L’émergence d’une politique européenne de cybersécurité

C’est la nouvelle frontière de l’action européenne au XXIème siècle : l’économie numérique connaît un développement exponentiel depuis deux décennies grâce à la démocratisation d’internet au début des années 2000 et à l’émergence des objets connectés une décennie plus tard.

L’intégration des pays européens dans un grand marché unique numérique, au sein duquel la libre circulation des biens, des services, des personnes et des capitaux est garantie, a été un objectif de la Commission Juncker qui y voyait une source exceptionnelle de croissance et d’emploi.

En 2015, celle-ci a publié une stratégie pour un marché unique numérique en Europe reposant sur trois piliers :

• Un accès plus facile aux biens et services numériques,

• Un environnement propice au développement des réseaux et services numériques,

• Le potentiel de croissance du marché unique numérique.

La cybersécurité est un point non moins important car un « environnement propice » doit être avant tout sécurisé. Des pays membres de l’UE ont été victimes de cyberattaques d’ampleur dès la fin des années 2000 (comme l’Estonie en 2007).

Une politisation croissante des enjeux

2017 a été une année-pivot en la matière. Les cybermenaces ont pris un tournant bien plus politique avec la multiplication d’interférences lors de processus électoraux (aux Etats-Unis et en France).

Tandis que de nombreux pays du monde ont été victimes de cyberattaques majeures (WannaCry ou bien NotPetya), les institutions européennes ont réagi en septembre 2017 lors du premier Sommet européen consacré à l’économie numérique, organisé à Tallinn. Cette réunion s’organisait autour de deux axes : la taxation des géants du numériques (voulue par le Président Emmanuel Macron) et le renforcement de la stratégie commune en matière de cybersécurité.

Quelques jours avant ce sommet, la Commission avait publié une communication sur le sujet : « Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide ». Ce document devait être une véritable feuille de route pour l’émergence d’une politique européenne de cybersécurité.

Un consensus européen sur la forme…

Pourtant, les institutions européennes n’ont pas attendu 2017 pour commencer ce travail titanesque.

En mars 2004, l’ENISA (l’agence européenne chargée de la sécurité des réseaux et de l’information) est créée à Héraklion, en Grèce. Dès 2013, la Commission a présenté une première stratégie articulée autour de cinq axes (parvenir à la cyber-résilience, lutter efficacement la cybercriminalité, développer une politique de cyberdéfense liée à la politique européenne de défense (PSDC), développer des ressources industrielles et technologiques, et instaurer une politique internationale en matière de cyberdéfense et promouvant les valeurs fondamentales de l’UE).

La même année, une proposition de Directive sur la sécurité des réseaux et des informations (Directive SRI) a été mise sur la table. Il s’agissait ni plus ni moins du premier texte législatif européen sur la cybersécurité, censé favoriser la coopération européenne dans le domaine, ainsi que le renforcement des standards de sécurité.

Cette nouvelle directive s’axe autour de quatre innovations :

• Le renforcement des capacités nationales de cybersécurité,

• Le renforcement par chaque Etat de la cybersécurité « d’opérateurs de services essentiels », particulièrement sensibles aux cyberattaques (comme la finance ou le secteur énergétique),

• L’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE,

• L’instauration de règles communes en termes de cybersécurité des prestataires de services numériques.

La Directive SRI a été adoptée en 2016 et transposée par les Etats européens jusqu’en 2018.

Le fait que cette directive ait été votée à l’unanimité au Conseil de l’UE montre bien que le principe même d’une coordination européenne dans un domaine aussi sensible et stratégique ne fait pas vraiment débat, l’ensemble des pays européens semblent avoir compris (à des degrés divers) que la cybersécurité est un pilier fondamental du développement d’un marché unique numérique, véritable nouvelle impulsion du projet européen dans les prochaines années.

Le paquet « cybersécurité » de septembre 2017 montre également que la grande majorité des gouvernement nationaux (poussés par la présidence estonienne du Conseil) souhaitent également aller plus loin que la directive SRI. Cependant, c’est en développant la législation que les premières dissensions apparaissent.

… Mais pas sur le fond

La Directive SRI, malgré son approbation à l’unanimité au Conseil, n’a pas été épargné par les critiques et les divergences d’intérêts nationaux. En particulier, de très nombreux Etats membres se sont montrés particulièrement réticents aux échanges d’informations dans le cadre de coopération volontaire.

Les pays avancés en Europe de l’Ouest ne voulaient pas partager trop d’informations sensibles, tandis que les pays d’Europe centrale et orientale, très peu habitués à la coopération en matière de cybersécurité (hormis l’Estonie), ne voulaient pas non plus trop s’ouvrir à l’extérieur, préférant construire leur cybersécurité au niveau national.

La question de l’inclusion des GAFAM, les géants américains du numérique, dans les stratégies renforcées de cybersécurité, s’est aussi posée. Des pays comme l’Irlande, la Suède ou Malte, se sont montrés défavorable à leur inclusion, de peur de freiner leur développement en Europe (sic). Enfin, la question de la lutte contre le terrorisme en ligne a poussé la France ou le Royaume-Uni à proposer des clauses dans ce sens, malgré leur caractère jugé liberticide aux yeux d’autres pays.

Les divergences se sont élargies lors de l’élaboration du « Cybersecurity Act », un autre pilier de l’action européenne en matière de cybersécurité découlant directement de la stratégie de la Commission européenne de 2017. Ce règlement européen (bien plus contraignant qu’une directive car la marge de manœuvre des Etats est largement réduite) s’articule autour de deux axes : le renforcement du rôle de l’ENISA et la création d’un cadre européen de certification pour les technologies de l’information et la communication (TIC).

L’ENISA devient une agence permanente, dotée de ressources financières et humaines bien plus importantes, ainsi que de responsabilités dans la coopération inter-étatiques, mettant en musique notamment le nouveau cadre de certification européen.

Cette proposition de règlement a été loin de faire l’unanimité, notamment en France et en Allemagne, deux pays dotés d’un arsenal de cybersécurité extrêmement performant.

Guillaume Poupard, le directeur général de l’ANSSI (l’alliance nationale de la sécurité des systèmes d’informations) a critiqué à plusieurs reprises certaines parties du « Cybersecurity Act » et notamment le risque d’harmonisation vers le bas. Selon lui, l’ENISA n’a ni l’expérience nécessaire pour piloter la réforme des règles de cybersécurité en Europe ni les moyens humains et financiers (actuellement l’ENISA a un budget de 11 millions d’euros, contre 100 millions pour l’ANSSI).

Même si la mis en place d’un système européen de certification de cybersécurité est indispensable, cela ne doit pas se faire au détriment des normes très élevées de certains Etats membres.

Ces divergences se retrouvent dans l’hétérogénéité des normes de sécurité en Europe. Même si une stratégie européenne se met en place, la marge de manœuvre des Etats membres est encore très large, menaçant dans ce cas la cohérence de cette stratégie.

L’UE doit-elle avoir recours plus souvent aux règlements, bien plus contraignants que les directives ? Les différences de situations et de cultures stratégiques concernant la cybersécurité dans l’Union européenne rendent le problème bien plus complexe.

La question du financement

La cybersécurité étant un domaine très nouveau et doté d’un potentiel de croissance extrêmement élevé, beaucoup d’argent doit y être investi, notamment dans la recherche et développement.

L’Union européenne a appelé dans sa stratégie de 2017 à la création de plusieurs structures communautaires permettant de meilleures synergies entre les Etats membres et l’Union européenne, comme un réseau de centres de compétences en cybersécurité, au sein duquel figurerait un centre européen de recherche et de compétences en cybersécurité (la création de ces deux structures est l’objet d’une proposition de règlement d’octobre 2018).

Le grand programme de recherche européen Horizon 2020 est également mis à contribution pour le développement des technologies de cybersécurité.

La source de financement la plus importante (et de loin) est le partenariat public-privé sur la cybersécurité, lancé en 2016. D’ici 2020, cette initiative doit donner lieu à des investissements de presque 2 milliards d’euros… ce qui est anecdotique face aux sommes colossales mobilisées par un pays comme les Etats-Unis (en 2017, Washington a investi 19 milliards de dollars dans la cybersécurité).

Les disparités abyssales entre les pays européens sont une autre source de préoccupation et où l’UE doit mobiliser des capacités de financements.

Le nouveau mandat et les nouvelles ressources financières de l’ENISA peuvent apparaître comme un premier pas dans la bonne direction, mais sa capacité de coordination et de direction des agences nationales, dont certaines sont bien plus puissantes et riches qu’elle, est remise en question par certains Etats.

Les conséquences économiques des cybermenaces, en croissance exponentielle, doivent inciter les Etats et les institutions européennes à coopérer efficacement pour construire une politique européenne de cybersécurité, dotée de financements solides.