Bruxelles pousse les États à dénoncer les auteurs de cyberattaques

Quand il était Premier ministre, Andrus Ansip a dû faire face à une série de cyberattaques russes. [Commission]

La Commission appelle les États membres à dénoncer publiquement les pays à l’origine des cyberattaques contre leurs infrastructures.

L’exécutif européen a appelé les gouvernements européens à dénoncer publiquement les auteurs des cyberattaques lancées contre leurs structures, dans l’espoir de décourager ces pratiques.

« L’UE et ses États membres doivent améliorer leur capacité d’attribution des cyberattaques, notamment via un plus grand partage des renseignements. La dénonciation découragerait de potentiels agresseurs et augmenterait les chances de réelles conséquences pour les responsables », a indiqué la Commission dans un rapport paru le 13 juin.

Celui-ci décrit la stratégie de l’exécutif pour coordonner une réponse paneuropéenne aux « menaces hybrides », comme l’empoisonnement de l’ancien espion russe Sergei Skripal et de sa fille, au Royaume-Uni, il y a quelques semaines. « Les États membres sont invités à continuer leurs efforts sur l’attribution des cyberattaques », poursuit le document.

La stratégie inclut aussi un projet d’élargissement de l’unité East Stratcom, dont le rôle est de répondre aux « campagnes de désinformation menées par des acteurs hostiles » russes en ligne.

C’est la première fois que la Commission s’exprime en faveur de dénonciations publiques. « Nos politiques sur la cybersécurité et la désinformation contribuent à protéger nos démocraties de menaces hostiles et malveillantes », a déclaré Andrus Ansip, vice-président de la Commission.

Paris et Berlin craignent une «marche arrière» de l’UE sur la cybersécurité

Le projet de loi européen menace les États membres qui ont déjà des tests de cybersécurité sophistiqués comme la France et l’Allemagne, prévient le directeur de l’agence de cybersécurité française.

Le commissaire était Premier ministre en Estonie quand le gouvernement, les banques et les sites du pays ont été la proie d’une cyberattaque de grande ampleur. « Étant donné l’ampleur de ces attaques, il faut dénoncer les responsables quand c’est possible », a-t-il ajouté.

Et ce n’est pas toujours possible, justement. D’un côté il est difficile de déterminer la source d’une attaque en matière de cybersécurité. D’un autre, les gouvernements pourraient hésiter à pointer certains agresseurs du doigt par crainte d’exacerber les tensions avec des États étrangers.

« L’attribution de responsabilité est vraiment difficile pour la plupart des États, la question est donc de savoir à quel point il faut être sûr qu’un certain acteur est derrière tout cela avant de commencer à le dénoncer publiquement », estime Sven Herpig, directeur du Transatlantic Cyber Forum à la Stiftung Neue Verantwortung, un groupe de réflexion basé à Berlin.

Quant à l’argument de la Commission selon lequel les gouvernements seront moins disposés à parrainer des cyberattaques s’ils craignent d’être blâmés publiquement, Sven Herpig est sceptique. La Russie n’a pas hésité à continuer à pirater depuis qu’elle a été accusée d’avoir attaqué les responsables du parti démocrate américain avant l’élection présidentielle de 2016, rappelle-t-il.

Plus tôt cette année, les gouvernements des États-Unis et du Royaume-Uni ont également publiquement accusé la Russie d’organiser les attaques NotPetya, qui ont paralysé les sites Web en Ukraine et dans toute l’Europe au cours de l’été 2017.

Dans son rapport, la Commission a également admis que « l’absence d’un réseau de communication commun et sécurisé entre les institutions européennes est une lacune importante » qui entrave ses efforts pour améliorer les garanties en matière de cybersécurité dans l’ensemble de l’Union.

En septembre dernier, la Commission a proposé une refonte juridique qui donnerait plus de pouvoir à l’agence de cybersécurité de l’UE et créerait un système définissant comment les différentes autorités européennes devraient communiquer entre elles et réagir en cas d’attaque grave. Le projet de loi fait toujours l’objet de négociations juridiques.

Bruxelles s'attaque aux hackers

La Commission européenne veut renforcer les fonds et les pouvoirs de l’agence européenne de cybersécurité. Et introduire une série de mesures contre les hackers.

Subscribe to our newsletters

Subscribe