Il fût un temps, pendant la guerre froide, où la course était à la conquête spatiale. Désormais, elle est au cyberespace. Les enjeux restent sensiblement les mêmes entre les grandes puissances mais les règles ont changé : il s’agit d’asseoir sa domination sur l’opposant en maîtrisant les nouveaux terrains de jeu que composent l’espace numérique et les questions de cybersécurité qui en découlent. Parmi les équipes en lice : les États-Unis, la Chine, la Russie ou encore Israël. Bien qu’impliquée, l’Europe semble jouer à distance ; aux stratégies d’attaque et de défense, elle préfère les valeurs de transparence et de confiance. Ce qui, à terme, pourrait bien l’amener au sommet. Elle a déjà les outils pour y arriver.
La géopolitique au cœur du numérique
Il est impossible désormais d’évoquer le numérique et les télécommunications, sans penser politique et géopolitique. Depuis quelques années déjà, on voit se dessiner les différentes stratégies étatiques d’attaque et de défense des grandes puissances comme les États-Unis, la Chine, la Russie et Israël, sous couvert de cybersécurité.
Les acteurs les plus puissants du numérique semblent plus que jamais à la merci des injonctions des États : si la promiscuité entre la NSA et le gouvernement américain n’est plus à établir, son équivalent russe est souvent accusé d’ingérence lors de cyberattaques sophistiquées. « Côté chinois, il est de notoriété publique qu’un immeuble tout entier du côté de Shanghai abrite des officiers de l’armée chinoise formés aux cyberattaques. Côté israélien, l’écosystème numérique est porté en grande partie par des anciens de l’unité 8200, unité de renseignement de l'Armée de défense d'Israël. Ceci montre la place prise aujourd’hui par les ‘forces cyber’, défensives comme offensives, au plus haut niveau des intérêts stratégiques nationaux », déclare Pierre-Yves Hentzen, Président de Stormshield. Quelle place pour l’Europe dans ces jeux de pouvoir cyber ?
La crise du Covid-19 a mis en exergue la dépendance de l’Europe face à ces grandes puissances sur les questions de souveraineté numérique. Pour autant, « la souveraineté n'est pas synonyme de fermeture et de repli sur soi-même, elle incarne en réalité la liberté : la liberté de rester maître de ses choix, de ses actions, sans être sous le joug d’un tiers. C’est pour cela que j’aime à dire que la souveraineté ne doit pas être considérée au niveau national. J’entends souvent dire ‘il faut protéger et favoriser nos entreprises françaises’ : dit ainsi c’est contre-productif et très réducteur. Il faut davantage un mouvement global pour une Europe solide et reconnue à l’international, souligne Pierre-Yves Hentzen. Détenir des infrastructures numériques européennes est une bonne chose, mais leur intégrité et leur caractère souverain ne sont pas assurés si derrière on utilise des technologies de cybersécurité non-européennes pour les protéger. Avec ces enjeux géopolitiques et les notions de défiance qui en découlent, les critères d’origine ont clairement pris le pas sur des critères purement technologiques pour le choix d’un produit de sécurité. L’Europe doit changer de posture et se poser en acteur. Elle en a les moyens, elle l’a prouvé dans d’autres domaines pour combattre la crise sanitaire et supporter l’économie, elle doit aussi passer à l’action dans le domaine de la cybersécurité. »
Le besoin d’un soutien financier et gouvernemental
La crise du Covid-19 a également révélé un certain retard de l’Europe sur les questions de souveraineté numérique. « Nous n'étions pas prêts. Sur l’exemple des solutions de visioconférences par exemple, ce sont des sociétés américaines comme Zoom qui ont tiré leur épingle du jeu avec une explosion du taux d’utilisation qui a atteint des pics de plus de 200 millions d’utilisateurs par jour. Et ce, alors même qu’il existe des solutions européennes, mais qui se sont révélées limitées au niveau fonctionnel, parfois d’ailleurs pour des raisons de sécurité. En outre, elles peinent à exister par manque de moyens financiers », insiste Pierre-Yves Hentzen. Un coût de sécurisation qui peut avoir comme effet de bord une réduction des investissements en fonctionnalités. « Ce qui pousse à acheter américain, ce n’est pas le fait que d’une question de qualité des produits ; mais également le fait qu’ils soient mieux promus, mieux marketés, complète Pierre-Yves Hentzen. Tout simplement parce qu’ils bénéficient de soutiens financiers qui le permettent. »
Ce qui pousse à acheter américain, ce n’est pas le fait que d’une question de qualité des produits, mais également le fait qu’ils soient mieux promus, mieux marketés. Tout simplement parce qu’ils bénéficient de soutiens financiers qui le permettent.
Pierre-Yves Hentzen, Président de Stormshield
Pour autant, cela semble changer : il a été ainsi annoncé qu’une vingtaine d'investisseurs injecteraient 6 milliards d'euros afin de financer les jeunes pousses de la French Tech. Il ne s’agit pas d’argent public, mais d’argent amené par les plus gros fonds d’investissements français. Problème, en Europe, il semble plus facile d’investir dans les technologies au rendement immédiat. Alors que les applications qui demandent des investissements importants en termes de R&D ne seront pas rentables en une seule année. Ainsi, aujourd’hui, les leaders mondiaux qui peuvent se permettre de tels investissements dans la cybersécurité sont américains ou israéliens. « Les sociétés américaines du secteur sont généralement cotées en bourse, au Nasdaq, et avantageusement financées par des fonds de private equity qui leur permettent d’investir chaque année des centaines de millions de dollars en R&D et en marketing pour capter la croissance des marchés et les dominer. Leur stratégie n’est pas la recherche de rentabilité immédiate mais le gain de parts de marché qui est le driver de leur valorisation. Et malheureusement, nos propres décideurs, que ce soient des acheteurs privés ou publics, alimentent cette mécanique bien huilée, puisqu’ils achètent majoritairement des technologies américaines », témoigne Pierre-Yves Hentzen. À titre d’exemple dans le domaine de la santé, il cite le Health Data Hub, dont l’hébergement des données a été confié dans un premier temps à Microsoft. Cette décision a suscité une levée de bouclier et pour cause : la société française OVHcloud investit lourdement dans ce domaine et aurait pu être un choix stratégique plus légitime pour l’hébergement de données aussi sensibles. Une affaire à suivre donc, tout comme celle Photonis : cette société qui fournit de hautes technologies sensibles aux armées a failli passer sous le giron américain. Le ministère de l’Économie et des Finances a mis son veto à cette vente. Pour autant, la société cherche toujours des investisseurs français et européens, mais faute de trouver une solution acceptable de ce côté-ci de l’atlantique, le dossier pourrait finalement rebasculer côté US…
De l’importance de reprendre le contrôle
Soutien financier et maîtrise des infrastructures vont de pair. La Chine dispose d’un Internet contrôlé par des firewalls natifs afin de ne pas dépendre de l’Occident et notamment des États-Unis. La Russie lui a emboité le pas l’année dernière en isolant son Internet des serveurs mondiaux : un succès selon le gouvernement russe qui souhaite proposer une loi en faveur d'un Internet souverain. « Maîtriser ses infrastructures est devenu un véritable enjeu de pouvoir et cela signifie également maîtriser les moyens de protection. Les USA, la Chine, la Russie l’ont bien compris. Israël a fait le test, il y a quelques mois, de bloquer tous les accès à Internet pour voir si le pays était capable de fonctionner en autonomie. Cette capacité de pouvoir fonctionner de manière autonome est clairement affichée », déclare Pierre-Yves Hentzen. Une mise à l’écart et une forme d’enfermement qui posent la question de la confiance.
Pourtant, on voit aujourd'hui à quel point le sujet devient prégnant : il devient évident que certaines puissances n’hésiteraient pas à recourir à ces moyens-là pour déstabiliser nos fondements mêmes. L’Europe a ici sa carte à jouer avec ses valeurs d’ouverture, de transparence. Quand le RGPD a pour objectif de protéger les individus et leurs libertés individuelles, le Cloud Act aux USA s’abroge le droit d’aller fouiller dans les données de quiconque, même en dehors du territoire américain. Entre ce système très intrusif et celui de la Chine qui s’enferme de plus en plus sur elle-même, l’Europe fait figure d’ouverture et d’acteur de confiance – encore plus après l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne.
Un cadre réglementaire européen à uniformiser
Si le RGPD s’impose comme une référence à l’échelle internationale, le reste du cadre réglementaire européen semble plus disparate. Sur cet échiquier international, trois forces européennes semblent tirer une petite épingle du jeu, principalement par le biais de leur agence de sécurité. La France avec l’ANSSI, l’Allemagne avec le BSI, et dans une vision encore large de l’Europe, le Royaume-Uni avec le NCSC, sont ainsi tous les trois reconnus et accrédités mondialement pour leur rigueur en matière de sécurité et de défense des systèmes d'information. Cependant, force est de constater que l'Europe est un marché fragmenté avec des différences de langues et de cultures, ainsi qu’un ancrage national encore très présent dans les différents États membres. C’est la raison pour laquelle un marché cyber est attribué en général très majoritairement dans le pays de résidence.
Sortir de cette zone de confort revient à devoir multiplier les efforts et les investissements. Il va falloir par exemple effectuer des traductions, accéder à des médias jusqu’alors inconnus, adapter le produit ou le service aux pays. Des efforts et investissements qu’aujourd’hui seuls les gros acteurs peuvent se permettre. Une fragmentation que redoute la Commission européenne notamment dans l’application de la directive NIS. Car si avec la création des Opérateurs de services essentiels (OSE), celle-ci « a servi de catalyseur dans de nombreux États membres où elle a ouvert la voie à un réel changement du cadre institutionnel et réglementaire concernant la cybersécurité », indique un de ses rapports récents, « les interprétations divergent selon les pays quant à la nature d’un service essentiel . Il devient dès lors difficile de comparer les listes de services essentiels ». Pour parer à cette fragmentation, une harmonisation des règles est primordiale : l’ENISA joue alors un rôle important dans la construction d’un marché numérique unique sécurisé, soit l'équivalent du marché unique pour les biens et personnes au niveau du numérique.
En ce sens, et dans le cadre du Cybersecurity Act, des schémas européens de certification vont être conçus pour uniformiser le marché. La première ébauche d’un schéma de certification autour des produits de cybersécurité vient d’être présentée, en se basant sur les cadres déjà existants. Ce schéma a été rédigé par l’ENISA qui s’est appuyée sur l’expertise des États membres et des parties prenantes – comme Stormshield. « L’objectif est de réduire cette fragmentation, éviter qu’une entreprise adopte une certification en fonction du pays où il souhaite commercialiser son firewall, par exemple, et que se multiplient les normes nationales, confirme Philippe Blot, Lead Expert Certification au sein de l’ENISA. L'idée est de créer des chemins européens, une gouvernance européenne, où toutes les parties prenantes s’accordent sur les règles du jeu. La certification est un élément clé de la confiance. Il s’agit, pour le produit, de passer une sorte d’épreuve du feu auprès d’un tiers. Ce doit être quelqu’un d’accrédité, indépendant de celui qui soumet l’offre, et qui soit supervisé par les autorités nationales mises en place dans le cadre du schéma. Cette confiance renforcée va permettre d’offrir plus de transparence dans les offres. En sus, il va permettre d’ouvrir le marché auprès de 500 millions de personnes. »
L'idée est de créer des chemins européens, une gouvernance européenne, où toutes les parties prenantes s’accordent sur les règles du jeu.
Philippe Blot, Lead Expert Certification au sein de l’ENISA
Prochaine étape avec le Cloud. L’ENISA s’est en effet vu confier la mission de préparer un schéma européen de certification de cybersécurité pour les services Cloud par la Commission européenne. Un projet qui fait écho à celui de Gaia-X, la plateforme européenne de Cloud visant à construire une infrastructure de données fiable et sécurisée pour l’Europe, notamment dans le domaine de la santé. « Les technologies de chiffrement utilisées doivent être de confiance, et les clés doivent être détenues par l'entreprise elle-même ou par un acteur de confiance. Où qu’elles soient stockées, je dois pouvoir récupérer mes données : cette notion de réversibilité est primordiale et l’Europe doit travailler en ce sens », déclare Pierre-Yves Hentzen.
Une Europe un peu trop modeste
Mais l’Europe ne serait-elle pas un peu trop modeste ? « Les USA, l’Asie, Israël, ont développé une culture forte de l'entreprenariat : monter une startup là-bas est considéré comme une réelle opportunité de carrière. Les gouvernements les aident, les encouragent en ce sens et les réglementations y sont plus souples qu’en Europe. Les champions du numérique ont plus de chance de naître là-bas », affirme Markus Braendle, Head of Airbus CyberSecurity.
Pour autant, l’Europe n’a pas à rougir. Elle héberge en son sein de belles compagnies de cybersécurité très compétentes. Elle dispose également d’universités classées au rang mondial en matière de recherche en cybersécurité, avec des ingénieurs cyber de grand talent. « Je pense que nous sommes trop modestes et que nous sous-estimons nos capacités traditionnelles. Nous sommes, de plus, au cœur d’une nouvelle révolution industrielle avec l’Industrie 4.0, avec des leaders industriels en aérospatial, en industrie automobile, en pharmacologie, en chimie, que beaucoup nous envient. Nous possédons un savoir-faire inégalé, des connaissances uniques et cela implique d’autant plus de risques cyber. En ce sens, l’Europe doit se poser la question de savoir jusqu’à quel point elle souhaite dépendre des autres en matière de cybersécurité, et trouver le juste équilibre », conclut Markus Braendle.