Sans guerre du sens, pas de souveraineté européenne dans le cyberespace

La question de savoir ce que serait un cyberespace européen présuppose qu’une volonté forte anime les pays de la Communauté européenne de créer un tel espace. Il s’agirait de se positionner

comme une zone de puissance interétatique, qui puisse piloter un environnement dont les caractéristiques tiennent du matériel, de l’immatériel et des territoires informationnels. Or, en

l’état actuel, la question reste ouverte. DES DIVERGENCES D’INTÉRÊT ET DE VISION La construction de l’Europe et son maintien comme zone de puissance internationale reste un enjeu stratégique

qui mobilise de part et d’autre de la planète des intérêts contraires. Le cyberespace n’est pas épargné. Dans une logique européenne, il est nécessaire de tenir compte des cyberpolitiques

des membres et des visions qu’elles portent pour identifier une convergence des intérêts. Intéressons-nous à trois pays : l’Allemagne, le Royaume Uni et la France1. > L'Allemagne 

affiche une volonté de pallier l’infériorité de > l’Europe en cyberstratégie L'Allemagne affiche une volonté de pallier l’infériorité de l’Europe en cyberstratégie. Elle renforce

depuis 2014 ses positions et transpose dans le cyberespace sa réussite industrielle. L’industrie 4.0 est clairement identifiée comme stratégique pour assurer la prospérité économique et

sociale du pays. Ainsi, la gouvernance cyber et la stratégie numérique de l’Allemagne ont été consolidées par le ministère fédéral de l’Intérieur, le ministère des Affaires étrangères, le

ministère de la Défense et ceux de l’Économie et de la Justice. La « _Nationale Cyber-Abwehrzentrum_ », créée en 2010 sous la responsabilité de l’Office fédéral pour la sécurité de

l’information (BSI), regroupe et pilote les principaux offices fédéraux liés au renseignement, à la sécurité intérieure et aux infrastructures stratégiques. Les infrastructures de « 

transport » et de « stockage » de l’information, les outils de chiffrement et leur utilisation sont concernés par cette cyberstratégie. Un volet économique précise les conditions d’octroi

des marchés publics aux entreprises les mieux « cybersécurisées », et la préférence nationale est attribuée aux opérateurs nationaux. Un dernier volet, international, promeut la mise en

place d’une autorité européenne de protection des données et la renégociation du Safe Harbor qui encadre le transfert des données, leur utilisation par des tiers et les conditions de leur

accessibilité dès qu’elles transitent de l’Europe vers les États-Unis . Il s’agit pour l’Allemagne de devenir un acteur de poids dans les domaines techniques, normatifs, politiques et

concurrentiels liés au cyberespace. Mais ces efforts contredisent sa réalité politique et économique. Dans la pratique, parmi d’autres exemples, Deutsche Telekom choisit Cisco pour la mise

en place du _cloud_ allemand en 2014 et les services de renseignement américains coopèrent avec le BND, le service fédéral de renseignement. De son côté, SAP, leader européen sur les

progiciels de gestion signait en 2005 un partenariat avec Microsoft et en 2016 avec Apple pour favoriser la diffusion des Iphones et Ipad en entreprises. Enfin la participation de

l’Allemagne à la rédaction du Manuel de Tallin, document directeur de gestion des conflits cyber à vocation internationale, s’est faite via le Centre Marshall et s’inspire du Commander

Handbook étasunien qui est cité 84 fois. C’est donc une cyberstratégie relative que l’Allemagne défend, plus orientée sur le renforcement de la compétitivité de ses acteurs économiques et

géants nationaux que sur la construction d’un cyberespace européen. Concernant le Royaume-Uni, il est connecté de par sa fonction stratégique à la finance mondiale et ne peut faire l’impasse

sur les enjeux liés à la cybersécurité. Le gouvernement a pris la mesure des avantages budgétaires liés aux nouvelles technologies et a investi depuis plusieurs années dans la numérisation

de ses services. Il a renforcé ses infrastructures pour améliorer sa couverture 3G et wifi et développer la mobilité et sa compétitivité. Dans la dernière « Strategic Defense and Security

Review » il déroule une cybersécurité nationale qui créé un espace sécurisé, stable et protégeant les libertés. En 2011, le « _Protecting and promoting the UK in a digital world » _fait le

pari que le pays devienne l’un des plus sécurisé au monde pour réaliser des opérations en ligne. Les plus hauts niveaux étatiques des compétences civiles et militaires (création du Defense

Cyber Operations Group) ont travaillé avec les industries sensibles. Au niveau international, des accords bilatéraux avec des pays « proches » comme les États-Unis, l’Allemagne et la France

ont été signés2. Les opérateurs de télécommunications ont été sollicités sur l’identification et la prévention des actions malveillantes dans le cyberespace. Enfin, ils ont renforcé la

connaissance et la compétence des utilisateurs de la société civile. > L’un des points forts du Royaume-Uni est la maîtrise de la > donnée L’un des points forts du Royaume-Uni est la

maîtrise de la donnée. Le Big Data et l’Open Data sont deux compétences fortes du pays. La richesse du réseau universitaire et la culture de la donnée sont transposées dans les autres

secteurs d’activité. Ces deux compétences sont accompagnées de programmes et d‘investissement massifs en recherche fondamentale, en développement de nouveaux outils numériques, ainsi qu’en

transferts technologiques intersectoriels et extras territoriaux. L’accent est mis sur la formation des personnels administratifs et des entreprises. La langue anglaise, majoritaire dans

l’éducation, la programmation et la diffusion des données reste un levier majeur sur la mise en place de standards internationaux pour le pays et leur donne un avantage certain, car à peine

10 % de la population européenne la maîtrise. Mais, hormis ses capacités d’hébergement de données via les Datacenters, le pays dépend d’opérateurs étrangers sur le matériel et les logiciels.

Par exemple, le partenariat entre IBM et le ministère des Sciences (qui dispose de Watson le super calculateur et des serveurs Open Power du constructeur) ou celui de la société Sophos

éditrice d’un antivirus mais dépendante du marché de l’OS d’Apple. C’est une indépendance très relative, comme pour l’Allemagne, qui freine la mise en place d’un cyberespace national au

Royaume-Uni. > La France souffre de cyber schizophrénie Quant à la France, elle souffre de cyber schizophrénie. À l’heure de la loi numérique, du projet de loi numérique qui doit préciser

le cadre législatif pour les acteurs privés et publiques qui utilisent, commercialisent ou ouvrent les données, le bilan reste mitigé. Dépendante d’une alternance politique et du

mille-feuille institutionnel qui la caractérise, elle n’a pas orienté ses ressources sur des projets phares. Se contentant de saupoudrage de moyens par le biais de programmes sans réelle

coordination, la France mesure l’enjeu en 2008 avec « Le livre blanc de la Défense », qui répond aux impératifs de protection et de défense face aux menaces extérieures. Les systèmes

d’informations y figuraient dans les capacités prioritaires nationales à protéger. En 2009, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est créée. En 2011, elle

publie « une stratégie nationale de défense et de sécurité des systèmes d’information », une réflexion poussée en matière de cyber sécurité. Le livre Blanc de la défense en 2013 précise

enfin les contours des menaces dans le champ économique, mais les conditionnent « aux efforts consentis par nos partenaires britanniques et allemands ». En octobre 2015, « la stratégie

nationale pour la sécurité du numérique » est présentée par le Premier ministre Manuel Valls. Elle conforte le projet de République numérique portée par Axelle Lemaire, secrétaire d’État

chargée du numérique. Ces actions sont pilotées par l’Anssi, la Commission nationale de l’informatique et des libertés (Cnil), la Direction de la protection et de la sécurité de la défense

(DPSD), la Direction centrale du renseignement intérieur (DCRI) et la Direction générale de la sécurité extérieure (DGSE). Cette stratégie s’appuie sur trois communautés. Une communauté

concurrentielle en charge des technologies, une autre, politique, en charge des politiques publiques cyber et de la protection de la nation et une communauté civile doit mieux contrôler ses

usages. Quant à l’État, il s’engage à garantir la liberté d’expression et d’action de la France dans le cyberespace et à assurer la sécurité des infrastructures critiques. Il protègera la

vie numérique des citoyens et des entreprises et les formera face aux attaques cybercriminelles. Enfin, il favorisera le développement d‘un écosystème sécurisé et facilitera l’émergence

d’une autonomie stratégique numérique européenne et d’un cyberespace respectueux de ses valeurs. Pour résumer, la cyber stratégie de la France reste une consultation paritaire qui respecte

les principes démocratiques mais qui ne s’imposera pas aux acteurs. > La France n’a pas de pépite numérique ayant imposé ses > standards et ses usages Pourtant le pays possède des

points forts dans les infrastructures matérielles, logicielles ou de contenus. Orange (câblage et réseaux), OVH (_cloud_), Thalès (systèmes de communications) mais aussi Bull, Atos, Deezer

ou DailyMotion participent au jeu mondial. Mais ils n’équipent pas ou peu les producteurs de données par du matériel associé : carte SIM, smartphones, PC, objets connectés… ou ne font pas

partie des plateformes de contenus les plus utilisées. Et malgré sa volonté d’éduquer et de former la population au numérique depuis les années 1970, le bilan en 2014 est le suivant : 16 000

écoles ne sont toujours pas connectées et les élèves ne maîtrisent pas les subtilités liées au choix de leur matériel et logiciels. Enfin, financièrement, prendre des positions dans tous

les secteurs d’activité, ne fait que dégrader le montant des enveloppes associées. La France n’a pas de pépite numérique ayant imposé ses standards et ses usages ces dernières années. Et son

absence dans les instances de gouvernance internationale la pénalise. Ce qui fait que la France n’a pas su développer une industrie nationale lui permettant d’être souveraine dans le cyber

espace. De la politique de ces trois pays, il ressort que les enjeux de souveraineté numériques défendent des positions économiques nationales préjudiciables à la construction d’un cyber

espace européen. UN RAPPORT DE FORCE EN FAVEUR DES ÉTATS-UNIS L’Europe ne peut rivaliser ni sur le matériel et les logiciels, ni en matière d’investissements comme nous l’avons vu. Elle ne

peut rivaliser en matière de politiques publiques puisque les États-Unis ont défini seize secteurs stratégiques incluant tous les acteurs et étendent leur droit à l’international. L’Europe

est sous-représentée dans les instances de gouvernance internationale. Concernant la législation sur les données, à ce jour malgré la remise en cause du Safe Harbor, il faut garder à

l’esprit qu’il s’applique toujours selon la juridiction américaine. Son application cessera à la mise en œuvre du Privacy Shield qui, pour le moment, est encore en négociation. Ce nouvel

accord doit renforcer la protection des données des utilisateurs et encadrer leur transfert entre la Communauté Européenne et les États-Unis. Et pour finir dans le domaine informationnel, un

projet de loi américain, le H.R 5181, sur la désinformation étrangère et la propagande, envisage de mettre sous surveillance les contenus participant à des actions de communication

contraires aux intérêts des États-Unis. Les contenus étant de plus en plus numériques, cette approche pourrait être envisagée par l’Europe et s’appliquer à la propagande extra européenne. Au

regard de cette analyse, quel poids l’Union européenne oppose-t-elle à l’acteur principal que sont les États-Unis, porté non seulement par les GAFAM (Google, Apple, Facebook, Amazon,

Microsoft) mais par tout un arsenal législatif, normatif et technologique ? Un seul. Celui de représenter un énorme marché duquel ils ne peuvent se déconnecter. Un marché majeur de

production de la donnée et de contenus. Amorcée il y a une vingtaine d’années avec les progiciels de gestion des entreprises, le volume de données explose avec les objets connectés et les

usages des particuliers. Il serait peut-être opportun que l’Europe montre un peu plus de fermeté pour imposer ses prérogatives et que le rapport de force se rééquilibre. LE CYBERESPACE

EUROPÉEN CONFRONTÉ À DES MENACES PERMANENTES Dans ce contexte de confrontation asymétrique, est-il nécessaire de rappeler les événements qui ont contraint l’Europe à devenir plus vigilante

sous la pression de la société civile ? Aucun des États espionnés par la NSA américaine n’a clairement démenti ne pas être informé, car participant de près aux opérations de surveillance

dans le cadre d’actions de défense de leur territoire, soit sous couvert de lutte anti-terroriste, soit pour protéger leurs intérêts économiques. Tant que les 28 États membres ne

renégocieront pas leurs accords multilatéraux hors Europe, les frontières ne seront pas établies. Tant que les négociations sur le Privacy Shield ne seront pas finalisées, la construction

d’un cyberespace européen restera utopique. L’Europe doit clarifier sa définition d’un cyberespace commun et de ses frontières technologiques, normatives, juridiques, économiques et

sociétales. Elles doivent lui permettre d’identifier qui respectera les règles définies par sa communauté d’acteurs européens dans son cyberespace. C’est le préalable à la mise en œuvre de

la directive NIS (Network Security and Information, adoptée en première lecture au Conseil de l’Europe en mai 2016). Ses orientations doivent permettre de stimuler la coopération des

autorités de luttes cyber des 28 États membres avec l’appui d’un réseau de centres d’alerte et de réactions aux cyberattaques (CERTs) pour sécuriser les secteurs stratégiques et leurs

principaux opérateurs d’importance vital (OIV). Mais les plateformes de contenus et de services bénéficieront de mesures allégées (moteurs de recherche, fournisseurs de cloud et sites

e-commerce) et les TPE en seront exemptées, au même titre que les réseaux sociaux. La contradiction dans ces mesures étant que la taille ne fait pas l’importance vitale et que, dans un monde

de données, pourquoi exclure de fait les plus gros collecteurs ou contributeurs ? Sauf à renforcer la protection de la vie privée qui ne l’est plus parce les conditions générales

d’utilisation s’imposent à l’utilisateur ? > L’Europe est le cyberespace le plus attaqué au niveau mondial Ce qui explique, en partie, que l’Europe soit le cyberespace le plus attaqué au

niveau mondial et qu’il est urgent d’agir. En fonction des acteurs, des matériels ou infrastructures visés, les risques dommageables peuvent être conséquents qu’ils soient d’ordre frauduleux

(vol de données personnelles), industriels (vol de données concernant des brevets), économiques (arrêt de la production suite à un piratage des systèmes d’information), et peuvent viser les

intérêts vitaux des nations (prise de contrôle des infrastructures critiques) ou informationnels (campagne de propagande, déstabilisation des pouvoirs en place). Il est impossible d’être

exhaustif sur les risques sauf à en avoir une cartographie consolidée sur l’ensemble des acteurs qui y sont exposés. Cartographie pour laquelle les États-Unis sont en en avance avec

l’ensemble des données collectées ces 20 dernières années. ÉLABORER L’IDÉOLOGIE D’UNE CYBER STRATÉGIE EUROPÉENNE Idéologie est le terme approprié. L’Europe n’est plus ce grand empire dont

les frontières s’étendaient de part et d’autre de l’Ouest à l’Est, du Nord au Sud et dont la « souveraineté » a pu être portée par des « dynasties de seigneurs » ou « des chefs de guerre »

dont la seule évocation d’un nom faisait trembler les peuples. Le gendarme européen, tel que l’Allemagne peut être définie, n’aura pas de légitimité et de crédibilité tant que ses relations

de vassal avec le «grand ouest » ne seront pas équilibrées. Renforcer l’unicité de l’Europe et assurer une intégrité territoriale dans le cyberespace passera par une volonté sociétale de

sortie de crise qui annihile les idéologies nationalistes et renforce l’appartenance à un espace unique du droit. Dans ces temps où l’intégrité de l’Europe est remise en cause, il est

utopique de croire que les pays construiront une souveraineté numérique commune à court terme. Il faudrait pour cela que l’Europe soit une sur ses fondamentaux. Cela passera par une volonté

politique forte de cohésion. L’allocation de moyens budgétaires tels qu’initiés depuis quelques années sur les grands projets devra être contrôlée pour éviter une dilution dans un

mille-feuille technocratique organisationnel qui pénalise les PME et PMI, moteurs de croissance et qui doivent atteindre une taille critique pour s’engager dans la compétition mondiale. Il

faudra aussi renforcer l’attractivité du territoire européen pour permettre les relocations, notamment pour les activités de Recherche Développement et Innovation. Et peut-être conditionner

l’obtention des crédits et subventions à des obligations de maintiens des droits de propriété intellectuelles matériels et immatériels et d’industrialisation sur la zone Euro. Cela passera

par l’éducation des populations aux enjeux du numérique, en travaillant sur une obligation de traduction de l’ensemble des consultations et des travaux législatifs dans les langues

nationales. En effet, comment projeter la puissance d’une Europe soudée et unifiée quand seulement 10 % de sa population maîtrise la langue législative ? De plus, les instances de

gouvernance de l’internet, qu’elles soient locales, régionales ou internationales sont verrouillées historiquement par les Américains et leurs alliés, qui ont su depuis de nombreuses années,

s’immiscer dans les secrétariats et divers comités par le biais de _think-tank_, d’associations non gouvernementales, de centres de recherches ou du monde académique. Il faudrait interdire

l’accès des instances locales aux grands acteurs du privés dont les intérêts économiques sont complètement connectés aux intérêts de leurs États d’origine, et favoriser le financement de ces

instances locales par les gouvernements de la zone euro plus que par des donateurs privés ou alors allouer des moyens aux entreprises européennes pour qu’elles y consacrent du temps. Il

faudrait étudier de façon beaucoup plus poussée les conflits d’intérêts auxquels sont soumises les personnes physiques qui y siègent. L’Europe doit renforcer sa présence dans les instances

de gouvernance internationale via les acteurs du privé et la société civile pour défendre un intérêt commun européen. Elle doit se doter d’une juridiction européenne pour étendre ses recours

de façon extraterritoriale et défendre les intérêts économiques des membres. Elle devra y allouer des moyens financiers. Accélérer la mise en œuvre de la directive NIS, amendée pour ne pas

exempter ne serait-ce qu’un acteur du respect de ses obligations. Il faut aussi imposer aux parties prenantes un engagement, non négociable de préservation de la souveraineté européenne sur

son territoire et dans son cyberespace à des fins de stabilité économique et sociétale. L’Europe doit aussi construire ses géants fabricants de matériel, éditeurs de logiciels et

agrégateur/diffuseurs de contenus qui respecteront les standards européens définis au préalable pour lui permettre de reprendre la main sur les frontières technologiques. Elle devra éduquer

les utilisateurs aux choix de leurs matériels et logiciels, applications et plateformes de contenus et chiffrement de leurs données, non plus dans une seule logique d’utilisation mais de

construction du cyberespace. > Soit l’Europe reste maîtresse de ses frontières numériques, > soit elle est condamnée à n’être qu’un producteur de données > qu’elle paiera deux fois

Soit l’Europe reste maîtresse de ses frontières numériques, soit elle est condamnée à n’être qu’un producteur de données qu’elle paiera deux fois. La première par l’impossibilité de

construire une souveraineté économique dans le numérique et la seconde en finançant sa paix sociale par le truchement de systèmes d’assistance à sa population qui n’aura plus de perspectives

économiques. Elle peut, comme la Chine, imposer des normes différentes aux constructeurs et éditeurs de logiciels pour qu’ils respectent la future législation européenne. Elle peut demander

que l’information des utilisateurs soit renforcée avec une déclaration de la juridiction dont ils dépendent pour les transactions financières ou pour la protection de leurs données

personnelles. Cette déclaration devant se faire dans la langue natale de l’usager. Ou imposer que tout européen bénéficie de la juridiction européenne de fait. Une autre piste de réflexion

est celle d’une redevance payée par tout opérateur du cyberespace non européen (matériel, logiciel et contenu) pour compenser auprès de l’Europe les investissements liés à la cyber sécurité.

Il pourrait être envisagé d’abonder ces fonds dans des systèmes de répartition solidaires au niveau européen, pour renforcer ses capacités de développement dans le numérique. Au-delà de la

bataille technologique, juridique et financière, c’est une guerre du sens que l’Europe doit mener. -- Ina. Illustration Margot de Balasy Crédit photos - _EFF NSA-logo Parody (Black)_, EFF

Photos, Flickr - _france-web_, Democracy Chronicles, Flickr * 1 * 2Cet article a été rédigé quelques jours avant le Brexit. Celui-ci sera-t-il susceptible de modifier ces accords ?>