Cybersécurité la lente (mais sûre) marche vers la coopération européenne

Après les différentes crises qu’ont provoquées les attaques de masse par rançongiciels, la coopération européenne s’étoffe peu à peu. Dotée d’un cadre juridique avec la directive NIS, d’une coopération permanente structurée (Pesco) et d’unités opérationnelles (CRRT, JCU), cette coopération ne cesse de se renforcer. Un bon point à l’heure où la France s’apprête à prendre la présidence de l’UE et où se discute la version 2 de la directive NIS.

« Les crises cyber ne connaissent pas de frontières » explique Juhan Lepassaar, directeur de l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa), basée à Heraklion, en Grèce. Or, « dans le cadre d’une Union européenne (UE) dépourvue de forces armées communes, la défense cyber relève encore entièrement de la souveraineté nationale des États, pointe Rémi Ravel, auteur du rapport La cyber-coopération européenne paru en mars dernier chez Les Jeunes IHEDN (Institut des hautes études de défense nationale). Chaque pays se munit donc de sa propre agence et de sa propre politique. » ainsi la France dispose-t-elle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’Allemagne du Bundesamt für Sicherheit in der Informationstechnik (BSI), et nos voisins d’outre-Quiévrain du Centre pour la cybersécurité Belgique (CCB)… Pour sa part, l’Enisa analyse et évalue depuis sa création en 2004 les méthodes de chaque pays en matière de cyberdéfense. En revanche, « elle n’est pas en mesure d’agir sur le terrain en soutien direct lors de potentielles attaques », reprend Rémi Ravel.

La France, moteur de la cyberdéfense en Europe

Dotée d’organismes de coopération et non de cyberdéfense propre, le paysage de protection en Europe se caractérise par de fortes disparités nationales. Ainsi, avec sa politique de cyberdéfense, l’ANSSI et le commandement de la cyberdéfense, la France figure dans le peloton de tête. À cet égard, elle a gagné l’exercice de cyberdéfense LockedShields en 2019, à savoir une compétition entre alliés de l’OTAN récompensant le pays le mieux à même de protéger un pays fictif d’une cyberattaque. Ce qui n’a pas empêché nos hôpitaux de se faire pirater durant la crise sanitaire. Malgré cela, la France est aussi classée seconde puissance en cyberdéfense par un rapport du Belfer Center, un centre de recherche associé à Harvard. Par ailleurs, l’Hexagone est un des rares pays à posséder une doctrine de lutte offensive, dévoilée en 2019 par Florence Parly, ministre des Armées.

« En 2017, le commandement de cyberdéfense (Comcyber) a été créé. Il a prouvé sa pertinence et montré sa qualité. J’ai décidé d’en augmenter les moyens et d’en consolider la structure. La loi de programmation militaire prend acte de la menace cyber, c’en est même une priorité, annonçait en janvier 2019 Florence Parly. Alors, nous renforçons nos effectifs et d’ici 2025, nous compterons au sein du Comcyber [3 500 cybercombattants, NDLR], de la DGSE et de la DGA, 1 100 cybercombattants supplémentaires. Nous renforçons les moyens avec 1,6 milliard d’euros investis pour la lutte dans le cyberespace. »

Une Europe à plusieurs vitesses

De son côté, l’Allemagne s’est également dotée dès 2017 d’une unité de cyberdéfense formant une nouvelle branche de l’armée pour contrer en particulier les attaques russes après un piratage de grande ampleur du Bundestag en 2015. En 2020, le pays a annoncé son intention de développer l’aspect offensif de ses forces cyber et ne plus se consacrer qu’au défensif. D’autre part, elle devrait mettre à disposition l’ensemble de ses forces au service de l’OTAN. En outre, « on peut également citer les forces néerlandaises et espagnoles qui font un important travail de construction d’une force cyber », complète le rapport de Rémi Ravel. En Europe centrale et de l’est, la cyber sécurité est le plus souvent l’affaire d’autorités civiles. D’où l’idée de cybersécurité et non de cyberdéfense. « Il est important de préciser que certains pays, comme les pays baltes (dont l’Estonie) et la Pologne, organisent quand même une défense plus soutenue, poursuit le rapport de Rémi Ravel. Mais la région reste peu encline à répondre aux immiscions dans leur espace cyber. » Peu avancés, certains pays ne coopèrent que très peu et se placent, en matière de cyberdéfense, sous la protection importante de l’OTAN qui reste un acteur majeur de la cybersécurité dans l’UE.

Le tournant majeur de la directive NIS

En 2016, l’adoption de la directive Sécurité des réseaux et de l’information (SRI) [Network and Information Security (NIS)] bâtit le socle juridique de la politique européenne de cybersécurité. Ce cadre définit des organisations essentielles à la survie de l’Union et des exigences à suivre pour parvenir à un niveau de sécurité minimum commun : auditer la posture de cybersécurité, notifier les incidents, entre autres. De plus, la directive NIS élabore des mesures de sécurité. Clairement, NIS est le point de départ d’une collaboration renforcée entre les pays membres de l’UE et marque un début de prise de conscience. Mais cette prise de conscience ne signifie pas pour autant un accord total. « La directive NIS, comme toute directive européenne, indique des objectifs communs de cybersécurité à atteindre mais laisse à chaque État le soin de la transposer en définissant sa propre stratégie et ses propres moyens », précise Rayna Stamboliyska, experte cyber et affaires européennes, fondatrice du cabinet RS Strategy et autrice de La face cachée d’Internet (Larousse).

Sommet de Tallin

Hasard du calendrier : pendant que les pays membres de l’UE transposaient cette directive en lois nationales, le monde entier subit de plein fouet les attaques massives des rançongiciels Wannacry et Notpetya, que l’objectif de NIS était justement censé éviter. En réaction à ces campagnes d’attaque qui n’ont pas épargné l’Europe, le sommet européen de Tallinn (Estonie) du 19 septembre 2017 conduit les États-membres à coordonner leurs actions. D’une part, en élaborant une nouvelle politique, plus ambitieuse, pour se protéger des rançongiciels et, d’autre part, en créant, dans le sillage de l’Enisa, un nouvel organe pour assister les États directement contre les cyberattaques. En outre, une recommandation de la commission européenne fut prise pour permettre à Europol d’agir en partenariat avec l’ensemble des pays pour aider les victimes et maintenir des points permanents d’échange d’information entre les pays.

Coopération structurée permanente

Cette dynamique s’est développée au travers la Coopération structurée permanente [Permanent Structured Cooperation (Pesco)]. Cette coopération structurée est également prévue par le traité de Lisbonne pour approfondir la coopération dans le domaine de la sécurité et de la défense des États-membres. « C’est donc bien une approche militaire qui est prise », insiste Rémi Ravel. Parmi les toutes premières propositions de coopération, la Lituanie suggère d’emblée de mettre sur pied la Cyber Rapid Response Team (CRRT), une cyber force commune pour répondre aux crises transfrontalières. Celle-ci se contractualise le 4 mars 2020 à Zagreb (Croatie) entre les ministres de la Défense de la Croatie, de l’Estonie, de la Lituanie, des Pays-Bas, de la Pologne et de la Roumanie. Pour Raimundas Karoblis, ministre croate de la Défense, c’est « un exemple concret et clair de la contribution des pays de l’UE à une défense européenne plus forte et du soutien aux mesures de défense et de dissuasion de l’OTAN par des moyens non militaires », relate La Tribune de la Lituanie [https://lithuaniatribune.com/cyber-rapid-response-team/]. De leur côté, la Belgique, l’Espagne, la Finlande, la France, la Grèce, l’Italie et la Slovénie se posent en tant qu’observateurs et pourraient également devenir membres du CRRT.

Huit autres propositions ont également pris place. Dont l’initiative française pour le développement de technologies radios militaires communes et sécurisées (Essor), l’initiative grecque pour le développement de mesures de défenses communes (pour l’instant il s’agit principalement de pare-feu commun) ou encore le projet commun à l’Espagne et au Portugal pour le développement d’une école du cyber et de l’innovation pour former des experts dans le domaine (EU CAIH). Enfin, toujours dans une logique de coopération, l’Enisa met en place depuis 2019 l’événement Blue Olex pour renforcer l’échange de connaissance dans l’UE. Organisé en France en 2019 puis aux Pays-Bas cette année, cet événement veut à terme préparer une discussion politique sur la cyberdéfense en rassemblant des hauts responsables des 27. « L’UE entre dans l’ère du défensif structuré », commente Rayna Stamboliyska.

Joint Cyber Unit : vers l’opérationnel

Prenant en considération les multiples cyberattaques durant la pandémie due au SARS-CoV-2, hôpitaux compris, la Commission européenne a annoncé le 23 juin dernier la création d’une nouvelle structure : la Joint Cyber Unit (JCU) [https://digital-strategy.ec.europa.eu/en/library/factsheet-joint-cyber-unit] pilotée notamment par l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) qui devrait servir de plateforme pour assurer une réponse coordonnée de l’UE aux incidents et crises cybernétiques à grande échelle. Suggérée il y a deux ans par Ursula von der Leyen, la présidente de la Commission européenne, cette entité vise à coopérer au niveau opérationnel et à établir des synergies avec les institutions, organes, offices et agences de l’UE. Et des pays membres Cette unité « tire parti de l’expertise dispersée dans toute l’Europe et nous permettra non seulement de détecter les menaces, mais aussi de réagir plus rapidement », estime Thierry Breton, commissaire européen chargé du marché intérieur. Concrètement, la JCU aura son bureau physique à Bruxelles, qui sera doublé d’un espace virtuel pour le partage sécurisé d’information et devrait être opérationnelle au 30 juin 2022 puis entièrement mise en place en 2023. Dans un premier temps, seuls les établissements publics essentiels pourront en profiter. Cependant, la Commission prévoit une ouverture aux acteurs du secteur privé à l’horizon 2023, sans indiquer sous quelle forme.

À l’heure où se discute au Parlement européen la seconde version de la directive NIS et où la France s’apprête, en janvier prochain, à prendre la présidence de l’EU pour un semestre, « institutions européennes, agences nationales de cybersécurité et entreprises privées, mobilisons-nous pour construire durablement la cybersécurité de l’Union européenne, entonne Guillaume Poupard, directeur général de l’ANSSI. Car notre force, vis-à-vis des attaquants, c’est notre capacité à travailler tous ensemble. »

Erick Haehnsen