Quelle stratégie pour une Europe de la cybersécurité souveraine et puissante ?
Lors des Assises de la sécurité et des systèmes d’information en octobre dernier à Monaco s’est tenue une keynote conjointe entre Atos et IDnomic. Le propos de ce rendez-vous concernait la souveraineté européenne et la cybersécurité.
L’Europe doit confirmer et consolider sa politique de sécurité informatique. Les Etats membres doivent défendre leur souveraineté. Coralie Héritier, directrice générale chez IDnomic, et Alexis Courette, responsable de produits chez Atos, ont présenté le terreau existant pour l’émergence d’une Europe cyber-souveraine.
L’Europe en route pour une politique de cybersécurité souveraine
Sur plusieurs points, la communauté européenne est mûre pour lancer sa politique de sécurité informatique. Différentes étapes ont déjà été franchies.
Une réglementation à marche forcée
La souveraineté européenne en matière informatique est l’un des objectifs des Etats membres. Pour cela, il importe d’élever le niveau de cybersécurité de manière identique dans tous les pays européens.
Le RGPD (Règlement général sur la protection des données) et la directive NIS (Network and information security) pour protéger les OIV (Organisme d’importance vitale) en sont de bons exemples. Cette année, le Cyberact visait à harmoniser les certifications en matière de cybersécurité. Même chose avec l’harmonisation des CNI (Cartes nationales d’identité) électroniques en Europe.
Le « programme digital » européen sur la rampe de lancement
Cela fait quelques années que ce programme a été impulsé par l’UE (Union européenne). Pour les cinq ans à venir, l’investissement a été porté à 9,6 milliards d’euros, afin d’assurer le virage industriel de l’Europe, et développer l’industrie digitale pour assumer l’autonomie et la souveraineté des Etats membres.
Si l’Europe est forte sur le plan digital, les utilisateurs et les entreprises seront en confiance. Ainsi, ils rentreront dans un processus de digitalisation. On peut considérer que le projet de l’Europe est d’aboutir à une stratégie digitale à visée économique. Toutes ces contraintes vont précéder et accompagner une politique industrielle. On a pour exemple la loi de programmation militaire, qui a permis d’augmenter le niveau de sécurité assuré par les opérateurs.
Et en France ?
Dans l’Hexagone, des schémas de certification créent de nouveaux services et des produits de confiance que les industriels alimentent. Ces produits et ces services sont ainsi offerts aux OIV. Il faudrait souhaiter la même chose à l’échelle de l’Europe, obtenant ainsi un projet fort capable de soutenir l’autonomie stratégique de l’Europe. Un aspect reste néanmoins compliqué : il faut assurer l’alignement des différents pays qui poursuivent eux-mêmes des intérêts divergents.
Dans le monde, les attaques informatiques augmentent
La guerre économique est bel et bien présente. Le secteur de l’informatique et de la cybersécurité le démontre :
• On constate une augmentation des attaques informatiques visant les entreprises, dans le but de piller des données pour de l’intelligence économique. Récupérer de la donnée sensible ou personnelle permet d’alimenter le marché de la donnée.
• Les attaques d’organismes publics croissent : sont concernées les collectivités territoriales, les municipalités… Aux Etats-Unis, cette année, 22 villes ont été attaquées. C’est le cas de Baltimore, où 10 000 machines ont été mises à l’arrêt, le coût engendré s’est élevé à 18 millions de dollars. Quand ce type d’attaque se produit dans une petite commune, les administrés sont également touchés.
• Certains Etats en attaquent d’autres. C’est le cas de la Chine ou de la Russie. Parfois, des organisations mafieuses entrent dans la partie, elles peuvent même être au service d’Etats. Le visage géopolitique de cette guerre économique est menée par l’exploitation de lois extraterritoriales, par exemple le Cloud Act. Les Etats-Unis accèdent à vos données stockées par une entité installée sur le sol américain. Le Gouvernement exploite son hégémonie digitale pour avoir des leviers sur l’économie européenne. Les entreprises européennes sont exposées aux risques d’amendes.
Pour l’Europe, deux solutions s’imposent :
• Reprendre le contrôle de ses données et donner à ses opérateurs souveraineté et autonomie.
• Développer des solutions pour garantir la confiance dans le cloud et développer une solution européenne.
• Il reste cependant compliqué pour l’Europe de construire une industrie entre les Etats. La souveraineté numérique de l’Europe s’oppose à ces enjeux étatiques. L’équilibre est encore difficile à trouver.
Le travail à faire pour une Europe souveraine de la cybersécurité
Le premier objectif est de fédérer, en premier l’échelle d’un Etat, les industries, les utilisateurs au sein de clusters ou de groupements. Ensuite, entre Etats, il faudra rassembler les métiers dans des clusters. Le but : obtenir de la cohérence et avoir une capacité de lobbying dans un secteur où les Etats-Unis ont une grosse influence. Les normes sont imposées par l’Amérique du Nord et les offres sont donc essentiellement américaines. Face à cela, il faut faire évoluer le Cyberact européen vers le haut.
Il faut également enrichir la destination du budget dédié à la cybersécurité. L’enveloppe financière Horizon 2020 lancée par l’Europe comprend le volet Recherche et Développement de la cybersécurité européenne, et ses produits.
Le « go to market » est le grand oublié de ce financement . Certaines entreprises ne sont pas forcément européennes mais elles travaillent sur le sol européen. L’UE doit donc être prête à faire pousser des pépites technologiques, pour les faire évoluer sous pavillon européen et les rendre compétitives et consolidées.
Les entreprises sont demandeuses de solutions en SaaS, c’est-à-dire des logiciels en tant que service. Elles souhaitent recourir à la même solution de bout en bout. L’Europe doit donc augmenter les solutions en investissant dans ce secteur, et proposer un ensemble de produits cohérents.
Intervenants : Coralie Héritier, IDnomic et Alexis Caurette, Atos Cybersecurity Products