Alors que l’invasion de l’Ukraine s’est accompagnée d’une augmentation considérable des cyber attaques venant de Russie, l’Union Européenne cherche à gommer ses divergences internes pour renforcer sa résilience cyber et gagner en souveraineté.
Le vendredi 31 mars, s'est tenue à Bruxelles une réunion des différents responsables européens des opérations militaire cyber, présidée par le général de division Aymeric Bonnemaison, commandant de la cyberdéfense française. Lancée en 2022 sous le nom de CyberCo, cette initiative vise à “créer un réseau de confiance entre les cybercommandeurs européens, à haut niveau, par des réunions régulières portant sur des thèmes d'actualité et d'intérêt commun, liés aux opérations de cyberdéfense militaire”, indique le ministère des armées.
Le déclenchement de l’invasion russe de l’Ukraine s’est accompagné d’une augmentation massive du nombre de cyber attaque menée par le Kremlin. Des centaines de malware ont visé l’Ukraine bien sûr, mais aussi les pays baltes, ceux du nord de l’Europe ainsi que la Pologne et l’Allemagne. Moins touchée, la France n’est cependant pas épargnée. Le 27 mars dernier, le site de l’Assemblée Nationale est resté inaccessible pendant plusieurs heures, “après une offensive de hackeurs pro russes”, affirme des spécialistes interrogés par le journal Le Monde.
“Une nouvelle géographie des attaques se dessine en douze mois de conflit”
Selon un rapport publié le 29 février dernier par la direction d’analyse de la menace cyber de Thales, “une nouvelle géographie des attaques se dessine en douze mois de conflit”. Si l’Ukraine a concentré la majorité des cyber attaques dans les premiers mois de conflit (avec 50,4% des incidents au premier trimestre 2022 contre 28,6% au troisième trimestre), les pays membres de l'Union européenne ont connu une forte augmentation des incidents au cours des six derniers mois, passant de 9,8% à 46,5% des attaques mondiales.
Source : Thales
Durant l'été, il y avait autant d'incidents liés au conflit dans les pays de l'UE qu'en Ukraine (85 contre 86). Le début de l'année 2023 confirme cette tendance, avec une écrasante majorité des incidents concentrée dans les pays européens (80,9%). Les pays candidats à l'intégration européenne, tels que le Monténégro et la Moldavie, sont de plus en plus ciblés, avec une augmentation de 0,7% des attaques au premier trimestre 2022 à 2,7% en fin d'année 2022. La Pologne est constamment harcelée avec un nombre record de 114 incidents liés au conflit en un an, tandis que les hacktivistes de guerre se concentrent particulièrement sur les pays baltes (157 incidents en Estonie, Lettonie et Lituanie) et les pays nordiques (95 incidents en Suède, Norvège, Danemark et Finlande). L'Allemagne, qui a enregistré 58 incidents en un an, est beaucoup plus touchée que la France, le Royaume-Uni, l'Italie et l'Espagne, qui ont subi respectivement 14, 18, 14 et 4 incidents en un an.
Face à ce constat, l'Europe cherche à affiner sa stratégie car le cyberespace est devenu un champ de bataille "hybride" tout aussi important que les autres. Pour cela, l'Union européenne souhaite créer ses propres outils de coordination pour la cyberdéfense entre ses vingt-sept États membres. En 2016, Bruxelles a mis en place une législation pour protéger ses infrastructures civiles, telles que les réseaux informatiques, les télécommunications, l'énergie et l'eau, ainsi que les moteurs de recherche et les services de cloud. En novembre dernier, le parlement a voté en faveur d'une législation encore plus stricte pour protéger les entreprises, les administrations et les infrastructures. “Il est temps de répliquer cette organisation civile de la cybersécurité dans le domaine de la défense”, a affirmé Thierry Breton, le commissaire au marché intérieur et à la Défense. « Nous devons permettre une coopération étroite entre organismes cyber civils et militaires », précise Mme Vestager, notamment responsable de la synergie entre les industries militaires des 27. L’Europe entend ainsi faire travailler le réseau de centres de surveillance civile, déjà existant, avec le futur réseau d’unités spécialisés du programme MICNET. « Cela doit devenir notre bouclier cyber », résume M. Breton.
Plusieurs initiatives européennes
“Le cyber avait autrefois un petit côté secret, régalien” a admis le général de division Aymeric Bonnemaison, commandant de la cyberdéfense, lors d’une audition à huis clos devant les députés en décembre dernier. Ce temps semble révolu, “beaucoup d’initiatives et de travaux sont en cours, […], les notions de partage et d’entraide dans la lutte informatique défensive sont aujourd’hui largement admises”, a-t-il ensuite affirmé.
MICNET
Lors du dernier CyberCo, les responsables des pays européennes ont évoqué la création “d’unités de techniciens au profil militaire, projetables en urgence dans des Etats membres qui en auraient besoin”, rapporte Élise Vincent, envoyée spéciale du journal Le Monde. Ces unités seraient donc capables de renforcer, au pied levé, les capacités de défense des pays membres. Une façon de mutualiser les atouts de chacun. Cette idée, qui ne s’est pas encore concrétisée, a été actée le 15 novembre 2022, lors de la signature par 18 pays membre de l’accord MICNET, matérialisé par un “réseau opérationnel d’équipes d'interventions en cas d'urgence informatique”. Ce nouveau programme de l’Agence Européenne de Défense (AED), dont les détails n’ont pas été communiqués, “vise à favoriser l'échange d'informations à un moment où les réseaux informatiques sont de plus en plus contestés et où le nombre de cyberattaques contre l'UE et ses États membres ne cesse d'augmenter”, indique l’AED sur son compte twitter.
Le réseau CyCLONe
Le réseau CyCLONe, également connu sous le nom de Cyber Crisis Liaison Organisation Network, a été créé en 2020 suite à une initiative conjointe de la France (représentée par l’ANSSI, l’Agence Nationale pour la Sécurité des Systèmes d’Information) et de l'Italie. Il rassemble les agences en charge de la gestion de crise cyber des 27 États membres afin d’améliorer le partage des stratégies de réponse nationales en cas de crise ainsi que la diffusion des retours d’expériences issus de ces crises. Le réseau vise donc à créer une capacité pan-européenne, indépendamment de l'OTAN, tout en s'appuyant sur les capacités nationales souveraines des États membres. “CyCLONe est une brique décisive dans la construction d’une Europe de la cybersécurité, résiliente et souveraine” estime Guillaume Poupard, l’ancien directeur général de l’ANSSI, aujourd’hui remplacé par Vincent Strubel.
L'Enisa
MICNET et le réseau cyclone viennent s’ajouter aux prérogatives de l’Enisa, l’Agence européenne pour la cybersécurité. Créée en 2004 et renforcée au fil des réglementations de l'Union européenne sur la cybersécurité, elle contribue à la politique de l'Union en matière de cybersécurité. Dans les faits, l'ENISA reste une agence assez discrète. Elle est censée jouer le rôle de centre de coordination pour les différentes initiatives nationales, mais n’arrive pas toujours à remplir sa mission car il n’est pas rare que les pays membres la contournent. L'agence se concentre sur le développement des compétences techniques, mais elle dispose d'un financement limité d'un peu plus de 24 millions d'euros en 2022 et d'une équipe de moins de 80 personnes. Elle ne peut donc pas remplir les missions d’une véritable agence de cybersécurité que la Commission européenne souhaiterait lui donner. Son programme de travail actuel repose sur trois piliers : le conseil et la formation, la coopération et l'assistance technique.
Des divergences qui entravent la souveraineté européenne
Si l’Enisa fait si peu l’unanimité, c’est en grande partie à cause des profondes différences entre les pays membres de l’Union Européenne, en matière de capacité militaire d’une part, mais également de standard réglementaire par exemple. Les 27 sont divisés en plusieurs groupes en fonction de leur niveau de préparation sur la question cyber, avec un petit groupe de pays, notamment la France et l'Allemagne, en tête. Les pays les plus avancés s'inquiètent en particulier de l'idée de faire de l'ENISA le seul certificateur en matière de cybersécurité au niveau européen, car cela les priverait de leur capacité à refuser des produits certifiés par l'ENISA même s'ils ne sont pas suffisamment protégés. Du point de vue français, remplacer l’ANSSI par l’Enisa reviendrait à régresser fortement en matière de cybersécurité.
Pour l’instant, ces divergences européennes profitent aux États-Unis qui fournissent une aide technique à certains pays européens qui la sollicitent, dans le cadre d'opérations appelées "Hunt Forward Operations" (HFO), notamment en Lituanie et en Croatie. Cette méthode n'est pas appréciée à Paris où elle est considérée comme une intrusion américaine dans les réseaux européens, qui pourrait avoir des implications en termes de souveraineté en raison des risques d'espionnage. Le CyberCo, dont la France est à l’origine, se veut donc un moyen de renforcer l’indépendance européenne. En effet, ce rendez-vous doit accélérer le déploiement des unités d’interventions cyber du programme MICNET, et ainsi mettre en place une alternative aux HFO américaines.
