Cyberattaque contre l’Agence européenne des médicaments, cyberespionnage de documents liés aux vaccins contre le Covid-19, cybervol de données sensibles dans les hôpitaux en Allemagne, en Finlande, ou encore en Tchéquie… À l’heure de la pandémie, la menace cyber est – plus que jamais – une réalité sur notre continent européen.

La cybersécurité est avant tout une question de sécurité. Nos infrastructures numériques assurent la sécurité de chaque aspect de notre vie: nos transports, notre énergie, notre santé, notre administration publique dépendent tous de systèmes critiques qui doivent bénéficier des plus hauts niveaux de protection dont les citoyens qu’ils servent méritent.

La cybersécurité consiste en définitive à protéger notre mode de vie européen.

Qu’elles soient à des fins économiques, d’espionnage, criminelles, de déstabilisation ou militaires, les cyberattaques sont autant d’atteintes à notre sécurité, à nos intérêts, à notre souveraineté et à nos valeurs.

L’Europe est une cible privilégiée des cyberpirates

L’Europe est une puissance économique, géopolitique, militaire, de valeurs. À ce titre, elle constitue une cible privilégiée des cyberpirates, dont les moyens et la fréquence des attaques augmentent. Or, dans notre monde ultra-connecté, notre force est à la mesure du maillon le plus faible.

L’Europe a toujours été à la pointe de la cybersécurité: c’est le premier endroit dans le monde où 27 pays ont convenu ensemble d’une approche commune, d’un cadre réglementaire pour la cybersécurité, dite «directive NIS», et même d’un plan directeur de riposte aux cyberattaques de grande ampleur en Europe. L’Agence européenne pour la cybersécurité a également été la première de son genre à apporter son savoir-faire et son expertise dans un domaine qui souffre d’une pénurie de compétences et d’un manque de savoir-faire.

Il est urgent pour l’Europe de renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur, qui toucherait simultanément plusieurs pays de l’Union.

Sécuriser toute la chaîne technologique

Nos objectifs sont clairs: détecter, défendre, dissuader.

Pour cela, nous devons construire un bouclier cybereuropéen. Il en va de notre responsabilité collective, afin de protéger l’espace informationnel dans lequel nous travaillons, consommons, socialisons, apprenons et, au-delà, nos sociétés, nos démocraties, nos économies, nos industries. C’est le sens de la nouvelle stratégie européenne de cybersécurité.

Notre première priorité sera de doter l’Europe des infrastructures nécessaires pour se protéger. C’est toute la chaîne technologique de la donnée qu’il s’agit de sécuriser, depuis les réseaux télécoms (4G, 5G et bientôt 6G) jusqu’aux data centers et le cloud embarqué, en anticipant déjà l’impact qu’auront les technologies quantiques sur la cryptographie.

Face à l’ampleur du risque cyber, l’humain ne suffit plus: l’intelligence artificielle joue un rôle essentiel pour nous permettre de détecter suffisamment en amont les «signaux faibles», annonciateurs d’intentions malveillantes. Nous devons réduire drastiquement le temps de détection moyen d’une intrusion classique de 190 jours aujourd’hui à quelques minutes. L’Europe lancera donc – avec les États membres – un réseau européen de centres opérationnels interconnectés (SOC), permettant de protéger l’Europe et ses infrastructures et de l’alerter en cas d’intrusion. Une sorte de réseau de «gardes-frontières cyber».

Notre deuxième priorité sera d’organiser la sécurité du marché intérieur européen, que ce soit au sein des entreprises, notamment les plus exposées, ou au travers d’un internet des objets sécurisé. Nous proposons donc d’étendre et de renforcer les obligations des acteurs économiques autour de règles communes et harmonisées, en particulier pour assurer la sécurisation des chaînes de valeur, comme celle par exemple de la fabrication des vaccins, des centres de données, ou des entreprises de télécoms. De la même manière, nous établirons les normes de cybersécurité que devront respecter les objets connectés, avec un seul principe en tête: la cybersécurité «par design».

Notre troisième priorité sera de renforcer la coopération opérationnelle au niveau européen. Aujourd’hui, l’Europe est en ordre dispersé, se reposant sur les capacités de quelques États membres. Nous devons insuffler un nouvel élan d’ambition pour que les informations soient échangées, pour qu’une capacité de gestion de crise commune s’établisse, et pour qu’enfin les bases d’une véritable solidarité et assistance mutuelle européenne se mettent en place. Car c’est bien ensemble que nous serons plus forts. Il ne s’agit pas de remplacer les États membres dans leur mission, mais bien d’organiser le niveau européen. Ce sera l’ambition et l’objectif de l’Unité conjointe de cyber que nous souhaitons initier en début d’année prochaine.

Imposer une véritable doctrine cyber

Enfin, l’Europe doit s’affirmer sur la scène internationale en imposant une véritable doctrine cyber. Ceux qui mènent des attaques contre les intérêts vitaux de l’Europe doivent savoir que ceci ne pourra plus être fait sans conséquence. Pour la première fois, l’Europe a d’ailleurs adopté, en juillet dernier, des sanctions suite à des cyberattaques.

Mais nous devons aller plus loin, afin de ne rien laisser passer. Il faut préparer et améliorer notre capacité d’attribution des attaques, et ne pas hésiter à en nommer les responsables. Enfin, nous devrons – et c’est délicat – nous poser la question du développement de capacités opérationnelles, défensives et offensives en matière de cyberdéfense, que le fonds européen de défense pourrait contribuer à financer. Car c’est aussi cela l’Europe puissance.

Infrastructures de protection, marché intérieur sécurisé, capacités opérationnelles pour anticiper les attaques et y réagir plus rapidement, et doctrine diplomatique et de défense efficaces: telle est notre ambition pour un bouclier cybereuropéen au service de la sécurité des Européens. Il n’y a pas de temps à perdre.