On Oz
L’Europe, le nouvel échiquier de la sécurité numérique
19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques de cyberdéfense menées par les Etats-membres, l’UE a rappelé tant par la voix de la commission européenne que par celle de son agence l’ENISA, agence européenne de cybersécurité, que le sujet était stratégique pour la définition de la politique européenne de sécurité et de défense communes.

Profondément marquée par les scandales de surveillance de masse des citoyens et des gouvernants, par la NSA et indirectement par les grandes firmes dénommées « GAFA » et par les faits d’ingérence dans les élections, l’UE a changé de ton et de positionnement. Sur un plan économique, déjà exaspérée par la situation monopolistique des entreprises du numérique outre-Atlantique ne payant au final que peu d’impôts en Europe, l’UE a franchi un cap décisif pour enrayer l’exploitation gratuite et non maîtrisée des données personnelles des citoyens, en légiférant et de façon extraterritoriale sur la protection des données avec le RGPD.

Ce n’est pas sans rappeler bien évidemment le contexte franco-français. Après un état des lieux non satisfaisant sur les capacités de défense des organisations vitales pour la Nation et son économie, l’État français n’a eu de cesse depuis quelques années de changer la donne. En 5 ans, les gouvernements successifs ont multiplié les actions : renforcé ostensiblement les pouvoirs et le rôle de l’ANSSI, augmenté le budget global de la cyberdéfense dont le sujet a été consacré comme interministériel, au-delà des ministères légitimes des armées et de l’Intérieur. Une stratégie nationale en 2016 a été arrêtée et déroulée, en veillant d’abord à l’urgence : assurer la protection adéquate aux infrastructures et services d’importance vitale, par la voie législative et en inscrivant au sein-même de la loi de programmation militaire, des règles de sécurisation d’un niveau élevé. En parallèle, l’ANSSI a poursuivi un travail titanesque sur les certifications et qualifications de produits et de services qui comme on l’imagine ne peut souffrir de médiocrité, au risque d’entamer la confiance numérique des citoyens comme des entreprises.

Si on regarde dans le rétroviseur, on remarque que cela a exigé des sacrifices, comme celui de faire des choix, de parer aux urgences, de ne pas se disperser et d’attendre avant de pouvoir se consacrer à la protection du tissu économique français tout entier, comme les PME, en somme, un positionnement pas toujours facile mais nécessaire pour ne bâcler le travail.

Et c’est en réalisant cela, que des questions émergent sur l’Europe. Si la France est un modèle pour l’UE, si elle peut servir d’incubateur voire d’éclaireuse en la matière, faut-il encore que l’Europe puisse se donner les moyens de ses ambitions.

Rien n’est moins sûr. Comment l’ENISA qui compte aujourd’hui bien moins d’agents que la seule ANSSI peut-elle poursuivre son travail historique de conseil et d’études et mener de front tous les chantiers annoncés - allant de la garantie d’application de la directive NIS, au développement de la coopération et de la coordination européenne pour mieux réagir aux attaques, en passant par le développement de certifications de solutions au niveau européen et donc par voie de conséquence d’harmonisation - vu que bien des États ont déjà leur propre mécanismes de certification ?

Rien est immuable évidemment et l’ENISA par la volonté des États-membres peut vite changer de dimensionnement, mais est-ce en revanche suffisant ?

Les actions décrites sont toutes radicalement tournées vers la protection et la défense.

A l’heure où les États-Unis viennent de voter une loi autorisant le hack-back, pour faire court, la possibilité de cyber-riposter pour les entreprises victimes d’attaques, il est normal de se demander comment l’UE se positionne sur ces sujets et comment elle peut peser. De son côté pour la France, il n’y a quasiment pas de débat et elle défend sa vision de façon ferme sur 3 points majeurs : sa volonté d’interdire toute cyber-riposte par les acteurs privés, l’interdiction sinon l’encadrement drastique de l’exportation d’armes de cyberguerre et enfin et surtout, la volonté de faire consacrer l’application pleine et entière du droit international et notamment la Charte des Nations-Unis. De deux maux il faut en effet choisir le moindre. Quitte à autoriser le droit à la riposte entre États, à la contre-mesure autrement dit à la légitime défense, mieux vaut qu’elle soit encadrée par un socle existant et pérenne comme le droit international. Si l’UE a affirmé ce dernier avis. Quid du reste ?

L’UE peut-elle offrir un cadre de compensation fort si, sur le reste de la planète, des voix divergent et non des moindres ? Les entreprises européennes seront-elles armées pour faire face à « l’équilibre de la terreur cyber » ? La vision démocratique et sécurisée défendue par l’UE, qu’on voit transparaître dans le RGPD, peut-elle avoir sa place et comment la défendre ? Quelles actions de prospective l’UE peut-elle mener pour permettre aussi en Europe le développement de solutions offensives, comme Israël et les USA ? C’est à toutes ces questions que l’UE va devoir répondre et vite, avant de ne plus avoir voix au chapitre.

Nos autres billets d'humeur...
18/01/2018

Comment l’acceptation et la normalisation du risque cyber ont conduit à une mutation opérationnelle à tous les échelons ?

S’il est indéniable que les trois dernières années ont contribué à réveiller les consciences des médias, des entreprises et commencé à interpeller le grand public sur toutes les...

17/01/2018

Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?

Il y a encore une dizaine d’années, former ses collaborateurs à la cybersécurité, revenait pour l’entreprise à faire une présentation Powerpoint des normes ISO 27001 et 27002. C...

13/10/2017

Start-up, Scale-up, Sec-up ?

En ce Mois Européen de la Cybersécurité, 4 grandes actions ont été retenues et la première d’entre elles est « Participez à la sécurité du numérique de votre entreprise ». Vaste...

05/10/2017

Le Top management et les administrateurs : Je t’aime moi non plus

> La protection du patrimoine informationnel d’une entreprise dépend largement du facteur humain bien plus que de potentielles défaillances technologiques. > D’origine acciden...

05/10/2017

Portrait-robot du cybercriminel dans le deep web

> Le renseignement impose de connaître les individus, les groupes, leurs relations, leurs connaissance et leurs objectifs et cibles. > Le niveau 0 regroupe les vantards ininté...

05/10/2017

Comment gagner du temps au quotidien ?

> L’automatisation grâce à des logiciels autonomes permet un traitement de données, en continu, sans erreur de traitement. > Elle permet de gagner du temps et de libérer des t...

05/10/2017

La sensibilisation par l’exemple : CQFD

> L’ANSSI a réalisé un guide de règles de sécurité, à l’attention des PME, fait en partenariat avec la CPME. > La Hack Academy, le MOOC #SecNumacadémie sont des exemples de se...

05/10/2017

L'Internet de demain, un monde d'applications ?

> Qu’il s’agisse de se connecter à sa banque en ligne ou de faire des achats sur Internet, l’accès aux applications et aux données confidentielles est aujourd’hui indispensable...