L'actualité récente montre la place grandissante que prend la cybersécurité dans les relations internationales. Lors d'un récent sommet UE-Chine, Ursula von der Layer, la présidente de la Commission européenne, a publiquement accusé la Chine d'être à l'origine d'une série de cyberattaques contre des hôpitaux européens pendant la pandémie de Covid-19. Interrogé à ce sujet par L'Express, Thierry Breton certifie que l'Europe a la capacité de contrer d'importantes attaques informatiques. Mais le Vieux continent doit devenir plus agressif envers ses potentiels agresseurs.
450 attaques recensées en 2019
Dans cette interview publiée le 24 juin, le commissaire européen au marché intérieur révèle qu'en 2019, l'Europe a connu près de "450 attaques significatives sur des cibles considérées comme délivrant un service important, voire essentiel". Dans les détails, les secteurs les plus touchés sont la santé, "les infrastructures numériques critiques", les banques, les transports et l'énergie. "Une dizaine d'attaques d'ampleur ciblaient même des services gouvernementaux", précise le haut fonctionnaire. Il se félicite de la coopération qu'il existe entre les Etats membres de l'UE rendu possible grâce à la Directive "Network and Information System Security" du 6 juillet 2016.
L'objectif central de ce texte est d'assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information de l'UE. Cette coopération est chapeautée par l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa). Thierry Breton rappelle la mise en place prochaine d'un centre européen de compétences et de recherche en cybersécurité dont l'objectif est la mise en commun des ressources et de l’expertise dans le domaine des technologies de cybersécurité à travers toute l’Europe.
Harmoniser les stratégies étatiques au sein de l'union
Mais l'Europe peut mieux faire, estime l'ex-PDG d'Atos. En premier lieu, l'arsenal de règles doit être harmonisé entre les différents Etats membres. "Il est impératif de disposer de règles communes strictes", argue-t-il. Le haut fonctionnaire prend l'exemple de la notion d'"opérateur de service essentiel" (OSE), une qualification qui entraîne l'application d'obligations juridiques. En France, c'est un opérateur tributaire des réseaux ou systèmes d’information qui fournit un service essentiel dont "l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société".
En coordination avec le ministère de l'Intérieur, l'Agence nationale de la sécurité des systèmes d'information (Anssi) publie une liste d'OSE. Une fois désigné, l'opérateur a une série d'obligations à remplir comme la notification des incidents de sécurité des systèmes d’information essentiels (SIE) à l'Anssi. Or, les critères d'identification dépendent des Etats. Car, contrairement à un règlement qui s'applique totalement et directement, une directive ne fait que donner des objectifs aux Etats mais leur laisse le choix des moyens et de la forme pour l’atteindre dans les délais fixés. "C'est un point crucial, qui amène à une fragmentation du marché intérieur", regrette Thierry Breton.
Pas question d'autoriser le hack back
La détection des signaux faibles d'une future cyberattaque est "l'enjeu technologique des années à venir". A ce titre, le commissaire affirme que l'Europe va se doter "des meilleures technologies" de détection rapide grâce à l'intelligence artificielle. "L'action de l'Europe en matière de cybersécurité va changer de dimension", prévient-il. Mais jusqu'où ces changements iront ? L'Europe envisage-t-elle d'autoriser le "hack back", une riposte informatique légale ? "Ce n'est pas une option envisagée à ce stade", répond Thierry Breton.
Mais, sur le long terme, il concède que l'Europe devra se doter d'une capacité de "cyberdissuasion", qui consiste à prévenir un acte en persuadant son auteur que les coûts d'une telle action excèdent ses bénéfices. Plus facile à dire qu'à faire. Il va falloir convaincre 26 Etats membres à changer de doctrine. Et la France par exemple est encore bien loin d'une stratégie offensive. Alors que la Russie via des groupes de hackers attaque ses infrastructures critiques, l'Hexagone continue à préférer la voie du dialogue qui n'a rien de dissuasive.
