent pour agir, en complément des niveaux nationaux bien sur, et non en remplacement. C’est d’ailleurs ce qu’a tenté de préciser Thierry Breton dernièrement pour rassurer les États européens, inquiets de perdre leur souveraineté dans ce domaine.
Il a suscité beaucoup d’inquiétude de la part des États ce nouveau projet de loi ?
Oui. Et d’ailleurs, d’après un document qui a pu être consulté par le Financial Times début avril, 24 États membres ont demandé à la Commission de ralentir le processus en matière d’harmonisation cyber. Les inquiétudes, elles portent sur deux enjeux : le premier c’est bien sur l’articulation entre l’échelon européen et l’échelon national (enjeu de souveraineté), notamment dans le cadre des échanges de renseignements entre les différents services des États. Sur ce point, le projet européen est clair : il ne s’agit pas de remplacer les centres d’opérations de cybersécurité actuels des États membres, mais de les faire mieux interagir entre eux afin que tous puissent être plus réactifs et plus efficaces dans leur lutte contre les attaques cyber, qui sont quotidiennes et qui concernent tous les États, sans exception. Et le deuxième enjeu qui suscitent quelques inquiétudes, c’est les relations avec le privé, avec les entreprises qui sont très impliquées dans le projet européen de cyber solidarité.
On a vu effectivement que le cyber solidarity act comprenait un volet important autour de la coopération entre les secteurs publics et privés. En quoi est-ce un problème ou un enjeu pour les États ?
Ce n’est pas un problème en tant que tel. Le projet européen prévoit de renforcer la coordination des États à deux niveaux : le niveau transfrontalier étatique, et le niveau public-privé. En résumé, l’idée c’est que tous les acteurs de la cybersécurité, qu’ils soient publics (les États, les administrations, les services de renseignement), ou privés (entreprises, start-ups, industriels), puissent collaborer au mieux pour faire face aux cybermenaces. Et ça c’est un enjeu de souveraineté parce que si des entreprises européennes, notamment celles qui sont dans des secteurs stratégiques (nouvelles technologies, numérique, matières premières, etc.), si elles sont victimes de cyberattaques, c’est tout un pan de l’économie nationale qui risque d’être impacté, c’est des brevets qui risquent d’être pillés, des technologies volées, usurpées. C’est d’ailleurs la Commissaire Margaret Vestager qui le rappelaient dans une interview il y a quelques jours : « Près de 30 % des petites et moyennes entreprises européennes ont été confrontées à la cybercriminalité au moins une fois au cours des 12 derniers mois ». Donc, la coopération public-privé est essentielle pour faire face à des menaces qui touchent absolument tout le monde.
Concrètement, que contient le projet européen de cyber solidarité ?
Avec un budget d’un peu plus d’1 milliard d’euros, l’objectif c’est de permettre aux européens d’être plus réactifs en cas de cyberattaques de grande ampleur, et donc de les doter d’outils qui permettront cette meilleure réactivité. Parmi ces outils, le projet prévoie une phase amont et une phase avale. Dans la phase amont, il est prévu la mise en place d’un cyber bouclier européen qui sera composé à la fois des centres nationaux qui existent déjà, et de centres transfrontaliers, régionaux qui seront réparties dans l’UE, environ 5 ou 6. Leur objectif sera de surveiller, d’identifier et de prévenir les cybermenaces grâce à des outils pointus, notamment l’intelligence artificielle, et ensuite d’alerter les États en cas de risque d’attaques. Toujours dans l’anticipation des menaces cyber, le plan européen prévoie la création d’un mécanisme d’urgence qui permettra de tester la vulnérabilité de certains secteurs clés, souvent ciblées par les cyber attaques (comme l’énergie, les transports, les infrastructures de télécommunication, etc.). Il y aura aussi la création d’une réserve de cybersécurité européenne composée de personnes et d’entreprises privées certifiées, mobilisables pour intervenir en cas d’attaque majeure. Et dans la phase aval, le projet prévoie la mise en place d’un mécanisme de RETEX, pour évaluer à posteriori les incidents cyber et permettre une meilleure approche européenne en matière de cyberdéfense.
Pourquoi est-ce que c’est aussi important d’agir à ce niveau-là aujourd’hui ?
Parce que les menaces sont décuplées d’années en années, au fur et à mesure que les technologies numériques évoluent et offrent des potentialités nouvelles à de nombreux acteurs, étatiques comme privés. La guerre en Ukraine a accéléré cette prise de conscience puisqu’on a vu l’importance de la guerre dans le champ informationnel et cyber. Mais ça ne date pas d’hier. Depuis 2007 et les attaques majeures qu’a subi l’Estonie, attribuées à la Russie, on savait que les menaces cyber allaient être de plus en plus importantes. Mais comme souvent, et parce que chaque État était très (trop) attaché à sa souveraineté dans ce domaine, la coopération européenne était quasi inexistante. Donc il était temps que les Européens cherchent à agir de concert sur ces enjeux. D’autant qu’ils sont de plus en plus nombreux.
Justement, quels sont les enjeux principaux aujourd’hui, les risques majeurs ?
Le Parlement européen a identifié huit menaces cyber principales : les rançongiciel ; malware ; menaces d'ingénierie sociale ; contre les données ; contre l'accessibilité (déni de service) ; contre la disponibilité (menaces Internet) ; désinformation/mésinformation ; attaques de la chaîne d'approvisionnement qui visent les relations entre les organisations et les fournisseurs. Et ces menaces touchent des secteurs très variés : l'administration publique/gouvernement (24 % des incidents signalés) ; les fournisseurs de services numériques (13 %) ; le grand public (12,4 %) ; les services (11,8%) ; la finance/banque (8,6%) et la santé (7,2%). Donc le potentiel de paralysie d’un État par des cyberattaques est de plus en plus important. Ce qui justifie d’autant plus l’implication de l’Union européenne.
Entretien réalisé par Laurence Aubron.