L'Europe réussit son premier test de cyberattaque grandeur nature

Le pari n'était pas gagné. Simuler une cyberattaque à l'échelle de l'Union européenne (UE), alors que la coopération entre les 27 États membres ne va pas toujours de soi dans bien des domaines, pouvait relever d'un casse-tête chinois. Et pourtant, « l'exercice Cyber Europe 2010, le premier exercice paneuropéen de cybersécurité, a totalement rempli son objectif », s'est félicité mercredi Udo Helmbrecht, directeur exécutif de l'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information. « Il consistait à tester la volonté de l'Europe de faire face aux menaces ciblant les sites Internet d'infrastructures essentielles [comme les administrations, Ndlr] utilisées par les citoyens, les gouvernements et les entreprises ».Cet exercice Cyber Europe 2010 a eu lieu le 4 novembre. Les 27 États membres de l'UE y ont participé, ainsi que l'Islande, la Suisse et la Norvège. Et ce, sous la houlette de l'Enisa et du Centre commun de recherches. Quelque 320 attaques ont été simulées sur les services en ligne de 70 organismes publics, d'abord pays par pays, pour aboutir finalement à une paralysie totale des connexions Internet transfrontalières. L'enjeu, pour les administrations et autres organismes publics ciblés par ces fausses cyberattaques : re-router le trafic des interconnexions bloquées vers d'autres. Si le test s'est bien déroulé dans l'ensemble, certains États ont cependant pointé du doigt « la difficulté à comprendre la gestion des incidents dans les autres États membres » et la propension de « nombreux États » à privilégier leur propre approche nationale de la cybercriminalité à une approche paneuropéenne.Inclure le secteur privéNéanmoins, « cet exercice constitue une première étape importante pour instaurer une coopération dans la lutte contre les menaces en ligne visant des infrastructures critiques », estime Neelie Kroes, la commissaire européenne en charge des Nouvelles technologies, qui a fait de la cybersécurité une de ses priorités. Des menaces qui se font de plus en plus pressantes, comme l'a démontré en septembre le ver informatique Stuxnet, parti via Internet à l'assaut de systèmes de contrôle équipant de grandes infrastructures industrielles telles que des centrales nucléaires. Très sophistiqué, Stuxnet pourrait bien être l'oeuvre d'un État plutôt que de pirates isolés, selon la plupart des experts en sécurité informatique. Ce qui a fait surgir la crainte d'une cyberguerre. Dans une telle optique, plusieurs États membres de l'UE estiment qu'il serait bon que le secteur privé lui aussi participe au prochain exercice paneuropéen de cybercriminalité. C'est déjà le cas aux États-Unis. Le 28 septembre, 60 entreprises privées avaient pris part à Cyber Storm III, un test de cyberattaque lancé par le gouvernement, aux côtés de sept ministères. L'UE est plus ambitieuse encore, qui souhaite organiser un exercice de cyberattaque à l'échelle mondiale. Ce projet devrait trouver un écho favorable auprès de l'OTAN, qui considère désormais le cyberterrorisme comme une menace majeure et entend donc améliorer la protection de ses réseaux informatiques.