Dans une résolution sur l’état des capacités de cyberdéfense de l’UE, le Parlement européen a appelé la Commission européenne et les États membres de l’UE à augmenter les dépenses et le personnel dédié à la cybersécurité.
Le manque de ressources a été identifié comme l’un des principaux obstacles à la création d’un environnement numérique sécurisé, souligne le rapport adopté par le Parlement européen mercredi soir (6 octobre).
« En raison de l’énorme tâche qui nous attend, nous avons besoin de plus d’argent, de plus de ressources et de plus de coordination entre les États membres », a déclaré l’eurodéputé socialiste français Raphaël Glucksmann lors de la session plénière.
L’Agence européenne de cybersécurité (ENISA) a été pointée du doigt pour son manque chronique de financement.
« Ils ont très peu de ressources. Très peu d’experts. Quand on compare avec les moyens des Américains pour assurer leur cybersécurité, c’est dérisoire », a souligné M. Glucksmann auprès des journalistes en amont du débat.
Dans le même ordre d’idées, l’eurodéputé libéral Bart Groothuis a souligné que l’UE devrait « prendre l’initiative et formuler une nouvelle norme de dépenses » pour faire face à l’évolution des menaces de cybersécurité.
Le rapport sur les capacités de cyberdéfense de l’UE a fait le point sur le cadre actuel de la cybersécurité dans l’UE et a souligné plusieurs lacunes, allant de la nécessité d’intensifier la coopération entre les États membres à celle d’accroître la collaboration avec l’OTAN.
L’objectif principal est de « renforcer la cyber-résilience et de développer des capacités communes de cybersécurité et de défense pour répondre à ce type de défis sécuritaires », a déclaré l’eurodéputé de Renew Europe, Urmas Paet, qui a rédigé le rapport.
Menaces hybrides et défense collective
Le rapport indique également que l’UE est de plus en plus impliquée dans des « conflits hybrides avec ses adversaires », notamment la Chine, la Corée du Nord et la Russie.
« Le tableau ne pourrait être plus clair, pour les acteurs étatiques hostiles à l’UE, comme la Russie, le coût des attaques est infiniment plus faible que les récompenses, et cela doit changer », a déclaré le député centriste Barry Andrews.
Le Parlement a estimé que ces conflits hybrides sont particulièrement dangereux et déstabilisants pour les démocraties, car ils brouillent la frontière entre guerre et paix par le biais de campagnes de désinformation cybernétiques ou en ciblant les fournisseurs de services numériques et les infrastructures critiques.
Toutefois, ces attaques ne sont pas suffisamment graves pour déclencher les clauses de défense collective prévues à l’article 5 du traité de l’OTAN ou les clauses de défense et de solidarité prévues par les traités de l’UE.
Pour remédier à ce vide juridique, le rapport parlementaire souligne que les dispositions relatives à la défense collective prévues par les traités de l’UE devraient être réinterprétées pour permettre des contre-mesures collectives volontaires.
« C’est le seul moyen efficace de contrer la paralysie de la réaction aux menaces hybrides », peut-on lire dans le rapport.
La boîte à outils cyberdiplomatique
L’UE dispose déjà de plusieurs outils pour répondre aux cyberattaques, notamment la « boîte à outils cyberdiplomatique ».
Dans sa réponse au débat en séance plénière, la commissaire Jutta Urpilainen a explicitement fait référence à cette boîte à outils comme l’un des principaux moyens de lutter contre les cybermenaces et de dissuader les attaques d’autres acteurs.
« Nous nous efforçons de renforcer la capacité de l’UE à prévenir, dissuader et répondre aux cyberattaques, grâce à notre boîte à outils de cybersécurité, y compris les sanctions », a déclaré Mme Urpilainen.
La boîte à outils adoptée en 2017 permet à l’UE de prendre des mesures restrictives en réponse à des cyberactivités malveillantes et d’imposer des sanctions.
L’UE a utilisé cette boîte à outils pour la première fois en 2020 et a imposé des sanctions à huit personnes et quatre entités.
« La boîte à outils cyberdiplomatique de l’Union européenne a déjà prouvé sa valeur en permettant aux États membres de prendre des mesures — y compris des sanctions — pour faire face aux cyberactivités qui les affectent et menacent leur sécurité », a déclaré Mme Urpilainen.
Le rapport parlementaire appelle à développer davantage ces outils et demande que le système de mesures restrictives proportionnées visant à contenir les cyberattaques soit appliqué plus rigoureusement.