III Appréciation, limites et marges de progrès

31/ Un texte novateur qui marque une vraie prise de conscience et des ambitions solides

Le texte a dû faire face à trois séries de difficultés : tout d’abord, le cyberespace est polymorphe, et inclut aussi bien des questions d’infrastructures, de logiciels, d’opérateurs spécialisés ou non, et de contenus. Dans le même temps, une « cyberstratégie » doit évoquer aussi bien des aspects civils que des aspects militaires : les questions de défense proprement dites, les exigences de protection des droits en même temps que celle des citoyens (selon le dilemme classique liberté/sécurité), et enfin des dimensions économiques (principe de concurrence, de sécurité des échanges, de protection des entreprises). Enfin, le document doit faire face à la mécanique institutionnelle de l’UE, et couvrir la gamme allant du communautaire à l’intergouvernemental, du niveau national jusqu’à celui des acteurs privés.

C’est compte-tenu de cet environnement qu’il faut apprécier ce document, qui doit de plus manier une certaine prudence d’expression (avec un langage qui pourra paraître à certains technocratique) et intégrer enfin les principes et valeurs de l’UE.

Compte-tenu de ces exigences diverses, le document constitue une réelle innovation et n’est pas aussi creux qu’on aurait pu le craindre. Il est un réel progrès et témoigne d’une prise de conscience qu’il faut saluer. Pour dire les choses d’un mot, l’UE affirme à la fois son idéal et sa lucidité, et trouve une voie moyenne pour assurer des tâches de protection, de sécurité et même de défense.

Ainsi, l’articulation des trois domaines (sécurité des réseaux, maintien de l’ordre et défense) constitue une innovation heureuse. De même, l’affirmation de responsabilités partagées entre le niveau national et le niveau européen est mentionnée, tout comme l’incorporation des acteurs privés, qu’ils soient spécialisés dans l’industrie numérique ou non. Les organes d’exécution sont mis en place et renforcés, ainsi que les instruments juridiques qui soutiennent l’ensemble (proposition de directive). Par ailleurs, cette stratégie conjugue à la fois des actions de court terme et des objectifs de moyen terme, selon une méthode opératoire qu’il convient de mettre en valeur.

Enfin, un point crucial consiste à avoir placé la stratégie de cybersécurité sous les auspices de l’article 222 du traité sur le fonctionnement de l’UE, instaurant une clause de solidarité européenne. Cet « article 5 européen » trouve ainsi un champ d’application dans un domaine émergent, non couvert ou mal couvert par les autres organisations de sécurité. C’est probablement l’innovation majeure de ce texte.

A ce constat général, qui est favorable, il convient d’ajouter les points inachevés.

32/ Des ambiguïtés sémantiques demeurent

Ainsi que nous l’avons remarqué au cours de l’analyse, si certaines définitions sont données, d’autres sont oubliées. Nous n’évoquerons que pour mémoire la notion même de stratégie : s’agit-il en l’espèce d’une politique ? Ou de la mise en œuvre d’une volonté dans un environnement clairement perçu comme conflictuel, passant donc par l’expression d’un diagnostic, la fixation d’un objectif, la détermination des voies et moyens cadencés dans le temps pour y parvenir ? Mais alors, s’il y a un environnement conflictuel, quels sont les acteurs de cette conflictualité ? Quelles sont les menaces ? S’agit-il seulement d’acteurs individuels ou collectifs ayant des objectifs privés (militantisme, fraude, enrichissement, mafias et autres bandes criminelles, voire firmes commerciales aux méthodes peu regardantes) ? Ou s’agit-il aussi d’Etats ?

Nous touchons ici à la distinction entre cybersécurité et cyberdéfense. Il y a donc désormais une cybersécurité, mais le texte mentionne une cyberdéfense sans la définir, ni même sans donner son cadre d’emploi . Autrement dit, la cyberdéfense consiste-t-elle à assurer la défense de l’UE ? Celle des Etats membres ? Et la défense de quoi : des infrastructures critiques ? Mais y a-t-il des infrastructures qui seraient critiques pour l’UE et pas pour tel ou tel Etat membre ? Et réciproquement ? Un des critères de la cyberdéfense est-il la présence du niveau étatique comme partie prenante (qu’il s’agisse d’un Etat ou de l’UE) ?

De même, la variation des termes pour évoquer les infrastructures critiques, et l’absence de définition ou de catégorisation sont extrêmement gênantes à la compréhension. Il reste que ce flou n’est pas propre à l’Union et à sa stratégie, car on retrouve des imprécisions similaires dans des textes stratégiques nationaux…

Enfin, le texte omet quelques définitions essentielles : qu’est-ce, pour l’UE, qu’une cyberattaque ? S’agit-il d’un acte objectif ? D’un acte qui se caractérise par sa cible ? D’un acte qui se caractérise par son intention malveillante ? Quid du cyberespionnage ?

Il reste, à la décharge de l’Union, que beaucoup de ces notions ne font pas l’objet d’un consensus parmi les spécialistes, quand même elles sont discutées.

33/ Une répartition des responsabilités qui demeure discutable.

Comme souvent en matière européenne, le débat s’élève sur la question de la répartition des responsabilités. Dans le cyberespace, faut-il ainsi une action nationale (souveraineté) ou action commune ? Au-delà, qui est responsable des modalités d’application : les Etats-membres ou la Commission ?

Sans aller jusqu’à ces questions de principe, on peut mentionner la critique du Sénat français au sujet de la notification des incidents. Son principe n’est pas remis en cause, mais la question de l’autorité destinataire de cette notification demeure problématique. Faut-il en effet communiquer tous les incidents privés (donc, ceux des entreprises soumises à l’environnent concurrentiel) non seulement à une autorité nationale, mais aussi à la Commission et aux autres Etats-membres ? Il y aurait tout d’abord une incontestable lourdeur bureaucratique, mais cela poserait également des difficultés au regard de la sécurité nationale. Ainsi, selon la proposition de MM Bockel et Berthou, tout dire revient à dévoiler des secrets. Jusqu’où peut-on faire confiance aux autres ? La Commission assurera-t-elle le secret ? Peut-on garantir un secret à 28 ?

Cette question du partage d’information pose implicitement la question de la gouvernance européenne. Comme le note Mme Morin-Desailly, cette stratégie fait face à la dispersion des acteurs européens : « la direction générale de l’information et des médias (DG Connect) qui pilote la stratégie numérique, doit composer avec l’intervention de la DG « Marché intérieur » et de la DG « Affaires intérieures » pour le volet relatif à la cybercriminalité. En outre, la coordination est délicate entre les actions menées par la Commission dans le cadre communautaire et celles qui touchent à des matières intergouvernementales, comme la PSDC qui relèvent du Haut représentant de l’Union et de son service, le service européen pour l’action extérieure (SEAE) ». Au fond, qui est vraiment responsable ?

34/ Les gros et les petits ont-ils les mêmes intérêts ?

Ceci amène à poser une question de fond : l’UE est-elle une zone cyber optimale ? En effet, la stratégie européenne part du principe non seulement d’un intérêt commun, mais aussi de l’égale disposition et capacité des Etats membres à mener une action de cybersécurité, ou de cyberdéfense. Force est de constater que ce n’est pas le cas, ce que le texte constate d’ailleurs, lorsqu’il mentionne l’inégalité des réactions nationales sur le sujet.

A cet égard, on peut ainsi tenter une catégorisation des réactions (forcément imparfaite) en décrivant trois types de réponses : d’une part, il y a des Etats membres conscient de l’ampleur des défis, ayant mis en place des réponses nationales et disposant d’une gamme de moyens relativement complète leur permettant d’assurer leur souveraineté numérique. L’Allemagne, la France ou le Royaume-Uni appartiendraient à cette catégorie. D’autre part, il y aurait des Etats ayant conscience des défis, ayant mis en place des réponses mais ne disposant pas de l’ensemble des outils. Les Etats baltes, la Finlande ou la Suède appartiendraient à cette catégorie. Enfin, un autre groupe réunirait les Etats qui soit n’auraient pas réellement conscience de la question (au-delà des déclarations de principe et de l’approbation de textes internationaux) soit n’auraient pas les moyens ou la volonté de mettre en œuvre des dispositifs nationaux.

Il est évident que les intérêts des uns et des autres diffèrent, et que la stratégie européenne doit trouver l’équilibre entre les trois situations. Elle s’adresse tout d’abord au troisième groupe, pour l’inciter à prendre ses responsabilités. Elle s’adresse également au deuxième groupe, qui est celui qui a le plus intérêt à ce partage de compétence, afin d’obtenir une taille critique et donc une efficacité que les seuls moyens nationaux ne garantissent pas. La question se pose de l’intérêt des pays du premier groupe, qui se sentent capables d’assurer seuls leur souveraineté, et qui voient un excès de partage comme une dilution de leur propre protection. Or, une alliance est sensée apporter un gain de protection à tous les membres, y compris les plus puissants. Peut-être faudrait-il inciter les dits Etats membres de considérer les opportunités de direction et d’influence que le système européen pourrait leur apporter. Il faudrait de ce point de vue mieux apprécier la balance entre les contraintes et les atouts potentiels d’un tel partage. La réponse doit être considérée à l’aune de plusieurs critères : celui de l’efficacité (et au-delà de la souveraineté), mais aussi celui de l’influence et au-delà, d’une efficacité ultérieure qui serait, peut-être, augmentée par un partage européen. La réponse ne va pas de soi et l’on peut comprendre la prudence de certains. Encore faut-il qu’il s’agisse d’une prudence d’attente et non une posture de splendide isolement.

Mentionnons, pour conclure sur ces questions de souveraineté et d’alliance, le silence du texte sur la coopération éventuelle avec l’Otan, ou sur un éventuel partage des tâches. Là encore, le non-dit est lourd de signification. La prudence diplomatique suggère de vrais différends, qui reposent peut-être sur des intérêts profonds. Les celer n’est pas forcément la meilleure façon de les résoudre. Il reste toutefois qu’a priori, l’Union dispose d’une gamme plus étendue d’instruments pour répondre aux défis du cyberespace, et qu’elle n’a donc aucune préséance à respecter sur la question.

Conclusion

Ainsi, ce texte est incontestablement novateur et constitue une vraie avancée. Il a le grand mérite d’aborder avec lucidité un domaine où l’Union était incontestablement en retrait. Le texte et la proposition de directive réussit à ménager de grand équilibres tout en traçant des objectifs de court et de moyen terme, et en plaçant le domaine sous l’égide de l’article 222. Pour toutes ces raisons, il faut s’en féliciter.

Il présente bien sûr un certain nombre de limites et de silences, laissés là soit à dessein, soit par ignorance. Ce n’est peut-être pas le plus handicapant. En effet, au-delà de ces questions de cybersécurité, l’Union fait face au grand questionnement de sa souveraineté numérique. La souveraineté est un mot que les institutions n’aiment pas. Pourtant, c’est probablement là où elle pourrait faire preuve d’une vraie capacité d’innovation. Cela renvoie au rapport de Mme Morin-Desailly qui interroge : l’Europe n’est-elle pas une colonie du monde numérique ?

Notes

• Par référence à l’article 5 du traité de l’Atlantique nord, mais aussi de feu le traité de l’Union de l’Europe Occidentale, qui tous deux assurent –assuraient pour l’UEO – une clause de défense collective entre alliés.
• On peut ici rappeler la définition donnée par l’ANSSI : « Ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
• Rapport sénatorial Morin Desailly, op. cit., p. 84.
• L’auteur remarque également que le CERT est une structure « très légère et n’est pas encore en mesure d’assurer la sécurité de ces réseaux ».
• Mme Morin-Desailly, rapport d’information du Sénat n° 448, « L’Union Européenne

Lexique

• AED : Agence européenne de défense.
• CERT-UE : Computer Emergency Response Team. Equipe de réaction d’urgence informatique.
• E3C : Centre européen de lutte contre la cybercriminalité.
• ENISA : Agence européenne chargée de la sécurité des réseaux et de l’information
• PIIC : Protection des infrastructures d’information critique
• SRI : Sécurité des réseaux et de l’information.

O. Kempf