Bruxelles a présenté mercredi une nouvelle stratégie sur la cybersécurité destinée à éviter les attaques informatiques comme celle qui a récemment visé l’Agence européenne du médicament (EMA), et veut faciliter l’adoption de sanctions. « La menace est réelle, elle évolue constamment et devient chaque jour plus importante », a déclaré le chef de la diplomatie européenne Josep Borrell lors d’une conférence de presse. En 2019, « 450 incidents (cyberattaques) ont touché des infrastructures européennes cruciales, notamment dans la finance et le secteur de l’énergie », a-t-il dit, soulignant qu’«avec la pandémie de coronavirus, la menace est devenue encore plus forte ».
L’EMA a été victime la semaine dernière d’une cyberattaque alors qu’elle est en pleine délibération sur la délivrance d’autorisations à plusieurs vaccins contre le Covid-19. Le vice-président de la Commission, Margaritis Schinas, a rappelé que le piratage informatique d’un hôpital de la ville allemande de Düsseldorf en septembre avait, en paralysant les urgences de l’établissement, coûté la vie à une patiente. « L’Europe est une cible de premier plan. Nous le savons et nous nous préparons pour lutter contre cela », a déclaré le commissaire grec. « C’est un combat sans fin et c’est la raison pour laquelle nous devons nous organiser pour cette guerre », a renchéri Thierry Breton, commissaire au Marché intérieur. Il a souligné que l’Europe est visée « comme toute autre grande puissance », les États-Unis étant eux aussi la cible « de nombreuses attaques ».
Renforcer le régime de sanctions
Parmi les mesures prévues, l’exécutif européen veut renforcer les règles d’une directive sur la cybersécurité (NIS) de 2016, afin de mieux protéger les installations cruciales telles que les hôpitaux, les réseaux d’énergie, les chemins de fer, les centres de données, les entreprises ou les laboratoires de recherche. Bruxelles veut également établir un « réseau de centres d’opérations de sécurité » dans l’UE utilisant l’intelligence artificielle (IA) pour détecter les attaques à un stade précoce, et créer un « véritable bouclier de cybersécurité ». L’UE a récemment annoncé la création à Bucarest d’un « Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité ».
La Commission souhaite aussi renforcer son régime de sanctions contre les cyberattaques menées depuis l’extérieur de l’UE. Elle compte proposer au Conseil -institution représentant les Etats membres- que les décisions soient prises sur ce sujet à la majorité qualifiée et non plus à l’unanimité, pour plus d’efficacité. « Ce serait une façon de renforcer notre capacité à réagir, et à dissuader », a souligné Josep Borrell. L’arme des sanctions en rétorsion à des cyberattaques a été utilisée par l’UE à deux reprises, en juillet et en octobre. Elles concernent au total huit individus et quatre entités, de Russie, Chine et Corée du Nord, a précisé Josep Borrell. Les dernières sanctions décidées en octobre visaient deux officiers des services secrets russes pour une cyberattaque contre le parlement allemand (Bundestag) au printemps 2015.