Rechercher un rapport, une publication, un expert...
L'Institut Montaigne propose une plateforme d'Expressions consacrée au débat et à l’actualité. Il offre un espace de décryptages et de dialogues pour valoriser le débat contradictoire et l'émergence de voix nouvelles.
29/07/2021

Cybersécurité : l’Union européenne contre-attaque

Interview de Patrick Calvar

Cybersécurité : l’Union européenne contre-attaque
 Patrick Calvar
Expert Associé - Sécurité

La dernière décennie a vu se multiplier les vagues de cyberattaques : en 2020, l’attaque "SolarWind" (États-Unis) mettait en danger des centaines d'entreprises ; il y a quelques semaines, un rançongiciel prenait pour cible JBS, le premier fournisseur de viande au monde, paralysant certains de ses systèmes dans plusieurs pays ; depuis le début de la pandémie de Covid-19, enfin, les hôpitaux français font l’objet d’attaques régulières. Fin juin 2021, l’Union européenne annonçait la création prochaine d’une Unité conjointe de cybersécurité dont l’objectif sera d'aider les États-membres à lutter contre ces attaques de plus en plus fréquentes et sophistiquées. Sa mission : assurer une préparation à grande échelle et une réaction coordonnée de l'UE face aux incidents et crises de cybersécurité et promouvoir une meilleure connaissance de la situation en la matière. Parce qu’elle n’est pas un État fédéral, l’Union européenne, à l’inverse des États-Unis, ne peut adopter de mesures uniformes contre ces cyberattaques, qui, lorsqu’elles visent plusieurs pays-membres, continuent d’être traitées à l’échelle de chaque État-membre comme une menace à la sécurité nationale. L’Unité conjointe de cybersécurité peut-elle ouvrir la voie à une meilleure coordination entre États-membres face à de futures attaques ? Éclairage de Patrick Calvar, dirigeant de C. Conseil et conseiller spécial sécurité auprès de l’Institut Montaigne.

Les États-membres de l’Union européenne sont traditionnellement réticents à l’idée d’une potentielle compétence de l’échelon communautaire en matière de sécurité nationale. Pour autant, les cyberattaques qui ont ciblé de nombreux États européens depuis le début de la pandémie de Covid-19 ont mis en évidence la nécessité d’une réponse conjointe, coordonnée au niveau européen. L’Unité conjointe de cybersécurité a-t-elle les moyens de réagir rapidement face à une attaque contre un État-membre ?

La révolution numérique a soulevé et continue de soulever des défis majeurs dont les conséquences, encore difficiles à évaluer, affectent à la fois nos concitoyens et nos États. Nos libertés individuelles sont remises en cause, tout comme la souveraineté et la puissance de nos pays. Le numérique crée ainsi de nouveaux outils particulièrement performants, auxquels peuvent recourir des services de renseignement mais aussi des criminels ou des terroristes. Plusieurs évènements récents ont montré la faiblesse de nos défenses face aux cyberattaques, dont certaines ont atteint un tel niveau de sophistication qu’il en devient difficile de les détecter et d’identifier leurs auteurs ; le préjudice est en outre difficilement estimable dans la plupart des cas. 

La cybersécurité exige en outre des moyens financiers et humains conséquents, des échanges fluides ainsi que des réponses coordonnées.

J'en veux pour preuve les attaques massives commises contre la société américaine Solarwinds : certains spécialistes estiment ainsi que l'on ne pourra jamais identifier avec précision toutes les informations volées ni toutes les cibles visées, et qu’il demeurera dès lors impossible d’évaluer avec certitude les dommages causés. L’ampleur des attaques varie grandement : si certaines peuvent engendrer un préjudice simple pour une unique victime - un citoyen -, d’autres peuvent être d’envergure transnationale et affecter notre recherche, notre économie, notre industrie, notre diplomatie, nos capacités militaires, et, de fait, notre place dans un monde instable et concurrentiel.

Les traités européens prévoient que le renseignement demeure de la responsabilité exclusive des États ; je pense qu’il faut qu'il en soit ainsi tant qu'un État fédéral ne sera pas institué dans la mesure où nos intérêts et nos priorités peuvent être divergents. Néanmoins, nous sommes tous confrontés, au sein de l'Union mais plus généralement avec l'ensemble de nos alliés, aux mêmes périls en matière de cyberattaques. La cybersécurité exige en outre des moyens financiers et humains conséquents, des échanges fluides ainsi que des réponses coordonnées. La création de l’Unité conjointe de cybersécurité se justifie donc pleinement et ne peut que susciter l'adhésion de tous.

Nous avons déjà créé des structures similaires au niveau européen par le passé, par exemple lorsqu’il s’est agi de lutter contre le terrorisme, ou encore pour contrôler nos frontières communes (Schengen). La démarche n’a donc rien d’inédit et ne remet nullement en cause le maintien de notre indépendance en matière de renseignement, ce que je crois, encore une fois, absolument nécessaire en l'absence de projet politique d'intégration au sein de l'Union.

Pour conclure, une telle structure nous donne les moyens de mieux anticiper et mieux répondre aux attaques dont nous faisons et continuerons de faire l'objet : il est certain qu'on réussit mieux à plusieurs. Et n'oublions pas que nous devons également unir nos efforts à ceux de nos principaux alliés.

Une telle structure nous donne les moyens de mieux anticiper et mieux répondre aux attaques.

Comment les États-membres peuvent-ils maintenir un équilibre entre souveraineté nationale d’une part et coopération au sein de l’UE et de l’OTAN d’autre part ?

Compte tenu de l'ampleur des menaces, la coordination avec nos partenaires européens et nos alliés est, encore une fois, impérative. Mais dans ces domaines particulièrement sensibles qui touchent aux enjeux de souveraineté et de puissance et donc d'indépendance, le maître mot doit être la confiance absolue. Dès lors, où placer le curseur ? Il faut agir avec pragmatisme. On n'oubliera cependant pas que notre partenariat avec l'OTAN a déjà une longue existence et a fait ses preuves. Au sein de l'Union européenne, nous sommes dans des processus d'intégration chaque jour plus forts - la crise sanitaire en fournit un nouvel exemple - tant les problèmes sont communs et complexes et nécessitent des investissements très lourds qu'un État seul ne pourrait plus supporter. Dans le domaine du cyber, cela s'impose d'autant plus que le risque est très élevé et ne fera que croître dans les années à venir. Pour autant, en l'absence d'intégration politique européenne - en d’autres termes, d’une forme de fédéralisme -, chaque pays doit pouvoir et a même le devoir de conserver une capacité d'action propre.

 

 

Copyright : Rob Engelaar / ANP / AFP

Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne