« Il est urgent de se réveiller, parce que nous sommes devenus une colonie du monde numérique ». Les propos de Catherine Morin-Desailly sont limpides, l’Europe ne peut plus rester inactive dans le domaine de la cybersécurité. Dans le cadre de la dimension parlementaire du « Triangle de Weimar », le Sénat français, le Bundesrat allemand et le Sénat polonais ont décidé d'organiser un cycle de trois conférences parlementaires. La troisième et dernière réunion était organisée ce matin au Sénat sur le thème de la cybersécurité, avec comme fil de fond la place et le rôle de l’Union européenne dans ce domaine.
Des représentants des chambres hautes de la France, de l’Allemagne et de la Pologne étaient présents, mais aussi des spécialistes de la question, à l’image de Bernard Benhamou, secrétaire général de l’Institut de souveraineté numérique, qui modérait les débats.
En cyberguerre ?
Directement lié à la cybersécurité : le rôle de la défense nationale. Si les scénarios de cyberattaques sont devenus récurrents dans les séries télévisées ou dans les salles de cinéma, la question d’une spécialisation des défenses nationales dans ce domaine est brûlante d’actualité. Lors des débats, Rachel Mazuir, sénateur socialiste de l’Ain, a rappelé l’historique français en la matière, avec l’inscription du numérique en 2008 dans le livre blanc sur la défense nationale, ou l’étude d’un projet de loi qui passera au Sénat dans les prochaines semaines. Avec sagesse, le sénateur socialiste a rappelé l’adage qui dit que « le meilleur chef de guerre est celui qui la prépare et qui la gagne sans avoir à la faire ».
Pour le sénateur centriste représentant les Français établis à l’étranger Olivier Cadic, la France est déjà en cyberguerre. « Les temps ont changé, cela ne passe plus par des déclarations écrites […] On est en guerre. Chaque jour, les Russes testent nos systèmes de défense […] La Chine a clairement défini son objectif de dominer le monde en 2050 […] et les États-Unis voient le monde comme un endroit qu’ils doivent dominer économiquement », a-t-il expliqué, avec beaucoup de gravité. « On est toujours en réaction, a-t-il regretté. On est toujours en retard ! […] Heureusement que notre ministre de la Défense a annoncé qu’on se dotait de capacité offensive ».
« On est toujours en réaction, a-t-il regretté. On est toujours en retard ! […] Heureusement que notre ministre de la Défense a annoncé qu’on se dotait de capacité offensive ».
Sans employer le terme de guerre, le ministre et président de la commission des lois du Bundesrat allemand Till Stefen, considère que « nous sommes dans des situations de menaces, où une attaque sur internet est plus dangereuse que bien des attaques de guerre par le passé. […] Il faut donc conceptualiser la contre-attaque ». Till Stefen a indiqué que des tentatives de piratage avaient régulièrement lieu outre-Rhin, prenant l’exemple du réseau numérique de la ville d’Hambourg. Mais le ministre alerte : « Si on passe à une contre-attaque, on ne sait pas si on cible les bonnes personnes. Un État peut prétendre en être un autre […] cela me rappelle la question de la menace nucléaire. Si nous allons trop loin, nous pourrions déclencher un effet domino ».
« On ne peut pas faire confiance, a priori, à quelque équipement que ce soit. »
Olivier Cadic lui a répondu, arguant qu’il fallait que l’Union européenne ait une capacité de réponse indépendante. « Le camp d’en face doit sentir une menace […] On a décidé d’accepter que les Chinois puissent investir nos marchés sans principe de réciprocité : c’est suicidaire pour l’Union européenne. Le problème n’est pas la Chine, mais le gouvernement chinois. On est toujours dans la position défensive. À quel moment on décrète la ligne rouge ? Si on accepte que les gens dépassent la limite, alors il n’y a plus de limites », s’alarme-t-il.
Pour le sénateur centriste du Haut-Rhin Jean-Marie Bockel, l’argument de la dissuasion est toujours tenable. « La différence entre la dissuasion nucléaire et dissuasion cyber, c’est que la dissuasion nucléaire, elle existe pour qu’on ne s’en serve jamais, alors que la dissuasion cyber n’est crédible que si on s’en sert. On est passé de « faire sans dire » à « faire en annonçant la couleur ». Cela démontre l’augmentation du degré d’intensité aujourd’hui ».
Une augmentation du degré d’intensité également illustrée par ces mots de Christian Daviot, conseiller stratégie auprès du directeur général de l'Agence nationale de sécurité des systèmes d'information (ANSSI) : « On ne peut pas faire confiance, a priori, à quelque équipement que ce soit, pour des questions de défense et sécurité nationale ».
Un cadre européen à la cyberdéfense ?
« On a l’espoir que l’Europe demain puisse parler d’une seule voix dans ce domaine […] Si un état est vulnérable parce qu’il n’a pas suffisamment protégé l’ensemble de ses réseaux, il fragilise l’ensemble de ses partenaires, il est donc important qu’il puisse y avoir des normes et des objectifs pour assurer un socle robuste de cybersécurité dans tous les États membres », expliquait Rachel Mazuir.
Son collègue centriste du Tarn Philippe Bonnecarrère abonde : « S’il y a bien un sujet qui ne peut pas être traité dans un cadre national, mais dans un cadre européen, c’est bien celui-là. La menace cyber n’est pas territoriale, on espère que l’Union européenne pourra assumer son rôle. […] À ce jour, l’UE a une réponse législative, une réponse juridique et une réponse réglementaire. À mon sens, tout le combat est de passer d’une réponse technique et juridique à une réponse plus globale »
« L’Allemagne doit, dans certains domaines, descendre de ses grands chevaux »
Côté allemand, l’échelle européenne est la plus pertinente. Pour Till Stefen, c’est « la réponse à toutes les problématiques ». « Il est particulièrement important que nous surmontions nos divergences. C’est la condition préalable pour la résolution de nos problèmes : ensemble et pas les uns contre les autres. Nous avons besoin de travailler ensemble ». Tout en plaidant pour une coopération entre les différents États membres, le ministre allemand a fait l’autocritique de son pays. « L’Allemagne avait freiné lors de l’examen du RGPD au sein du Conseil, comme la France dans d’autres dossiers. Chacun doit faire un effort. L’Allemagne doit, dans certains domaines, descendre de ses grands chevaux ».
« L’Union européenne a un énorme potentiel dans le domaine de la sécurité. Et nous devrions puiser dans ce potentiel », a expliqué le polonais Łukasz Mikolajczyk, rejoignant les propos de Till Stefen. « Nous avons besoin d’une coopération à l’échelle européenne et nous devons rechercher un consensus pour trouver des solutions communes », a lancé le sénateur polonais.
Jean-Marie Bockel est quant à lui plus réservé sur une initiative incluant beaucoup de pays. « On peut faire des accords bilatéraux, mais dès qu’on est plusieurs, on a aussi des maillons faibles, souligne-t-il. À partir de ce moment-là, partager des capacités offensives, c’est aussi prendre un risque d’être plus facilement attaqué », regrette-t-il. « Il faut donc monter en puissance ensemble », argue le sénateur.
Le cas Huawei, déclencheur d’une alternative européenne ?
Si le consensus autour d’une action supranationale est présent, l’actualité de l’entreprise Huawei va peut-être être le moteur d’une alternative européenne. L’entreprise chinoise est désormais interdite de fournir des composants informatiques, considérés comme des « chevaux de Troie » par l’administration américaine. Cette situation inédite met, selon Bernard Benhamou, l’Europe en tenaille entre la Chine et les États-Unis. Pour lui, sur les domaines de la 5G ou de la cybersécurité, le vieux continent serait même « pris en otage ».
Jean-Marie Bockel a rappelé la doctrine française sur le cas du géant Chinois. « Nous devons être très prudents et très attentifs au rôle de cheval de Troie que peuvent avoir certains équipements. Nous devons ne pas être naïfs par rapport à la menace que peut constituer l’entreprise, sans pour autant avoir une attitude systématiquement négative », a-t-il expliqué. Le sénateur a précisé que le maintien de Huawei sur le territoire français n’avait été réalisé qu’à certaines conditions, mettant donc la France en « position équilibrée ». Mais derrière le cas Huawei, se pose pour le sénateur du Haut-Rhin la question de la philosophie à adopter. « Devons-nous être alignés systématiquement sur les Américains ou est-ce qu’on essaye d’avoir une vision autonome ? », interroge-t-il.
"On est passé de « faire sans dire » à « faire en annonçant la couleur ». Cela démontre l’augmentation du degré d’intensité aujourd’hui "
En Allemagne, Huawei a aussi été autorisé à rester le marché, malgré les sanctions américaines, comme l’explique Till Stefen. « Nous avons décidé que l’introduction de la 5G serait autorisée dès lors qu’on ne dépendrait pas des produits de Huawei ». Le ministre allemand plaide pour une alternative européenne « de l’ordre de l’échelle d’Airbus » sur les infrastructures critiques. « Il ne faut pas que nous nous laissions monter les uns contre les autres, mais que nous puissions resserrer les rangs face à de tels constructeurs », explique-t-il.
Côté polonais, la cybersécurité est la priorité. « Nous devons prendre à bras-le-corps ce problème, car la 5G va être le réseau principal. Ce serait parfait si on pouvait le faire au niveau européen », a approuvé Łukasz Mikolajczyk.
Une nécessaire sensibilisation des utilisateurs
Au-delà des actions et des stratégies des différents Etats et acteurs supranationaux, la sensibilisation des utilisateurs doit être l’une des priorités. Tel est l’un des autres enseignements majeurs de cette table ronde.
« Je ne crois pas que notre société soit assez sensibilisée aux risques numériques, regrette Philippe Bonnecarrère. Nous avons d’autant plus un retard que le risque numérique ne repose pas sur un risque physique », explique-t-il. « Nous avons imposé des obligations par la loi. C’est nécessaire mais pas suffisant. Il nous reste à gagner le combat de la culture numérique. C’est très clairement un effet de génération ». Le sénateur a d’ailleurs salué la mise en place dès l’année prochaine d’une option « numérique » au Baccalauréat. « Il faut faire progresser la connaissance technique et la culture de la sécurité », défend Philippe Bonnecarrère.
« Le RGPD existe, mais rien ne change »
L’Allemande Frederike Kaltheuner, représentante de Privacy International, considère, elle, qu’il « ne faut pas remettre toute la responsabilité sur les utilisateurs ». La représentante de l’ONG explique qu’il est « impossible de savoir tout ce qui se fait sur nos données et où elles sont stockées » L’ONG a réalisé un test sur des applications, qui révèle qu’à l’instant où une application s’ouvre, dans 60 % des cas, des données sont partagées. « Cela ne correspond pas au RGPD, mais rien ne change », dénonce Frederike Kaltheuner.
« Le RGPD existe, mais rien ne change »