Cet article fait partie de notre guide: Les grands défis Post-RGPD

FIC 2023 : Thierry Breton détaille son bouclier Cyber européen

Marqué par l’absence de l’Anssi et des services de l’Etat, l’édition 2023 du FIC sera donc résolument européenne. Outre les nombreuses délégations, l’événement a été l’occasion pour Thierry Breton de dévoiler son plan de marche pour muscler la cyberdéfense du vieux continent.

C’est sur un ton particulièrement offensif que le Général Watin-Augouard a lancé la session plénière ouvrant officiellement la quinzième édition du FIC. Le fondateur du FIC a ainsi répondu aux critiques et surtout à la désertion de l’Anssi et des services de l’Etat en réaffirmant sa solidarité avec l’équipe d’organisation et donc indirectement avec Avisa Partners.

Si l’Anssi et la gendarmerie nationale manquaient à l’appel, cette édition semble établir un nouveau record de fréquentation avec 19 500 inscrits dont 15 000 à 16 000 attendus à Lille. L’événement fut une nouvelle fois l’occasion pour Jean-Noël de Galzain, le président d’Hexatrust, de militer pour un Small Business Act européen, et pour Michel Van den Bergh de revenir sur le succès du Campus Cyber.

Néanmoins, guerre en Ukraine et polémiques nationales ont clairement déplacé le centre de gravité de l’événement du côté de l’Europe. Les délégations étrangères ont donc remplacé les uniformes, preuve que le FIC a su s’imposer comme le plus gros événement Cyber européen.

La Ministre de la Défense belge ainsi que son homologue suédois et divers responsables des autorités Cyber de pays européens sont ainsi montés sur scène afin de présenter leurs initiatives, mais c’est bien l’intervention de Thierry Breton, le commissaire européen au marché intérieur, à la défense, à l’industrie et au numérique, qui était le plus attendu avec notamment l’annonce de la mise en place d’un bouclier Cyber européen : « l’ambition que je porte est de mettre en place un bouclier Cyber européen, un dôme Cyber qui a pour vocation de protéger, détecter, ensuite défendre et dissuader ».

L’objectif est d’une part de remonter le niveau de résilience et de sécurité du marché intérieur européen avec une approche à la fois technologique et réglementaire : « les deux vont de pair. On pense trop souvent à la technologie en France, et c’est bien, mais il faut aussi un aspect réglementaire ».

Une feuille de route technologique est à l’étude afin de cartographier les dépendances de l’Europe en matière Cyber et concentrer les financements civils et militaires via le Fonds Européen de Défense.

L’Europe se dote d’une capacité Cyber opérationnelle

Sur le plan réglementaire, l’Europe est déjà très avancée sur la question avec le DSA, le DMA, le Data Act, NIS et désormais la mise en application de NIS 2 pour lequel le commissaire européen veut mettre la pression sur les Etats afin que le texte soit rapidement intégré dans les droits nationaux.

Thierry Breton a aussi évoqué le Cyber Resilience Act dont le texte a été porté devant la Commission en novembre dernier : « ce texte met en place les exigences minimales en Cybersécurité pour tous les produits et logiciels qui sont commercialisés sur le marché intérieur, que ce soit des produits européens ou non ». 90 % des produits seront agréés via des auto-déclarations de leurs constructeurs, avec des audits de vérification organisés par la suite.

Néanmoins, une trentaine de produits critiques ont été identifiés et bénéficieront d’un traitement à part. Les pare-feux industriels, les routeurs, et les systèmes d’exploitation devront passer un examen de conformité qui devra être effectué par un tiers : « en cas de défaillance, la commission pourra demander le retrait du marché pur et simple d’un produit qui ne respecterait pas nos règles et qui présenterait un risque Cyber ».

Photo de Thierry Breton lors de son intervention en ouverture de l'édition 2023 du FIC.
Thierry Breton lors de son intervention en ouverture de l'édition 2023 du FIC.

Autre texte évoqué par le commissaire européen, le Cyber Solidarity Act. Celui-ci sera présenté le 18 Avril 2023. Il vise à déployer une infrastructure européenne de centre de sécurité opérationnelle (SOC) afin de renforcer les capacités de détection et de réponse de l’Europe face aux attaques Cyber : « des SOC seront déployés au niveau européen pour bâtir ce dôme cyber de sécurité, monitorer en permanence ce qui se passe sur l’ensemble des réseaux. Plusieurs pays seront impliqués. Nous pensons pouvoir couvrir l’ensemble du continent avec 6 ou 7 de ces SOC. Ceux-ci mettront en œuvre des supercalculateurs, des algorithmes d’intelligence artificielle très sophistiqués. Cela nous permettra d’avoir une détection au niveau européen en créant ce que nous appelons un Cyber Shield, un bouclier européen qui sera en quelque sorte notre Galileo du Cyber sur le plan de la gouvernance. On sait faire fonctionner ce modèle selon des protocoles de défense. On sait le faire fonctionner avec des Etats membres qui ont chacun leurs contraintes. Nous avons déjà commencé à travailler sur des prototypes. Un pilote est en cours de déploiement avec 17 pays impliqués. D’autres seront appelés à rejoindre ce projet. Trois grands SOC seront progressivement déployés dans le courant de l’année avant même que l’acte ne soit négocié pour évaluer l’architecture, apprendre à travailler en commun et apprendre de ce premier déploiement technologique ».

Pour le commissaire européen, au-delà de ces SOC, l’Europe doit renforcer la résilience de ses infrastructures critiques. Aéroports, centrales énergétiques, réseaux de distribution, gazoducs, toutes ces infrastructures critiques doivent être sécurisées : « c’est dans ce contexte que nous mettons en place un partenariat avec l’ensemble des Etats membres pour évaluer avec chacun d’eux les scénarios d’attaque et les tests de pénétration et que nous déroulons ensuite de manière systématique. La guerre en Ukraine a accéléré l’ensemble des mesures de prévention de manière à détecter la moindre vulnérabilité et les corriger ».

Le troisième point d’action porte sur la défense proprement dite : « l’Europe doit mieux s’équiper pour faire face à une attaque majeure. En cybersécurité, il est absolument essentiel d’échanger des informations dès que l’on a une attaque ». Et pouvoir réagir dès qu’une attaque est détectée implique une capacité opérationnelle de gestion de crise cyber commune et une assistance mutuelle au niveau européen, comme il en existe dans le domaine de la protection civile en cas de catastrophe naturelle, par exemple.

Le Cyber Solidarity Act comportera un mécanisme d’urgence Cyber, en complément du réseau de gestion de crise Cyber CyCLONe déjà en place. Une réserve cyber européenne va être mise en place, avec des prestataires de sécurité certifiés qui pourront être mobilisés pour intervenir en cas d’attaque majeure contre un état membre.

Thierry Breton évoque ainsi plusieurs milliers d’intervenants qui constitueront alors l’armée Cyber européenne, sur la base du volontariat. Cette démarche fait notamment suite à l’aide apporté par l’Europe à l’Ukraine.

Une doctrine de cyberdéfense plus offensive

À cela s'ajoute la nouvelle doctrine de cyberdéfense européenne, qui marque la fin de la naïveté de l’Europe face à ses agresseurs puisqu’elle n’exclut pas une cyberdéfense offensive : « pour devenir un acteur global et crédible, l’Europe doit se doter d’une véritable doctrine d’engagement en matière de cyberattaque et de Cyber défense. C’est indispensable : ceux qui nous attaquent ne s’en privent pas et nous devons être capables de réagir. Il n’y a pas de cyberdéfense sans capacité de dissuasion. Cette posture doit s’accompagner d’une politique de sanctions actives et directes. L’Union s’est d’ores et déjà dotée d’une diplomatie cyber qui permet d’établir des sanctions très fortes, nous les avons déjà utilisées, lorsque l’on a bien qualifié l’attribution. Nous avons renforcé nos capacités d’attribution, mais aussi la façon dont on traite l’attribution ».

Thierry Breton estime enfin que, pour être crédible, toute dissuasion doit être accompagnée d’une véritable stratégie de réponse active, offensive pour le dire plus clairement, a-t-il précisé. Cette Cybersécurité offensive restera à la main des états membres car il s’agit d’un sujet de défense, domaine réservé des Etats, mais l’Europe compte bien aider ses membres à se doter d’armes Cyber : « pour les aider à le faire, nous avons mobilisé des moyens très importants, notamment dans le Fonds européen de défense pour les aider à financer les technologies clés ».

Rendez-vous est pris avec Thierry Breton le 18 avril prochain pour en savoir plus sur le dôme Cyber Européen.

Pour approfondir sur Cyberdéfense

Close