- Cyber
- Europe
- PESC - PESD - PSDC
- Stratégie
- Sécurité
- UE PESD
La publication, le 7 février 2013, de la stratégie de cybersécurité de l’Union européenne constitue la première déclaration publique d’une cyberstratégie européenne autonome. Pourtant, et malgré sa valeur symbolique, ce document n’est ni une totale nouveauté, puisqu’il s’inscrit dans la continuité de nombreuses initiatives européennes, ni un aboutissement, puisqu’il manque encore de nombreuses pierres à l’édifice. Ainsi, c’est au triple crible de ses origines, de son dispositif et de ses limites qu’il faut analyser ce texte.
I Les éléments préalables à l’affirmation de la stratégie européenne de cybersécurité
11 Les textes stratégiques préalables
La première stratégie de sécurité de l’Union européenne, parue en 2003, mentionnait des menaces prioritaires. Les cybermenaces, alors, n’en faisaient pas partie. Toutefois, en 2008, le Secrétaire général et Haut représentant publie un rapport sur la mise en œuvre de cette stratégie de sécurité et actualise la liste. Désormais, cinq menaces majeures sont dénombrées, dont la cybersécurité. Depuis 2008, la question fait donc l’objet d’un intérêt prioritaire.
Ainsi, la Commission a proposé en 2009 une « politique de sécurité des réseaux et de l’information » (SRI). Cette politique fait suite à une communication de 2001 sur « la sécurité des réseaux et de l’information : propositions pour une approche européenne » et, en 2006, une « stratégie pour une société de l’information sûre ». En 2009, la Commission a également proposé un plan d’action et une communication sur la Protection des infrastructures d’information critique (PIIC). Ce plan d’action, après avoir souligné l’enjeu des réseaux (puisque l’économie en dépend), insiste sur une nécessaire sensibilisation des acteurs, recommande la coordination des approches nationales, constate la disparité des compétences et déplore le manque d’efficacité à l’échelle de l’UE. C’est pourquoi la Commission recommande la préparation (rôle attribué à l’ENISA), la détection, la réaction et la coopération.
L’UE a par ailleurs pris un certain nombre d’initiatives liées au cyberespace. La première consiste en la « stratégie numérique pour l’Europe », rendue publique en 2010 sous l’égide de la commissaire européenne Nelly Kroes. Son objectif est d’utiliser les nouvelles technologies dites numériques, afin de favoriser le développement économique et social. Pour cela, l’Europe a pris un certain nombre de mesures d’harmonisation (couverture à large bande, itinérance, commerce électronique, carte d’identité électronique, signature électronique…).
Parmi les autres initiatives , on peut mentionner la stratégie dite « i2010 » de 2005, la communication de la Commission de 2006 (Une stratégie pour une société de l’information sûre), la communication de la Commission de 2009 relative à la Protection des infrastructures d’informations critiques (PIIC), avec une nouvelle communication de 2011 sur le même sujet. S’agissant de la lutte contre la cybercriminalité, l’UE a adopté en 2005 une décision-cadre avec une proposition de directive qui n’a pas été adoptée. Elle est moins ambitieuse que la convention de lutte contre la cybercriminalité, dite « convention de Budapest », adoptée sous l’égide du Conseil de l’Europe mais non encore ratifiée. S’agissant de la cyberdéfense, l’Agence européenne de défense (AED) a récemment constitué une équipe de projet sur ce sujet. Mais on le voit, tout ceci reste embryonnaire.
12 L’ENISA
Par ailleurs, une Agence européenne chargée de la sécurité des réseaux et de l’information (en anglais, ENISA) a été institué en 2004 à la suite d’un règlement européen. Selon les motifs ayant présidé à son établissement, elle « constituerait une référence et inspirerait confiance du fait de son indépendance, de la qualité de ses conseils et de l’information qu’elle diffuse, de la transparence de ses procédures et de ses modes de fonctionnement ainsi que de la diligence avec laquelle elle s’acquitte des tâches qui lui sont confiées, répondrait à ces besoins. L’Agence devrait s’appuyer sur les initiatives prises aux niveaux national et communautaire et par conséquent exécuter ses tâches en totale coopération avec les États membres et être ouverte à tout contact avec les entreprises et les autres parties concernées. Les réseaux électroniques étant dans une large mesure détenus par le secteur privé, l’Agence devrait s’appuyer sur les informations fournies par celui-ci et travailler en coopération avec lui. »
Établie à Heraklion, en Crète, disposant de 60 agents et d’un budget de 8,5 M€ en 2012, elle a fourni une certaine expertise et énoncé un certain nombre de conseils et recommandations. On observe depuis 2008 une augmentation de son activité. Elle a ainsi organisé un certain nombre d’exercices impliquant des États-membres : « Cyber Europe 2010 », puis « Cyber Europe 2012 » (qui fit venir de plus des acteurs privés) et également un exercice euro-américain, « Cyber Atlantic 2011 ». Il faut également mentionner ses rapports annuels sur les cyber-menaces. Le premier a traité de l’année 2011, le second qui vient de paraître est plus complet, tout simplement parce que la plupart des pays ont amélioré leur maîtrise de transmission des rapports d’incident.
Toutefois, le rôle de l’Agence a été décrié car de nombreux observateurs ont jugé que sa production ne répondait pas aux vrais besoins d’organisation de la cybersécurité européenne. Mais il est vrai que ses statuts ne lui permettaient pas d’aller vraiment au-delà. En effet, l’Agence n’a pas de mission opérationnelle et n’a jusqu’à aujourd’hui qu’un rôle de conseil. « Son mandat vient de faire l’objet d’un accord politique entre le Conseil et le Parlement en janvier 2013 ».
13 Le Centre européen de lutte contre la cybercriminalité (EC3)
Le projet de centre européen de lutte contra la cybercriminalité date de 2008. L’idée part du constat que l’Europe est la zone où il y a le plus de personnes connectées, et celle où les transactions par carte bleue sont les plus nombreuses. Ainsi, les seules fraudes aux cartes bleues coûtent 1,5 milliards d’€ par an (que ce soit par espionnage, vol d’information, escroqueries financières, usurpation d’identité, etc.). Des cellules de coordination des politiques des Etats membres existaient déjà au sein de l’office européen de police (Europol).
Le centre a été inauguré le 11 janvier 2013 par Cecilia Malmström, commissaire européenne chargé des affaires intérieure. Il est hébergé par Europol à La Haye (Pays-Bas). Il dispose d’un budget annuel de 4,6 M€ et d’une équipe de 40 experts . Il a pour mission de « rassembler en un point focal l’expertise et l’information, de soutenir les investigations criminelles et de promouvoir des solutions à l’échelle européenne, tout en sensibilisant l’ensemble des pays aux questions de cybercriminalité ». Il s’agit ainsi de servir de centre européen d’information en fusionnant les sources ; de renforcer les capacités européennes en mettant en commun et assurant des formations ; d’assurer un soutien opérationnel aux enquêtes ; en créant un forum européen pour les enquêteurs . Il devra ainsi cartographier et suivre les sources des cyberattaques en concentrant ses activités contre la fraude bancaire, les escroqueries financières en ligne, la pédopornographie, les cyberattaques contre les infrastructures d’intérêt vital et le piratage des systèmes d’information de l’UE.
- Commission européenne, « Stratégie de cybersécurité de l’Union européenne : un cyberespace ouvert, sûr et sécurisé », 7 février 2013. Accessible à : http://register.consilium.europa.eu/pdf/fr/13/st06/st06225.fr13.pdf.
- Mentionnées par le rapport n° 491 du Sénat sur la stratégie européenne de cybersécurité, déposé par MM. Bockel et Berthou le 10 avril 2013.
- ENISA, « Threat landscape », 8 janvier 2013.
- Cf. Rapport sénatorial n° 443 sur « L’Union Européenne, colonie numérique ? », rendu par Mme Morin-Desailly le 20 mars 2013.
- R. Loukhil, « L’Europe mutualise sa lutte contre la cybercriminalité », L’usine nouvelle, 11 janvier 2013.
O. Kempf (à suivre)