Cyber-sécurité en Union européenne, le grand « contre la montre »

Quentin Dumont
19 Juin 2013



Depuis longtemps débarrassée de son verni « geek-glamour », la question de la cyber-sécurité fait son grand retour dans l’agenda politique international. Après une décennie d’hésitations et d’initiatives partielles, les décideurs admettent enfin la nécessité de poser une stratégie globale de cyber-défense.


De gauche à droite : Neelie Kroes, commissaire européenne chargée du numérique, Catherine Ashton, haute représentante de l'Union pour les Affaires étrangères et la politique de sécurité, et Cecilia Malmström, commissaire européenne chargée des Affaires intérieures
De gauche à droite : Neelie Kroes, commissaire européenne chargée du numérique, Catherine Ashton, haute représentante de l'Union pour les Affaires étrangères et la politique de sécurité, et Cecilia Malmström, commissaire européenne chargée des Affaires intérieures
Si les Etats-Unis ont ouvert le bal en 2012 avec leur projet de Cyber Security Act, l’Europe n’est pas en reste sur la question : après avoir annoncé en février sa décision de forger une stratégie européenne en matière de cyber-sécurité, la Commission a accouché le 6 juin dernier d’un ambitieux projet de directive, qui devra être discuté par le Parlement et le Conseil dans les mois à venir. Et pourtant, les premiers pas de l’UE vers une cyber-citadelle européenne se révèlent pour le moins laborieux…

Les cyber-menaces, une réalité européenne

Si la cyber-sécurité n’est pas un problème nouveau en Europe, la stratégie amorcée en février par la Commission est, elle, inédite : jamais le problème n’avait été abordé de façon si globale et cohérente. Comment expliquer ce revirement en matière de cyber-défense ? Par l’urgence de la situation, assurément. Explications.

On aurait tort d’abandonner les questions de cyber-sécurité aux relations commerciales sino-américaines. Et pour cause, le retard de l’UE en matière de cyber-défense l’expose à des attaques dont les conséquences pourraient s’avérer désastreuses, si jamais des « infrastructures critiques » venaient à être frappées. Hôpitaux, agences gouvernementales, centrales nucléaires et services financiers s’appuient de plus en plus sur le web. Sont collectées, créées et stockées en ligne des quantités considérables d’informations. C’est une attaque de ces maillons faibles – ou « infrastructures critiques » – que les décideurs redoutent. Après tout, à lui tout seul, le virus israélien Stuxnet avait mis hors d’usage une centrale nucléaire iranienne ; un scénario qui, s’il venait à se répéter en France, mettrait K.O. l’ensemble du réseau électrique. La structure mondialisée des réseaux laisse même craindre un effondrement plus général encore : le forum économique mondial estime à 10% la probabilité d’une rupture majeure du web suite à une cyber-attaque, pour un coût qui s’élèverait alors à 200 milliards de dollars .

Dans une perspective moins alarmiste, les cyber-attaques représentent un préjudice économique quotidien. Un rapport du gouvernement britannique avance que 78% des grandes entreprises anglaises ont subi une attaque en 2012, pour une facture grimpant jusqu’à un million d’euros. Sans stratégie de cyber-sécurité cohérente, la croissance européenne pourrait être durablement compromise .

A cela s’ajoute des impératifs politiques tout aussi préoccupants : la multiplication des attaques perpétrées par des entreprises chinoises force Bruxelles à parier sur sa « stratégie de Cyber-défense » pour régler le problème. Or, cela impose d’aller vite, très vite tant les attaques se multiplient : il y a cinq ans, 9 cyber-attaques contre des infrastructures critiques étaient attribuées à la Chine, 198 quatre ans plus tard. Plus largement encore, on estime qu’en 2011, le nombre de cyber-attaques dans le monde avait augmenté de 38% par rapport à 2010… Urgence, urgence.

Forcer la coopération en matière de cyber-sécurité ? Un pour tous et tous contre la Commission

C’est donc pressée de toute part que la Commission a proposé, le 7 février dernier sa solution au problème de la cyber-sécurité en Europe. Le premier volet de cette solution est une « stratégie pour la Cyber-sécurité » établissant des standards de sureté communs à tous les Etats membres et aux entreprises. Le second volet est un projet de directive visant à obliger les entreprises et les Etats-membres à coopérer avec les institutions européennes en signalant toutes les agressions dont ils ont fait l’objet. Le point peut sembler anodin, mais il ne l’est pas : sans coopération, impossible d’avancer. Mais voilà, la coopération ne semble pas intéresser grand monde.

C’est le monde des affaires qui a grogné le plus vite. En effet, jusqu’à présent, les entreprises signalaient les cyber-agressions sur une base volontaire. Or, la majorité des dites compagnies se garde bien de crier en place publique que ses systèmes sont peu sûrs. A cela s’ajoute le fait qu’une large part des grands groupes a déjà une stratégie de cyber-sécurité en place : devoir tout reprendre à zéro pour suivre les standards de la Commission inquiète. Autant dire que le projet ne soulève pas un enthousiasme débordant parmi les entreprises.

De leur côté, les Etats-membres ont également décidé – à de rares exceptions près – de faire front contre le projet de directive. Pourquoi donc ? Pour des questions financières, une fois n’est pas coutume. Il faut dire que la mise en place de ce système de collecte d’informations sur les cyber-attaques doit se faire, selon la Commission, à charge des Etats. Et payer pour les lubies bruxelloises  n’amuse pas beaucoup.

Bilan ? Deux mois après la proposition de la Commission, 4 000 amendements ont déjà été déposés… C’est peu dire que le projet de la Commission rencontre des résistances.

« Je ne serai pas l’unique coupable, nous le serons tous »

La Commission aurait-elle eu les yeux plus gros que le ventre ? Et si oui, quel sera le prix de cet aventurisme ? A Bruxelles, l’optimisme n’est pas de mise. De l’aveu même de la commissaire Cecilia Malmström, « on a vraiment beaucoup de mal » et le processus risque fort de s’éterniser sur des points de détail. Au rythme actuel, les procédures de discussion du projet ne vont commencer qu’en septembre, et le Parlement puis le Conseil n’auront alors que quelques mois pour valider la directive…. ou bien pour la laisser couler et reprendre à la case départ avec les nouveaux députés qui rentreront au Parlement en juin 2014.

Mais l’UE peut-elle franchement se permettre un tel retard ? La commissaire Neelie Kroes, en charge du dossier, se contente d’un avertissement : « lorsque se produira un incident majeur, ne venez pas me pointer du doigt. […] Je ne serai pas l’unique coupable, nous le serons tous » . Nous voilà prévenus.

Notez