Un "Cyber Resilience Act"​ pour mieux protéger l'Europe

Archived content

This website is no longer being updated. The content may be out-of-date and should be consulted for past reference only.

To find information about the College of Commissioners for the term 2024-2029, go to the Commission’s main website

To access websites outside the archive, copy and paste the web addresses (URLs) into your browser, and remove the archive part. 

« Si tout est connecté, tout peut être piraté. Les ressources étant rares, nous devons unir nos forces. […] C'est pourquoi nous avons besoin d'une politique de cyberdéfense européenne, notamment d'une législation établissant des normes communes dans le cadre d'une nouvelle loi européenne relative à la cyber-résilience. »

Avec ces propos forts, tenus à l’occasion du discours sur l’état de l’Union 2021, la Présidente de la Commission européenne Ursula von der Leyen démontre à quel point la cyber-sécurité et la cyber-défense revêtent aujourd’hui une dimension géo-stratégique.

Et pourquoi il est essentiel pour l’Europe d’investir de manière substantielle et urgente face aux menaces cyber de quelque nature qu’elles soient : de sécurité, de défense, hybride.

Le monde est vulnérable aux cyber-attaques de grande ampleur

Les événements récents nous rappellent combien l’Europe, et plus globalement le monde, reste vulnérable aux cyber-attaques de grande ampleur.

Citons entre autres les attaques, en pleine crise sanitaire, contre le système de santé irlandais. Le ransomware identifié par Kaseya. Le piratage de la Colonial Pipeline. Ou encore les cyber-attaques contre la municipalité d’Anhalt-Bitterfeld en Allemagne ou celles visant Thessalonique en Grèce.

Selon l’Agence européenne pour la cyber-sécurité, l'ENISA, les attaques sur nos chaînes d'approvisionnement vont se multiplier par quatre en 2021 par rapport à l'année dernière.

Et les attaques visant les infrastructures cloud ont été multipliées par 5 en un an. Les secteurs du transport, du gouvernement et de l’industrie sont les plus touchés.

Avec l’explosion des objets connectés et l’intensification de l’utilisation des données industrielles, la surface de risque se confond avec l’ensemble de notre continent.

Par ailleurs, les technologies cyber sont par définition duales. La frontière entre ce qui relève de la cyber-sécurité ou de la cyber-défense est de plus en plus flou. Que l’attaque soit menée par des acteurs motivés par l’appât du gain ou par une volonté de déstabiliser un pays, une économie, des processus démocratiques comme les élections, les techniques de pénétration restent bien souvent les mêmes. 

Face à ces menaces d’un autre genre, nous ne pouvons pas rester sur nos reflexes habituels, en silo. Nous devons avoir une approche commune européenne qui intègre l’ensemble des dimensions de la cyber, que ce soit civile ou militaire.

Pour mieux nous protéger, notre seule option est d’agir ensemble, au niveau européen. Dans un marché européen interconnecté, nous sommes aussi forts que le maillon le plus faible. Nous devons donc améliorer notre niveau de sécurité de manière collective.

Aujourd’hui, face à la diversité et la sophistication des attaques, aucun pays ne peut faire face seul à la menace cyber, car elle ne connait pas de frontière.

Pour ce faire, nous avons besoin de technologies de pointe, d’infrastructures sécurisées, d’exigences communes, d’une coopération opérationnelle accrue et des sanctions effectives.

C’est le sens des annonces de la Présidente Ursula von der Leyen.

L’Europe doit devenir un leader en matière de cyber-sécurité, au travers d’une véritable politique européenne en matière de cyber-défense, afin de protéger, détecter, défendre, dissuader.

Cette nouvelle politique s’appuiera bien entendu sur ce qui a été déjà mis sur la table, tant sur le plan réglementaire que technologique. Mais il s’agira de porter notre ambition un cran au-dessus.

Accroître notre résilience collective

Protéger d’abord, afin d’accroitre notre résilience collective.

Pour cela nous devons en premier lieu assurer notre souveraineté technologique en matière cyber. Notre réelle autonomie stratégique et capacité d’agir dépendra de notre capacité à maitriser et développer en Europe les technologies de pointe.

Nous estimons que l’UE, ses États membres et les acteurs privés pourraient investir jusqu’à 4,5 milliards d’euros sur la période 2021-2027 dans le développement et le déploiement des technologies de cyber-sécurité. À cette somme doivent s’ajouter les investissements des ministères de la défense ainsi que dans le cadre du Fonds Européen de Défense.

Je compte beaucoup sur notre nouveau centre de compétence cyber basé en Roumanie pour organiser plus efficacement la recherche technologique européenne et renforcer notre souveraineté technologique. Cependant, afin de mobiliser tous les efforts de manière cohérente et d’éviter les duplications, je considère que nous devons travailler ensemble, et dans le cadre de la politique de cyber-défense annoncée par la présidente à l’élaboration d’un plan capacitaire européen spécifique à la cyber intégrant tous les besoins civils comme militaires. Cela permettrait par exemple de combiner tous les efforts en matière de recherche et technologie quantique qui à terme changera la sécurisation de l’espace numérique tel que nous le connaissons aujourd’hui.  Nous construirons sur l’observatoire des technologies critiques que nous avons mis en place.  

Au-delà des technologies, nous devons aussi agir sur le plan réglementaire, afin de relever le niveau de sécurité au sein de notre marché intérieur. Nous avons ainsi proposé une révision des directives Sécurité des réseaux (NIS) permettant d’encadrer les obligations des acteurs économiques principaux.

Cependant, afin d’accroitre notre résilience, nous devons établir des normes communes européennes de cyber-sécurité pour les produits (notamment les objets connectés) et services qui sont mis sur notre marché. Ce sera le sens du European Cyber Resilience Act annoncé par la Présidente. Je considère que cet Act devra également avoir une dimension défense afin de maximiser les synergies, permettant par exemple de prendre en compte les besoins en matière de défense.

190 jours pour détecter une attaque sophistiquée

Détecter, ensuite.

Aujourd’hui, il faut en moyenne 190 jours pour détecter une attaque sophistiquée. Nous devons réduire drastiquement ce temps à quelques heures. C’est une condition impérative d’une plus grande résilience. Car détecter tôt, permet de mettre en place les contre-mesures nécessaires rapidement.

Pour cela, il s’agira de mettre en place un réseau européen de centres opérationnels de sécurité européens (Security Operation Centre ou « SOC ») qui vont – en lien avec les SOC nationaux et privés – scruter le réseau grâce à des technologies d’intelligence artificielle et détecter des signaux faibles d’attaques. Véritable « garde frontière cyber » de notre espace informationnel européen, ce réseau de SOC doit pouvoir intégrer les informations en provenance de SOC militaires nationaux ou à termes européens (financés par exemple par le Fonds Européen de Défense).  

Unité Conjointe de Cyber

Défendre, aussi.

L’Europe doit mieux s’équiper pour pouvoir faire face à une attaque majeure. C’est l’ambition et l’objectif de l’Unité Conjointe de Cyber que nous avons présentée en juin dernier afin de jeter les premières bases d’une capacité opérationnelle de gestion de crise et de solidarité européenne

Nous avons bien identifié les insuffisances du système actuel : beaucoup trop d’acteurs de cyber-sécurité, qui travaillent en plus en silos, de manière fragmentée.

Il nous faut donc plus de coordination opérationnelle et technique.

Une telle unité pourrait ainsi travailler en étroite relation avec le Centre de Joint situation Awareness évoqué par la Présidente.  

Se doter d’une véritable doctrine en matière de cyber-attaques

Dissuader enfin.

Car pour devenir un acteur global sur le cyber, l’Europe doit se doter d’une véritable doctrine en matière de cyber-attaques ainsi que des capacités opérationnelles et offensives de cyber-défense.

Nous devons être capables d’avancer sur nos capacités d’attributions et de développer une véritable diplomatie cyber comme nous venons de le faire avec les premières sanctions prononcées contre des acteurs ayant mené des attaques cyber en Europe.

L’objectif doit être de développer progressivement un véritable pilier cyber opérationnel comme partie intégrante de notre ambition sur la défense commune européenne. Oui c’est un sujet compliqué et délicat car il touche au cœur de la souveraineté nationale de nos États Membres, mais il est maintenant temps de le poser. Ce sera je crois un des éléments important de la boussole stratégique portée par le Haut Représentant Josep Borrell.

***

Face aux menaces cyber, l’Europe ne peut transiger et doit tout mettre en œuvre pour accroitre, avec les États Membres, notre résilience. Pour préserver notre industrie, nos services publics, nos infrastructures, notre sécurité et défense.

C’est aussi cela, la souveraineté technologique européenne.