La Commission européenne et le Service européen pour l’action extérieure (SEAE) mettent en place deux initiatives concurrentes pour collaborer avec des entreprises privées sur les menaces de cybersécurité. Par ailleurs, les gouvernements de l’UE semblent vouloir garder la main sur les renseignements sensibles.
Ces derniers mois, le SEAE, l’organe diplomatique de l’Union, a travaillé sur la mise à jour de la boîte à outils cyberdiplomatique de l’UE, une initiative visant à coordonner une réponse diplomatique aux actes de cybermalveillance.
Brièvement présentée l’année dernière dans le cadre de la Boussole stratégique — la stratégie militaire de l’UE —, la proposition était destinée à mettre en œuvre des « mesures préventives et des sanctions à l’encontre des acteurs extérieurs qui se livrent à des actes de cybermalveillance contre l’Union et ses États membres ».
Dans le cadre d’une réforme, le SEAE a collaboré avec des entreprises et des associations du domaine de la cybersécurité afin de développer un partenariat entre les secteurs public et privé, d’après une série de documents consultés par EURACTIV.
Selon un document de réflexion sur l’initiative, « le SEAE explore la mise en place d’un dialogue structuré et régulier avec le secteur privé […] au moyen d’une plateforme pour l’échange d’observations […] sur les tendances stratégiques en matière de cybersécurité dans le contexte de la politique étrangère et de sécurité ».
Fondée sur le modèle ukrainien, l’idée est de créer un « cadre gagnant-gagnant » pour que le secteur privé partage les renseignements sur les cybermenaces afin de coordonner les réponses aux actes de cybermalveillance.
Boîte à outils cyberdiplomatique
Le service diplomatique de l’UE a organisé ces derniers mois des ateliers à huis clos en collaboration avec la European Cyber Agora, une initiative multipartite menée par Microsoft et le German Marshall Fund américain.
La première réunion s’est tenue en novembre dans les locaux de Microsoft, une entreprise leader dans le domaine de la cybersécurité qui échange régulièrement des renseignements avec les services de sécurité américains.
Les agences de renseignement de l’UE et des États-Unis ont connu une histoire mouvementée en ce qui concerne l’échange de renseignements. Les entreprises européennes se demandent donc dans quelle mesure les informations sur les cybermenaces peuvent être de haute qualité si Washington est mêlée à l’affaire, ne serait-ce qu’indirectement.
Le deuxième atelier consacré à l’utilisation de cas pour le renseignement sur les cybermenaces a eu lieu jeudi (16 mars).
Le dernier atelier devrait se tenir la semaine prochaine et portera sur la mise à l’essai des solutions retenues, la réforme finale devant être présentée lors de la conférence de la European Cyber Agora des 25 et 26 avril prochains.
Toutefois, à un mois de l’échéance, la forme de ce partenariat entre les secteurs public et privé n’est toujours pas clairement définie, car les entreprises privées ne voient actuellement pas l’intérêt de partager des renseignements sur les menaces avec le service diplomatique de l’UE, selon des sources au fait du sujet.
En outre, la Commission européenne travaille également sur une initiative similaire, mais distincte.
Réserve cyber européenne
Le mois prochain, la Commission devrait présenter son règlement sur la cybersolidarité (Cyber Solidarity Act). Il s’agit d’une proposition visant à mettre en place le cadre juridique pour la distribution des financements du Fonds d’intervention d’urgence pour la cybersécurité dans le but d’apporter des réponses aux incidents et de faire passer des audits de cybersécurité aux entités critiques.
Les entreprises privées fournissant ces services devront être certifiées au moyen d’un certificat de cybersécurité et feront partie d’une « Réserve cyber européenne ». En échange de cet accès privilégié à des contrats financés par des fonds publics, les prestataires de services de confiance devront très probablement partager des informations sur les menaces.
La mise en place d’une infrastructure européenne de détection constitue un élément essentiel de l’initiative de cybersolidarité. Le but d’une telle infrastructure sera de créer une plateforme sécurisée pour le partage de renseignements sur les menaces.
Toutefois, la question ne porte pas seulement sur les données brutes, mais aussi et surtout sur la capacité à les analyser en temps réel. À cet égard, la Commission a récemment accordé une subvention pour la création d’une salle de gestion de crise destinée à gérer les incidents de cybersécurité qui touchent l’Europe.
En d’autres termes, l’exécutif européen se concentre principalement sur les réponses aux cyberattaques de grande ampleur, tandis que le SEAE souhaite seulement être en mesure d’attribuer la responsabilité aux acteurs malveillants afin d’éclairer les réponses diplomatiques de l’UE, comme les sanctions économiques.
Les deux services de l’UE travaillent dans des groupes distincts avec des approches différentes. Le SEAE a invité la Commission à participer à son deuxième atelier, mais l’exécutif européen n’a pas envoyé de représentant.
Par ailleurs, les États membres s’efforcent également de garder la main sur les renseignements relatifs aux cybermenaces.
Vulnérabilités exploitées
Une partie essentielle du renseignement sur les cybermenaces concerne les vulnérabilités exploitées, c’est-à-dire les faiblesses que les pirates informatiques exploitent pour obtenir un accès non autorisé.
Les modalités de traitement des vulnérabilités exploitées sont un sujet sensible dans les discussions relatives à la législation sur la cyberrésilience, un projet de règlement visant à introduire des exigences en matière de cybersécurité pour les appareils connectés.
La proposition initiale de la Commission exigeait que les fabricants de produits signalent ces vulnérabilités à l’Agence de l’Union européenne pour la cybersécurité (ENISA).
Toutefois, de nombreuses personnes ont émis des doutes quant à la capacité de l’Agence européenne à gérer un tel volume de données. En outre, une centrale de dépôt d’informations aussi sensibles serait très attrayante pour les acteurs malveillants.
Les États membres de l’UE souhaitent plutôt que ces notifications soient envoyées à l’équipe des centres nationaux de réponse aux incidents de sécurité informatique (CSIRT). Dans le texte de compromis de la semaine dernière sur le projet de législation sur la cybersécurité, la formulation a été élargie pour permettre à un CSIRT national de refuser de partager des informations avec ses pairs.
En outre, le journal Heise a rapporté la semaine dernière que la police fédérale allemande et l’Office fédéral de la sécurité des technologies de l’information (BSI) travaillent depuis octobre 2021 avec les autorités françaises, néerlandaises et norvégiennes pour recenser les exploits du jour zéro.
Le projet, coordonné par le ministre français de l’Intérieur et dont le budget de 4,2 millions d’euros est couvert à 90 % par un financement de l’UE, vise à trouver le type de vulnérabilités qui permettent aux forces de l’ordre de déchiffrer les mots de passe et d’espionner les smartphones cryptés.
Les exploits du jour zéro sont le Saint-Graal des vulnérabilités, car ils sont inconnus des fournisseurs de logiciels. Ils sont considérés comme très sensibles, car ils peuvent être utilisés pour pirater non seulement des organisations criminelles, mais aussi des cibles sensibles dans des pays tiers.
[Édité par Anne-Sophie Gayet]