Sur le papier, c’est un projet séduisant. Le marché numérique unique voulu par la Commission européenne a pour objectif de faire tomber «les obstacles en ligne qui entravent l’accès des citoyens aux biens et aux services, limitent l’horizon des entreprises et des start-up du secteur de l’internet et empêchent les entreprises et les États de tirer pleinement parti des outils numériques».
Dans les faits, les choses sont toutefois plus compliquées. Car qui dit numérique, dit cybercriminalité. Or, si Bruxelles souhaite offrir à ses citoyens un réseau unifié à l’échelle de l’Union, elle devra également en assurer la sécurité. Et la tâche risque d’être ardue. En 2017, quelque 36 millions de documents ont été volés en Europe, selon le Breach Level Index, une base de données mondiale qui localise et analyse les failles informatiques dans le monde entier. Alors que, selon Eurostat, 87% des Européens disent éviter de divulguer des informations personnelles en ligne (90% chez les Luxembourgeois) de peur qu’elles soient utilisées sans leur consentement. L’application du Règlement général sur la protection des données (RGPD), le 25 mai, devrait améliorer la situation, mais elle ne réglera pas tout. «La clé du succès du marché numérique unique est la confiance, rappelle Yuriko Backes, chef de la représentation de la Commission européenne au Luxembourg. Et l’Europe est consciente qu’il y a encore beaucoup de travail.»
Nous ne pouvons pas toujours faire de l’exceptionnel pour la cybersécurité.
Olivier Lenert, représentant du Luxembourg chez Eurojust
Si la cybercriminalité est en augmentation constante, les réponses policières et judiciaires à ce type d’infractions, majoritairenement transfrontalières, sont bien souvent trop lentes. Le pays où a été commise l’infraction est en effet rarement celui où se trouve le cybercriminel. L’échange de preuves électroniques entre les autorités judiciaires des différents États est donc indispensable. Et il doit se faire rapidement. L’agence Eurojust, la plateforme de coopération judiciaire au niveau européen, a mis en place une équipe spécialisée pour ce genre d’affaires. Une initiative bienvenue, mais encore insuffisante. «Les dossiers traditionnels durent en moyenne de six mois à deux ans du fait des contrôles et des recours, note Olivier Lenert, représentant du Luxembourg chez Eurojust. Nous pouvons accélérer certains dossiers, mais nous en recevons des centaines de tous types et nous ne pouvons pas toujours faire de l’exceptionnel pour la cybersécurité. Nous avons également eu beaucoup d’affaires de terrorisme ces derniers temps, il faut donc savoir prioriser.»
Échanger avec le secteur privé
Pour accélérer les processus d’échange de preuves électroniques, la Commission a récemment proposé plusieurs mesures, dans ce qui pourrait devenir une directive de l’e-vidence. L’une d’entre elles est d’obliger les prestataires de services internet à fournir des données dans un délai de 10 jours, voire 6 heures en cas d’urgence, si une autorité judiciaire européenne lui en fait la demande. La coopération entre les institutions judiciaires et le secteur privé est en effet un point crucial, même si du côté des entreprises, elle est vue avec prudence.
«En 2005, Yahoo! a transmis les communications personnelles d’un dissident chinois sur demande de Pékin, qui s’en est ensuite servi pour l’arrêter. Accusée de complicité, l’entreprise s’est défendue en disant avoir simplement respecté la loi chinoise. Cet épisode a marqué l’industrie du numérique, qui est aujourd’hui plus prudente avec ce genre de requêtes», explique Bertrand Lathoud, ancien information security officer pour PayPal Europe et aujourd’hui expert en cybersécurité pour le centre de compétences C3 du GIE Security-madein.lu.
Entre confidentialité et coopération, sécurité et liberté, la juste balance est difficile à trouver pour les acteurs institutionnels et privés du numérique. Les cybercriminels, eux, ne s’embêtent pas avec ce genre de questions éthiques et profitent des lourdeurs de la justice et des avantages procurés par le réseau mondial pour attaquer de toute part. Depuis 2013, la cybercriminalité a dépassé les revenus du trafic de drogue à l’échelle mondiale, alors qu’elle représente un risque majeur pour le secteur financier.
Au Luxembourg
Une stratégie ambitieuse
Début mai, le gouvernement a présenté sa 3e stratégie en matière de cybersécurité pour la période 2018-2020. Sa feuille de route se décline en trois grands piliers:
- Renforcer la confiance
Information, sensibilisation, vulgarisation sont les moyens par lesquels le gouvernement entend offrir à tous les citoyens une connaissance précise des risques liés au cyberespace. En parallèle, il veut mettre en place un modèle de «divulgation responsable» pour faciliter la communication aux entreprises de leurs vulnérabilités, notamment découvertes par des chercheurs, et leur permettre d’y remédier avant qu’elles ne soient rendues publiques.
- Protéger les infrastructures
Après un recensement de l’infrastructure informatique critique, le gouvernement veut encourager les acteurs privés à procéder à des analyses de risques poussées. Il adaptera par ailleurs continuellement son plan d’intervention d’urgence aux évolutions des menaces, tout en renforçant la coopération internationale.
- Promouvoir la Place
Fort d’un cyberespace sécurisé, le Luxembourg souhaite en faire profiter la place financière, notamment en proposant de nouveaux produits et services à haute valeur ajoutée grâce à des partenariats public-privé, mais aussi en mutualisant l’infrastructure
de sécurité.