Comment renforcer la cybersécurité de l’UE

Cet incident n’est pas isolé (le piratage du Premier ministre espagnol est un autre exemple récent important) et je suis sûr que de nombreux autres incidents similaires n’ont pas été signalés.

En effet, ce mois-ci seulement, il y a eu d’autres avertissements sévères concernant d’autres piratages.

C’est dans ce contexte que la Commission européenne a publié le 22 mars un nouveau règlement sur la cybersécurité, qui vise à améliorer « la gouvernance, la gestion des risques et le contrôle dans le domaine de la cybersécurité » de ses institutions.

Cela comprend un nouveau conseil de cybersécurité interinstitutionnel, renforçant les capacités de cybersécurité et les évaluations de maturité et une meilleure cyber-hygiène. Plus important encore, le mandat de l’équipe d’intervention en cas d’urgence informatique (CERT-EU) recevra des responsabilités supplémentaires en matière de renseignement sur les menaces, d’échange d’informations et de coordination de la réponse aux incidents. Ces nouvelles règles s’ajoutent aux initiatives existantes visant à améliorer la cybersécurité de l’UE, facilitées par l’Enisa, l’Agence européenne de sécurité de l’information.

Mais le piratage hongrois, qui a permis aux services de renseignement russes de lire par-dessus l’épaule d’un État membre de l’UE pendant une longue période, prouve que la cybersécurité est plus connectée que jamais et doit être assurée bien au-delà des institutions et des agences du l’UE elle-même.

Cela nécessite plus d’incisivité que ce qui est susceptible d’être atteint par un conseil interinstitutionnel, qui, à première vue, ressemble à un peu plus qu’une autre couche bureaucratique au-dessus du reste et un parallèle avec l’Enisa.

L’UE et ses membres dépendent de plus en plus de l’infrastructure numérique. Cela entraîne d’énormes risques de perturbations graves si cette interconnexion est compromise.

Alors que les cyberattaques habituelles impliquent naturellement le vol d’informations confidentielles politiques et économiques de l’UE, la guerre en cours en Ukraine pourrait entraîner des cyberoffensives plus paralysantes.

Les derniers mois ont révélé des cyberattaques de taille, de prouesse et de succès variables contre les communications numériques, les infrastructures critiques et même les satellites. L’UE et le monde sont à l’aube d’une nouvelle ère numérique, dans laquelle la 5G et au-delà, l’IA, l’informatique quantique, les drones intelligents, les nanotechnologies et les innovations concomitantes permettront un véritable Internet des objets qui connecte tous les appareils tout en exposant ces connexions à de grands risques.

La question reste donc de savoir quelles mesures supplémentaires doivent être prises pour permettre un environnement numérique sûr et sécurisé.

Les initiatives d’Enisa conduisent indéniablement à des développements positifs et à une prise de conscience ; cependant, ils impliquent généralement la création de couches et de procédures bureaucratiques et se concentrent sur l’incitation sans l’application. De nouveaux paradigmes seront nécessaires pour détecter et se défendre contre les nouvelles tentatives d’exploitation de notre interdépendance et d’atténuation de leurs effets, et à cet égard, l’UE peut apprendre beaucoup de ses partenaires.

En tant que puissance de l’OTAN, les États-Unis restent le cyber-État le plus capable au monde en matière de capacités défensives, offensives et de renseignement, grâce à des décennies d’investissements importants et à une orientation politique claire, et davantage pourrait être fait pour partager des techniques avec les alliés de l’UE. D’autres exemples incluent les Émirats arabes unis qui, poussés en partie par la forte augmentation des cyberattaques, sont devenus une puissance cyber régionale forte.

Sa stratégie a consisté à obtenir l’aide d’experts en cybersécurité, tels qu’Amazon Web Services et Deloitte, pour aider le personnel local à se perfectionner en technologie – une technique que les États de l’UE devraient également adopter davantage avec les bons partenaires.

Bien qu’il existe des différences essentielles dans la manière dont les cybercapacités offensives sont évaluées, afin de contrer la menace des puissances autoritaires, en tant que membres de l’OTAN, de nombreux États de l’UE pourraient également chercher à renforcer encore leurs cybercapacités offensives pour éviter d’être déjoués par la Chine et la Russie. investissement dans ce domaine.

Cependant, la difficulté pour l’UE est qu’elle n’est pas une nation individuelle mais la combinaison de 27 politiques et mentalités de cybersécurité, et qu’elle devra donc chercher un moyen de surmonter les divisions que cela implique.

‘Liste de choses à faire

Pour ce faire, l’UE devrait renforcer la cybersécurité autour de trois éléments clés: améliorer la connaissance de la situation, réduire la surface d’attaque grâce à des contre-mesures coordonnées et faire respecter les normes.

L’UE est parfaitement placée pour faire les trois, mais les normes devront devenir plus strictes et être appliquées plutôt que encouragées. À condition que le CERT-EU ait la capacité de traiter les données entrantes, les incitations pourraient inclure des sanctions en cas de non-respect des exigences, aider à garantir que les incidents les plus graves soient poursuivis et faire en sorte que l’UE oppose son pouvoir économique considérable aux États qui abritent des cybercriminels.

La mise en place de ces capacités n’est pas seulement technique, mais aussi organisationnelle. La cybersécurité n’est pas mise en place de manière isolée, elle est aussi holistique et décloisonnée que possible.

Mais la cybersécurité ne peut être aussi forte que son maillon le plus faible.