FIC 2023 : Thierry Breton détaille son bouclier Cyber européen

L’Europe se dote d’une capacité Cyber opérationnelle

Sur le plan réglementaire, l’Europe est déjà très avancée sur la question avec le DSA, le DMA, le Data Act, NIS et désormais la mise en application de NIS 2 pour lequel le commissaire européen veut mettre la pression sur les Etats afin que le texte soit rapidement intégré dans les droits nationaux.

Thierry Breton a aussi évoqué le Cyber Resilience Act dont le texte a été porté devant la Commission en novembre dernier : « ce texte met en place les exigences minimales en Cybersécurité pour tous les produits et logiciels qui sont commercialisés sur le marché intérieur, que ce soit des produits européens ou non ». 90 % des produits seront agréés via des auto-déclarations de leurs constructeurs, avec des audits de vérification organisés par la suite.

Néanmoins, une trentaine de produits critiques ont été identifiés et bénéficieront d’un traitement à part. Les pare-feux industriels, les routeurs, et les systèmes d’exploitation devront passer un examen de conformité qui devra être effectué par un tiers : « en cas de défaillance, la commission pourra demander le retrait du marché pur et simple d’un produit qui ne respecterait pas nos règles et qui présenterait un risque Cyber ».

Autre texte évoqué par le commissaire européen, le Cyber Solidarity Act. Celui-ci sera présenté le 18 Avril 2023. Il vise à déployer une infrastructure européenne de centre de sécurité opérationnelle (SOC) afin de renforcer les capacités de détection et de réponse de l’Europe face aux attaques Cyber : « des SOC seront déployés au niveau européen pour bâtir ce dôme cyber de sécurité, monitorer en permanence ce qui se passe sur l’ensemble des réseaux. Plusieurs pays seront impliqués. Nous pensons pouvoir couvrir l’ensemble du continent avec 6 ou 7 de ces SOC. Ceux-ci mettront en œuvre des supercalculateurs, des algorithmes d’intelligence artificielle très sophistiqués. Cela nous permettra d’avoir une détection au niveau européen en créant ce que nous appelons un Cyber Shield, un bouclier européen qui sera en quelque sorte notre Galileo du Cyber sur le plan de la gouvernance. On sait faire fonctionner ce modèle selon des protocoles de défense. On sait le faire fonctionner avec des Etats membres qui ont chacun leurs contraintes. Nous avons déjà commencé à travailler sur des prototypes. Un pilote est en cours de déploiement avec 17 pays impliqués. D’autres seront appelés à rejoindre ce projet. Trois grands SOC seront progressivement déployés dans le courant de l’année avant même que l’acte ne soit négocié pour évaluer l’architecture, apprendre à travailler en commun et apprendre de ce premier déploiement technologique ».

Pour le commissaire européen, au-delà de ces SOC, l’Europe doit renforcer la résilience de ses infrastructures critiques. Aéroports, centrales énergétiques, réseaux de distribution, gazoducs, toutes ces infrastructures critiques doivent être sécurisées : « c’est dans ce contexte que nous mettons en place un partenariat avec l’ensemble des Etats membres pour évaluer avec chacun d’eux les scénarios d’attaque et les tests de pénétration et que nous déroulons ensuite de manière systématique. La guerre en Ukraine a accéléré l’ensemble des mesures de prévention de manière à détecter la moindre vulnérabilité et les corriger ».

Le troisième point d’action porte sur la défense proprement dite : « l’Europe doit mieux s’équiper pour faire face à une attaque majeure. En cybersécurité, il est absolument essentiel d’échanger des informations dès que l’on a une attaque ». Et pouvoir réagir dès qu’une attaque est détectée implique une capacité opérationnelle de gestion de crise cyber commune et une assistance mutuelle au niveau européen, comme il en existe dans le domaine de la protection civile en cas de catastrophe naturelle, par exemple.

Le Cyber Solidarity Act comportera un mécanisme d’urgence Cyber, en complément du réseau de gestion de crise Cyber CyCLONe déjà en place. Une réserve cyber européenne va être mise en place, avec des prestataires de sécurité certifiés qui pourront être mobilisés pour intervenir en cas d’attaque majeure contre un état membre.

Thierry Breton évoque ainsi plusieurs milliers d’intervenants qui constitueront alors l’armée Cyber européenne, sur la base du volontariat. Cette démarche fait notamment suite à l’aide apporté par l’Europe à l’Ukraine.

Une doctrine de cyberdéfense plus offensive

À cela s'ajoute la nouvelle doctrine de cyberdéfense européenne, qui marque la fin de la naïveté de l’Europe face à ses agresseurs puisqu’elle n’exclut pas une cyberdéfense offensive : « pour devenir un acteur global et crédible, l’Europe doit se doter d’une véritable doctrine d’engagement en matière de cyberattaque et de Cyber défense. C’est indispensable : ceux qui nous attaquent ne s’en privent pas et nous devons être capables de réagir. Il n’y a pas de cyberdéfense sans capacité de dissuasion. Cette posture doit s’accompagner d’une politique de sanctions actives et directes. L’Union s’est d’ores et déjà dotée d’une diplomatie cyber qui permet d’établir des sanctions très fortes, nous les avons déjà utilisées, lorsque l’on a bien qualifié l’attribution. Nous avons renforcé nos capacités d’attribution, mais aussi la façon dont on traite l’attribution ».

Thierry Breton estime enfin que, pour être crédible, toute dissuasion doit être accompagnée d’une véritable stratégie de réponse active, offensive pour le dire plus clairement, a-t-il précisé. Cette Cybersécurité offensive restera à la main des états membres car il s’agit d’un sujet de défense, domaine réservé des Etats, mais l’Europe compte bien aider ses membres à se doter d’armes Cyber : « pour les aider à le faire, nous avons mobilisé des moyens très importants, notamment dans le Fonds européen de défense pour les aider à financer les technologies clés ».

Rendez-vous est pris avec Thierry Breton le 18 avril prochain pour en savoir plus sur le dôme Cyber Européen.