L’UE devrait coordonner sa lutte contre la cybercriminalité

Nicholas.jpg

Les entreprises devraient signaler les attaques dont elles sont victimes dans le cadre de la nouvelle stratégie proposée par l’Europe sur la cybercriminalité. Les détails des attaques devraient être précisés et les gouvernements doivent collaborer davantage pour harmoniser les contrôles.

Paul Nicholas est directeur senior de la stratégie mondiale en matière de cybersécurité chez Microsoft. Il s’est confié à Jeremy Fleming d’EURACTIV à Bruxelles.

Quelles sont les différences entre les propositions de l'UE et celles des États-Unis dans le domaine de la cybersécurité ?

Il y a un réel problème lorsque les décideurs politiques pensent être prêts à répondre aux cyberattaques, mais se rendent compte que le défi à l'échelle nationale est immense. Ceci dit, je pense que les démarches américaine et européenne ont beaucoup en commun. La portée politique et le champ d'application sont différents, mais l'UE et les États-Unis veulent tous les deux des mesures de sécurité de base. Ils veulent un meilleur partage des informations liées aux cybermenaces. D'un point de vue pratique, l'obligation de rapporter les menaces [comme le prévoit la stratégie européenne en matière de cybersécurité] pose problème aux Américains.

Quels défis cette obligation entraîne-t-elle ?

Nous devons savoir pourquoi nous rédigeons des rapports. Est-ce que nous communiquons des informations pour avoir une idée précise de la situation, pour aider les gouvernements ou pour peaufiner les statistiques ?  Quelle doit être l'importance des évènements pour qu’ils soient signalés ? Si nous partagions la même définition du terme « important », ce serait plus simple.

La cybersécurité pose-t-elle des problèmes particuliers à Microsoft ?

D'un côté, nous détectons plus de menaces. De l'autre, 16 milliards d'ordinateurs sont équipés de nos logiciels et nous fournissons des services de cloud computing. Dans cette perspective, nous sommes engagés à long terme auprès de nos clients. C'est la raison pour laquelle nous avons créé notre « Trustworthy Computing Group ». Nous avons opéré des changements qui ont réformé l'écosystème sécurisé autour des sciences informatiques.

Les cyberattaques sont considérées comme une menace grandissante. Pourtant, il est de plus en plus difficile d'en identifier l’origine.

Comment cela modifie-t-il votre perception du cyberespace ?

Cela nous inquiète beaucoup. Nous estimons que les gouvernements et le secteur doivent créer des normes qui guident le comportement de l'État dans le cyberespace. Vous ne connaissez ni les auteurs ni leur comportement. Il s'agit donc d'une crainte valable.

Quels sont les défis d'une démarche mondiale dans le domaine de la cybersécurité ?

Je pense que de nombreux défis résident dans la coopération à l'échelle internationale. Les pays en développement renforcent leurs capacités. Ils doivent être équipés contre des cyberattaques et ce n'est pas toujours simple. L'identification des sources est très difficile. Et vous ne pouvez pas tracer de frontières qui empêcheront une attaque. En termes de coûts, il s'agit d'une bataille entre les possibilités et les frais. Le plus grand défi serait une attaque directe, mais une attaque entraîne également des conséquences indirectes. Les coûts indirects sont parfois beaucoup plus élevés que les coûts directs. Dans de nombreux cas, nous ne sommes pas conscients de la portée ou des effets de certaines attaques.

Que voulez-vous voir apparaitre dans le paysage de la cybersécurité ?

J'aimerais voir plus d'harmonisation. Si 40 pays proposent des systèmes de contrôle individuels, ce sera difficile pour le secteur. L'harmonisation des normes acceptables à l'échelle nationale entre les gouvernements serait un bon objectif à long terme.

Subscribe to our newsletters

Subscribe
CONTRIBUER