L'Union Européenne a présenté sa politique de cybersécurité. Que penser de ce qui ressemble à une liste de bonnes intentions ?
Par Frédéric Prost.
Le 7 février dernier, dans l’indifférence médiatique la plus totale, l'Union Européenne présenta, par la voix de son haut représentant des affaires étrangères et de la politique de sécurité ("High Representative of the European Union for Foreign Affairs and Security Policy"), aux parlement, conseil économique et social et au comité de régions, sa vision stratégique concernant la cybersécurité en Europe. Le texte n'est pas très long et est disponible sur le site de la commission européenne : ec.europa.eu.La première remarque qui s'impose à la lecture de ce document est qu'il s'agit d'une collection assez impressionnante de mots creux. Il est assez facile de repérer les mots vides dans un discours quand on remarque qu'il s'agit d'expressions dont le contraire ne pourrait pas se trouver dans le texte. Par exemple, le document parle de la mise en place d'une "législation forte et effective". Il est clair qu'aucun rapport au monde ne proposerait une législation faible et inefficace. Le fait de faire un paragraphe pour dire qu'on va faire quelque chose d'évident (puisque le contraire n'est pas imaginable) tient donc au mieux de la méthode Coué. Ce type de langage, malheureusement, forme la plus large partie de ce rapport allant de vœux pieux (arriver à convaincre ceux qui ne le sont pas que la cybersécurité est vitale) en "wishful thinking" (l'action de l'UE devrait faire chuter "drastiquement" la cybercriminalité).
Plus fondamentalement il apparaît à la lecture de ce document que la proposition stratégique de cybersécurité est essentiellement vécue de manière défensive : elle s'exprime principalement à travers la mise en place de techno-structures de type "bruxellois" (renforcement d'ENISA, mise en place du European Cybercrime Center) et la coordination entre différentes entités supranationales (OTAN, CEPOL, INTERPOL...). Ces points sont, il est vrai, à ne pas négliger. Cependant tout un pan de la lutte contre la cybercriminalité n'est que légèrement évoqué : que faire de manière pro-active pour protéger les réseaux et données européennes ? Par exemple, les problématiques stratégiques du cloud (dont les acteurs majeurs ne sont pas européens) ne sont même pas évoqués (le rapport n'en parle qu'à trois reprise pour juste mentionner la mise en place de standard de sécurité).
Peut-être que cette approche presque toute en réaction est due à l'aspect diplomatique de la chose (on ne dit pas que l'espionnage industriel entre alliés existe dans un rapport public) mais une stratégie d'ampleur pourrait être de s'assurer que les données essentielles sont conservées sur le sol européen. Pour prendre une image dans un autre domaine : quand on raisonne en termes stratégiques, l'économie n'est qu'une dimension à prendre en compte. Par exemple, il peut être astucieux pour un État de subventionner le fait que des cargos ne dépassent pas un certain tonnage. Si une guerre éclate, une flotte formée de cargos de taille moyenne fera baisser l'efficacité de l'armée ennemie qui cherche à couler le plus de tonnes possible avec une seule torpille (exemple qui n'était pas que théorique durant les deux premières guerres mondiales). Or, en temps normal, économie d'échelle oblige, plus les vaisseaux sont grands, meilleure est la rentabilité économique. Par analogie avec cet exemple, il pourrait être judicieux de voir comment l'Europe peut assurer la maîtrise de ses données (je veux dire au sens physique du terme) même si cela est nécessairement contreproductif du point de vue purement économique.
Une stratégie ambitieuse ne peut pas se limiter à augmenter la capacité à résoudre les incidents. Bien sûr le rapport parle de sensibiliser les intervenants à tous les niveaux aux problèmes de sécurité informatique mais cela reste un étalage de vœux pieux : il n'y a pas de propositions détaillées et chiffrées pour cela.
D'autre part, si ce n'est dans l'introduction et les motivations (le tout envoyé en deux petits paragraphes), la sécurité des particuliers n'est jamais vraiment évoquée. Si les implications économiques et stratégiques sont principales, il me semble qu'il manque une dimension majeure à ce rapport. La cybersécurité ne se limite malheureusement pas aux activités directement criminelles. Les problèmes liés à la confidentialité en font également partie. Les droits des citoyens à la vie privée sont largement impactés par les nouvelles technologies. L'utilisation notamment des nouvelles technologies par les polices et administrations prend une nouvelle dimension. L'existence même de telles masses d'information présente des risques stratégiques majeurs (la prime au piratage de telles informations est énorme) qui ne sont même pas évoqués dans ce rapport.
Au final cette stratégie ne semble être pas grand chose de plus qu'un conglomérat de remarques de bon sens : si elles ne sont pas nocives par elles-mêmes cela n'en reste pas moins très en deçà de ce qu'on peut attendre quand on emploie des termes aussi prétentieux que "stratégie de cybersécurité". D'autre part la généralité excessive du rapport, qui reste très vague, n'est pas pour rassurer quant à l'emploi qui pourra en être fait : il n'est pas à exclure que ce rapport serve de point de départ à un n-ième tour de vis pour policer encore un peu plus le net ; ce qui ne constitue absolument pas une stratégie de cybersécurité mais l'expression d'une évolution sociétale qu'on chercherait à virtualiser.