L’UE présente sa politique de cyberdéfense

Conférence de presse de Margrethe Vestager, vice-présidente exécutive, Josep Borrell Fontelles, haut représentant de l’Union et vice-président, Adina Valean et Thierry Breton, commissaires européens, concernant la politique de cyberdéfense de l’UE et la mobilité militaire le 10 novembre. [European Union, 2022]

La politique de cyberdéfense de l’UE a été présentée par les branches exécutives et diplomatiques de l’UE jeudi (10 novembre) en réponse aux tensions géopolitiques croissantes résultant de l’agression russe en Ukraine.

La politique de cyberdéfense est un document stratégique destiné à renforcer les capacités européennes en matière de cybersécurité, à stimuler la coopération militaire et civile, à combler les lacunes potentielles en matière de sécurité, à réduire les dépendances stratégiques et à développer les cyber-compétences.

« Il n’y a pas de défense européenne sans cyberdéfense », a déclaré la commissaire européenne au Numérique, Margrethe Vestager, lors d’une conférence de presse. Elle a également ajouté que : « La politique américaine de cyberdéfense renforce notre capacité à protéger nos ressources militaires et civiles contre les cyberattaques. »

Renforcement des capacités

Davantage d’investissements sont nécessaires pour renforcer les cyberdéfenses aux niveaux européen et national, et il existe actuellement plusieurs programmes européens pouvant y contribuer. La coopération structurée permanente, le Fonds européen de défense, Horizon Europe et l’Europe numérique en sont des exemples.

Ces financements ont toutefois déjà été réduits en raison des tensions qui pèsent sur le budget de l’UE, touché par une forte inflation, le paquet de mesures exceptionnelles RepowerEU et des initiatives non budgétisées telles que la loi sur les semi-conducteurs.

La politique de cyberdéfense a mis en place une feuille de route pour les cyber-technologies, fondée sur une évaluation stratégique des points vulnérables les plus critiques, afin de soutenir les investissements stratégiques à long terme des États membres, éventuellement avec le soutien du futur Fonds européen de souveraineté.

Des engagements volontaires sur la manière d’augmenter les capacités nationales de cyberdéfense seront également discutés avec les États membres. Des programmes de formation à la cyberdéfense seront également mis en place, notamment sous la forme d’une Académie européenne des cyber-compétences destinée à divers profils professionnels, dont ceux de la défense.

Coopération

La politique de l’UE vise également à mettre en œuvre des mécanismes de coordination efficaces entre les acteurs nationaux et européens de la cyberdéfense, entre les cyber-communautés militaire et civile et entre les secteurs privé et public.

« La coopération entre les secteurs public et privé en matière de cyberdéfense devient plus complexe en raison du rôle qu’y jouent les plateformes technologiques non européennes. L’Europe devrait mettre en place des procédures claires et fluides pour travailler plus rapidement et plus efficacement avec les PME de cybersécurité de confiance », a déclaré Danilo D’Elia, vice-président de YesWeHack, à EURACTIV.

Outre les structures existantes, les responsables politiques de l’UE entendent mettre en place un Centre de coordination de la cyberdéfense afin de contribuer à une meilleure connaissance de la situation au sein de la communauté de la défense. Ils souhaitent également créer un réseau opérationnel pour les équipes militaires d’intervention en cas d’urgence informatique — appelées CERT.

Un nouveau cadre, CyDef-X, serait également mis en place pour soutenir les exercices de cyberdéfense de l’UE. L’évolution la plus significative pour les responsables de l’UE devrait toutefois concerner les capacités de connaissance de la situation et de réaction grâce à des Centres d’opérations de sécurité (Security operations center, SOC) gérés par des civils.

Préparation et réaction

L’idée de l’UE d’établir un réseau de SOC en tant que « cyber-bouclier » remonte à la stratégie de cybersécurité de 2020.

Dans les semaines à venir, le programme « Europe numérique » lancera des appels pour établir une série de SOC. Ces centres opérationnels opérant généralement sur des domaines spécifiques, ils seront regroupés au niveau national.

Les SOC ne sont toutefois pas uniquement financés par des fonds publics. Ce sont en effet des centres de contrôle qui surveillent et réagissent aux incidents de cybersécurité pour leurs organisations « clientes ». Un point critique non abordé dans le document d’orientation concerne le fait que les centres opérationnels existants ont jusqu’à présent partagé très peu d’informations car ils ne sont pas incités à le faire — que ce soit sur le plan monétaire ou autre.

La Commission envisage plutôt, dans le cadre d’une initiative de cyber-solidarité de l’UE, la création d’une infrastructure européenne de détection avancée pour informer les États membres des menaces en temps réel.

En outre, l’initiative prévoit la création d’un fonds d’intervention d’urgence pour la cybersécurité pour aider les pays attaqués en leur fournissant les compétences et les ressources nécessaires. Ces réponses d’urgence seraient soutenues par une cyber-réserve européenne de fournisseurs de services de confiance.

L’initiative à venir rendrait également opérationnels les tests de résistance des infrastructures critiques prévus par une récente recommandation du Conseil.

La Commission européenne souhaite une accélération de la défense des infrastructures critiques

Une recommandation du Conseil proposée par la Commission européenne mardi (18 octobre) préconise d’accroître les efforts visant à renforcer la résilience des infrastructures critiques de l’UE.

Technologie à double usage

Un défi croissant pour le secteur de la défense réside dans le fait que même le système d’exploitation d’un ordinateur portable peut être piraté dans le but de paralyser la capacité militaire d’un pays. Par conséquent, la distinction entre les exigences de cybersécurité pour les technologies civiles et militaires devient floue.

L’approche de l’UE dans ce domaine consistera à élaborer des scénarios de risque, notamment par le biais de tests d’intrusion, afin d’évaluer l’importance des infrastructures critiques pour les communications et la mobilité militaires. Par ailleurs, une coopération entre civils et militaires sera nécessaire pour élaborer des normes harmonisées pour les produits à double usage.

Parallèlement, Cecilia Bonefeld-Dahl, directrice générale de l’association professionnelle Digital Europe, a appelé à la mise en place de meilleures conditions pour que les PME européennes puissent développer leurs technologies à double usage.

Les pays de l’UE appellent à la création d’un fonds d’urgence pour la cybersécurité

Les gouvernements européens ont rédigé une déclaration visant à renforcer les capacités de l’UE en matière de cybersécurité, notamment en créant un nouveau fonds et en augmentant le financement de l’UE pour soutenir les efforts nationaux.

Coopération internationale

L’UE est prête à établir des partenariats sur mesure avec des pays partageant ses idées dans le domaine de la cyberdéfense. Des formations et des exercices conjoints avec l’OTAN sont également envisagés.

Les progrès réalisés dans la mise en œuvre de la politique de cyberdéfense feront l’objet d’un rapport annuel.

Inscrivez-vous à notre newsletter

S'inscrire