
- Accueil
- Souveraineté numérique
- Face aux cybermenaces, l’Europe s’organise, selon Thierry Breton
Face aux cybermenaces, l’Europe s’organise, selon Thierry Breton


Lors du FIC 2023, le commissaire européen en charge du Marché intérieur est intervenu en séance plénière. Il a détaillé l’ensemble des mesures prises depuis sa prise de fonction il y a maintenant trois ans.
À l’occasion de son discours, Thierry Breton a tout d’abord rappelé que les enjeux de cybersécurité ne peuvent aujourd’hui être adressés qu’au niveau européen et non plus au niveau d’un seul État membre.
Il a également souligné le fait que le « marché numérique intérieur européen » était le premier du monde libre, démocratique : « Ce marché numérique intérieur dispose désormais d’une organisation et de règlements très structurants, comme le DSA, le DMA et le Data Act. Pour la première fois, nous avons un marché unique de la donnée fonctionnant avec des règles identiques pour tous. »
Pour Thierry Breton, la révolution des données industrielles sera une vague bien plus importante encore que celle liée aux données personnelles. « Cela va générer un nombre beaucoup plus important de données qui vont être à la base des évolutions qui sont devant nous, avec des métiers et des services nouveaux à la clé », a-t-il déclaré. Mais dans ce domaine, nous sommes aussi forts que le maillon le plus faible de la chaîne. Notre cyber-résilience ne peut donc devenir qu’un sujet éminemment européen.
« L’Europe à 27, en tant qu’acteur politique, économique mais aussi de sécurité globale, devient une cible croissante pour les attaques cyber de toutes natures, avec l’objectif – pour ceux qui sont derrière ces attaques – de déstabiliser nos systèmes », a ajouté Thierry Breton.
Le cyberespace fait désormais partie intégrante de la doctrine de défense européenne
Le commissaire en charge du Marché intérieur a par ailleurs précisé que la cybersécurité était désormais reconnue dans la nouvelle doctrine de défense européenne comme un des espaces contestés, au même titre que les espaces maritimes ou l’espace en tant que tel. Comme tout espace contesté, il nous appartient de le protéger en commun.
« C’est un changement de paradigme majeur. L’espace cyber fait dorénavant partie de notre doctrine de défense. Pour mieux gérer la menace cyber, nous avons besoin de technologies de pointe, d’infrastructures sécurisées communes, d’une coopération opérationnelle et de structures de gouvernance accrues, ainsi que de sanctions effectives », a-t-il noté.
C’est dans ce contexte que l’ambition portée par Thierry Breton s’organise autour de la mise en place d’un bouclier européen dont la vocation est de protéger, détecter, défendre et dissuader.
Technologie et réglementation, les deux piliers de la protection
Le volet « protection » s’organise autour d’un objectif clair : augmenter le niveau de résilience et de sécurité au sein du marché numérique intérieur européen, grâce à une approche technologique et réglementaire ambitieuse. « Sur le plan technologique, nous travaillons au déploiement d’une feuille de route claire afin de pouvoir cartographier nos dépendances en matière de cyber, mais aussi de concentrer les financements européens nationaux au travers notamment du Fonds européen de défense », a précisé Thierry Breton.
Sur le plan réglementaire, la directive NIS a permis de mettre en place des exigences de cybersécurité sur l’ensemble des acteurs économiques essentiels dans les secteurs critiques, notamment dans les datacenters et les administrations publiques.
Autre composant réglementaire clé : le « Cyber Resilience Act », proposé par Thierry Breton en novembre 2022. « Ce texte met en place des exigences de cybersécurité minimales pour tous les produits et logiciels qui seront placés sur le marché intérieur. Pour 90 % des produits, il sera possible de faire des auto-déclarations de conformité. Mais pour une trentaine de produits les plus critiques, comme les pares-feux industriels, les routeurs ou les systèmes d’exploitation, nous avons défini un examen de conformité qui sera effectué par des tiers », a détaillé le commissaire européen.
Détection et défense renforcées
Sur le volet « détection », Thierry Breton a rappelé l’objectif de réduire drastiquement le temps de détection d’une attaque, afin qu’il soit, à terme, de quelques heures seulement et non plus de plusieurs mois (190 jours en moyenne pour les attaques sophistiquées).
À ce titre, la Commission européenne a proposé, en avril dernier, le « Cyber Solidarity Act ». Ce texte permet la mise en place d’une infrastructure de six ou sept SOC (Security Operations Centers) dans le but de créer une détection globale au niveau européen. « En matière de gouvernance, ce ‘cyber shield’ sera un peu notre Galileo du cyber, en référence à notre architecture de connectivité et de positionnement par satellite Galileo », a-t-il déclaré.
Sur la partie « Défense », Thierry Breton a rappelé l’importance du « mécanisme d’urgence cyber » qui sera lui aussi porté par le Cyber Solidarity Act. Ce mécanisme reposera sur des principes de gestion de crise commune et d’assistance mutuelle. Il s’inspirera notamment du fonctionnement des protections civiles européennes qui, en cas de désastre majeur (incendie, tremblement de terre…) dans un pays de l’UE, lui viennent en aide de manière solidaire.
« Il s’agit d’un bras réactif qui reposera sur une réserve de plusieurs milliers d’intervenants pour engager des prestataires de service public ou privés, certifiés et de confiance, sur la base du volontariat, afin de soutenir tout effort de défense et de mobilisation face à une attaque. Cette réserve se tiendra prête à intervenir à la demande de tout État membre », a-t-il expliqué.
Une politique de sanctions actives et directes pour une meilleure dissuasion
Enfin, pour devenir un acteur global crédible au niveau continental de la cybersécurité, voire de la cyberdéfense, l’Europe doit pouvoir se doter d’une véritable doctrine en matière de cyberattaque et de cyberdéfense. « Il s’agit d’accroître notre posture de dissuasion européenne en matière de cyber. Or, il n’y a pas de cyberdéfense sans capacité de dissuasion. Cette posture doit s’accompagner d’une politique de sanctions actives et directes. L’UE s’est déjà dotée d’une diplomatie cyber permettant d’établir des sanctions très fortes, en particulier quand l’attribution est bien qualifiée » a exposé Thierry Breton.
Et le commissaire européen en charge du Marché intérieur de conclure : « Mais toute dissuasion, pour être crédible, doit être accompagnée d’une véritable stratégie sur les capacités de réponse active, c’est-à-dire offensive, qui restent à la main des États membres. Nous avons mobilisé des moyens très importants, notamment dans le Fonds européen de défense, pour intervenir en amont et aider les États membres à financer des technologies clés. »
Face aux menaces, l’Europe s’organise donc technologiquement, au niveau réglementaire, en matière d’infrastructures communes et de solidarité pour sa capacité de défense et de dissuasion. Elle intègre dans sa démarche l’ensemble des États membres mais aussi ses alliés de l’OTAN, au premier rang desquels se trouvent les États-Unis.
la newsletter
la newsletter