L’Europe doit confirmer et consolider sa politique de sécurité numérique. Les Etats membres doivent défendre leur souveraineté. Le terreau pour l’émergence d’une Europe cyber-souveraine est présent et il est fertile !
Alors comment bâtir enfin cette souveraineté numérique européenne ?
Rencontre avec Alexis Caurette, Vice-Président, Directeur des Produits de Cybersécurité chez Atos
Un cadre porteur synonyme de confiance
En 2018, l’Union européenne lançait le programme Digital Europe. L’objectif de ce programme pour lequel l’UE s’est engagée à investir 9,2 milliards d’euros entre 2021 et 2027, est de soutenir la croissance par la digitalisation et donc de soutenir l’émergence d’une industrie numérique forte capable de garantir une certaine autonomie et souveraineté européenne.
Pour assurer le succès de cette démarche de numérisation, l’Europe doit pouvoir garantir les niveaux de confiance attendus par l’ensemble des acteurs dans le numérique. La confiance dans les infrastructures et la protection des données est essentielle afin que les entreprises et citoyens européens se saisissent pleinement des usages offerts par la transformation digitale.
Aujourd’hui, nous assistons à une véritable prise de conscience du potentiel de développement économique à l’échelle européenne lié à la digitalisation, et l’émergence d’une stratégie numérique à visée économique est enfin possible.
Parallèlement, nous avons élaboré de manière collaborative le cadre réglementaire nécessaire à l’émergence de solutions de confiance reposant sur des valeurs européennes et des technologies de pointe. Ainsi, le RGPD, la directive NIS ou le Cybersecurity Act soutiennent cette stratégie en faisant monter progressivement le niveau de sécurité des opérateurs critiques, des opérateurs de services essentiels, et des opérateurs de données tout en harmonisant les exigences et les certifications en matière de cybersécurité et de confiance.
Dans l’Hexagone, ces schémas de certification font émerger de nouveaux services et des produits de confiance que les industriels de la cybersécurité numérique développent et opèrent. Une démarche similaire pourrait être initiée à l’échelle de l’Europe, consolidant ainsi une vision participant à la construction de l’autonomie stratégique européenne.
Nous devons cependant rester vigilants vis-à-vis de la perte d’agilité que ces réglementations et certifications peuvent amener – au risque de figer les produits et services dans un état donné, compte tenu de la complexité et des délais liés à leur obtention. Il nous faut imaginer des logiques de certification qui garantissent les niveaux de confiance attendus tout en demeurant suffisamment souples pour accueillir les innovations et nous adapter aux évolutions du marché et des menaces de manière continue.
De prime abord perçu comme une contrainte, nous avons aujourd’hui un cadre cohérent et structuré capable d’accompagner une véritable politique industrielle. Ces réglementations sont en effet nécessaires pour accompagner une politique industrielle en matière de cybersécurité et faire émerger de nouveaux services de confiance conformes aux attentes des utilisateurs européens.
Désormais, le changement de posture est actif. La volonté de développer une économie de la donnée qui passe par la maîtrise des outils industriels est affirmée. Il faudra cependant réussir à gérer l’alignement des états membres sur la question du cadre réglementaire tout en prenant en compte les intérêts stratégiques individuels.
Une action stratégique dans un contexte de guerre économique
La menace cyber matérialise la guerre économique dans laquelle nous sommes entrés. Elle se mesure aujourd’hui à travers l’augmentation et la montée en intensité des cyberattaques visant les entreprises et les organismes publics.
Les attaques informatiques visant les entreprises ont parfois pour but de piller des données sensibles ou personnelles au service de l’intelligence économique et d’alimenter le marché fructueux de la donnée. Aux Etats-Unis, en 2019, 22 villes ont été attaquées. C’est le cas de Baltimore, où 10 000 machines ont été mises à l’arrêt, avec un coût de 18 millions de dollars. En France, le Grand Est a été touché en ce début 2020, tout comme une commune de plus petite taille, Cognac, ou encore plusieurs hôpitaux. Enfin, les cyberattaques d’Etat à Etat se font désormais de plus en plus visibles et certains pays n’hésitent pas à utiliser le cyber comme une arme.
Géopolitique et hégémonie digitale
Véritable arme au service de cette guerre économique, les lois extraterritoriales promulguées notamment par les Américains constituent un enjeu de géopolitique fort et un sujet critique. Le Cloud Act, par exemple, ne permet plus aux opérateurs américains de garantir la confidentialité des données électroniques qu’ils stockent pour le compte de leurs clients, celles-ci pouvant faire l’objet de demandes d’accès silencieuses par la justice. Les Etats-Unis pourraient ainsi exploiter l’hégémonie digitale développée sur leur territoire comme levier sur l’économie mondiale. Les entreprises européennes sont exposées. Face à l’ensemble de ces menaces, il est donc urgent de réagir et de reprendre le contrôle de la donnée en Europe.
Enjeux de financement
Les questions du financement et de l’innovation sont cruciales et doivent être replacées au cœur des axes stratégiques de la feuille de route européenne. Comment mieux accompagner les sociétés à l’international et renforcer le développement des pépites technologiques européennes ? Une question à laquelle les réponses apportées peuvent être multiples. Parmi elles, la mise à disposition d’un budget dédié à la cybersécurité en Europe, à l’image des budgets qui existent déjà̀ en matière de défense, pourrait être une piste à explorer.
L’innovation est le moteur de la croissance, et ce sujet est donc fondamental. Nous devons continuer à innover et à investir pour renforcer nos capacités souveraines. Alors que les Etats ont la puissance de frappe nécessaire pour faire émerger des solutions qui répondent à de vrais besoins, les restrictions d’usage qu’ils imposent quand ces solutions sont financées pour accompagner les besoins de souveraineté nationale peuvent réduire le marché adressable. Les revenus alors générés sont trop faibles pour permettent de concourir au développement économique de l’offre malgré tout son potentiel d’excellence. Il est alors très compliqué de maintenir à niveau les innovations développées. Les restrictions d’usage doivent être assouplies de manière à faciliter une large adoption de ces innovations qui soutiendra la croissance et les capacités d’innovation des acteurs les mettant sur le marché.
Reste également que le « go to market » est le grand oublié de ce financement de la cybersécurité européenne. L’Union européenne doit être prête à faire pousser des pépites technologiques, pour les faire évoluer sous pavillon européen et les rendre compétitives et solides.
Dans l’ensemble, on voit émerger un changement de posture et la tendance est positive ces dernières années avec la sanctuarisation de fonds de financement et de recherche dédiés à la cybersécurité et l’émergence des règlements européens qui sont un bon pied à l’étrier.
Garantir la confiance dans le cloud
Dans l’intervalle de temps nécessaire à ce que l’Europe se dote de champions de la gestion de la donnée en toute confiance et sécurité, nous prônons le recours à des infrastructures informatiques hybrides. Les entreprises peuvent ainsi faire appel à des fournisseurs de Cloud extra-européens lorsque c’est nécessaire, mais doivent s’assurer de la maîtriser de la protection et de la sécurité de leurs données au moyen d’une couche de confiance supplémentaire qu’elles maitrisent – Par exemple, recourir à des solutions de gestion des identités européennes et des solutions de chiffrement de confiance opérées indépendamment des fournisseurs de cloud font la différence pour garantir la sécurité et la protection des données sensibles. Elles réduisent de plus la dépendance à ces opérateurs et facilitent une migration éventuelle.
Afin que les données des entreprises européennes ne soient exposées ou ne puissent être exploitées, cette notion de « couche de confiance » devient primordiale. Il nous appartient donc renforcer ces capacités européennes de cryptographie et de gestion des identités interopérables et facilement exploitables.
Une Europe plus forte à Bruxelles
Aujourd’hui, les extra-européens arpentent massivement les couloirs de Bruxelles et influencent les normes et standards, accèdent à une part des financements européens sans réciprocité : les industriels européens doivent prendre la juste mesure de cette situation. Si des décisions politiques sont essentielles pour faire face aux enjeux, et qu’un chef d’orchestre (par exemple un axe franco-italo-allemand) est nécessaire pour voir émerger concrètement cette 3e voie européenne, les industriels de la cybersécurité doivent aussi prendre la mesure des capacités d’influence qu’ils doivent déployer à Bruxelles. Nous devons contrer les fortes capacités notamment américaines et chinoises, disposer de capacités de monitoring, de suivi et de remontée d’alertes, afin de détecter les problèmes en amont et anticiper plutôt que de réagir à posteriori.
Construire pour l’Europe une politique industrielle en matière de cybersécurité alignée entre les différents Etats membres reste complexe. Combiner les besoins d’autonomie stratégique cyber de l’Europe avec les besoins de souveraineté étatiques reste un équilibre difficile à trouver.
Il est toutefois possible de tirer parti de la diversité́ européenne en coordonnant les savoir-faire et compétences présents dans les différents Etats membres. Aujourd’hui, la doctrine européenne peut sembler trop libérale sur ces sujets qui touchent pourtant à la souveraineté européenne. Un changement de posture est donc vital pour répondre aux enjeux cyber d’aujourd’hui et de demain et accompagner le programme Digital Europe.