Aperçu des stratégies, politiques et concepts actuels de l’Union européenne en matière de cyber

La position de l’UE en matière de cybersécurité s’est considérablement affinée au cours des dix dernières années et il y existe désormais pléthore de documents stratégiques ou politiques et d’initiatives législatives dédiées [1]. Cet article, sans être exhaustif ni proposer d’analyse, donne un aperçu des priorités, des objectifs et des principes de l’UE en termes simples.

La Stratégie Révisée de l’UE en matière de cybersécurité,[2] rendue publique en 2017 accompagnée d’un ensemble de mesures, reflète les plus récentes perspectives et les derniers objectifs pour une cybersécurité renforcée pour l’UE. Alors que la précédente stratégie de cybersécurité [3] mettait l’accent sur la résilience, les changements du contexte géopolitique et de la nature des menaces numériques exigent aujourd’hui des actes plus concrets de résilience et de dissuasion. La nouvelle stratégie reconnait en effet que l’évolution du panorama des menaces révèle une diversification des cyber-incidents, tant en ce qui concerne leurs auteurs que leurs motivations, qui sont à la fois clairement criminels et politiques par nature.

Depuis la définition de la stratégie de 2013, des activités malveillantes en ligne ont en effet non seulement mis en danger les plans de l’UE pour un marché unique du numérique, mais ont également menacé le fonctionnement des démocraties, les libertés, les valeurs et les principes qui fondent l’UE. La nouvelle stratégie prend donc en compte les cyber-activités visant des infrastructures critiques mais aussi les campagnes de désinformation et les « infox ». Le document s’inquiète en outre de la croissance exponentielle des menaces stratégiques, et mentionne parmi les autres risques notables le nombre croissant d’objets connectés qui composent l’IoT, et qui sont dépourvus de garanties de cybersécurité by-design.

On note ainsi une volonté nouvelle de passer d’une attitude réactive à une attitude proactive, qui prenne en compte le rôle de tous les acteurs impliqués (l’EU elle-même mais aussi les États-membres, les acteurs industriels et les individus), pour proposer une meilleure réponse aux attaques. Même si les États membres conservent la responsabilité de leur sécurité nationale, la stratégie de 2017 prend acte du fait que l’ampleur et la nature transfrontalière des menaces doivent amener l’UE elle-même à agir, en incitant et en aidant les États membres à développer et maintenir des capacités renforcées et plus efficaces de cybersécurité, et ce tout en continuant à développer ces mêmes capacités au niveau européen.

Créer un tel niveau de capacité au niveau de l’UE et faire émerger une culture proactive n’est pas une tâche aisée étant donné le nombre d’acteurs impliqués. On peut citer par exemple :

1. La Commission Européenne ;
2. L’Agence Européenne de Défense qui travaille avec les États-membres sur le développement de leurs capacités de cyberdéfense ;
3. Le Centre européen de Lutte contre la Cybercriminalité d’Europol (EC3) parmi d’autres organismes et groupes chargés de l’application de la loi et de la lutte contre la cybercriminalité ;
4. Le Centre d’excellence pour la Lutte contre les Menaces Hybrides et la Cellule Européenne de Fusion contre les Menaces Hybrides, qui fait partie du Centre de situation et de renseignement de l’Union Européenne ;
5. Le Collège Européen de Sécurité et de Défense, qui a lancé en novembre 2018 une Cyber plateforme pour l’éducation, la formation, l’évaluation et l’exercice (Cyber ETEE) qui offre un entrainement aux civils et au personnel de police et des armées ;
6. L’Agence Européenne Chargée de la Sécurité des Réseaux et de l’Information (ENISA), qui traite de la cyber résilience des États-membres en leur fournissant des conseils et en les aidant à augmenter leur capacité.
7. Le CERT-UE, qui est responsable des incidents au sein des institutions européennes ;
8. Le directoire pour la politique de Sécurité au sein du Service Européen pour l’Action Extérieure (SEAE) ;
9. Et enfin l’Institut Européen pour les Études de Sécurité (ISS).

Pour répondre aux défis actuels de la cybersécurité et aux risques qui se profilent, les actions et les principes que recommande l’UE peuvent se classer en trois groupes :

1. La résilience, l’autonomie stratégique, et une réponse toujours plus efficace aux crises.
2. La création d’une réelle force de dissuasion.
3. Le renforcement de la coopération internationale en matière de cybersécurité.

A ce titre, il est particulièrement important que les pays tiers comprennent l’importance pour l’UE des principes fondamentaux qui s’appliquent à la fois à ses pratiques au sein de l’UE et à ses efforts de coopération internationale. La stratégie de 2017 rappelle ainsi :

1. Que les valeurs fondatrices de l’UE s’appliquent tant au monde numérique qu’au monde physique ;
2. L’importance de la protection des droits fondamentaux, de la liberté d’expression, de la protection des données personnelles et de la vie privée ;
3. L’accès universel ;
4. Son engagement pour une gouvernance participative efficace, et l’importance de la participation de toutes les parties prenantes à la gouvernance de l’Internet ;
5. Le concept de « responsabilité partagée », indispensable pour assurer la sécurité.

L’UE considère par ailleurs que le cadre de coopération internationale proposé par la Convention du Conseil Européen de Budapest sur la cybercriminalité constitue un cadre juridique optimal pour les différentes législations nationales. Plutôt que de créer de nouveaux instruments juridiques internationaux consacrées à la cybercriminalité, l’UE appelle donc tous les États à mettre en place des législations nationales et à poursuivre leur coopération dans le cadre international existant. Le document « Cyberstratégie » de 2017 rappelle de plus la position de l’UE en la matière : les principes du droit international, en particulier la Charte de l’ONU, s’appliquent aussi au cyberespace. Outre les mesures de droit international contraignantes, l’UE soutient aussi les normes volontaires non-contraignantes, ainsi que les règles et les principes de comportements responsables des États du Groupe d’experts gouvernementaux (GGE) des Nations Unies.

Vers une meilleure résilience aux cyberattaques et l’autonomie stratégique

Dans ce contexte, une Europe résiliente aux cyberattaques doit être « capable de protéger efficacement ses citoyens en anticipant les incidents de cybersécurité potentiels, en intégrant une protection renforcée dans ses structures et dans les comportements, en surmontant rapidement les cyberattaques et en exerçant un effet dissuasif sur les responsables. »[4]

Pour atteindre un tel degré de résilience, l’UE recommande une série de mesures dont les principales peuvent être résumées ainsi :

• Renforcer l’ENISA ;
• Augmenter les standards de cybersécurité et donner confiance au marché ;
• Mettre en place une législation dédiée, comme la Directive NIS ;
• Améliorer la réponse d’urgence et créer des mécanismes de gestion de crise pour répondre à des attaques transfrontalières de grande envergure ;
• Promouvoir le développement et le déploiement en Europe des technologies de cybersécurité en tant qu’atouts stratégiques et que technologies de pointe porteuses de croissance ;
• Établir une base de compétences cyber ;
• Continuer à promouvoir l’hygiène informatique et la sensibilisation aux questions de cybersécurité, qui couvrent maintenant aussi les campagnes de désinformation sur Internet et les fausses informations sur les réseaux sociaux visant clairement à affaiblir les processus démocratiques et les valeurs de l’Europe.

Pour une dissuasion européenne efficace

Le second axe majeur des objectifs de la Stratégie de 2017 consiste à mettre en place une dissuasion efficace au niveau de l’UE. Ceci implique la mise en place d’un cadre de mesures à la fois crédibles et dissuasives pour les cybercriminels et les attaquants. Les mesures recommandées dans ce cadre reposent sur 5 lignes directrices :

1. Améliorer la capacité à identifier les acteurs malveillants.
2. Renforcer les capacités de réponse des autorités judiciaires à la cybercriminalité par des mécanismes et outils d’enquête et de poursuites judiciaires efficaces, en mettant à jour le cadre des procédures et en encourageant l’adhésion à la Convention de Budapest.
3. Renforcer la coopération entre les secteurs publics et privés dans la lutte contre la cybercriminalité.
4. Améliorer la réponse politique aux activités qui nuisent aux intérêts politiques, sécuritaires et économiques de l’UE en créant un cadre pour une réponse diplomatique conjointe aux actes de cyber malveillance (« la boîte à outils cyber diplomatique »).
5. Mettre l’accent sur les capacités de défense des États-membres en favorisant les synergies entre les efforts menés aux niveaux militaires et civils, compte tenu de l’usage dual de ces technologies et de ces outils. La ‘Stratégie’ vise aussi à renforcer les capacités industrielles et l’autonomie stratégique de l’UE, veiller à la cyber résilience des missions et des opérations de la PSDC, et répondre au déficit de compétences par des initiatives comme la Cyber plateforme de l’UE pour l’éducation et les exercices (Cyber ETEE).

Vue d’ensemble des efforts de coopération de l’UE : le cadre de coopération international de l’UE en matière de cybersécurité

Troisième objectif fondamental de l’UE : continuer à renforcer la coopération internationale en matière de cybersécurité. Cette position est conforme au document qui définit la politique étrangère européenne, la « Stratégie Globale de l’Union Européenne sur la politique étrangère et de sécurité » de 2016, qui considère que la cybersécurité constitue un volet capital de la politique étrangère de l’UE. L’UE précise que ses relations avec des pays tiers sur la cybersécurité sont guidés par une logique de prévention et de dissuasion des cyberattaques, dans le but de promouvoir une stabilité internationale dans ce domaine, et plus largement une plus grande sécurité au niveau mondial.

Plus largement, l’UE s’emploie à devenir un acteur plus important des relations diplomatiques et de la sécurité internationale. Les responsables de l’UE considèrent en effet que l’UE joue un rôle croissant sur la scène diplomatique et stratégique, et qu’elle est prête à prendre encore plus de responsabilités pour instaurer la sécurité et la stabilité mondiales. Les progrès et le succès des efforts de l’UE en matière de cybersécurité sur la scène internationale seront naturellement liés à des développements stratégiques plus larges, en particulier alors que certains États tiers ont préféré jusque-là traiter bilatéralement avec des États membres de l’UE sur des questions politiques et sécuritaires.

Alors que la « Stratégie de cybersécurité de l’UE » de 2013 appelait à un engagement plus actif de l’UE au niveau international, notamment via un approfondissement du dialogue avec les pays tiers et les organisations internationales et un renforcement des capacités des États tiers, les Conclusions du Conseil sur la Cyber Diplomatie de 2015 [5] ont depuis proposé un certain nombre d’objectifs précis et de principes concernant l’engagement de l’UE en matière de cybersécurité. Ces conclusions du Conseil sont désormais considérées comme une référence, tant pour guider les efforts collectifs de l’UE en matière de politique cyber au niveau international que pour proposer des objectifs plus détaillés en réponse aux défis de politique étrangère. Ce cadre couvre la promotion et la protection des droits de l’Homme dans le cyberespace, la promotion des normes de conduite et l’application du droit international existant dans le domaine de la sécurité internationale, la gouvernance d’Internet, l’amélioration de la compétitivité et de la prospérité, le renforcement et le développement des compétences, l’engagement stratégique avec des partenaires clés et les organisations internationales.

Ces objectifs restent des priorités pour l’UE dans le cadre de son engagement global en matière de cybersécurité, comme le détaille le document sur la Cyber Stratégie 2017 et tel que résumé dans la liste ci-dessous. Selon ce document, la politique de cybersécurité internationale de l’UE est aussi conçue pour promouvoir la cybersécurité au niveau international et contribuer à l’autonomie stratégique de l’Europe dans le cyberespace.

En bref, la communication sur la Stratégie fait les recommandations suivantes sur la politique de cybersécurité internationale de l’UE :

1. Dans ses relations extérieures, l’UE doit nouer et maintenir des partenariats avec des pays tiers, et accorder la priorité aux questions de sécurité internationale dans le cyberespace ;
2. Le renforcement des capacités en matière de cybersécurité pour améliorer la résilience des pays tiers reste primordial important pour l’UE compte tenu de l’importance pour la stabilité au niveau mondial de ce que tous les pays soient capables de prévenir et de répondre à des cyber-incidents ;
3. L’UE doit approfondir sa coopération avec l’OTAN en matière de cybersécurité, y compris sur le sujet des menaces hybrides et de la défense.

Le Cadre Politique Européen en matière de Cyberdéfense rappelle donc aussi l’ambition de l’UE de développer sa coopération avec des partenaires internationaux appropriés. Là encore, l’action extérieure de l’UE et ses efforts de coopération internationale devront continuer à promouvoir les valeurs et principes fondamentaux présentés ci-dessus.

[2] Voir le document de référence sur europa.eu

[3] Voir le document de référence sur europa.eu

[4] COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide

[5] Voir le document de référence sur europa.eu