Cyberdéfense : l’Europe prend les choses au sérieux
En avant-première de l’édition 2022 du FIC, LeMagIT a pu prendre le pouls de ce que l’Europe préparait en matière de Cyberdéfense. La mobilisation est nette.
La politique de cyberdéfense a connu un gros coup d’accélérateur en 2017, avec les épisodes WannaCry et NotPetya. Dans l’Union européenne, ils ont été l’occasion pour les États membres de penser à mettre leurs ressources en commun, notamment au travers de la directive NIS (Network and Information System Security). À peine celle-ci mise en place, l’UE a décidé de la réviser, avec un accord des états membres signé début mai. En parallèle, l’Enisa, l’agence européenne de la sécurité des réseaux et systèmes d’information, a entamé une importante mue, liée à un mandant étendu suivant un modèle qui n’est pas sans rappeler celui de l’Anssi française.
La nouvelle mouture de la directive NIS étend notamment la notion d’opérateurs de services essentiels (OSE) à de nouveaux secteurs d’activité, tout en ajoutant de nouvelles menaces pour ceux qui ne joueraient pas le jeu. Et cela « s’accompagne d’un effort financier pour promouvoir l’excellence scientifique européenne », décrit Miguel Gonzalez-Sancho, Chef d’unité pour la cybersécurité à la direction générale Connect et Directeur exécutif du Centre européen de compétences en matière de cybersécurité à Bucarest. Ce dernier doit notamment affecter les financements liés à la cybersécurité issus des programmes Horizon Europe et Europe Numérique. Ce support s’accompagne de recommandations, notamment en matière de 5G, pour la sécurité.
À l’heure actuelle, le budget consacré à la cybersécurité par l’Union européenne est de 130 M€. À comparer aux 250 M€ consacrés au cloud, à l’Intelligence artificielle, aux calculs quantiques… Cette somme est octroyée selon les projets des différents états et ne couvre pas tous les projets, mais seulement une partie de chacun d’entre eux : à charge pour les États membres de faire leurs propositions.
À côté de cette partie financière, le CERT EU rassemble les informations de ses homologues nationaux des États membres, en cas d’attaques et les synthétise pour les diffuser aux entreprises. Ses missions recouvrent également la coordination des réponses aux incidents, jusqu’à la fourniture d’une assistance opérationnelle spécialisée.
Une plateforme pour déchiffrer les données
L’Union européenne est également mobilisée pour lutter contre la criminalité, notamment en poursuivant des enquêtes, parfois longues de plusieurs années. Selon le Général Jean-Philippe Lecouffe, directeur général adjoint des opérations au sein d’Europol, « les échanges internationaux s’intensifient.
Par exemple, une plateforme de déchiffrement des données chiffrées a été mise en place pour extraire des données », précise-t-il. Celle-ci est accessible aux forces de l’ordre pour déchiffrer les données chiffrées sur les smartphones et autres ordinateurs employant des logiciels tels que Telegram ou Signal. Europol propose également aux entreprises un questionnaire en 70 questions pour évaluer leur exposition aux risques cyber et les solutions à mettre en place.
En bref, « le renforcement de la sécurité entre les états membres est indispensable. Elle passe par une coopération entre le public et le privé », estime Manuel Bufala, coprésident du groupe de travail Cyber du groupe « Menace hybrides ».
Cela passe par des exercices d’attaques : si un état membre est attaqué, tous les autres doivent donner une réponse. Sans quoi, les autres états seront eux aussi victimes. C’est d’ailleurs ce qui s’est passé lors de l’attaque contre ViaSat. L’attaque visant l’Ukraine a « rebondi » contre des états membres de l’UE. « L’UE a pour une première fois désigné le pays d’origine de l’attaque : la Russie », révèle Manuel Bufala.
Reste un bémol : nombre d’entreprises du secteur privé ne donnent pas d’informations sur les attaques qu’elles ont subies. Un silence qui n’aide pas à évaluer pleinement la réalité des menaces et pénalise les capacités d’investigation, tant sur un plan technique que judiciaire.