L’Union européenne en quête d’une cyberdéfense

Mis en ligne le 17 Oct 2022

L'Union européenne en quête d'une cyberdéfense

Avec la guerre en Ukraine, le besoin d’un renforcement de la cyberdéfense devient encore davantage patent, y compris au niveau de l’Union Européenne. L’auteur met en exergue l’engagement de l’UE dans une politique de cyberdéfense. Il souligne combien l’arme numérique, désormais intégrée dans toute opération militaire, peut être profitablement affutée au niveau collectif européen, en renfort de celle des Etats membres.

Les opinions exprimées dans cet article n'engagent pas le CNAM.

Les références originales de cet article sont : Marc Watin-Augouard, « L’Union européenne en quête d’une cyberdéfense », Revue de la gendarmerie nationale. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site du CREOGN.

Depuis la directive NIS (2016) et, plus récemment, avec le règlement européen sur la cybersécurité (2019), l’Union européenne s’est engagée dans une politique de cyberdéfense venant compléter le dispositif de lutte contre la cybercriminalité. L’agression russe en Ukraine a démontré combien l’arme numérique était désormais intégrée dans toute opération militaire. L’Europe montre une solidarité inattendue qui pourrait être le moteur du renforce- ment d’une cyberdéfense collective renforçant celle des États membres.

L’Europe s’est d’abord construite sur une ambition économique, initiée par la Communauté européenne du charbon et de l’acier (CECA) devenue Communauté européenne, avant de se muer en Union européenne.

Cela explique pourquoi l’intervention européenne dans le du citoyen-consommateur[1]. Après la libre circulation des personnes et des biens, il a fallu organiser la libre circulation des données. Le « Paquet Télécom », le règlement e-IDAS et le règlement général relatif à la protection des données à caractère personnel (RGPD) sont les textes les plus significatifs.

Protéger le consommateur, c’est aussi lutter contre la cybercriminalité. Outre sa participation très active à l’élaboration et au suivi de la Convention de Budapest sur la cybercriminalité (2001), l’Union européenne a créé deux agences qui, sans être exclusivement dédiées à la lutte contre les infractions cyber, Issue d’une convention conclue en 1995 entre les États membres, Europol est devenue une agence européenne à la suite de la décision du Conseil du 6 avril 2009. Le traité de Lisbonne a permis de renforcer son efficacité et sa légitimité en communautarisant la coopération policière. L’unité cyber d’Europol (European Cybercrime Centre – EC3) constitue un dispositif de soutien aux services d’investigation des pays de l’UE. Les programmes EMPACT (European Multidisciplinary Platform Against Criminal Threats) concernent notamment la lutte contre les cyberattaques, les fraudes aux moyens de paiement non liquides et les atteintes aux mineurs. Eurojust est une agence instituée par la décision du Conseil 2002/187/JHA, amendée par la décision du Conseil 2009/426/JHA du 16 décembre 2008. Sa mission est de renforcer l’efficacité des autorités nationales chargées des enquêtes et des poursuites dans les dossiers de criminalité transfrontalière grave et de criminalité organisée pour traduire les criminels en justice de façon rapide et efficace. Eurojust met en œuvre les équipes communes d’enquête (ECE)[2]. De récents succès (Encrochat, Emotet, Revil, etc.) soulignent la qualité de la coopération entre États membres.

La lutte contre la cybercriminalité progresse, mais il faut la compléter par une politique de cyberdéfense, notamment dans le haut du spectre des cybermenaces. La cyberattaque ayant visé l’Estonie, en 2007, a sans doute été un déclencheur. La directive 2008/114/CE du Conseil du 8 décembre 2008 concerne le recensement et la désignation des infrastructures critiques européenne ainsi que l’évaluation de la nécessité d’améliorer leur protection. C’est une première étape suivie, à l’initiative de la France, par la directive du 6 juillet 2016[3] concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (direc- tive SRI ou NIS). Cette directive, qui devrait être prochainement renforcée (directive NIS2 en cours d’élaboration), s’inscrit dans la logique de la démarche française relative aux OIV et fixe des règles de protection des opérateurs de services essentiels (OSE) et des fournisseurs de services numérique (FSN). À Tallin, lors du Sommet européen des chefs d’État ou de gouvernement sur le numérique (29 septembre 2017), la décision est prise d’élaborer un « paquet cyber ».

La SSI est au programme avec l’élaboration de labels européens de cybersécurité pour les entreprises, la lutte contre la cybercriminalité également (traçabilité, lutte contre la fraude, poursuites pénales). Mais la cyberdéfense fait son apparition avec le règlement européen sur la cybersécurité[4], qui comprend comme éléments « phares », la pérennisation de l’Agence européenne pour la cybersécurité (ENISA) et la création d’une « boîte à outils cyberdiplomatique ». S’agissant de l’ENISA, son appellation en anglais est European Union Agency for Cybersecurity. C’est donc une agence pour la cybersécurité et non de la cybersécurité. Le choix de la préposition n’est pas neutre en termes de souveraineté nationale. La France et l’Allemagne, en particulier, se sont opposées à toute velléité supranationale pouvant animer certains européistes. Les aspects les plus régaliens, en premier lieu la cyberdéfense, ne peuvent être transférés.

Le règlement du 17 avril 2019 relatif à la cybersécurité européenne consacre donc la prise en compte des enjeux par l’Union sans remettre en cause les prérogatives des États. Il s’agit davantage d’hisser tous les États membres à un niveau comparable, de partager l’information, l’expertise. Plus directement tournée vers la cyberdéfense, la « boîte à outil cyberdiplomatique » s’inscrit dans une posture de rétorsion, de sanction contre les auteurs de cyberattaques agissant hors de l’Union. Parmi les mesures prises, une décision relevant de la Politique étrangère et de sécurité commune (PESC)[5] et un règlement[6] prévoient des mesures restrictives (gel des avoirs financiers, interdiction d’accès ou de transit sur le territoire de l’UE).

Les cyberattaques constituant une menace pour les États membres sont notamment celles qui portent atteinte aux systèmes d’information en ce qui concerne, notamment

  • les infrastructures critiques, y compris les câbles sous-marins et les objets lancés dans l’espace extra-atmosphérique, qui sont indispensables au main- tien des fonctions vitales de la société, ou à la santé, la sûreté, la sécurité et au bien-être économique ou social des citoyens ;
  • les services nécessaires au maintien d’activités sociales et/ou économiques critiques, en particulier dans les secteurs de l’énergie (électricité, pétrole et gaz), des transports (aériens, ferroviaires, fluviaux, maritimes et routiers), des activités bancaires, des infrastructures des marchés financiers, de la santé (prestataires de soins, hôpitaux et cliniques privées), de l’approvisionnement en eau potable et sa distribution, des infrastructures numériques et tout autre secteur essentiel pour l’État membre concerné.

Les menaces extérieures ont leur origine ou sont menées à l’extérieur de l’Union ; elles utilisent des infrastructures situées à l’extérieur de l’Union. Elles sont menées par toute personne physique ou morale, toute entité ou tout organisme établi ou agissant à l’extérieur de l’Union ou avec l’appui, sur les instructions ou sous le contrôle de toute personne physique ou morale, entité ou organisme agissant à l’extérieur de l’Union.

À deux reprises[7], des sanctions ont visé des organismes russes, chinois et Nord-coréens et des ressortissants de ces pays. C’est, dans le contexte de l’époque, une affirmation de l’autorité de l’Union puisqu’elle sanctionne des personnes morales ou physiques en précisant leurs liens avec des organes officiels des États dont elles relèvent. Depuis la prise de sanctions à l’égard de la Russie, il y a fort à parier que les sanctions seront prises sans circonvolutions diplomatiques, sous réserve cependant que l’on puisse attribuer à la Russie toutes les cyberattaques ciblant l’Union européenne.

Le développement de la cybersécurité européenne devrait déboucher, selon Thierry Breton, sur un « bouclier européen ». Cette expression doit sans doute être reformulée, car elle laisse imaginer un « parapluie cyber » qui ne peut exister, dès lors que les cyberattaques, dans leur forme paroxystique, y compris les actions qui relèvent de la manipulation de l’information via internet, relèvent de la sécurité nationale et donc de la souveraineté des États membres. La « tortue romaine » serait l’image la plus adaptée. Chacun se protège directement et protège indirectement les autres. Les institutions de l’Union dédiées à la cybersécurité interviennent pour renforcer les plus faible et donner de la cohésion à l’ensemble. L’agression qui vise l’Ukraine est un défi pour l’Union européenne qui a montré sa solidité dans l’adversité.

Depuis la guerre du Kosovo, mais surtout à l’occasion de l’attaque de la Géorgie par la Russie, en 2008, le cyber dans la guerre est une réalité. « La guerre cyber a bel et bien commencé. Nous ne serons ni naïfs ni aveugles, et nous allons nous y préparer ».

Ainsi s’exprimait Florence Parly, lors du FIC, en janvier 2019. Aujourd’hui, pas une opération militaire ne se déroule sans être précédée, accompagnée et poursuivie par des cyberopérations. L’agression russe en est l’une des démonstrations les plus criantes.

Les « dividendes de la paix » n’ont jamais été encaissés. Les investissements pour la défense sont désormais urgents. La cyber- défense, dans ses volets défensifs et offenssifs, figurera parmi les actions prioritaires. Ce n’est pas à l’Union de faire la force de chacun, mais à chacun de contribuer à la force de l’Union. Aide-toi, le ciel t’aidera ! telle pourrait être le slogan qui sous-tend une Europe qui a aujourd’hui une voix à exprimer, une voie à tracer.

References[+]


Du même partenaire

La victime face aux cyberprédateurs : comment mieux la prendre en compte dans...

La victime face aux cyberprédateurs : comment mieux la prendre en compte dans le procès pénal ?

Sociétés, Cultures, Savoirs

Par Xavier LEONETTI

Source : CREOGN

Mis en ligne le 16 Fév 2023

« L’engagement libère »

L'engagement libère

Sociétés, Cultures, Savoirs

Par François SUREAU

Source : CREOGN

Mis en ligne le 15 Fév 2022

Cybersécurité collaborative des territoires

Défense et Sécurité

Par Olivier KEMPF

Source : CREOGN

Mis en ligne le 16 Nov 2021


Articles de la catégorie Défense et Sécurité

Staying power: Securing peace in Ukraine while balancing European interests

Staying power: Securing peace in Ukraine while balancing European interests

Défense et Sécurité

Par Marie Dumoulin , Camille GRAND

Source : ECFR

Mis en ligne le 19 Dec 2024

Vers une militarisation de la sécurité publique au Mexique ?

Vers une militarisation de la sécurité publique au Mexique ?

Défense et Sécurité

Par Célina CAMARENA ROMERO

Source : Les Jeunes IHEDN

Mis en ligne le 19 Dec 2024

Les enjeux sécuritaires du stress hydrique en Europe du Sud

Les enjeux sécuritaires du stress hydrique en Europe du Sud

Défense et Sécurité

Par Eléonore Duffau, Mathilde Jourde, Martin Collet

Source : IRIS

Mis en ligne le 19 Dec 2024

Nos partenaires

Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes
Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes

 

afficher nos partenaires