«Face aux cyberattaques, la transparence entre Etats membres est clé»

Andrus Ansip estime que les réussites de l’Estonie dans le domaine du numérique ne peuvent pas être copiées partout et que les cyberattaques de 2007 auraient pu être pires si les pays européens n’avaient pas partagé d’informations.

Commissaire en charge du marché unique numérique, Andrus Ansip est aussi l’un des vice-présidents de la Commission européenne. Il a servi en tant que Premier ministre de l’Estonie jusqu’en 2014.

L’Estonie se présente comme le pays européen le plus avancé en matière de numérique. Est-ce exagéré ou les Estoniens comprennent-ils mieux les technologies et la cybersécurité que le reste de l’Europe ?

Lorsqu’il s’agit de services publics numériques, l’Estonie se classe premier selon l’indice sur l’économie et la société numériques entre États membres. Mais dans l’ensemble, beaucoup d’autres pays ont un développement plus rapide qu’en Estonie. Par exemple, la numérisation de l’industrie n’est pas du tout développée dans le pays. Le Danemark est le pays où ces évolutions numériques sont les plus notables. Le fait d’être premier dans les services publics numériques est néanmoins une bonne chose pour les Estoniens.

Lorsque nous avons recouvré notre indépendance et que nos banques ont recommencé à fonctionner normalement, elles n’avaient pas la tradition de la gestion bancaire. Lorsqu’elles se sont mises aux services bancaires sur Internet, elles n’ont pas fait payer pour cela. C’est pour cela que les personnes âgées sont si à l’aise avec l’informatique en Estonie. Si vous n’avez pas à payer, vous prenez cette option. Car dans les bureaux de banque, ces services n’étaient pas gratuits. Le gouvernement a décidé de ne pas aider les citoyens à acheter des ordinateurs. Notre approche était de fournir de plus en plus de services publics via Internet et cela a marché, car les gens ont compris que c’était une question d’efficacité. Ils ont donc commencé à acheter des ordinateurs et à utiliser les services proposés par le gouvernement.

Je ne dis pas que personne ne devrait copier le modèle estonien. Il existe des situations différentes dans d’autres pays. Je ne pense pas que l’exemple du pays soit assez parfait pour faire des émules.

Il y a dix ans, lors des grandes cyberattaques, vous étiez Premier ministre de l’Estonie. Comment avez-vous géré cela ?

Bien entendu, nous n’étions pas préparés à des telles attaques. Nous avons décidé de rendre cela public pour transformer nos faiblesses en force grâce à une très bonne coopération entre différents centres nationaux de réponse aux urgences informatiques (CSIRT) et entre le secteur public et privé. Je crois que dans ces situations, la transparence est clé. Et aussi la coopération entre États membres. Je suis sûr qu’aucun État membre de l’UE, qu’il soit petit ou grand, n’est capable de faire face à ces menaces seul. Nous devons coopérer.

Nous avons déjà la directive SRI [première loi européenne sur la cybersécurité, approuvée l’année dernière], qui se concentre sur la transparence et la coopération. Désormais, nous devons la mettre pleinement en œuvre. Mais ce n’est pas suffisant. Nous voudrions préparer la nouvelle stratégie européenne pour la cybersécurité, comprenant un nouveau mandat pour l’ENISA [agence européenne pour la sécurité des réseaux et de l’information]. Car les objets connectés n’existaient pas en 2013 lorsque nous avons lancé la stratégie existante. Maintenant nous savons comment ces criminels ont été capables de créer des réseaux zombies aux États-Unis à travers des objets connectés. Nous savons qu’ils ont réussi à générer de lourdes attaques par déni de service et même à bloquer des fournisseurs de service mondiaux. Nous devons donc essayer de nous accorder sur des normes mondiales de cybersécurité pour l’Internet des Objets. Du moins au niveau européen.

L’agence de cybersécurité européenne se renforce

L’ENISA, l’agence européenne de cybersécurité, s’apprête à recevoir un nouveau mandat. Face à l’augmentation des piratages liés aux objets connectés, le directeur de l’agence a demandé une hausse de budget.

Certains États membres ne veulent pas partager des données sensibles avec les autres sur ces risques. Des pays s’opposeront-ils à la proposition de donner à l’ENISA plus de pouvoirs ?

Bien sûr. L’ENISA doit être plus forte. Ils travaillent actuellement sur la base d’un mandat temporaire, mais selon moi, le rôle de l’ENISA doit être lié à la mise en œuvre totale de la directive SRI. Face à la cyberattaque Wannacry [en mai] ou plus récemment, à l’attaque Petya, je pense que tout le monde comprend que nous devons agir et que nous devons nous montrer plus attentifs aux questions de cybersécurité. Dans le cadre de la révision à mi-parcours du cadre financier, je pense qu’il est très clair que nous devons investir davantage dans le cybersécurité dans l’UE.

Investir dans la cybersécurité cela signifie-t-il mettre plus d’argent dans des centres européens comme l’ENISA ?

À cause des récentes attaques, les petits États membres, notamment, réclament des capacités opérationnelles au niveau européen. L’investissement doit être fait au niveau de l’ENISA ou sur la CERT-UE [équipe d’intervention d’urgence de l’UE], car elle ne possède que 30 employés. Comment pouvons-nous parler d’intervention d’urgence 24h/24 et sept jours sur sept avec 30 personnes seulement ? C’est impossible. Pourtant il y a un besoin. Nous devons discuter de la création de capacités opérationnelles dans l’UE.

L’Estonie fait partie des pays qui vous ont demandé une loi garantissant la libre circulation des données entre pays européens. La France veut y inclure des exceptions sur l’accès aux données, la portabilité et la sécurité. Maintenant, d’autres pays estiment que ces exceptions vont affaiblir la loi. Jusqu’où irez-vous pour satisfaire la France ?

C’est trop tôt pour le dire. Lors du dernier Conseil « télécommunications » en décembre, 18 intervenants ont réellement soutenu l’idée de libre circulation des données et ont demandé une action législative immédiate. Un pays soutenait l’idée, mais avait quelques doutes et maintenant ce pays a exprimé un soutien clair pour l’idée. Mais un pays était contre. Aujourd’hui, ce pays est dirigé par un nouveau gouvernement et la proposition de la Commission de l’année dernière a changé. La nouvelle sera plus équilibrée. Nous devons nous assurer d’établir une base juridique pour l’accès des autorités aux données stockées dans d’autres États membres.

Le Danemark par exemple a modifié sa loi en matière de comptabilité et selon cette loi, le pays où sont stockées les données n’est pas important. Ce qui est important c’est de fournir un accès aux services fiscaux aux données en ligne. Leur approche se fonde sur la neutralité et non sur la situation géographique. Nous aimerions donc soumettre une proposition plus équilibrée qui associe libre circulation des données et accès aux données. J’espère qu’alors, tous les États membres la soutiendront. Si nous pouvons supprimer les obstacles existants à la circulation des données, nous pourrons réduire les prix du « cloud » de 7,2 milliards d’euros d’ici à cinq ans. Et les conséquences sur le développement économique seront encore plus grandes : 8 milliards d’euros par an.