Cyber Europe 2012 : du mieux, mais pas encore assez
L’Agence européenne pour la sécurité des réseaux et des systèmes d’information vient de rendre public le rapport tiré de son second exercice de cyber-sécurité pan-européen, réalisé à l’automne dernier. Un bilan globalement satisfaisant qui met toutefois en évidence de véritables lacunes.
C’est la seconde fois que l’Agence européenne pour la sécurité des réseaux et des systèmes d’information (Enisa) organise un tel exercice. Son édition 2010 visait «à déclencher la communication et la collaboration entre les pays dans l’éventualité de cyber-attaques à grande échelle.» Il s’agissait d’une «activité éducative et de préparation [...] organisée comme un exercice distribué de discussion avec des acteurs participants depuis leurs bureaux personnels, de manière intégrée à leur routine quotidienne.» L’exercice avait permis de mettre le doigt sur des lacunes, à commencer dans la communication des états membres entre eux. A son issue, l’Enisa
recommandait notamment de renouveler l’expérience pour renforcer les relations trans-nationales des responsables de sécurité et d’intégrer le secteur privé afin de produire des exercices plus réalistes.
Mettre au défi acteurs publics et privés C’est donc très logiquement que
l’édition 2012 de l’exercice, organisée début octobre dernier, avait trois objectifs : «tester l’efficacité et les capacités d’évolution des mécanismes, des procédures et des flux d’information pour la coopération des pouvoirs publics en Europe; explorer la coopération entre les acteurs publics et privés en Europe; identifier les lacunes et les défis sur la façon dont les incidents cybernétiques à grande échelle pourraient être traités plus efficacement en Europe.» 29 états membres de l’Union et l’association européenne du libre-échange ont pris parti à l’exercice, dont 25 activement, auxquels il faut ajouter 339 organisations - institutions financières et opérateurs télécoms notamment. Concrètement, il s’agissait de «simuler une série de cyber-incidents à grande échelle survenant en Europe et affectant tous les pays participants», principalement avec des attaques en déni de service distribué (DDoS) contre des services publics et des services financiers en ligne. L’ensemble était conçu pour forcer la coopération transfrontalière.
Un bilan mitigé Sur ce terrain, l’exercice semble avoir eu des résultats positifs. Ainsi, le rapport de l’Enisa relève de «fréquents» échanges au niveau national entre acteurs publics et privés, mais également des réactions volontaristes des pays participants «en renforçant leurs cellules nationales de réponse aux crises et/ou en activant des structures de crise nationales.» Toutefois, la prise de décision dans le cadre de la gestion n’a pas été uniformément fluide parmi les pays et les structures nationales n’ont pas forcément été propices à une bonne coopération entre public et privé. Malgré la disposition «d’une série de procédures opérationnelles et d’outils de communication standardisés», «des imperfections ont été repérées dans les procédures opérationnelles»... «du fait du grand nombre de pays et d’institutions participants.» Un point qui pourrait être considéré comme particulièrement préoccupant. Mais l’Enisa ne désarme pas et estime qu’il faudrait aller au-delà et impliquer «d’autres secteurs vitaux» à des exercices futurs qu’elle appelle de ses voeux, «la santé, les transports», par exemple.