Quelle stratégie politique pour la souveraineté numérique européenne ?

Publié par SDmagazine 29 octobre 2021

« Il est tant d’assumer notre volonté de ne pas être une colonie numérique » assénait Guillaume Poupard, Directeur général de lANSSI, en septembre dernier. Alors que la course aux technologies devient le point de mire d’une nouvelle compétition mondiale dont le vainqueur sera en mesure d’imposer sa suprématie économique et géopolitique, la demande de protection des citoyens, de compétitivité des entreprises, et la double exigence d’efficacité et de transparence des institutions publiques, sont autant de défis pour l’Europe faisant de sa souveraineté numérique une urgence politique.

Par Philipine Colle

« La France promeut, depuis les débuts de la mise en œuvre de la stratégie numérique européenne, une vision au cœur de laquelle se trouve la souveraineté numérique. Nous entendons par là la promotion dun modèle fondé sur nos valeurs, qui ne se veut ni un repli sur soi ni une volonté hégémonique, mais qui favorisera au contraire louverture de lUnion sur le monde, tout en garantissant son indépendance et la préservation de ses intérêts. Il doit favoriser à la fois la cybersécurité, linnovation, des normes responsables, et la protection des grands communs numériques. » déclare Jean-Yves Le Drian, Ministre de l’Europe et des Affaires étrangères.1

Priorité aux infrastructures critiques

La construction d’une cyberdéfense européenne ne pourra se faire sans cyberdéfense nationale forte. Peser sur la scène internationale nécessite préalablement de disposer d’infrastructures nationales résilientes face aux crises actuelles et à venir. Guillaume Poupard explique : « Lorsque le sujet de la construction d’une cyberdéfense européenne a émergé, nous nous sommes pragmatiquement opposés à l’idée de faire à l’échelle européenne ce que nous savions faire nationalement. Notre priorité était de faire en sorte que chaque État développe ses propres capacités à détecter et à réagir aux incidents qui pourraient survenir sur les infrastructures régaliennes ».

Transports, activités militaires, santé, gestion de l’eau ou encore énergie, sont autant d’entités publiques ou privées considérées comme indispensables à la stabilité de la nation qui se voient alors imposer l’application de mesures de sécurité ainsi que la notification de tout incident cyber à l’ANSSI .

La France n’a de cesse désormais d’améliorer la protection et la résilience des infrastructures sensibles dont les collectivités territoriales et les établissements de santé pris pour cible lors de la crise sanitaire liée à la Covid-19. « Le sens de l’histoire est celui de la croissance du nombre d’opérateurs critiques. Avant la crise sanitaire, sur le territoire français, seulement 13 CHU étaient reconnus comme étant des Opérateurs d’importance vitale (OIV), cela s’est révélé être bien insuffisant, et la désignation d’une première vague de 100 CHU en tant qu’Opérateurs de services essentiels (OSE) dans le cadre de l’application de la directive Network and Information System Security (NIS) est une avancée majeure. Il ne s’agit pas ici d’être dans une logique de sanction mais de suivi et d’accompagnent des OSE dans l’utilisation des fonds du plan de relance à des fins d’application de la directive dans un objectif de progrès sur la sécurité » témoigne Guillaume Poupard. L’accélération de la mise à niveau de ces sites et la création d’un « comité numérique de crise » réunissant les grands acteurs du numérique, les opérateurs et les pouvoirs publics en cas de difficulté majeure sont envisagées, nécessitant un engagement financier important à destination des acteurs de la protection numérique : l’ANSSI ; la plateforme Pharos ; le groupement d’intérêt public Action contre la Cybermalveillance et le parquet national cyber. « Dabord, nous avons fait en sorte que les États développent leurs propres capacités et protègent leurs opérateurs critiques. Puis, nous les avons mis en réseau. Nous avons ensuite travaillé à lémergence dun écosystème industriel de confiance. Et maintenant que nous avons posé toutes ces bases, nous sommes prêts à appréhender sérieusement cette question de solidarité européenne. »témoigne Guillaume Poupard.2

Coopération et CERT européen

Au développement des capacités des États membres et à la protection des structures s’ajoute le développement de réseaux de coopération nécessaires à l’émergence d’une Europe numérique souveraine. Un défi de taille nécessitant inventivité et innovation dans un domaine historiquement national et mû par le secret.

Le Luxembourg, conscient des fragilités de son tissu économique et convaincu de l’intérêt financier de la coopération en matière de cybersécurité, fait alors figure d’exemple suite au lancement, en 2015, d’un groupement d’intérêt économique et d’une plateforme « securitymadein.lu » d’aide aux entreprises . « Au niveau européen, il n’existe pas de direction précise pour les analyses de risques. La norme ISO27005 relative à la gestion des risques de sécurité ne propose pas de scénario de risques réévalué en fonction de l’évolution du contexte. Il s’agit d’un écueil puisque les analyses réalisées par les différents acteurs ne sont pas comparables et sont difficilement partageables » regrette François Thill, Directeur cybersécurité et technologies numériques du ministère de l’Economie du Luxembourg, avant de continuer « Un CERT et un outil collaboratif d’analyse de risques proposant une liste de 103 scénarios -suffisante pour couvrir les menaces et les vulnérabilités des TPE comme des grands groupes- sont proposés par la plateforme ». Le modèle luxembourgeois, basé sur l’échange d’information entre acteurs afin d’anticiper les menaces et faire baisser la facture de la cybersécurité encore trop discriminante, pourrait être étendu au niveau de l’Union. « Tous les Etats mûrissent et développent leurs capacités de coopération. » explique Louis Rouxel, responsable des activités de coopération du CERT-FR. Une volonté qui se matérialise par la création du CSIRTs Network dans le cadre de la Directive NIS, premier réseau de coopération et de partage d’informations techniques entre CERT nationaux. Face à la sophistication de la menace, les institutions européennes ont également décidé d’étendre leur schéma de coopération. C’est le sens de la création du CERT-EU qui permet aux Etats membres de disposer d’une capacité commune de réponse aux incidents.

En matière de cyberdéfense, la promotion des échanges de bonnes pratiques entre l’OTAN et l’UE ainsi que la création d’un forum des Cyber Commanders européens ou encore le soutien à la mise en place d’un réseau de CERT militaires sont appelés des voeux des rédacteurs du livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”.

Soutenir l’écosystème numérique européen

Lors de sa prise de fonction à la Présidence de l’Union européenne, l’Allemagne a annoncé sa volonté de faire des développements technologiques dans les domaines de l’intelligence artificielle, des technologies quantiques et des technologies de blockchain et de puces, l’une de ses priorités. « Nous devons agir de manière bien plus stratégique en termes de politique industrielle, créer des champions du numérique, faire progresser le marché intérieur numérique et promouvoir une certaine formation initiale et continue au sein d’un écosystème numérique européen» déclarait ainsi le ministre allemand adjoint chargé des Affaires européennes, Michael Roth.

Les initiatives nationales, modèles pour de futurs projets européens, existent. Au Luxembourg, la plateforme Cyberlux favorise une gestion proactive de l’écosystème numérique. L’outil permet aux prestataires de services de gérer leur portefeuille de services et de proposer des solutions aux sociétés en recherche. Une plateforme également utilisée par les pouvoirs publics afin de promouvoir l’étendue de l’offre nationale auprès des partenaires européens et d’identifier les secteurs dans lesquels aucune solution luxembourgeoise n’existe afin de disposer d’une offre complète. Alors que la création d’un portail public rassemblant l’ensemble des offres numériques françaises disponibles fait l’objet d’une proposition dans le rapport parlementaire « Bâtir et promouvoir une souveraineté numérique nationale et européenne » du député Philippe Latombe, la plateforme luxembourgeoise pourrait inspirer d’autres Etats européens.

Pour François Thill, l’Europe, qui a doté son programme pour une Europe numérique d’un budget de 7,6 milliards d’euros en avril dernier avance dans la bonne direction : « Adopté en 2019, le Cybersécurity Act, qui confie à l’ENISA la mission de définir un cadre européen de certification de cybersécurité est essentiel pour renforcer la sécurité du marché unique numérique européen. Ces travaux vont permettre à une technologie certifiée dans un Etat européen de bénéficier de la certification dans tous les pays de l’Union ». Et de poursuivre « L’invalidation du Privacy Shield par la décision de la Cour Européenne de Justice Schrems II est une affirmation majeure de l’engagement européen pour le développement de technologies de stockage et de protection des données territoriales ». Egalement approuvée par la France « cette décision plaide en faveur de la localisation des données sur le sol européen et de l’émergence d’offres de cloud souverain ainsi que de contraintes juridiques effectives sur les offres des acteurs non-européens pour garantir le respect du modèle numérique défendu par l’Union européenne. Ces éléments doivent maintenant être intégrés par les pouvoirs publics lorsqu’il s’agit d’effectuer des choix techniques pour mener à bien les projets numériques existants »ajoute Philippe Latombe.

La France souhaite que l’Europe fasse un pas supplémentaire dans le soutien aux technologies européennes. « La souveraineté c’est la possibilité de toujours pouvoir faire un choix. Afin d’imposer internationalement sa souveraineté numérique, l’Europe doit toujours rester en capacité de choisir ses dépendances vis-à-vis de ses partenaires internationaux »affirme Philippe Latombe. Engagée nationalement pour la refonte de la commande publique plus favorable aux entreprises de la French Tech et faisant du recours à des technologies extra-européennes une exception devant être motivée dans les domaines de la cyberdéfense et du renseignement, la France plaide pour la mise en œuvre à l’échelle européenne de règlementations telles que le Buy Digital European Act ou le Small Business Act afin de contraindre les acheteurs publics européens à faire le choix de technologies souveraines et maîtrisées. Une recommandation qui figure parmi les 28 présentées dans le livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne” porté par l’Agora du FIC, tout comme la régulation des vulnérabilités 0-days, la création d’un parquet cyber européen et l’approfondissement de la collaboration UE/OTAN. L’adoption de ce dispositif législatif semble toutefois compliquée compte-tenu du droit du marché intérieur, des règles du commerce international imposées par l’Organisation mondiale du commerce (OMC) et des réticences politiques des acteurs européens effrayés par ces mesures jugées trop protectionnistes. Si la France part relativement isolée face aux autres États membres sur ces sujets, un groupe de réflexion sur l’évolution du cadre européen de la commande publique pourrait toutefois être créé pour parvenir, à terme, à l’adoption d’un Small Business Act européen.

Par ailleurs, favoriser les dispositifs d’achats mutualisés transnationaux permettant aux administrations
de plusieurs États membres d’acheter ensemble apparaît comme une condition essentielle pour le développement de leaders industriels européens. Le Conseil européen de l’innovation (EIC) pourrait jouer un rôle important dans cette perspective. Enfin, le renforcement des liens entre la recherche académique et les entreprises fait l’objet d’une attention particulière au sein du Livre Blanc pour une souveraineté numérique européenne qui encourage le développement de technologies européennes, le soutient de l’entrepreneuriat académique et le transfert de travaux d’un monde à l’autre.

Linclusion citoyenne au cœur de la stratégie

L’adoption du RGPD en 2012 donne à l’Union européenne une avance considérable en matière de protection des données des citoyens. Un avantage important tant sur le plan éthique qu’économique. « Aujourd’hui des entreprises du monde entier sont soumises au RGPD en raison du Brussels effect3, c’est-à-dire de la capacité de la réglementation du marché intérieur à avoir une influence internationale. Cette règlementation, si elle n’a pas de fondement juridique en dehors de l’Union, est reprise par les entreprises souhaitant travailler sur le marché et est ainsi devenue mondiale » explique Maxime Lefebvre. Et François Thill d’ajouter « Pour les Européens, la donnée n’est pas seulement un bien économique, c’est aussi un droit de maîtrise pour les citoyens et un devoir de transparence pour les sociétés. Les décisions européennes en la matière renforcent et promeuvent l’éthique et les valeurs du continent et inspirent à l’international, notamment au Japon et dans certains Etats américains. Alors que l’économie numérique est basée sur la transparence et la confiance des citoyens, une telle approche est essentielle ». Faire endosser par les institutions européennes les recommandations de l’Appel de Paris résonne alors comme étant une nécessité pour promouvoir la vision européenne du cyberespace.

Faciliter l’adoption par les populations des technologies sécurisées comme des bons gestes est ainsi au cœur de la stratégie européenne de souveraineté numérique. Le développement de l’identité numérique européenne et la création de guichets numériques d’accès citoyen à l’ensemble des services publics permettant aux populations d’être informées en temps réel de l’utilisation de leurs données par l’administration telle qu’envisagée en France, pourrait encourager le développement d’un nouveau rapport citoyen-Etat favorable à la souveraineté numérique. « La souveraineté numérique ne peut être l’apanage des seuls États. Les citoyens, dans leurs usages, doivent participer à cette co-construction » confirme Philippe Latombe.

L’éducation et la sensibilisation de tous aux enjeux du numérique, notamment par l’intégration de cours de bonnes pratiques numériques au sein des cursus scolaires et de formation professionnelle seront nécessaires pour faire des jeunes enfants d’aujourd’hui, les maillons de la souveraineté européenne de demain.

Après un travail de longue haleine pour construire un cadre commun et partagé en Europe, la Présidence française du Conseil de l’Union européenne (UE) en 2022 représente l’opportunité de renforcer la souveraineté européenne en matière de cybersécurité. La révision de la directive NIS, la cybersécurité des institutions européennes, le développement d’un tissu industriel de confiance et la solidarité européenne en cas de crise majeure seront les priorités françaises pour le premier semestre 2022.

1 Papiers numériques 2021, cybersécurité européenne : histoire d’une mue culturelle, ANSSI

2 Papiers numériques 2021, cybersécurité européenne : histoire d’une mue culturelle, ANSSI

3 Concept théorisé par Anu Bradford

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER