Lors de la quinzième édition du Forum International de la Cybersécurité, qui s'est tenue au début du mois, Thierry Breton le commissaire européen au Marché intérieur, à la défense, à l'industrie et au numérique, a fait sensation en annonçant la mise en place d'un bouclier cyber européen pour renforcer la protection du Vieux Continent contre les cyberattaques. Un texte offrant davantage de détails à ce sujet, le Cyber Solidarity Act, a été présenté mardi dernier. Il vise notamment à renforcer la collaboration entre les États membres autour de la cybersécurité.
Au programme, l'investissement d'un milliard d'euros pour créer cinq à six centres opérationnels de sécurité (communément appelés SOCs) transfrontaliers, qui réuniront chacun au moins trois pays et utiliseront des supercalculateurs ainsi que des algorithmes d'intelligence artificielle de pointe pour détecter et repousser les attaques. Mais aussi la création d'une réserve cyber européenne mobilisable en cas de cyberattaque, et enfin d'un centre de formation pour répondre au manque de talents dans la cybersécurité. Des projets pilotes réunissant 17 États membres ont déjà été lancés, et le bouclier cyber pourrait voir le jour dès 2024, selon la Commission.
Depuis l'invasion de l'Ukraine par la Russie, l'Union européenne fait face à une intensification des cyberattaques. En 2022, le nombre d'attaques d'infrastructures en Europe a ainsi bondi de 140 %, selon Thierry Breton. Voilà qui nécessite de muscler ses capacités défensives, mais aussi, de se doter de capacités de dissuasion. Le projet de loi se montre-t-il à la hauteur des circonstances ? Nous en avons discuté avec un expert, Eric Le Quellenec du cabinet d'avocats Simmons & Simmons.
LA TRIBUNE - Lors de la dernière édition du FIC, Thierry Breton a affiché sa volonté de « mettre en place un bouclier cyber ayant pour vocation de protéger, détecter, défendre et dissuader ». Le Cyber Solidarity Act, qui vient d'être dévoilé cette semaine, répond-il à cette ambition, selon vous ?
ERIC LE QUELLENEC - Il me semble en effet qu'on entre enfin dans le concret en matière de souveraineté numérique européenne. Pour rappel, nous avions déjà la directive Nis, pour la sécurité des réseaux, qui va devenir la Nis 2 d'ici octobre 2024 ; le RGPD pour l'aspect protection des données personnelles ; la résilience des banques et institutions financières avec Dora ; et enfin, ce qui a été annoncé avec le Cyber Resilience Act, qui concerne plutôt les concepteurs et développeurs d'objets connectés.
Avec le Cyber Solidarity Act, on change d'échelle, puisque l'on passe d'une logique nationale à une logique fédérale, avec les centres opérationnels de sécurité transfrontaliers, que l'on débloque des moyens financiers et que l'on va coordonner les actions des différentes agences européennes pour vérifier quelles sont les menaces, les analyser et proposer des réponses de manière coordonnée. Le fait de partager les données entre les pays et d'identifier les menaces le plus tôt possible est en effet capital pour se doter de moyens d'action efficaces. Travailler ainsi en réseau, et se doter de pouvoirs associés le jour où un maillon faible est identifié, constitue un vrai changement de paradigme. On peut donc dire que ce texte vient couronner tous les efforts qui ont été mis en place au préalable, à commencer par Nis.
Peut-on dire que l'Europe se dote ainsi d'une vraie stratégie cyber à l'échelon fédéral ?
On n'est pas sur une organisation fédérale sur le modèle des agences américaines, mais on est bien sur une logique de travailler en réseaux. Je pense qu'à cet égard nous avons tiré les leçons du RGPD, qui souffrait à l'origine d'un défaut de conception, du fait de l'absence d'un pouvoir fédéral et de la possibilité de choisir une autorité chef de file parmi les États membres. Il suffisait dès lors de dire à la Cnil que vous choisissiez comme autorité chef de file l'un des pays européens les plus souples en matière de protection des données personnelles - Facebook avait choisi l'Irlande, par exemple. Cela a fini par devenir intenable et la gouvernance a dû être revue.
Cette fois-ci, la gouvernance ne repose pas sur une simple coopération entre les États, mais bien sur des structures transnationales en coopération avec ceux-ci, ce qui représente un pas supplémentaire vers le fédéralisme par rapport à Nis 2. Tout n'est pas parfait pour autant : la gouvernance doit aujourd'hui être le fait d'un mélange entre l'Agence de l'Union européenne pour la cybersécurité (Enisa), l'European Cybersecurity Competence Centre (ECCC) en lien avec le réseau Cyclone et les agences cyber nationales. C'est très subtil, et cela risque d'être compliqué en pratique. Comme pour le RGPD, cela mettra du temps à se mettre en place et on passera forcément par une période de tâtonnement.
La loi prévoit également la création d'une réserve mobilisable en cas d'attaque, composée de plusieurs milliers de volontaires et de prestataires de sécurité certifiés. Sait-on si ces volontaires seront des civils ou des militaires, et si les prestataires pourront être étrangers à l'Union européenne ?
Concernant la réserve, on reste bien uniquement dans le domaine civil et non militaire. Concernant le processus de certification, il se fera sur la base de textes précédents, dont le règlement de 2019 sur la certification de cybersécurité des technologies de l'information et des communications. Comme il n'y a pas d'introduction d'un principe de préférence communautaire, a priori des acteurs américains peuvent par exemple être certifiés. De ce point de vue, ce nouveau projet de règlement ne change pas la donne.
Durant son allocution au FIC, Thierry Breton a également évoqué une cyberdéfense offensive. Il a notamment insisté sur le fait que l'Union européenne devait aussi se montrer capable de contre-attaquer de manière efficace pour dissuader les hackers. Il n'a toutefois pas donné de détails précis quant à la façon dont cette cyberdéfense offensive pourrait se mettre en place. Quelle forme cette stratégie pourrait prendre, selon vous ?
Il n'y a en effet pas beaucoup de détails à ce sujet pour l'instant. Je pense que cela va être fait de manière décentralisée à l'échelle européenne. Je ne crois pas qu'il y aura une cyberforce européenne désignée comme telle, mais plutôt une action en réseau entre les différents États membres qui permettra d'avoir cette capacité de dissuasion.
Les autres grandes puissances sont en avance sur nous à cet égard. La Chine le fait, même si ce n'est pas publiquement assumé, du moins pas autant qu'en Russie où il y a des brigades cyber qui mènent ces actions dissuasives, notamment récemment contre les pays baltes et la Finlande, c'est tout à fait public et assumé. Les États-Unis ont également des agences fédérales actives là-dessus, même si tout comme en Chine ce n'est pas officiel.
Quels sont les éléments que vous auriez aimé voir dans cette loi et qui en sont absents ?
D'abord, la somme annoncée me paraît un peu faible. Quand on voit que la France a investi à elle seule 8 milliards d'euros dans la cybersécurité dans le cadre de la loi d'orientation et de programmation du ministère de l'Intérieur (Lopmi), on se dit qu'un milliard d'euros à l'échelon fédéral, c'est loin d'être suffisant. De même, cinq ou six SOCs, c'est un bon début, mais je pense qu'il en faudra davantage.
Il y a aussi des recoupements avec Nis et Dora en matière d'obligations pour les entreprises qui m'inquiètent un peu. J'ai un doute quant à la capacité de ces dernières à se conformer à un nombre toujours plus lourd d'obligations.
Imaginez que vous soyez une entreprise active sur les 27 États. En cas de faille, vous devez déjà rendre compte des fuites de données potentielles auprès des 27 autorités nationales différentes. Est-ce qu'il faudra désormais aussi faire un rapport à l'Enisa et quelles seront les sanctions en cas de manquement ? Il est, certes, capital d'avoir de hauts standards en matière de cybersécurité, mais il faut aussi que les entreprises puissent travailler.
Enfin, le texte stipule qu'en cas d'attaque, il n'y aura pas de réponse pénale paneuropéenne, c'est dit clairement au titre du principe de subsidiarité. Chaque État membre reste donc souverain. Un joli cadeau fait aux hackers de mon point de vue.
