Au cours du mois de décembre 2018, l’Allemagne a fait l’objet d’une cyberattaque de grande ampleur, visant principalement plusieurs ministères nationaux. En effet, les données personnelles de centaines de personnalités dont la chancelière allemande, Angela Merkel, ont été mises en ligne sur internet tout au long du mois. Cette attaque, pouvant provenir de groupes de hackers russes, a inquiété fortement les autorités allemandes, sachant que les réseaux informatiques internes du gouvernement sont censés être beaucoup mieux protégés1. Toutefois, l’Allemagne n’est pas le seul pays concerné par ce type de menace. Chaque année, de nouvelles cyberattaques touchent les institutions comme les entreprises et le nombre ne cesse d’augmenter. On peut citer à titre d’exemple la cyberattaque WannaCry de mai 2017 qui avait paralysé plus de 200 000 systèmes informatiques dans l’UE (dont des hôpitaux et usines), touché plus de 150 pays dans le monde et couté des milliards de dollars. Ce logiciel, baptisé WannaCry, était un programme informatique de type « rançongiciel » qui s’est déployé à très grande vitesse2. Cette attaque avait montré la nécessité de mettre en place de nouvelles mesures pour renforcer la cybersécurité de l’Union européenne.
Alors que dans notre précédent article, on pointait la désinformation comme source de menace pour la démocratie à l’approche des élections européennes, le présent article va s’attarder sur le danger que représente les cyberattaques et les actions mises en place par l’UE pour se prémunir de ce type de menace. Pour comprendre ce qu’on entend par cybersécurité, il convient tout d’abord de le définir. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la cybersécurité est un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles »3. Avec un nombre toujours plus élevé de cyberattaques dans le monde, la cybersécurité est devenue un volet important du développement numérique de l’UE et une des priorités de la Commission européenne.
1. Pourquoi une cybersécurité est-elle nécessaire ?
A l’heure actuelle, les technologies digitales font parties intégrantes de notre quotidien. D’ici 2020, on prévoit que l’UE comptera des dizaines de milliard de dispositifs numériques connectés4. Ainsi, les cyberattaques venant d’un pays tiers ou d’une tierce personne peuvent gravement endommager les systèmes informatiques actuels. Par ailleurs, elles couteraient quelque 400 milliards d’euros par an à l’économie mondiale. De plus, selon la Commission européenne, les citoyens européens ou encore les entreprises connaissent insuffisamment les enjeux en matière de cybersécurité : 51 % des Européens se sentent peu informés à ce sujet et 69 % des entreprises ne réalisent que très peu ou pas du tout leurs risques face à ce type de menaces5.
Ainsi, il est nécessaire pour l’UE de renforcer sa cybersécurité. Comme Jean-Claude Juncker l’avait déclaré au sommet numérique de Tallin en septembre 2017 : « Les cyberattaques ne connaissent pas de frontières; pourtant, nos capacités de réaction varient fortement d’un pays à l’autre, ce qui crée des failles et des vulnérabilités qui favorisent les cyberattaques. L’UE doit se doter de structures plus robustes et plus efficaces pour améliorer sa cyber-résilience et réagir aux cyberattaques. Nous ne voulons pas être le maillon faible de la lutte contre cette menace mondiale »6. Il déclarait également que : « les cyberattaques sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars ». L’approche globale doit donc être l’approche privilégiée par rapport à une approche nationale afin de lutter efficacement contre ce phénomène.
2. Les actions de l’UE en matière de cybersécurité
Afin d’améliorer la lutte contre les cyberattaques et bénéficier des possibilités offertes par la nouvelle ère numérique, des règles en matière de cybersécurité à l’échelle de l’UE ont été adoptées par le Conseil dès mai 2016. L’une de ces règles concerne la directive sur la sécurité des réseaux et des système d’information (SRI) qui garantit une coopération plus large des États membres sur la problématique. Entrée en vigueur le 9 mai 2018, elle prévoit des obligations en matière de sécurité pour les opérateurs qui fournissent des services essentiels (en matière d’énergie, de transport, de santé et finance) et pour les fournisseurs de services numériques (marchés en ligne, moteurs de recherche et services en nuages)7. En outre, les pays de l’UE sont dans l’obligation de désigner une ou plusieurs autorités nationales qui surveille la mise en œuvre de cette directive au niveau national, de nominer un point de contact qui assurerait la coopération avec les autres États membres et de se doter d’une stratégie dans la lutte contre les cyberattaques8. Enfin, la directive établit également un réseau d’équipes nationales d’intervention en cas d’incident de sécurité informatique (CSIRT) pour promouvoir une coopération opérationnelle rapide et efficace.
Sur base de cette directive, un ensemble de mesures a été proposé par la Commission en septembre 2017 pour renforcer davantage la réglementation européenne. Cet engagement s’est renouvelé en octobre 2018 avec l’annonce du Conseil européen de mettre en place une cybersécurité solide au sein de l’UE. Cela a abouti au vote d’un acte législatif, approuvé par le Parlement en décembre 2018, qui comprend plusieurs initiatives9. Parmi ces initiatives, on retrouve la création d’une agence de cybersécurité européenne avec des compétences plus étendues. Une autre initiative concerne l’instauration d’un système de certification de cybersécurité pour les produits, les procédés et services, valables à l’échelle de l’UE. Enfin, l’acte prévoit également la mise en œuvre rapide de la directive SRI10. Dans le cadre du programme pour une Europe numérique (qui implique d’autres domaines que la cybersécurité), 2 milliards d’euros seront investis dans le secteur de la cybersécurité de l’UE11.
2.1 Agence européenne pour la cybersécurité
Afin de créer cette agence de cybersécurité, l’UE prévoit de conférer un nouveau mandat permanent et de nouveaux moyens à l’Agence européenne pour la sécurité des réseaux de l’information (ENISA). Basée en Grèce et établie depuis mars 2004, celle-ci avait pour rôle de fournir principalement des conseils et une expertise à l’UE. Alors que son mandat venait à expiration en 2020, il sera ainsi remplacé par un mandat permanent et son nom deviendrait l’Agence européenne pour cybersécurité. L’organisation se voit chargée de mettre en place des exercices annuels de cybersécurité paneuropéens pour améliorer la capacité de réaction de l’UE et pour contribuer à un meilleur échange d’informations entre États membres. Elle devra également aider à élaborer un dispositif de certification12 et assister les États membres, les institutions de l’UE et les entreprises à lutter contre les cyberattaques en mettant en place la directive SRI.
2.2 Système de certification unique
L’autre initiative porte sur la création d’un système de certification unique. A l’heure actuelle, il existe plusieurs systèmes de certification de sécurité des produits numériques au sein de l’UE (dont certains ne sont pas mutuellement reconnus entre États). Cela signifie que les entreprises doivent demander plusieurs certificats dans plusieurs pays pour pouvoir exporter leurs services ou produits afin qu’ils soient acceptés comme produits certifiés. L’objectif de l’UE est ainsi d’instaurer un système de certification de cybersécurité unique afin « de réduire la fragmentation des marchés et de supprimer les obstacles réglementaires ». De fait, tous les États membres reconnaitraient cet étiquetage. Cela permettra d’une part, aux entreprises de mener leurs activités transfrontalières et d’autre part, de faire comprendre aux acheteurs les spécificités sécuritaires de chaque produit ou service. Ce système prendra la forme d’un ensemble de règles, d’exigence techniques, de normes et de procédures. Ainsi, la certification attestera que les produits et services numériques sont conformes aux exigences établies par l’UE en matière de cybersécurité. Il constitue ainsi une avancée majeure dans l’ère du numérique où tout semble exposé à un risque sécuritaire. De fait, c’est la première législation relative au marché intérieur qui garantit une meilleure sécurité aux produits connectés, aux appareils de l’internet et aux infrastructures critiques. In fine, ce système de certification devrait sur le long terme favoriser la croissance du marché européen de la cybersécurité. Par ailleurs, grâce à cet étiquetage, les utilisateurs pourront choisir des produits qui répondent à ces exigences de cybersécurité, ce qui renforceront leur confiance13. Bien que la certification reste encore optionnelle, la Commission décidera d’ici 2023 de la rendre obligatoire14.
2.3 Autres initiatives
Fin 2017, une équipe permanente d’intervention en cas d’urgence informatique (CERT-UE) a été créée avec pour objectif de répondre de manière coordonnée aux cyberattaques touchant les institutions. Elle vient renforcer une task force qui existait depuis 2012.15 Ensuite, un centre européen de recherche et de compétences en matière de cybersécurité a été également établi. Il sera chargé de coordonner avec les États membres les fonds consacrés à la cybersécurité dans le cadre du prochain budget à long terme de l’UE. De nouvelles capacités européennes dans ce domaine pourront ainsi être développées. Ce centre est complémenté par un réseau de centres nationaux qui soutiendra les projets les plus pertinents en matière de cybersécurité dans chaque Etat16.
3. La problématique de la 5G : menace de l’infrastructure 5G chinoise ?
Les réseaux de cinquième génération (5G) sont importants pour l’Europe afin de relier des milliards d’objets et systèmes, aussi bien dans des secteurs critiques (tels que l’énergie, transports, banque ou encore la santé) que des systèmes de contrôle industriel. Par ailleurs, l’organisation de processus démocratiques tels que les élections européennes s’appuiera davantage sur les infrastructures numériques et les réseaux 5G. L’utilisation de ces réseaux est également nécessaire pour rendre l’Europe plus compétitive sur le marché mondial. De fait, on considère que les recettes produites par la 5G dans le monde seraient équivalentes à 225 milliards d’euros en 202517. Ainsi, il est primordial d’évaluer les risques liés aux réseaux 5G car toute faille pourrait être exploitée par un tiers pour endommager ces systèmes ou espionner et voler des données.
Du fait des lois provenant de leur pays d’origine, les fournisseurs d’équipement 5G de pays tiers peuvent représenter une menace pour la sécurité de l’UE. C’est notamment le cas de la Chine qui exige aux entreprises « de coopérer avec l’État pour protéger une définition très large de la sécurité nationale, même en dehors de leur propre pays »18. Bien qu’il n’y ait actuellement encore aucune preuve, les États-Unis ont déjà accusé l’entreprise chinoise Huawei d’utiliser sa technologie pour espionner les États. Ces soupçons ont suffi à conduire les États-Unis, l’Australie et la Nouvelle Zélande à restreindre l’accès à leurs marchés pour la téléphonie de 5ème génération19. Ainsi, face à ces allégations, l’équipement 5G de Huawei et la présence technologique croissante de la Chine a suscité la méfiance des députés européens. Dès lors, ces derniers ont demandé à la Commission et aux États membres de formuler des orientations sur la manière de lutter contre les cybermenaces lors de l’acquisition de tels équipements, notamment en mettant sur pied une stratégie leur permettant de réduire leur dépendance vis-à-vis des technologies étrangères de cybersécurité20.
Face à ces inquiétudes, l’UE et les États-Unis ont manifesté leur volonté de coopérer en matière de cybersécurité. De son côté, Huawei a mis en place en mars 2019 un nouveau centre de cybersécurité à Bruxelles, le 3ème de ce type, pour permettre aux opérateurs européens de tester l’équipement réseaux et pour rassurer sur les risques d’espionnage. Le fondateur de cette compagnie a également annoncé que l’entreprise n’avait aucune « porte dérobée » pour transmettre des informations aux services de renseignement chinois. Bien que l’UE puisse coopérer avec les USA n’est pas source d’inquiétude, l’entreprise estime tout de même que la situation doit pouvoir être équitable.
Laura van Lerberghe
1Le Figaro, « Le gouvernement allemand victime d’une attaque informatique d’une ampleur inédite », http://www.lefigaro.fr/secteur/high-tech/2018/03/02/32001-20180302ARTFIG00090-le-gouvernement-allemand-victime-d-une-attaque-informatique-d-une-ampleur-inedite.php
2Leloup D., « Cyberattaque : ce que l’on sait de WannaCry, le logiciel de racket qui a touché des dizaines de pays », https://www.lemonde.fr/pixels/article/2017/05/13/ce-que-l-on-sait-du-logiciel-de-racket-qui-a-paralyse-les-hopitaux-britanniques-et-touche-des-dizaines-de-pays_5127351_4408996.html
3Définition de ANSSI.
4Conseil européen, « Réforme sur la cybersécurité », https://www.consilium.europa.eu/fr/policies/cyber-security/
5Ibidem.
6Commission européenne, « Renforcer la cybersécurité en Europe », https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-cybersecurity_fr.pdf
7Commission européenne, « Renforcer la cybersécurité en Europe », https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-cybersecurity_fr.pdf
8Communiqué de presse, « Questions and Answers: Directive on Security of Network and Information systems, the first EU-wide legislation on cybersecurity », http://europa.eu/rapid/press-release_MEMO-18-3651_en.htm
9Commission européenne, « Acte législatif sur la cybersécurité », https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_fr
10Conseil européen, « Réforme sur la cybersécurité », https://www.consilium.europa.eu/fr/policies/cyber-security/
11Commission européenne, « Renforcer la cybersécurité en Europe », https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-cybersecurity_fr.pdf
12Euronews, « L’UE veut renforcer sa cybersécurité », https://fr.euronews.com/2017/09/19/l-ue-veut-renforcer-sa-cybersecurite
13Commission européenne, « Acte législatif sur la cybersécurité », https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_fr
14Parlement européen, « Le Parlement européen veut renforcer la cybersécurité en Europe », http://www.europarl.europa.eu/news/fr/headlines/security/20190307STO30713/le-parlement-europeen-veut-renforcer-la-cybersecurite-en-europe-infographie
15Magnien I., « Cybersécurité : l’Union européenne contre-attaque », https://www.touteleurope.eu/actualite/cybersecurite-l-union-europeenne-contre-attaque.html
16Commission européenne, « Renforcer la cybersécurité en Europe », https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-cybersecurity_fr.pdf
17Communiqué de presse, « Questions et réponses : la Commission recommande une approche européenne commune de la sécurité des réseaux 5G », http://europa.eu/rapid/press-release_MEMO-19-1833_fr.htm
18Communiqué de presse, « Les députés adoptent le règlement européen sur la cybersécurité », http://www.europarl.europa.eu/news/fr/press-room/20190307IPR30694/les-deputes-adoptent-le-reglement-europeen-sur-la-cybersecurite
19RTBF, « Huawei, ZTE, Xiaomi… le syndrome chinois menace-t-il le réseau 5G européen? », https://www.rtbf.be/info/economie/detail_huawei-zte-xiaomi-le-syndrome-chinois-menace-t-il-le-reseau-5g-europeen?id=10162445
20Ibidem.