Cyber-souveraineté européenne : rêve ou réalité ?
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
Plus l’Europe est victime de cybercriminalité, plus elle tend à s’ériger en une véritable puissance souveraine en matière de cybersécurité pour mieux se défendre. Tel est le constat dressé par les participants de la séance plénière du FIC 2022 intitulée « L’Europe, puissance normative. Et après ? ». Pourtant, l’existence d’une souveraineté européenne n’est pas évidente.
Ainsi que le rappelle Henri Verdier, Ambassadeur pour le numérique au sein du Ministère de l’Europe et des Affaires étrangères, pour ceux qui sont attachés au concept français de la souveraineté comme pouvoir émanant de la volonté du Peuple, la souveraineté européenne ne peut qu’être contradictoire étant donné qu’il n’existe pas de peuple européen. Et pourtant, la souveraineté peut simplement être considérée comme étant la liberté de faire ou de ne pas faire : l’autonomie.
C’est cette définition de la souveraineté comme autonomie qui a été retenue par les participants pour qualifier la souveraineté européenne comme idéal à atteindre dans le domaine de la cybersécurité. « La souveraineté c’est maîtriser notre destin » explique Guillaume Poupard, Directeur général de l’ANSSI. Elle est une « sorte d’autonomie stratégique, (…) la liberté de prendre des décisions qui nous concernent » affirme Henri Verdier.
Ainsi, c’est par le biais de cette autonomie que l’Europe parviendra à devenir une puissance, non seulement en termes d’innovation dans l’industrie cyber pour mieux faire face à la concurrence internationale, mais aussi en termes de « capacité à former des règles au-delà du marché unique (…) vers nos voisins et d’autres régions du monde » comme l’a expliqué Daniela Schwarzer, Directrice pour l’Europe et l’Eurasie à Open Society Foundations.
Par conséquent, la souveraineté de l’Union européenne (UE) dans le domaine de la cybersécurité signifierait la capacité de celle-ci à devenir autonome à la fois dans l’innovation technologique et la production normative pour qu’elle puisse s’ériger en une puissance capable d’affronter la concurrence internationale et d’exporter ses normes en la matière afin de renforcer son influence mondiale. Mais emprunte-t-elle réellement ce chemin ?
La coopération : une « ambition commune » au service de l’autonomie européenne
« L’Europe avance, parle presque d’une seule voix » se félicite Guillaume Poupard. Selon lui, il y a quelques années, « la question était de savoir qui de la partie européenne (…) ou des États membres (…) allait attirer vers lui les questions de souveraineté, d’autonomie ».
Désormais, une véritable « ambition commune » entre tous les États membres émerge : celle de la coopération « devenue naturelle en Europe » en matière de cybersécurité selon Olivier Onidi, Directeur général adjoint de la Direction Générale de la Migration et des Affaires Intérieures à la Commission européenne, et qui est la condition nécessaire pour doter l’UE d’une autonomie comme moyen de réalisation de sa cyber-souveraineté. C’est pourquoi, pour Daniela Schwarzer, il faut « définir le concept de souveraineté non pas comme une perte de souveraineté si on coopère (…) tous ensemble mais plutôt comme une récupération de souveraineté ».
Comme l’a écrit Pierre Berthelet dans le numéro de janvier de la Revue de la gendarmerie nationale, cette coopération européenne en matière de cybersécurité peut être appréhendée au moyen d’une « approche par la souveraineté nationale », d’ « une approche par les flux transnationaux » ou encore d’ « une approche par l’intégration européenne ». Il semblerait que les deux dernières approches soient désormais privilégiées.
En effet, allant dans le sens de l’approche par les flux transnationaux, des réseaux européens se forment de plus en plus aisément et « fonctionnent » selon Guillaume Poupard. Il en va ainsi dans le domaine de la cyberdéfense comme l’a affirmé le Général Didier Tisseyre, Commandant de la cyberdéfense, selon qui la Présidence française du Conseil de l’Union européenne (PFUE) a permis d’activer de multiples réseaux non seulement entre toutes les CERT militaires mais aussi entre les commandants de la cyberdéfense des différents États membres au moyen de multiples réunions et forums.
Ainsi, Olli Ruutu, Directeur général adjoint de l’Agence européenne de défense, a expliqué que « la coopération et les voies de communication ont été développées dans le domaine de la cyberdéfense ». Conscient de la nécessité d’accélérer cette dynamique, il est venu annoncer la création d’un « réseau opérationnel » ayant pour but un partage plus efficace des informations nécessaires pour garantir une meilleure cybersécurité européenne.
C’est en partie par le biais de ce type de coopération, au moyen d’une multiplicité de réseaux transnationaux, que s’élaboreront ce qu’Henri Verdier nomme les « communs numériques » comme « vision non rivale de la souveraineté ». Coopération comme « écosystème » dirait Guillaume Poupard et qui se structure aussi telle une véritable intégration européenne.
Effectivement, l’UE élabore son propre droit dérivé dans le domaine de la cybersécurité, fruit d’une coopération institutionnalisée entre ses États membres. Il en va par exemple du célèbre Règlement général sur la protection des données (RGPD) de 2016 mais aussi du Cybersecurity Act de 2019 conférant à l’ENISA, l’Agence européenne pour la cybersécurité, un mandat permanent et définissant un cadre européen de certification de cybersécurité, ainsi que du très récent Digital Services Act (DSA) complétant le Digital Markets Act (DMA) et visant à réprimer les contenus illicites postés sur les plateformes numériques.
De plus, est-il nécessaire d’évoquer la révision de la directive NIS de 2021 qui, selon Guillaume Poupard, « va changer les choses » ? Non seulement elle étend ses obligations en matière de cybersécurité à un plus grand nombre d’acteurs (ceux relevant de « secteurs essentiels » comme l’énergie ou les transports ainsi que ceux qualifiés d’ « importants » tels les services postaux ou la gestion des déchets) mais elle permet aussi d’intensifier le partage d’informations entre l’UE et ses États membres en créant, par exemple, une base européenne de données de vulnérabilités favorisant la coopération et in fine l’autonomie européenne.
Finalement, puisqu’en matière de cybersécurité l’autonomie de l’UE se renforce grâce à une collaboration plus poussée au moyen de multiples réseaux et d’une intégration renforcée, alors la puissance cyber-souveraine croît nécessairement. Mais il reste du chemin à parcourir…
Une cyber-souveraineté européenne non (encore) acquise
Bien que l’UE ait permis de « mutualiser certains outils souvent très rares », comme « une station de déchiffrement » au sein d’Europol, il reste à encore à renforcer la « solidarité européenne » selon Guillaume Poupard.
Solidarité européenne qui passera nécessairement par une collaboration entre les secteurs publics et privés au service d’une finalité commune. Cela permettrait par exemple de renforcer l’autonomie au moyen du partage d’informations et donc la puissance souveraine : « l’accroissement de la puissance (…) passe à présent par la production, la mise en mémoire, l’accessibilité et l’opérationnalité des informations » écrivait si justement Lyotard dans La condition postmoderne.
En outre, il est désormais nécessaire d’ « user de notre diplomatie numérique » pour étendre nos normes de cybersécurité à l’échelle internationale comme l’a expliqué Cyril Dujardin, Directeur des activités « Sécurité Digitale » au sein d’Atos.
Face à la guerre en Ukraine, il est donc fondamental que l’UE use d’instruments renforçant sa souveraineté si elle veut que le nouvel ordre émergeant ne s’organise pas sans elle. En attribuant la cyberattaque du satellite KA-SAT à la Russie, elle a agi en ce sens et a pu démontrer que sa cyber-souveraineté n’était plus seulement un rêve…