Stratégie de CyberSécurité de l’UE : Interview de Bruno Halopeau dans GlobalSecurityMag #23

EC3 Logo[Interview publié dans GlobalSecurityMag #23 d’Avril 2013]

Pouvez-vous nous présenter l’EC3 et ses objectifs?

Le point de départ se situe en Mai 2010 où la Commission Européenne a publié le « Digital Agenda ». Dans ce programme, il est énuméré un certain nombre d’actions et au titre du 3ieme pilier « Trust & Security », vous pouvez trouver l’Action 31 – Analyser l’utilité de créer un centre européen de cybercriminalité. C’est effectivement de là que vient l’idée de l’EC3.

Une évaluation a donc été mandatée par la Commission et réalisée par RAND Europe fin 2011 / début 2012, et la décision a été prise de le placer au sein de l’agence Europol. En effet, ce Centre est une évolution d’une partie des activités de celle-ci, bénéficiant ainsi de plusieurs années d’expérience dans ce domaine mais aussi du cadre légal et de la structure organisationnelle qui rend l’incorporation plus rapide et plus efficace.

Ce qui est nouveau, par contre, c’est un mandat détaillé et aligné avec la Stratégie de CyberSécurité de l’UE avec un point central qui est de soutenir les Etats-Membres dans ce domaine et en particulier:

  •  Offrir un point de ralliement pour les enquêteurs européens en Cybercriminalité, leur offrant une voix collective dans les discussions avec les parties prenantes au niveau politique, les secteurs public et privé, les universités, les associations d’utilisateurs et des organisations de la société civile;
  • Avoir une expertise européenne unifiée de la Cybercriminalité afin de soutenir les États-Membres dans le renforcement de leurs capacités par la mise en place de structure appropriée pour partager et développer la connaissance de la manière la plus dynamique et efficace qui puisse être;
  • Agir en tant que point central d’information au niveau européen de la Cybercriminalité en garantissant la collecte d’information sur la Cybercriminalité au plus larges avec des sources variées, ce qui conduit à une meilleure représentation de l’information sur la Cybercriminalité dans l’UE au bénéfice de tous les acteurs impliqués;
  • Réagir de façon rapide et adéquate à la Cybercriminalité touchant les infrastructures critiques et des systèmes d’information dans l’Union;
  • Offrir de façon adaptée un soutien aux enquêtes en Cybercriminalité aux États-Membres, y compris l’analyse opérationnelle, l’assistance de haut niveau Forensics et l’expertise technique, ainsi que de faciliter la coordination des enquêtes.

L’EC3 a officiellement ouvert ses portes le 11 Janvier 2013 et est localisé dans les locaux d’Europol à La Haye, Pays-Bas. Bien sûr, le Centre reste à monter en puissance pour atteindre sa vitesse de croisière d’ici la fin 2014, mais il bénéficie déjà des infrastructures bien établies d’Europol, et de son réseau de coopération/liaison avec les États-Membres et de ses autres partenaires pour les dossiers opérationnels.

Pouvez-vous nous dresser un panorama de la stratégie de cybersécurité annoncée le 7 Février par l’Union européenne?

Je vais commencer par l’énoncé de la vision de la Stratégie de CyberSécurité de l’Union Européenne qui spécifie: « Open, safe and secure cyberspace » (un cyberespace ouvert, sûr et sécurisé).

Ici, « ouvert » ne signifie pas pour autant un environnement non réglementé et/ou anarchique. « Ouvert » est à lire dans le sens de la liberté d’expression et d’actions menées dans le respect des lois en d’autres termes avoir un «cyberespace démocratique».

Alors, que signifie cette vision en termes plus concrets? Il s’agit tout simplement de garantir la sécurité des citoyens de l’UE dans leur expérience du cyberespace et de construire un environnement fiable et sécurisé non seulement pour les entreprises et les investisseurs, mais aussi pour les consommateurs, ce qui est la base pour la prospérité économique.

C’est dans cette perspective que la stratégie a été développée. Par conséquent et ce qui est également souligné dans la conclusion de la Stratégie, il est de notre responsabilité de réaliser cette vision ensemble que nous soyons un utilisateur final, du secteur privé, de l’administration publique ou de l’armée.

Prenons quelques exemples simples:

Les citoyens ou utilisateurs finaux d’Internet doivent comprendre qu’ouvrir des fichiers provenant de sources inconnues ou non approuvées ou visiter des sites Web malveillants peuvent tourner leurs postes de travail en zombies renforçant ainsi les botnets, et réduire la sécurité globale et le niveau de confiance de l’infrastructure Internet ainsi que la confiance de ces utilisateurs envers le Cyberespace.

Bien que désireux de protéger leur réputation, les entreprises doivent comprendre qu’ils contribuent à la Cybercriminalité en ne dénonçant pas les attaques sur leurs infrastructures et peut aussi conduire à leur propre faillite.

Les organisations publiques / gouvernements doivent comprendre que d’excellente expertises existent en Europe et des initiatives visant à rendre compte des vulnérabilités devraient être encouragés et non punis comme cela peut être le cas dans plusieurs pays européens.

Les militaires comprennent que le 5ème domaine (Cyberespace) devient de plus en plus important, mais la coopération avec la communauté civile est encore plus importante que par le passé et inévitable.

Dernier exemple, la presse doit comprendre que de nos jours les cyberattaques ne sont plus un scoop et les mettre en surexposition médiatique ne devrait pas être la direction où aller.

 

Pour en revenir à la question, pour moi le plus important à retenir de la Stratégie peut se résumer en 5 points:

Tout d’abord, la résilience, c’est-à-dire faire en sorte que nos infrastructures et réseaux de communication aient un niveau de service acceptable et continu, même face à des cyberattaques lourdes, perturbations techniques et catastrophes naturelles.

Deuxièmement, la lutte contre la Cybercriminalité, afin d’éliminer les menaces sur la durée, s’occuper de la protection uniquement, c’est à dire la CyberSécurité, ne serait pas suffisant, il faut aussi se confronter à la racine, la Cybercriminalité.

Troisièmement, une meilleure coopération / coordination, ce point est crucial pour s’assurer que nous agissons tous comme une voix collective et que nous travaillons dans la même direction.

Quatrièmement, la sensibilisation, les utilisateurs finaux d’Internet et beaucoup trop d’entreprises ne sont pas encore suffisamment conscients des risques qui existent et encore moins sur les bonnes habitudes à avoir ou à adopter. Par exemple, comme chacun se doit de prend soin de son corps et avoir une bonne hygiène, il devrait en être de même dans le cyberespace ou nous devrions tous adopter une bonne “hygiène sécurité“.

Cinquième et dernier point, avoir un marché intérieur de l’UE pour les produits de CyberSécurité fort, ce qui est fondamentale pour que nos pays, les entreprises et les citoyens puissent être en mesure d’acheter des produits qui sont conçus et développés et/ou fabriqués dans l’UE afin d’assurer un plus grand niveau de confiance dans leurs usages et ne plus avoir à être dépendant en terme de choix technologique envers des produits hors-UE.

Quelle place vont jouer des structures telles que l’EC3 et l’ENISA dans sa mise en œuvre?

Avant de répondre à la question, je voudrais souligner quelques points spécifiques qui sont importants pour comprendre ce dont nous parlons.

Tout le monde ne comprend pas les termes de CyberSécurité, CyberCriminalité et de CyberDéfense de la même manière. C’est un problème et, naturellement, il existe différentes définitions de ces termes que vous regardiez d’un point de vue de l’UE, des États-Membres, d’autres pays ou d’autres organisations internationales comme par exemple l’OTAN.

Il est important de faire une distinction claire de ce que sont ces termes dans le contexte de l’UE, qui sont aussi expliqués en note de bas de page dans la stratégie. Pour résumer:

  • La CyberSécurité se réfère aux garanties et mesures mis en place utilisés pour protéger le cyberespace. Préserver la confidentialité de l’information, l’intégrité et la disponibilité des infrastructures / réseaux de communication,
  • La CyberDéfense est la partie militaire de la CyberSécurité,
  • Le CyberCrime ou CyberCriminalité se réfère aux activités criminelles où les ordinateurs et les systèmes d’information sont impliqués soit comme un outil primaire et/ou comme cible principale.

Considérant cela, l’EC3 et l’ENISA3 ont été expressément mentionné dans la Stratégie et sont appelés à jouer un rôle de premier plan dans plusieurs domaines. Mais ils ne sont pas les seuls, aussi la Commission, le SEAE/EEAS, ADE/EDA, CEPOL et Eurojust ont leur rôle à jouer.

Mais si je dois résumer en quelques mots ce serait :

  • L’ENISA pour aider les États-Membres et la Commission à aborder les questions de CyberSécurité,
  • EDA à soutenir les États-Membres participants dans l’établissement des capacités militaires pour la CyberDéfense,
  • EC3 à soutenir les États membres en matière de combat de la Cybercriminalité.

 

De quelle manière les agences de sécurité des pays membres de l’UE, comme l’ANSSI par exemple, vont pouvoir s’inscrire dans cette stratégie?

Je ne pense pas que la Stratégie de CyberSécurité de l’UE vise à dicter aux États-Membres ce dont à quoi ils doivent se conformer. Il s’agit plutôt d’une stratégie qui met en lumière une direction principale à suivre par défaut, en tant qu’Européen, afin de promouvoir « Open, safe and secure cyberspace ». Chaque État reste souverain et a ses propres priorités et spécificités.

Ceci est renforcé par le fait que certains Etats-Membres n’ont pas attendu la Stratégie de CyberSécurité de l’UE pour avoir la leur comme notamment l’un des pionniers en Europe l’Estonie en Mai 2008, la France en Février 2011 et dernièrement la Finlande fin Janvier 2013. Et je vois de très bonnes annonces dans celles déjà existantes.

Encore une fois, je préfère voir dans votre question «prendre part» plutôt que «s’inscrire».

Comment allez-vous collaborer avec les autres pays dans le monde en termes de cybersécurité?

Comme chacun le sait, il n’existe pas de limites dans le Cyberespace. Les criminels peuvent se trouver n’importe où pour commettre des crimes proches ou à un endroit très éloigné. Mais ce n’est pas le seul aspect; actuellement commettre des cybercrimes est encore peu risqué avec des profits élevés, c’est la raison pour laquelle c’est très attrayant. Nous ne pouvons pas accepter ce fait, c’est pourquoi l’objectif principal de la communauté internationale est d’inverser cette tendance.

Donc, la coopération internationale est évidemment un facteur clé pour s’attaquer efficacement ces crimes. Il est plus facile à dire qu’à faire et un travail considérable est actuellement en cours à plusieurs niveaux. Considérant cela, nous devons souligner que nous nous ne concentrons pas seulement sur l’Europe, mais nous travaillons déjà aussi avec d’autres États et organisations internationales.

Comme par exemple, vous le savez peut-être, qu’Interpol est également en train de construire un « Digital Crime Centre » à Singapour en soulignant ainsi encore plus la nécessité d’avoir de tels organismes pour aborder la question de la cybercriminalité. En outre, il est important pour nous et nos collègues d’Interpol de s’engager les uns avec les autres dans la même direction, c’est pourquoi nous avons décidé, dans chacun de nos conseils consultatifs, d’inclure des représentants respectif de chacune de nos organisations afin de se compléter, de s’assurer que les décisions soient coordonnées, que le travail soit partagé, et éviter les doubles emplois. Ceci permet donc des économies de coûts et de pouvoir se complémenter mutuellement plutôt que d’être en compétition.

Enfin, nous aurons aussi à nous engager davantage avec les pays / régions où Internet est en forte croissance comme l’Amérique du Sud, l’Afrique ou encore l’Asie. Cet engagement peut se faire à plusieurs niveaux, par exemple, le soutien, l’échange de savoir-faire, des accords mutuels et, le plus important, au niveau des accords opérationnels où nous pouvons unir nos forces pour démanteler des réseaux criminels et crimes multinationaux, ce qui est toujours le cas dans le cyberespace.

Comment devrait, selon vous, évoluer la politique de cybersécurité européenne dans le futur?

Il est évidemment trop tôt pour tirer des conclusions sur l’efficacité de la Stratégie de CyberSécurité, mais nous devrons évaluer ce qui fonctionne et ce qui ne l’est pas pour évoluer vers le meilleur. En tant que première stratégie, elle n’est certainement pas parfaite, mais c’est une étape importante et à mon avis une base solide.

De plus la technologie évolue très rapidement et le paysage actuel de la menace sera très différent d’ici quelques années par rapport à ce que nous connaissons aujourd’hui.

L’évolution, comme toute stratégie, devra prendre en compte tout cela, bien sûr, mais aussi, pour moi, je prévois que le plus grand défi dans les années à venir va porter sur des questions de protection des données: comment trouver le juste équilibre entre avoir une bonne protection des données personnelles des citoyens et des entreprises et la capacité / possibilité d’échanger ce type de données pour lutter contre la cybercriminalité. Aussi la nouvelle génération qui est née avec Internet et les médias sociaux auront un point de vue différent sur la protection des données que celle que nous avons aujourd’hui, ce qui bien sûr au fil du temps influencera sans aucun doute la réglementation et la gouvernance qui se naturellement se reflétera dans les nouvelles stratégies.

Enfin, comme le courant principal de l’évolution technologique d’aujourd’hui, nous devons accorder une attention particulière à l’évolution du Cloud Computing, Big Data et Internet des Objets qui apporteront de nouvelles menaces ou menaces modifiées qui seront exploitées par les cybercriminels. Des mesures préventives sur ces points devront également être reflétées sur les stratégies futures.

 

Auteur: Bruno Halopeau / GlobalSecurityMag #23
Source: (English version) http://www.globalsecuritymag.com/The-European-Union-wants-to-create,20130524,37445.html