Stratégie de cybersécurité européenne : qu’en penser ?

Le 7 février dernier l’Union européenne présenta sa vision stratégique concernant la cybersécurité : une simple liste de bonnes intentions ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Sécurité informatique (Crédits : marsmet481, Creative Commons)

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Stratégie de cybersécurité européenne : qu’en penser ?

Publié le 17 février 2013
- A +

L’Union européenne a présenté sa politique de cybersécurité. Que penser de ce qui ressemble à une liste de bonnes intentions ?

Par Frédéric Prost.

Le 7 février dernier, dans l’indifférence médiatique la plus totale, l’Union européenne présenta, par la voix de son haut représentant des affaires étrangères et de la politique de sécurité (High Representative of the European Union for Foreign Affairs and Security Policy), aux parlement, conseil économique et social et au comité de régions, sa vision stratégique concernant la cybersécurité en Europe. Le texte n’est pas très long et est disponible sur le site de la commission européenne : ec.europa.eu.

La première remarque qui s’impose à la lecture de ce document est qu’il s’agit d’une collection assez impressionnante de mots creux. Il est assez facile de repérer les mots vides dans un discours quand on remarque qu’il s’agit d’expressions dont le contraire ne pourrait pas se trouver dans le texte. Par exemple, le document parle de la mise en place d’une législation forte et effective. Il est clair qu’aucun rapport au monde ne proposerait une législation faible et inefficace. Le fait de faire un paragraphe pour dire qu’on va faire quelque chose d’évident (puisque le contraire n’est pas imaginable) tient donc au mieux de la méthode Coué. Malheureusement, ce type de langage forme la plus large partie de ce rapport allant de vœux pieux (arriver à convaincre ceux qui ne le sont pas que la cybersécurité est vitale) en wishful thinking (l’action de l’UE devrait faire chuter drastiquement la cybercriminalité).

Plus fondamentalement il apparaît à la lecture de ce document que la proposition stratégique de cybersécurité est essentiellement vécue de manière défensive : elle s’exprime principalement à travers la mise en place de techno-structures de type bruxellois (renforcement d’ENISA, mise en place du European Cybercrime Center) et la coordination entre différentes entités supranationales (OTANCEPOLINTERPOL…). Ces points sont, il est vrai, à ne pas négliger. Cependant tout un pan de la lutte contre la cybercriminalité n’est que légèrement évoqué : que faire de manière pro-active pour protéger les réseaux et données européennes ? Par exemple, les problématiques stratégiques du cloud (dont les acteurs majeurs ne sont pas européens) ne sont même pas évoquées : le rapport ne les aborde qu’à trois reprises pour juste mentionner la mise en place de standard de sécurité.

Peut-être que cette approche presque toute en réaction est due à l’aspect diplomatique de la chose (on ne dit pas que l’espionnage industriel entre alliés existe dans un rapport public) mais une stratégie d’ampleur pourrait être de s’assurer que les données essentielles sont conservées sur le sol européen. Pour prendre une image dans un autre domaine : quand on raisonne en termes stratégiques, l’économie n’est qu’une dimension à prendre en compte. Par exemple, il peut être astucieux pour un État de subventionner le fait que des cargos ne dépassent pas un certain tonnage. Si une guerre éclate, une flotte formée de cargos de taille moyenne fera baisser l’efficacité de l’armée ennemie qui cherche à couler le plus de tonnes possible avec une seule torpille (exemple qui n’était pas que théorique durant les deux premières guerres mondiales). Or, en temps normal, économie d’échelle oblige, plus les vaisseaux sont grands, meilleure est la rentabilité économique. Par analogie avec cet exemple, il pourrait être judicieux de voir comment l’Europe peut assurer la maîtrise de ses données, au sens physique du terme, même si cela est nécessairement contreproductif du point de vue purement économique.

Une stratégie ambitieuse ne peut pas se limiter à augmenter la capacité à résoudre les incidents. Bien sûr le rapport parle de sensibiliser les intervenants à tous les niveaux aux problèmes de sécurité informatique mais cela reste un étalage de vœux pieux : il n’y a pas de propositions détaillées et chiffrées pour cela.

D’autre part, si ce n’est dans l’introduction et les motivations (le tout envoyé en deux petits paragraphes), la sécurité des particuliers n’est jamais vraiment évoquée. Si les implications économiques et stratégiques sont principales, il me semble qu’il manque une dimension majeure à ce rapport. La cybersécurité ne se limite malheureusement pas aux activités directement criminelles. Les problèmes liés à la confidentialité en font également partie. Les droits des citoyens à la vie privée sont largement impactés par les nouvelles technologies. L’utilisation notamment des nouvelles technologies par les polices et administrations prend une nouvelle dimension. L’existence même de telles masses d’informations présente des risques stratégiques majeurs (la prime au piratage de telles informations est énorme) qui ne sont même pas évoqués dans ce rapport.

Au final cette stratégie ne semble être pas grand chose de plus qu’un conglomérat de remarques de bon sens : si elles ne sont pas nocives par elles-mêmes cela n’en reste pas moins très en deçà de ce qu’on peut attendre quand on emploie des termes aussi prétentieux que « stratégie de cybersécurité ». Par ailleurs, la généralité excessive du rapport, qui reste très vague, n’est pas pour rassurer quant à l’emploi qui pourra en être fait : il n’est pas à exclure que ce rapport serve de point de départ à un énième tour de vis pour policer encore un peu plus le net ; ce qui ne constitue absolument pas une stratégie de cybersécurité mais l’expression d’une évolution sociétale qu’on chercherait à virtualiser.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Ce vendredi 2 février, les États membres ont unanimement approuvé le AI Act ou Loi sur l’IA, après une procédure longue et mouvementée. En tant que tout premier cadre législatif international et contraignant sur l’IA, le texte fait beaucoup parler de lui.

La commercialisation de l’IA générative a apporté son lot d’inquiétudes, notamment en matière d’atteintes aux droits fondamentaux.

Ainsi, une course à la règlementation de l’IA, dont l’issue pourrait réajuster certains rapports de force, fait rage. Parfois critiquée pour son ap... Poursuivre la lecture

Le Maroc est un pays dynamique, son économie est diversifiée, son système politique présente une certaine stabilité dans une région en proie à des crises à répétition. Ce pays a fait montre d’une résilience étonnante face aux chocs exogènes. La gestion remarquée de la pandémie de covid et la bonne prise en main du séisme survenu dans les environs de Marrakech sont les exemples les plus éclatants.

 

Pays dynamique

Sa diplomatie n’est pas en reste. La question du Sahara occidental, « la mère des batailles », continue à engran... Poursuivre la lecture

Les Gilets verts ont bloqué le pays avec leurs tracteurs en demandant notamment que l'on n’importe pas ce que l’on interdit en France. Leurs revendications ont également porté sur l’accès à l’eau et sur la rigueur des normes environnementales françaises, qui seraient plus exigeantes que celles de leurs concurrents.

C'est la hausse du prix du gazole agricole qui a mis le feu aux poudres, en reproduisant les mêmes effets que la taxe carbone sur tous les carburants, qui avait initié le mouvement des Gilets jaunes cinq ans plus tôt.

Poursuivre la lecture
Voir plus d'articles