Sans guerre du sens, pas de souveraineté européenne dans le cyberespace

Article  par  Nathalie GRASSELLI  •  Publié le 29.06.2016  •  Mis à jour le 18.07.2016
Dans un cyberespace dominé par les États-Unis, faute d’une vision commune, l’Europe peine à s’imposer.

Sommaire

La question de savoir ce que serait un cyberespace européen présuppose qu’une volonté forte anime les pays de la Communauté européenne de créer un tel espace. Il s’agirait de se positionner comme une zone de puissance interétatique, qui puisse piloter un environnement dont les caractéristiques tiennent du matériel, de l’immatériel et des territoires informationnels. Or, en l’état actuel, la question reste ouverte.

Des divergences d’intérêt et de vision

La construction de l’Europe et son maintien comme zone de puissance internationale reste un enjeu stratégique qui mobilise de part et d’autre de la planète des intérêts contraires. Le cyberespace n’est pas épargné. Dans une logique européenne, il est nécessaire de tenir compte des cyberpolitiques des membres et des visions qu’elles portent pour identifier une convergence des intérêts. Intéressons-nous à trois pays : l’Allemagne, le Royaume Uni et la France[+] NoteUne partie des informations sur l’Allemagne, le Royaume-Uni, la France et les États-Unis est issue des travaux réalisés par la P18 de l’École de guerre économiqueX [1].
 
 L'Allemagne affiche une volonté de pallier l’infériorité de l’Europe en cyberstratégie  L'Allemagne affiche une volonté de pallier l’infériorité de l’Europe en cyberstratégie. Elle renforce depuis 2014 ses positions et transpose dans le cyberespace sa réussite industrielle. L’industrie 4.0 est clairement identifiée comme stratégique pour assurer la prospérité économique et sociale du pays. Ainsi, la gouvernance cyber et la stratégie numérique de l’Allemagne ont été consolidées par le ministère fédéral de l’Intérieur, le ministère des Affaires étrangères, le ministère de la Défense et ceux de l’Économie et de la Justice. La « Nationale Cyber-Abwehrzentrum », créée en 2010 sous la responsabilité de l’Office fédéral pour la sécurité de l’information (BSI), regroupe et pilote les principaux offices fédéraux liés au renseignement, à la sécurité intérieure et aux infrastructures stratégiques.
 
Les infrastructures de « transport » et de « stockage » de l’information, les outils de chiffrement et leur utilisation sont concernés par cette cyberstratégie. Un volet économique précise les conditions d’octroi des marchés publics aux entreprises les mieux « cybersécurisées », et la préférence nationale est attribuée aux opérateurs nationaux. Un dernier volet, international, promeut la mise en place d’une autorité européenne de protection des données et la renégociation du Safe Harbor qui encadre le transfert des données, leur utilisation par des tiers et les conditions de leur accessibilité dès qu’elles transitent de l’Europe vers les États-Unis . Il s’agit pour l’Allemagne de devenir un acteur de poids dans les domaines techniques, normatifs, politiques et concurrentiels liés au cyberespace. Mais ces efforts contredisent sa réalité politique et économique. Dans la pratique, parmi d’autres exemples, Deutsche Telekom choisit Cisco pour la mise en place du cloud allemand en 2014 et les services de renseignement américains coopèrent avec le BND, le service fédéral de renseignement. De son côté, SAP, leader européen sur les progiciels de gestion signait en 2005 un partenariat avec Microsoft et en 2016 avec Apple pour favoriser la diffusion des Iphones et Ipad en entreprises. Enfin la participation de l’Allemagne à la rédaction du Manuel de Tallin, document directeur de gestion des conflits cyber à vocation internationale, s’est faite via le Centre Marshall et s’inspire du Commander Handbook étasunien qui est cité 84 fois.
 
C’est donc une cyberstratégie relative que l’Allemagne défend, plus orientée sur le renforcement de la compétitivité de ses acteurs économiques et géants nationaux que sur la construction d’un cyberespace européen.
 
Concernant le Royaume-Uni, il est connecté de par sa fonction stratégique à la finance mondiale et ne peut faire l’impasse sur les enjeux liés à la cybersécurité. Le gouvernement a pris la mesure des avantages budgétaires liés aux nouvelles technologies et a investi depuis plusieurs années dans la numérisation de ses services. Il a renforcé ses infrastructures pour améliorer sa couverture 3G et wifi et développer la mobilité et sa compétitivité. Dans la dernière « Strategic Defense and Security Review » il déroule une cybersécurité nationale qui créé un espace sécurisé, stable et protégeant les libertés.
 
En 2011, le « Protecting and promoting the UK in a digital world » fait le pari que le pays devienne l’un des plus sécurisé au monde pour réaliser des opérations en ligne. Les plus hauts niveaux étatiques des compétences civiles et militaires (création du Defense Cyber Operations Group) ont travaillé avec les industries sensibles. Au niveau international, des accords bilatéraux avec des pays « proches » comme les États-Unis, l’Allemagne et la France ont été signés[+] NoteCet article a été rédigé quelques jours avant le Brexit. Celui-ci sera-t-il susceptible de modifier ces accords ?X [2]. Les opérateurs de télécommunications ont été sollicités sur l’identification et la prévention des actions malveillantes dans le cyberespace. Enfin, ils ont renforcé la connaissance et la compétence des utilisateurs de la société civile.

 L’un des points forts du Royaume-Uni est la maîtrise de la donnée  L’un des points forts du Royaume-Uni est la maîtrise de la donnée. Le Big Data et l’Open Data sont deux compétences fortes du pays. La richesse du réseau universitaire et la culture de la donnée sont transposées dans les autres secteurs d’activité. Ces deux compétences sont accompagnées de programmes et d‘investissement massifs en recherche fondamentale, en développement de nouveaux outils numériques, ainsi qu’en transferts technologiques intersectoriels et extras territoriaux. L’accent est mis sur la formation des personnels administratifs et des entreprises. La langue anglaise, majoritaire dans l’éducation, la programmation et la diffusion des données reste un levier majeur sur la mise en place de standards internationaux pour le pays et leur donne un avantage certain, car à peine 10 % de la population européenne la maîtrise.

Mais, hormis ses capacités d’hébergement de données via les Datacenters, le pays dépend d’opérateurs étrangers sur le matériel et les logiciels. Par exemple, le partenariat entre IBM et le ministère des Sciences (qui dispose de Watson le super calculateur et des serveurs Open Power du constructeur) ou celui de la société Sophos éditrice d’un antivirus mais dépendante du marché de l’OS d’Apple.

C’est une indépendance très relative, comme pour l’Allemagne, qui freine la mise en place d’un cyberespace national au Royaume-Uni.
 
 La France souffre de cyber schizophrénie  Quant à la France, elle souffre de cyber schizophrénie. À l’heure de la loi numérique, qui doit préciser le cadre législatif pour les acteurs privés et publiques qui utilisent, commercialisent ou ouvrent les données, le bilan reste mitigé. Dépendante d’une alternance politique et du mille-feuille institutionnel qui la caractérise, elle n’a pas orienté ses ressources sur des projets phares. Se contentant de saupoudrage de moyens par le biais de programmes sans réelle coordination, la France mesure l’enjeu en 2008 avec « Le livre blanc de la Défense », qui répond aux impératifs de protection et de défense face aux menaces extérieures. Les systèmes d’informations y figuraient dans les capacités prioritaires nationales à protéger. En 2009, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est créée. En 2011, elle publie « une stratégie nationale de défense et de sécurité des systèmes d’information », une réflexion poussée en matière de cyber sécurité. Le livre Blanc de la défense en 2013 précise enfin les contours des menaces dans le champ économique, mais les conditionnent « aux efforts consentis par nos partenaires britanniques et allemands ». En octobre 2015, « la stratégie nationale pour la sécurité du numérique » est présentée par le Premier ministre Manuel Valls. Elle conforte le projet de République numérique portée par Axelle Lemaire, secrétaire d’État chargée du numérique. Ces actions sont pilotées par l’Anssi, la Commission nationale de l’informatique et des libertés (Cnil), la Direction de la protection et de la sécurité de la défense (DPSD), la Direction centrale du renseignement intérieur (DCRI) et la Direction générale de la sécurité extérieure (DGSE).
 
 
Cette stratégie s’appuie sur trois communautés. Une communauté concurrentielle en charge des technologies, une autre, politique, en charge des politiques publiques cyber et de la protection de la nation et une communauté civile qui doit mieux contrôler ses usages. Quant à l’État, il s’engage à garantir la liberté d’expression et d’action de la France dans le cyberespace et à assurer la sécurité des infrastructures critiques. Il protègera la vie numérique des citoyens et des entreprises et les formera face aux attaques cybercriminelles. Enfin, il favorisera le développement d‘un écosystème sécurisé et facilitera l’émergence d’une autonomie stratégique numérique européenne et d’un cyberespace respectueux de ses valeurs. Pour résumer, la cyber stratégie de la France reste une consultation paritaire qui respecte les principes démocratiques mais qui ne s’imposera pas aux acteurs.

 La France n’a pas de pépite numérique ayant imposé ses standards et ses usages  Pourtant le pays possède des points forts dans les infrastructures matérielles, logicielles ou de contenus. Orange (câblage et réseaux), OVH (cloud), Thalès (systèmes de communications) mais aussi Bull, Atos, Deezer ou DailyMotion participent au jeu mondial. Mais ils n’équipent pas ou peu les producteurs de données par du matériel associé : carte SIM, smartphones, PC, objets connectés… ou ne font pas partie des plateformes de contenus les plus utilisées. Et malgré sa volonté d’éduquer et de former la population au numérique depuis les années 1970, le bilan en 2014 est le suivant : 16 000 écoles ne sont toujours pas connectées et les élèves ne maîtrisent pas les subtilités liées au choix de leur matériel et logiciels. Enfin, financièrement, prendre des positions dans tous les secteurs d’activité, ne fait que dégrader le montant des enveloppes associées. La France n’a pas de pépite numérique ayant imposé ses standards et ses usages ces dernières années. Et son absence dans les instances de gouvernance internationale la pénalise.

Ce qui fait que la France n’a pas su développer une industrie nationale lui permettant d’être souveraine dans le cyber espace.

De la politique de ces trois pays, il ressort que les enjeux de souveraineté numériques défendent des positions économiques nationales préjudiciables à la construction d’un cyber espace européen.
Revenir au sommaire

Un rapport de force en faveur des États-Unis

L’Europe ne peut rivaliser ni sur le matériel et les logiciels, ni en matière d’investissements comme nous l’avons vu. Elle ne peut rivaliser en matière de politiques publiques puisque les États-Unis ont défini seize secteurs stratégiques incluant tous les acteurs et étendent leur droit à l’international. L’Europe est sous-représentée dans les instances de gouvernance internationale. Concernant la législation sur les données, à ce jour malgré la remise en cause du Safe Harbor, il faut garder à l’esprit qu’il s’applique toujours selon la juridiction américaine. Son application cessera à la mise en œuvre du Privacy Shield qui, pour le moment, est encore en négociation. Ce nouvel accord doit renforcer la protection des données des utilisateurs et encadrer leur transfert entre la Communauté Européenne et les États-Unis. Et pour finir dans le domaine informationnel, un projet de loi américain, le H.R 5181, sur la désinformation étrangère et la propagande, envisage de mettre sous surveillance les contenus participant à des actions de communication contraires aux intérêts des États-Unis. Les contenus étant de plus en plus numériques, cette approche pourrait être envisagée par l’Europe et s’appliquer à la propagande extra européenne.
 
Au regard de cette analyse, quel poids l’Union européenne oppose-t-elle à l’acteur principal que sont les États-Unis, porté non seulement par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) mais par tout un arsenal législatif, normatif et technologique ? Un seul. Celui de représenter un énorme marché duquel ils ne peuvent se déconnecter. Un marché majeur de production de la donnée et de contenus. Amorcée il y a une vingtaine d’années avec les progiciels de gestion des entreprises, le volume de données explose avec les objets connectés et les usages des particuliers. Il serait peut-être opportun que l’Europe montre un peu plus de fermeté pour imposer ses prérogatives et que le rapport de force se rééquilibre.

Revenir au sommaire

Le cyberespace européen confronté à des menaces permanentes

Dans ce contexte de confrontation asymétrique, est-il nécessaire de rappeler les événements qui ont contraint l’Europe à devenir plus vigilante sous la pression de la société civile ? Aucun des États espionnés par la NSA américaine n’a clairement démenti ne pas être informé, car participant de près aux opérations de surveillance dans le cadre d’actions de défense de leur territoire, soit sous couvert de lutte anti-terroriste, soit pour protéger leurs intérêts économiques.
 
Tant que les 28 États membres ne renégocieront pas leurs accords multilatéraux hors Europe, les frontières ne seront pas établies. Tant que les négociations sur le Privacy Shield ne seront pas finalisées, la construction d’un cyberespace européen restera utopique. L’Europe doit clarifier sa définition d’un cyberespace commun et de ses frontières technologiques, normatives, juridiques, économiques et sociétales. Elles doivent lui permettre d’identifier qui respectera les règles définies par sa communauté d’acteurs européens dans son cyberespace.
 
C’est le préalable à la mise en œuvre de la directive NIS (Network Security and Information, adoptée en première lecture au Conseil de l’Europe en mai 2016). Ses orientations doivent permettre de stimuler la coopération des autorités de luttes cyber des 28 États membres avec l’appui d’un réseau de centres d’alerte et de réactions aux cyberattaques (CERTs) pour sécuriser les secteurs stratégiques et leurs principaux opérateurs d’importance vitale (OIV). Mais les plateformes de contenus et de services bénéficieront de mesures allégées (moteurs de recherche, fournisseurs de cloud et sites e-commerce) et les TPE en seront exemptées, au même titre que les réseaux sociaux.
 
La contradiction dans ces mesures étant que la taille ne fait pas l’importance vitale et que, dans un monde de données, pourquoi exclure de fait les plus gros collecteurs ou contributeurs ? Sauf à renforcer la protection de la vie privée qui ne l’est plus parce les conditions générales d’utilisation s’imposent à l’utilisateur ?
 
 L’Europe est le cyberespace le plus attaqué au niveau mondial  Ce qui explique, en partie, que l’Europe soit le cyberespace le plus attaqué au niveau mondial et qu’il est urgent d’agir. En fonction des acteurs, des matériels ou infrastructures visés, les risques dommageables peuvent être conséquents qu’ils soient d’ordre frauduleux (vol de données personnelles), industriels (vol de données concernant des brevets), économiques (arrêt de la production suite à un piratage des systèmes d’information), et peuvent viser les intérêts vitaux des nations (prise de contrôle des infrastructures critiques) ou informationnels (campagne de propagande, déstabilisation des pouvoirs en place).
 
Il est impossible d’être exhaustif sur les risques sauf à en avoir une cartographie consolidée sur l’ensemble des acteurs qui y sont exposés. Cartographie pour laquelle les États-Unis sont en avance avec l’ensemble des données collectées ces 20 dernières années.

Revenir au sommaire

Élaborer l’idéologie d’une cyber stratégie européenne

Idéologie est le terme approprié. L’Europe n’est plus ce grand empire dont les frontières s’étendaient de part et d’autre de l’Ouest à l’Est, du Nord au Sud et dont la « souveraineté » a pu être portée par des « dynasties de seigneurs » ou « des chefs de guerre » dont la seule évocation d’un nom faisait trembler les peuples. Le gendarme européen, tel que l’Allemagne peut être définie, n’aura pas de légitimité et de crédibilité tant que ses relations de vassal avec le «grand ouest » ne seront pas équilibrées.
 
Renforcer l’unicité de l’Europe et assurer une intégrité territoriale dans le cyberespace passera par une volonté sociétale de sortie de crise qui annihile les idéologies nationalistes et renforce l’appartenance à un espace unique du droit. Dans ces temps où l’intégrité de l’Europe est remise en cause, il est utopique de croire que les pays construiront une souveraineté numérique commune à court terme. Il faudrait pour cela que l’Europe soit une sur ses fondamentaux.
 
Cela passera par une volonté politique forte de cohésion. L’allocation de moyens budgétaires tels qu’initiés depuis quelques années sur les grands projets devra être contrôlée pour éviter une dilution dans un mille-feuille technocratique organisationnel qui pénalise les PME et PMI, moteurs de croissance et qui doivent atteindre une taille critique pour s’engager dans la compétition mondiale. Il faudra aussi renforcer l’attractivité du territoire européen pour permettre les relocations, notamment pour les activités de Recherche Développement et Innovation. Et peut-être conditionner l’obtention des crédits et subventions à des obligations de maintiens des droits de propriété intellectuelles matériels et immatériels et d’industrialisation sur la zone Euro. Cela passera par l’éducation des populations aux enjeux du numérique, en travaillant sur une obligation de traduction de l’ensemble des consultations et des travaux législatifs dans les langues nationales. En effet, comment projeter la puissance d’une Europe soudée et unifiée quand seulement 10 % de sa population maîtrise la langue législative ?
 
De plus, les instances de gouvernance de l’internet, qu’elles soient locales, régionales ou internationales sont verrouillées historiquement par les Américains et leurs alliés, qui ont su depuis de nombreuses années, s’immiscer dans les secrétariats et divers comités par le biais de think-tank, d’associations non gouvernementales, de centres de recherches ou du monde académique. Il faudrait interdire l’accès des instances locales aux grands acteurs du privés dont les intérêts économiques sont complètement connectés aux intérêts de leurs États d’origine, et favoriser le financement de ces instances locales par les gouvernements de la zone euro plus que par des donateurs privés ou alors allouer des moyens aux entreprises européennes pour qu’elles y consacrent du temps. Il faudrait étudier de façon beaucoup plus poussée les conflits d’intérêts auxquels sont soumises les personnes physiques qui y siègent.
 
L’Europe doit renforcer sa présence dans les instances de gouvernance internationale via les acteurs du privé et la société civile pour défendre un intérêt commun européen. Elle doit se doter d’une juridiction européenne pour étendre ses recours de façon extraterritoriale et défendre les intérêts économiques des membres. Elle devra y allouer des moyens financiers. Accélérer la mise en œuvre de la directive NIS, amendée pour ne pas exempter ne serait-ce qu’un acteur du respect de ses obligations. Il faut aussi imposer aux parties prenantes un engagement, non négociable de préservation de la souveraineté européenne sur son territoire et dans son cyberespace à des fins de stabilité économique et sociétale. L’Europe doit aussi construire ses géants fabricants de matériel, éditeurs de logiciels et agrégateur/diffuseurs de contenus qui respecteront les standards européens définis au préalable pour lui permettre de reprendre la main sur les frontières technologiques. Elle devra éduquer les utilisateurs aux choix de leurs matériels et logiciels, applications et plateformes de contenus et chiffrement de leurs données, non plus dans une seule logique d’utilisation mais de construction du cyberespace.
 
 Soit l’Europe reste maîtresse de ses frontières numériques, soit elle est condamnée à n’être qu’un producteur de données qu’elle paiera deux fois  Soit l’Europe reste maîtresse de ses frontières numériques, soit elle est condamnée à n’être qu’un producteur de données qu’elle paiera deux fois. La première par l’impossibilité de construire une souveraineté économique dans le numérique et la seconde en finançant sa paix sociale par le truchement de systèmes d’assistance à sa population qui n’aura plus de perspectives économiques.
 
Elle peut, comme la Chine, imposer des normes différentes aux constructeurs et éditeurs de logiciels pour qu’ils respectent la future législation européenne. Elle peut demander que l’information des utilisateurs soit renforcée avec une déclaration de la juridiction dont ils dépendent pour les transactions financières ou pour la protection de leurs données personnelles. Cette déclaration devant se faire dans la langue natale de l’usager. Ou imposer que tout européen bénéficie de la juridiction européenne de fait.
 
Une autre piste de réflexion est celle d’une redevance payée par tout opérateur du cyberespace non européen (matériel, logiciel et contenu) pour compenser auprès de l’Europe les investissements liés à la cyber sécurité. Il pourrait être envisagé d’abonder ces fonds dans des systèmes de répartition solidaires au niveau européen, pour renforcer ses capacités de développement dans le numérique.
 
Au-delà de la bataille technologique, juridique et financière, c’est une guerre du sens que l’Europe doit mener.

--
À lire également dans le dossier Internet, ça sert, d’abord, à faire la guerre
Le cyberespace, un enjeu majeur de géopolitique par Frédérick Douzet

--
Ina. Illustration Margot de Balasy
Crédit photos
- EFF NSA-logo Parody (Black), EFF Photos, Flickr
- france-web, Democracy Chronicles, Flickr
Revenir au sommaire
  • 1. Une partie des informations sur l’Allemagne, le Royaume-Uni, la France et les États-Unis est issue des travaux réalisés par la P18 de l’École de guerre économique
  • 2. Cet article a été rédigé quelques jours avant le Brexit. Celui-ci sera-t-il susceptible de modifier ces accords ?
Vous souhaitez nous apporter un complément, rectifier une information ? Contactez la rédaction