La politique de sécurité et de défense commune

La sécurité du flanc sud de l’Europe ou la stratégie du mille-feuille

Sven Biscop retrace dans cet article les difficultés que rencontrent les Européens pour assurer leur sécurité au Moyen-Orient et en Afrique du Nord. En

.....

Jérôme Hervieu 4 août 2020

La politique de sécurité et de défense commune

La sécurité et la défense européenne face à la crise du Covid-19

Ce rapport du Parlement européen analyse l’impact pour l’Union européenne de la crise du Covid 19 sur les questions de sécurité et de défense

.....

Jérôme Hervieu 3 septembre 2020

La politique de sécurité et de défense commune

Quelle signification pour les termes de la diplomatie européenne ?

La présidente de la Commission européenne souhaite en faire un organe géopolitique tandis que le Haut Représentant affirme que l’UE doit appréhender le sens

.....

Jérôme Hervieu 23 juillet 2020

Le cyber comme élément de l’autonomie stratégique européenne

La stratégie européenne de cybersécurité doit permettre à l’UE de protéger ses intérêts et d’assurer son intégrité numérique. Il ne s’agit pas seulement de se prévenir contre des cyberattaques visant des intérêts sécuritaires, mais aussi de protéger tous les aspects d’une société connectée, allant des hôpitaux, du transport aérien, du processus démocratique ou encore de l’approvisionnement énergétique. Cette mise à jour de la stratégie doit, par elle-même, mais aussi par la coopération internationale, assurer aux citoyens et aux entreprises européennes un usage sûr du cyberespace.

Quatre domaines sont considérés comme vulnérables et doivent être protégés :

1 – La protection du marché intérieur

2 – Permettre l’application du droit national et international

3 – La diplomatie

4 – La défense

Pour apporter des solutions, le document se divise en trois parties principales :

1 – Resilience, technological sovereignty and leadership

2 – Building operational capacity to prevent, deter and respond

3 – Advancing a global and open cyberspace

Éléments que nous détaillerons, mais il faut auparavant revenir sur les différentes étapes de la prise de conscience à la fois des atouts et des risques du monde numérique, mais aussi des mesures prises par les instances européennes à partir de la cybersécurité en 2013.

2013, la stratégie de cybersécurité

Elle mettait en avant les valeurs défendues par l’Union européenne et qui devaient également être préservées dans le « monde virtuel ». Protéger les droits fondamentaux, la liberté d’expression et l’accès à tous étaient aussi l’affaire des entités commerciales et non gouvernementales qui assuraient la gestion et le développement de ce monde. L’UE militait pour qu’une gouvernance « participative » se mette en place, cette dernière assumant une « responsabilité partagée » qui faciliterait la prise de mesures contre la cybercriminalité et la définition de normes.

Ainsi, la stratégie de l’UE en 2013 s’articulait autour de cinq priorités :

1 – Parvenir à la cyberrésilience : en complément de la « Politique de sécurité des réseaux et de l’information » adoptée en 2001 et de la création en 2004 de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), une coopération accrue entre les États membres et les institutions de l’UE devait permettre une réaction rapide, commune et la définition de stratégies claires à mettre en œuvre en cas d’attaques. Des simulations régulières de cyberincident étaient encouragées ;

2 – Diminuer la cybercriminalité : en définissant une législation pour lutter contre elle, s’inspirant de la convention de Budapest définie par le Conseil de l’Europe ; en donnant les moyens opérationnels nécessaires à cette tâche et en favorisant une meilleure coordination (par l’intermédiaire du Centre européen de lutte contre la cybercriminalité d’Europol, EC3) ;

3 – Mettre en place une telle politique au sein de la PSDC avec l’aide des États membres et de l’Agence européenne de défense, en coopération avec l’OTAN et d’autres partenaires internationaux ;

4 – Développer la base industrielle et technologique nécessaire afin, comme dans le cas de l’espace, d’acquérir une autonomie dans la production des composants matériels et logiciels ; développer la R&D et faciliter la fourniture de ces produits à tous les acteurs en envisageant un « marché unique des produits de cybersécurité » ;

5 – définir une politique internationale de l’UE en matière de cyberespace tout en l’intégrant dans la PESC, en faisant un sujet de discussion comme un autre.

Cette stratégie sera intégrée en 2015 au « Programme européen en matière de sécurité » plus étendu et dans lequel la cybercriminalité n’était qu’un des trois axes principaux au côté de la lutte contre le terrorisme et la criminalité transfrontalière. Dans le contexte de 2015, la lutte contre le terrorisme était mise en avant, le programme ne reprenant que les grandes lignes de la communication de 2013.

La directive SRI (sécurité des réseaux et des systèmes d’information) de 2016

C’est la première grande loi européenne sur la cybersécurité, complétée par le Cybersecurity Act entré en vigueur en 2019. La directive

Impose aux États membres la création d’une Computer Security Incident Response Team (CSIRT) ;
Met en place un groupe de coopération qui doit disposer de sa propre CSIRT ;
Favorise l’émergence d’une vision commune de la cybersécurité.

Quant à l’EU Cybersecurity Act, il renforce les moyens de l’ENISA, qu’ils soient financiers, mais aussi réglementaires en assurant l’European cybersecurity certification framework. L’agence assume le rôle de secrétaire et coordinateur pour le réseau des CSIRT.

Shaping Europe’s digital future et l’EU Security Union strategy comme cadre de la lutte contre la cybercriminalité

Le premier programme doit accompagner et favoriser la transition numérique au sein de l’UE avec la promotion de trois piliers :

Mettre la technologie au service des personnes tout en les protégeant ;
Assurer le développement d’une économie numérique ou la concurrence serait équitable tout en garantissant la protection des données ;
Favoriser l’utilisation de la technologie à bon escient afin de lutter contre la désinformation, mais aussi aider l’Europe à devenir climatiquement neutre à l’horizon 2050, en particulier en réduisant les émissions carbone du secteur numérique.

Le second programme comporte quatre axes principaux qui doivent, sur une période allant de 2020 à 2025, renforcer la résilience de l’UE face aux cybermenaces. Pour cela, il s’agit

D’aider les États membres à mettre en place les systèmes de détection appropriés ;
De suivre les méthodes employées par les cybercriminelles afin de les contrer puis les appréhender ;
De protéger les Européens du terrorisme et du crime organisé ;
De bâtir un écosystème européen de la sécurité.

Ainsi, peu à peu, on retrouve la lutte contre la cybercriminalité au centre des différentes stratégies européennes de sécurité ou de protection des citoyens.

La stratégie européenne de cybersécurité en décembre 2020

Globalement, elle reprend les éléments des précédentes publications en insistant sur la coopération internationale, la protection des droits fondamentaux et la nécessaire résilience. Cependant, elle présente un bilan de la mise en place des précédentes directives et recommandations et, parallèlement, dresse un constat inquiétant sur la menace cyber aujourd’hui.

De nombreuses activités dépendent de la viabilité des réseaux et des systèmes d’information, mais elles restent vulnérables en raison de l’utilisation de technologies dont les failles de sécurité sont connues, en particulier dans le cas des objets connectés. La pandémie, qui a entrainé une augmentation de 40% du télétravail, n’a fait qu’accroitre le risque de cyberattaque.
Les tensions géopolitiques ont eu deux conséquences néfastes pour la vision européenne du numérique. Premièrement, des régimes politiques ont érigé des barrières limitant l’accès au cyberespace ainsi que la liberté d’expression ou le respect du droit, touchant là aux valeurs européennes. Deuxièmement, ils ont utilisé le cyberespace à des fins idéologiques allant jusqu’à combiner des campagnes massives de désinformation avec des cyberattaques.
Alors qu’il n’existe pas de gouvernance numérique globale, les structures indispensables au fonctionnement d’internet se retrouvent entre les mains de quelques compagnies privées, laissant les Européens vulnérables en cas de tensions géopolitiques majeures.
Selon le document, 1 entreprise sur 8 a déjà été victime d’une cyberattaque en Europe et 50 % des ordinateurs ayant été infectés par un virus le seront à nouveau dans la même année. Les cyberattaques sont donc une réalité pour la plupart des entreprises. Entre 2015 et 2020, leur cout pour l’économie globale a doublé et il est estimé aujourd’hui à 5.5 trillions d’euros…
Les secteurs critiques, comme l’énergie et les services financiers, sont parmi les cibles les plus visées et, en 2019, on a recensé 450 incidents majeurs. Plus de 2/3 des entreprises, principalement des PMEs, restent particulièrement exposées et sont moins bien préparées que leurs comparses asiatiques ou américaines. On estime qu’il manque 291000 professionnels de la cybersécurité en leur sein.
Pour finir, la coopération internationale et surtout entre États membres au sein de l’UE ne progresse pas assez vite. Le partage d’information, les remontées quant aux incidents ou simplement la prise de conscience du risque ne sont pas encore adéquats.

Malgré ces points spécifiques, la prévention de la cybercriminalité a progressé, mais pour aller plus loin, et plus vite, la Commission européenne propose différentes mesures autour des trois axes déjà évoqués.

1 – Resilience, technological sovereignty and leadership avec (entre autres):

La création d’un European cyber shield qui reposerait sur un réseau de Security operations centres répartis à travers l’UE et dotés de « technologies IA » et de méthodes d’apprentissages automatiques (machine learning techniques) ;
L’utilisation du programme spatial européen (European Union Governmental Satellite Communications) pour disposer d’un réseau de communications sécurisées ;
Une sécurisation renforcée des réseaux mobiles, particulièrement la 5G.

2 – Building operational capacity to prevent, deter and respond avec (entre autres):

La création d’une unité cyber commune qui favoriserait l’émergence d’une pensée cyber partagée par les États membres. Elle aurait trois objectifs, accroitre le niveau de préparation, assurer le partage d’information et permettre une réponse rapide en cas d’attaque.

3 – Advancing a global and open cyberspace avec (entre autres):

Définir des normes internationales standards sur les comportements à adopter dans le cyberespace tout en développant les coopérations avec les pays et organisations tiers.

Voir le Factsheet résumant l’esprit du texte (en anglais)

Plus de détails sur (en français) :

2013 : Stratégie de cybersécurité de l’Union européenne: un cyberespace ouvert, sûr et sécurisé

2015 : Le programme européen en matière de sécurité

2016 : Directive sur la sécurité des réseaux et des systèmes d’information dans l’Union

2017 : Exploiter tout le potentiel de la directive SRI – Vers la mise en œuvre effective de la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union

2019 : EU Cybersecurity Act

2020 : Shaping Europe’s digital future

En anglais

2020 : The EU’s Cybersecurity Strategy for the Digital Decade