« Qui êtes-vous ? Vous participez à notre réunion. Mon général, que devons-nous faire, selon vous ? Mon général, vous avez raison : nous devons investir dans la protection de la confidentialité ». C’est de cette manière que Josep Borrell, le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, a réagi lorsqu’une vidéoconférence secrète des ministres de la défense de l’UE a été piratée l’année dernière . Par inadvertance, le ministre néerlandais de la défense avait partagé sur Twitter une photo sur laquelle figurait le code d’accès à la réunion. Un journaliste compatriote de ce ministre, a mis à profit cette erreur pour s’inviter à la conférence, mettant ainsi dans l’embarras cette vénérable institution.

Cette anecdote – aussi extravagante soit-elle – met en évidence les difficultés que connaît actuellement l’UE en matière de sécurité : dans un club qui fédère 27 membres, dont les réunions et les conversations devraient avoir idéalement lieu en présence directe, mais qui se déroulent en ligne pour des raisons de difficultés logistiques, il est difficile de s’assurer que les portes restent bien closes.

Dans un monde connecté comme le nôtre, c’est l’imminence de ce risque considérable qui a contraint l’UE à s’armer contre les attaques numériques, quel que soit le moment où elles se produisent, quelle que soit leur cause et quelle que soit la forme qu’elles prennent.

La menace est silencieuse, mais elle n’est pas invisible. Ce n’est pas sans motif valable que l’Agence de l’Union européenne pour la cybersécurité (ENISA) a recensé trois cent quatre attaques malveillantes graves contre des secteurs essentiels en 2020 , soit plus du double par rapport à 2019. Nombre d’entre elles ont visé des hôpitaux et des réseaux de santé, des établissements qui, pendant la durée de la pandémie, détenaient des informations très précieuses sur l’évolution de la pandémie de COVID-19 et les futurs projets de vaccination.

Leurs objectifs peuvent être divers, du vol de données à la paralysie d’infrastructures cruciales, avec les conséquences désastreuses que cela représente pour le pays concerné. L’exemple récent le plus marquant est la cyberattaque de Colonial Pipeline , le plus grand oléoduc des États-Unis qui a eu lieu au mois de mai 2021. Cette attaque, perpétrée par un groupe apolitique de hackers professionnels dénommé Darkside, a contraint les exploitants à interrompre le flux de pétrole, ce qui a causé une pénurie d’essence sur toute la côte est, et à verser au groupe une somme de 75 bitcoins, soit l’équivalent de 3,8 millions d’euros. 

Heureusement pour les citoyens européens, l’UE a un plan pour faire en sorte que le piratage d’une réunion secrète de la défense reste dans les mémoires davantage comme une anecdote amusante que comme une cyberattaque mettant en péril l’ensemble de la sécurité de l’Europe. En décembre 2020, la Commission européenne a présenté une nouvelle stratégie de cybersécurité et une proposition de renforcer la directive relative aux mesures destinées à assurer un niveau élevé commun de sécurité dans l’Union (directive SRI 2 ).

Une nouvelle course aux armements

L’Union européenne se prépare depuis 2013 à riposter aux attaques. Dernièrement, elle a lancé plusieurs initiatives pour instaurer une stratégie commune de défense et de sécurité.

Parmi celles-ci il convient de mentionner une boîte à outils cyberdiplomatique commune et un cadre stratégique de cyberdéfense de l’UE , toutes les deux adoptés en 2018 et destinés à améliorer la coordination entre les États membres ; la loi sur la cybersécurité (2019) qui a renouvelé le mandat de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) rebaptisée Agence européenne de l’Union européenne pour la cybersécurité ; et la boîte à outils européenne pour la sécurité des réseaux 5G , également en 2019.

Pourtant, dans un monde hyperconnecté comme le nôtre, où les menaces hybrides sont de plus en plus sophistiquées et où les grandes puissances rivalisent pour développer des technologies leur permettant de sécuriser leurs systèmes, le risque d’être distancé dans la cybercourse est de plus en plus grand. De ce point de vue, la course à la cybersécurité fait penser à la course aux armements de la Guerre froide quand les États-Unis, l’Union soviétique et leurs alliés respectifs se sont engagés dans une guerre secrète de développement d’armes nucléaires. Comme aujourd’hui, chaque avancée était jalousement gardée et les progrès accomplis obligeaient chaque partie à avancer de plus en plus vite.

C’est ce qui contraint l’Union européenne à moderniser continuellement sa stratégie de cybersécurité pour garder une longueur d’avance sur les cybercriminels. C’est la raison pour laquelle, même si le document a été publié pour la première fois en 2013, la stratégie a été révisée en 2017, puis en décembre 2020.

Quoi qu’il en soit, la version la plus récente constitue un changement de paradigme : désormais les institutions européennes et les États membres peuvent compter sur des mesures de sécurité unifiées et coordonnées, l’UE veut créer des outils qui lui permettent de réagir immédiatement et efficacement ou – mieux encore – de prévenir les cyberattaques.

Un plan ambitieux

À cet égard, la nouvelle stratégie de cybersécurité implique trois domaines cruciaux : tout d’abord, elle vise à améliorer la résilience commune face aux cyberattaques à la fois par la création d’un réseau de centres d’opérations de sécurité dans toute l’UE qui travaillent avec des technologies d’intelligence artificielle et par une réforme des lois de sécurité relatives aux réseaux et systèmes d’information intégrée à la directive SRI 2. 

La directive SRI, adoptée en 2016, a provoqué un changement dans l’orientation institutionnelle de la cybersécurité au sein des États membres en les obligeant notamment à créer une stratégie nationale de cybersécurité et à mettre en place des équipes de cyberintervention d’urgence, même si elle a commencé à montrer ses limites.

« La transformation numérique de la société, intensifiée par la crise de la COVID a augmenté le niveau de menace et lance de nouveaux défis qui nécessitent de fournir des réponses innovantes et adaptées. Désormais, chaque attaque peut avoir des effets d’une grande ampleur sur tout le marché intérieur. » Tels sont les mots prononcés par la Commission européenne lors de la présentation de sa nouvelle stratégie.

En bref, la directive SRI 2, qui a reçu le feu vert du Parlement européen en octobre , élargit la définition de la notion de secteurs essentiels et renforce les exigences pour les 160 000 entreprises qui exercent leurs activités dans ces secteurs. L’objectif est de combler le fossé existant entre les entreprises européennes et américaines, ces dernières investissant, en moyenne, 41% de plus, dans la cybersécurité que leurs homologues européennes.

Deuxièmement, avec sa nouvelle stratégie en matière de cybersécurité, la Commission souhaite également renforcer sa capacité opérationnelle à prévenir, dissuader et répondre aux cyberattaques, ce qui a abouti à la proposition de créer une unité conjointe de cybercriminalité . Cette équipe s’efforcera de fournir une réponse coordonnée de l’UE aux cyberincidents et aux cybercrises à grande échelle et d’offrir une aide pour rétablir une situation normale après ces attaques. « Ces menaces constituent un ennemi commun, c’est pourquoi il est nécessaire de se coordonner, de partager les renseignements et de donner l’alerte rapidement », argumente la Commission.

Enfin, Bruxelles veut promouvoir un cyberespace mondial et ouvert en faisant venir à la table les pays extérieurs pour reproduire ses lois dans le monde entier et contribuer à la sécurité mondiale. En d’autres termes, la stratégie vise à éviter que le visage de la cybersécurité ne rappelle celui de la Guerre froide en rassemblant les pays dans un esprit de coopération pour protéger le monde contre les menaces de ce type.