Thierry Breton : « nous ne pouvons plus dépendre de tiers pour assurer notre sécurité »
La commission européenne multiplie les initiatives pour hausser le niveau de sécurité de ses infrastructures critiques, de ses institutions et de ses entreprises. Thierry Breton pousse pour la construction d’un Cyberdôme sur le vieux continent.
Commissaire européen depuis 5 ans maintenant, Thierry Breton cumule dans son portefeuille le marché intérieur, la politique industrielle, le tourisme, le numérique, l'audiovisuel, la défense et de l'espace. Ces multiples casquettes l’ont amené à travailler sur l’édification d’un marché intérieur pour le numérique.
« Le marché intérieur existant pour les produits, les services et les personnes, mais pas encore pour le numérique », explique Thierry Breton. « Nous avions un marché numérique totalement fragmenté avec 27 Etats membres et autant de frontières numériques », déplore-t-il. Pour lui, c’est cette fragmentation qui fait rater à l’Europe la première vague de transformation de l’espace informationnel et donné naissance à des GAFAM exclusivement américains.
Mais avec le DSA pour l’aspect social, le DMA pour le partage des données, le DGA pour la sphère publique, le Data Act pour la sphère privée et enfin la loi sur l’intelligence artificielle qui, Thierry Breton estime « ce marché intérieur désormais unifié ».
Assurer une présence sur les 4 espaces contestés
Dans ce cadre ,la cybersécurité fait partie avec l’espace, l’aérien et le maritime des 4 grands espaces contestés où l’Europe doit affirmer sa présence : « en 2019, nous avons pris l’engagement de moyen sur la capacité de l’Europe à prévenir, détecter, décourager et contrer les attaques Cyber sur l’Union et ses infrastructures critiques, ses entreprises et de nous tous ».
Depuis, la directive NIS a été révisée en NIS 2 avec un champ plus large, des règles plus claires et qui seront moins laissées à l’appréciation des Etats membres : « il s’agit de poser des règles plus précises qui respectent la souveraineté des Etats membres, du secteur public au secteur privé. NIS 2 est très important car ce texte jette les bases sur quel que chose de très important et qui m’est cher, une coopération accrue ».
Thierry Breton a aussi évoqué l’essor des objets connectés et de l’IoT qui font de chaque produit un point d’entrée potentiel pour les attaquants : « nous avons mis en place le Cyber Resilience Act, toute première législation mondiale de ce type et qui nous permet d’avoir des exigences à l’échelle de l’Union Européenne, pour vérifier que chaque produit qui rentre dans l’Union respecte des spécifications et des qualifications particulières en fonction des usages et de ses capacités de connexion ».
Cette volonté de contrôle s’est déjà manifestée dans le cadre de la 5G Toolbox, une boîte à outil réglementaire que chaque Etat membre s’est engagé à faire respecter vis-à-vis des équipements d’infrastructure 5G.
L’Europe doit assurer elle-même sa cyberdéfense
Outre cette réglementation relative à la sécurité de son marché intérieur, Thierry Breton estime que l’Europe ne doit plus dépendre de tiers pour assurer sa sécurité : « il ne faut pas faire preuve de naïveté. Nous ne sommes pas un continent fermé, mais nous devons prendre conscience de notre puissance, et assurer notre défense dans tous les espaces contestés. Nous ne devons pas nous appuyer sur des tiers dont les systèmes politiques peuvent changer. Je n’ai pas envie de jouer la sécurité de l’Europe à pile ou face tous les 4 ans, en fonction du résultat des élections américaines, par exemple. Il faut donc renforcer notre pôle de défense européenne ».
Alors que les ressources humaines expertes en Cyber sont rares, Thierry Breton a évoqué le besoin de renforcer la coopération civilo-militaire. Un corps de spécialistes Cyber a été créé et il pourra être déployé en cas de crise, dans le cadre du règlement européen sur la Cyber-solidarité. Cette solidarité pourra être étendue à l’ensemble des acteurs de défense : « ce règlement a été voté par le parlement et le conseil. Les trilogues se sont tenus et nous sommes en phase finale d’application. Il définit un mécanisme d’urgence en matière de cybersécurité, avec une gouvernance qui fait que lorsqu’il y a un incident dans un Etat membre, on sait qui parle avec qui et comment sont échangées les informations ».
L’autre volet du texte porte sur les ressources mobilisables. Une cyber réserve civile a été créée et selon Thierry Breton, l’objectif est de s’appuyer sur plusieurs milliers de spécialistes qui pourront être mobilisables pour 1 heure, 24 h ou 3 jours afin de venir en aide à un pays membre attaqué, en complément des ressources du pays visé.
De plus, sur le plan des infrastructures de protection, l’ambition de Thierry Breton consiste à couvrir le continent avec un Cyberdôme constitué de 12 à 15 SOC : « nous avons commencé à déployer les 3 premiers en PoC (Proof of Concept, ou démonstrateur). Ces expérimentations fonctionnent formidablement bien et dans le cadre des réflexions que je mène sur l’augmentation de moyens pour protéger l’Union européenne, nous continuerons à déployer d’autres SOC et constituer ce Cyber dôme pour détecter les attaques de manière très précoce ».
L’IA Act, une nouvelle première mondiale
Appelé à s’exprimer sur l’IA à l’occasion du Forum InCyber, le Commissaire européen a résumé sa position : « l’émergence de l’intelligence artificielle est un bien pour nous, notamment pour les SOC car c’est grâce à l’IA que l’on peut détecter très en amont les signaux faibles annonciateurs d’une menace. Malheureusement dans le numérique il y a aussi un côté sombre et aujourd’hui sur le Darkweb on peut trouver des Ransomware as a Service. Les cybercriminels ne sont plus nécessairement des hackers chevronnés mais vont simplement acheter ces services et monter leur business avec ».
Thierry Breton a souligné l’importance de disposer d’outils basés sur l’IA pour détecter et atténuer ces menaces, des algorithmes déjà mis en œuvre dans la plupart des grands SOC : « les SOC sont dotés d’IA très avancées et performantes pour répondre à cela et il faut privilégier le partage d’information et d’expérience, entrer ces données en base de données le plus rapidement possible pour identifier ces signaux et intervenir le plus en amont possible ».
Outre les applications de l’IA dans la Cyber, Thierry Breton a évoqué l’AI Act qui sera mis en application dans quelques mois : « le texte va nous permettre de mieux organiser l’usage de l’intelligence artificielle de façon très souple et de manière pro-innovation, mais en se basant sur les risques que peuvent générer l’intelligence artificielle ».
Un volet complémentaire a été annoncé il y a quelques semaines. Ce paquet innovation pour l’IA met notamment à disposition des créateurs d’IA le parc de supercalculateurs d’EuroHPC. Selon le commissaire européen, il s’agit de la puissance de calcul mise en réseau pour des usages privés et publics la plus importante dans le monde. Ces supercalculateurs sont financés pour moitié par l’Union européenne, pour moitié par les états membres où ils sont construits.
« On sait que l’un des goulets d’étranglement en matière d’IA est évidemment l’accès à la puissance de calcul nécessaire pour entraîner les modèles », relève-t-il. Dès lors, « nous avons décidé de mettre cette puissance de calcul à disposition des start-ups qui voudraient développer leurs activités en matière d’IA en Europe. Elles auront la capacité d’y accéder à des conditions tout à fait préférentielles voire gratuites. Le message est clair : si vous venez en Europe ou si vous êtes une start-up européenne, vous aurez accès à ces supercalculateurs pour entraîner vos modèles ».