Le printemps 2017 a été mouvementé sur le front de la sécurité informatique. Coup sur coup, deux vagues de rançongiciels – ces programmes qui bloquent un ordinateur avant de demander une rançon – ont touché des milliers d’entreprises et de particuliers dans le monde. WannaCry, en mai 2017, a immobilisé des usines et de nombreux hôpitaux au Royaume-Uni, avant que NotPetya, fin juin de la même année, ricoche depuis l’Ukraine à travers le monde pour causer plus d’un milliard d’euros de dégâts.
Ces deux attaques, dont les motivations et les auteurs restent encore inconnus, ont poussé l’Union européenne à proposer, en septembre, de nouvelles mesures en matière de sécurité informatique. « 2017, c’est l’année de la prise de conscience », résume le commissaire européen à la sécurité, Julian King, interrogé par Le Monde au Forum international sur la cybersécurité, qui se tenait mardi 23 et mercredi 24 janvier à Lille.
« Attaques politiques »
Ces contaminations à grande échelle ne sont cependant pas les seuls facteurs qui motivent le récent affairement de l’UE. Le commissaire cite aussi « les attaques politiques », référence à la fois aux piratages ayant émaillé l’élection présidentielle américaine de 2016 et à ceux ayant perturbé d’autres élections en Europe, notamment en France. La Commission aimerait d’abord muscler la réponse européenne en cas d’attaque. « Au niveau ministériel, nous avons établi un cadre pour qu’il puisse y avoir une discussion entre États membres (en cas d’attaque informatique d’ampleur) et clarifié les mesures envisageables, qui peuvent aller jusqu’à des sanctions économiques. »
L’UE aura fort à faire : savoir qui a mené une attaque informatique est extrêmement complexe d’un point de vue technique, en raison notamment des mesures que prennent les attaquants pour brouiller les pistes. Les pays européens, à l’exception récente du Royaume-Uni, qui a accusé la Corée du Nord d’être derrière WannaCry, ont toujours refusé de franchir le pas. Par ailleurs, attribuer une attaque informatique sollicite les capacités les plus avancées des États en matière de renseignement, un domaine qui échappe de loin aux compétences de l’UE.
Parmi les autres mesures annoncées en septembre par la Commission, deux ont fait se lever quelques sourcils. D’abord, la transformation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) en véritable agence de cybersécurité de l’Union. Ensuite, le lancement d’un processus européen d’évaluation et de labellisation de la fiabilité et de la solidité des outils de protection informatique par les autorités.
Sujets très sensibles
Ces deux sujets, en apparence anodins et techniques mais en réalité très sensibles, ont fait grincer quelques dents. Tout particulièrement en France, qui dispose déjà d’une agence en matière de cybersécurité – l’Agence nationale de sécurité des systèmes d’information (ANSSI) – et de mécanismes d’évaluation des solutions de sécurité vieux de vingt ans. La France, qui dispose de ses propres dispositifs de sécurité, s’est récemment inquiétée d’un nivellement par le bas…
Guillaume Poupard, le directeur de l’ANSSI, s’était inquiété à l’automne d’un nivellement par le bas de la sécurité informatique européenne, craignant par exemple que l’on donne à l’ENISA un rôle de « cyberpompier » difficile à assumer en raison de ses maigres moyens, et qu’un système de label européen de cybersécurité rende caducs les efforts français.
Le ton est depuis redescendu. Lors d’une conférence de presse, à Lille le 23 janvier, Guillaume Poupard s’est dit « satisfait de la direction prise par les autorités européennes », tout en martelant que son agence « n’accepterait pas » un nivellement par le bas. « On ne peut pas substituer l’ENISA à une agence comme l’ANSSI » a-t-il expliqué. « L’Europe doit nous renforcer, pas nous affaiblir. »
« Sur ces questions, ce n’est pas à Bruxelles de remplacer les États membres », veut rassurer Julian King. « Ils restent en première ligne, responsables de la sécurité de leurs citoyens. En renforçant l’ENISA, on pense pouvoir les aider, les soutenir. Tous les États membres ne sont pas aussi avancés que la France en la matière », explique-t-il encore. Plus récemment, la Commission s’est attaquée au problème des fausses nouvelles, qui ont notamment fait florès lors de l’élection de Donald Trump à la Maison-Blanche. « Nous avons fait des propositions en matière d’éducation, pour sensibiliser nos citoyens, mais il reste beaucoup à faire. Nous ne ciblons pas seulement les messages pro-Kremlin, mais toutes les fausses informations. Il faut être prêt à les combattre, d’où qu’elles viennent. Nous devons trouver les moyens de renforcer notre résilience sur ces questions », explique encore Julian King.
Nouvelles propositions au printemps
La Commission formulera au printemps de nouvelles propositions sur cette question des fausses nouvelles, y compris législatives, et avec, le cas échéant, le concours des géants du Web. Les autorités européennes ont aussi été très actives ces derniers mois pour tenter d’inciter les principaux réseaux sociaux à supprimer plus rapidement les contenus illégaux et la propagande djihadiste. Concernant le premier type de contenu, les grandes sociétés d’Internet ont reçu un satisfecit des services de la Commission qui a noté, le 19 janvier, que les réseaux sociaux avaient progressé. « On ne peut pas nier que des progrès ont été faits » convient Julian King, « mais il reste beaucoup à faire ». Dans son viseur, le second type de contenus problématiques, la propagande terroriste en ligne. Des discussions sont déjà en cours avec les géants du Web, mais la Commission cherche activement à « renforcer les efforts que nous faisons avec les plateformes. Il est nécessaire d’aller plus loin, d’avoir des retours plus précis de la part des plateformes sur ce qu’ils font exactement et quels sont leurs résultats », avance M. King.