« Il est primordial que les États adoptent ce chemin, puisqu’il est de plus en plus utilisé par les cybercriminels ».

Ambrose Bierce (journaliste américain du XIXème siècle) disait qu’une frontière est une « ligne imaginaire entre deux nations, séparant les droits imaginaires de l’une des droits imaginaires de l’autre ». Il aurait été intéressant de savoir comment il aurait défini le cyberespace. Cet espace poreux, avec une grande partie de l’espace immatériel, a pris le dessus dans nos vies, tout du moins dans le monde occidental, où une grande partie de nos actions passent par des ordinateurs, qu’on le souhaite ou pas. Malgré son caractère « imaginaire » et « sans frontières », il a des conséquences – qu’elles soient positives ou négatives – dans le monde physique, qui essaie, comme il peut, d’y imposer des frontières. La liberté que permet cet espace est, à la fois, ce qui le rend si positif, avec la possibilité de trouver toutes les informations qu’on souhaite grâce à un « clic », de rencontrer des personnes du monde entier, ou de « voyager » grâce à certains sites web ; mais c’est aussi ce qui le rend aussi vulnérable et attractif pour des crimes ou pour des attaques.

            L’Union européenne, de nos jours, coopère dans le plus de domaines possibles, et le cyberespace n’y échappe pas. Cependant, étant un domaine récent, en pleine expansion, et changeant, cela n’est pas sans difficultés. Comment 27 pays* peuvent-ils s’organiser dans un domaine qu’ils ne maîtrisent pas encore, pour combattre des crimes et se défendre ?

Cyberdéfense vs. Cybersécurité

            La coopération au niveau de la Défense a toujours été quasi-inexistante au sein de l’Union européenne, pour plusieurs raisons, mais la principale étant une question de souveraineté. Cependant, depuis quelques années, il y a une volonté de changement. Nous n’en sommes qu’aux prémices, mais il est pertinent d’évoquer le cyberespace dans ce cadre. En effet, le Manuel de Tallinn précise qu’une cyber-attaque peut blesser ou causer la mort de personnes, ainsi que nuire ou détruire des objets. C’est pour cela que cet espace est considéré par beaucoup, dont l’OTAN, comme le cinquième domaine de la guerre, après la terre, la mer, l’air et l’espace. C’est ainsi que la Politique de Sécurité et de Défense Commune (PSDC) a décidé de mettre en place un Cadre Politique pour la Cyber Défense en 2014, dont un des objectifs est de développer une défense contre les violations de cybersécurité dans des infrastructures qui soient critiques, notamment à travers l’élaboration d’une politique de cyberdéfense. De plus, ses priorités sont les suivantes : « soutenir le développement des capacités de cyberdéfense des États-membres […] ; accentuer la protection des réseaux de communication de la PSDC […] ; promouvoir la coopération civilo-militaire et synergies avec des plus larges cyber-politiques de l’UE, des institutions et agences pertinentes de l’UE ainsi qu’avec le secteur privé ; améliorer l’entraînement, l’éducation et les opportunités d’exercices conjoints ». Il y a un dernier point important à soulever concernant la cyberdéfense au sein de l’Union Européenne : une clause a été incluse dans le Traité de l’Union européenne, appelée Clause de Solidarité, qui met en place l’obligation pour les États-membres et les institutions de l’UE de coopérer, agir conjointement et de s’assister mutuellement dans le cas d’un désastre ou de crises excédant leur capacité individuelle de réponse. Dans ce cadre, il est important de savoir si le cyberespace peut être inclus dans l’interprétation de cette clause ; tout en tenant en compte que cela ne fonctionnerait que pour aider avec les conséquences d’une cyber-attaque et pas dans le cadre de l’attaque elle-même.

            La cyberdéfense est ainsi de plus en plus évoquée au sein de l’Union européenne, mais c’est dans le domaine de la cybersécurité qu’il y a le plus de développements – qui suivent donc le modèle de l’UE qui donne une plus grande importance à la coopération policière contrairement à la coopération dans le domaine de la défense. Pour comprendre ce que l’UE fait dans ce domaine, nous pouvons prendre pour exemple les objectifs évoqués par l’Agenda Européen sur la Sécurité, datant de 2015 pour la période allant jusqu’en 2020, et qui a, parmi ses trois priorités, de combattre le cyber-crime. Ainsi, il y a une volonté de mettre en place des politiques sur la cybersécurité, de développer la législation sur la lutte contre la fraude et de travailler sur les obstacles aux investigations sur le cyber-crime. Certains de ces objectifs sont en lien avec la Stratégie du Marché Unique Numérique, qui permet davantage le développement d’une cybersécurité.

            L’Union européenne a ainsi une volonté de développer ses capacités cyber d’un point de vue défensif, et pas offensif, notamment à travers le domaine légal. L’implication militaire et du domaine de la défense reste à être développée, comme à l’image de la PSDC en général. Cependant, au niveau international, l’UE se veut tout de même un acteur de référence dans le domaine du cyber, à la fois concernant la sécurité et la législation. Selon Gonçalo Carriço (Policy Officer pour l’EPP), « cela lui permettra de promouvoir les valeurs de base de l’UE qui sont la démocratie, les droits humains et le respect de la loi, y inclut la liberté d’expression, l’accès à l’information et le droit à la vie privée ».

La difficile mise en place d’une coopération

            Plusieurs éléments mettent en difficulté le développement d’une coopération au niveau cyber, que celle-ci se fasse au niveau de la sécurité ou de la défense. Nous pouvons tout d’abord évoquer la difficulté à attribuer les attaques, qui est un des principaux problèmes pour les États, non seulement à niveau national mais aussi pour leur permettre de travailler ensemble. Le problème n’est pas que technique (difficultés de retracer d’où vient l’attaque, qui l’a perpétrée, est-ce que cela a été commandité par un État, un groupe, etc.), mais aussi judiciaire puisque de la même façon qu’il faut une coopération entre pays dans le monde physique, cela est aussi vrai pour le monde cyber. Alix Desforges (chercheuse au sein de la chaire Castex de Cyberstratégie) nous explique que « les services de police et de gendarmerie spécialisés dans la lutte contre la cybercriminalité sont tous les jours confrontés aux vraies barrières juridiques créées par les frontières », et que « pour certains experts, il serait même possible d’identifier la source pour 80% des attaques informatiques si les acteurs concernés acceptaient de coopérer ».

            La législation dans le domaine du cyber est encore trop récente pour la plupart des États. Cela non seulement signifie qu’il y a des législations différentes de pays en pays, mais aussi qu’elles sont développées à des niveaux différents. Cela accentue davantage la difficulté de mettre en place des coopérations, notamment multilatérales. Mais une coopération à ce niveau implique aussi une grande confiance entre États, qui est à la source des problèmes de coopération, notamment au niveau juridique. En effet, coopérer dans ce domaine signifie que les États doivent s’échanger des informations, non seulement sur les données qu’ils ont pu recueillir, mais aussi sur leurs systèmes de fonctionnement, leur capacité et leur stratégie. Ce sont ainsi des informations qui pourraient être utilisées contre eux, d’autant plus que l’espionnage est accru dans ce monde et plus facile à être mis en place. « Ainsi la mise en œuvre d’une coopération internationale résulte d’un difficile compromis entre la nécessité de coopérer à petite échelle pour faire face aux enjeux globaux de l’internet et l’exigence de la sauvegarde de sa propre sécurité ». C’est, d’ailleurs, ce qui explique qu’au niveau de la cyberdéfense très peu d’avancées aient eu lieu. De plus, beaucoup de pays-membres de l’UE appartiennent également à l’OTAN, qui a davantage développé ce volet, ce qui fait que les États vont avoir tendance à plus miser sur cette coopération multilatérale que sur celle de l’Union.

Cela aboutit à deux conséquences : la coopération dans ce domaine ne se fait que dans un but défensif, et les coopérations bilatérales sont privilégiées. Ainsi de nombreux États membres de l’Union européenne coopèrent bilatéralement entre eux, mais au niveau multilatéral des progrès restent à faire. Les institutions européennes doivent elles aussi renforcer leur coopération pour que des avancées dans ce domaine aient lieu, telles que l’Agence Européenne de Défense, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), le Centre sur le Cyber-crime Européen (EC3), et l’Équipe d’intervention en cas d’urgence informatique (CERT-EU).

Focus sur la coopération policière dans le domaine cyber

            L’agence la plus importante pour la coopération policière au sein de l’Union européenne est sans doute l’EUROPOL. Celle-ci a créé en 2013 l’EC3, dont le but est de « renforcer les réponses en matière d’application de la loi concernant le cyber-crime dans l’UE et ainsi aider à protéger les citoyens et les entreprises européens ». Cela permet ainsi d’avoir une unité de combat contre les cyber-crimes qui peut aussi agir plus rapidement en cas de cyber-attaque. Ses principales missions concernent les cyber-crimes commis par les groupes organisés, ceux qui affectent gravement les victimes (comme les cas d’exploitation sexuelle sur mineurs) et ceux pouvant toucher des infrastructures et systèmes d’information critiques de l’UE. Pour ce faire, l’EC3 opère sur le renseignement cyber, les crimes high-tech, l’exploitation sexuelle de mineurs, la stratégie de paiements frauduleux, le soutien et la sensibilisation, le développement et la stratégie et l’expertise médico-légale dans le domaine du cyber. De plus, le centre fait également des analyses, concernant le Deep et le Darkweb notamment, ce qui permet aussi aux États membres, individuellement, de mieux comprendre et combattre le cyber-crime. Pour connaître plus spécifiquement ses objectifs et ses actions, l’EC3 publie tous les ans le IOCTA, une évaluation sur les menaces du crime organisé sur internet.

            Un autre organisme qui doit être évoqué est l’ENISA, mentionnée ci-dessus et créée en 2004. Son objectif est évoqué dans son nom, mais elle est également « chargé[e] d’impulser une politique européenne de SSI [sécurité des systèmes d’information] commune aux États membres ». Elle se veut ainsi un expert en cybersécurité et fait le lien entre différentes institutions et entreprises européennes. Cependant, elle n’a pas un caractère contraignant, et certains critiquent son manque de pouvoir.

Une coopération récente mais pas sans succès

            EUROPOL est à l’origine d’un certain nombre de succès dans ce domaine, sous plusieurs initiatives. Les résultats visibles datent surtout de 2015, puisque les informations à ce sujet sont sensibles et pas publiques dans l’immédiateté. Nous pouvons tout d’abord évoquer le J-CAT (Joint Cybercrime Action Taskforce), qui est une initiative qui n’appartient pas à EUROPOL directement, mais qui travaille à partir de son siège et qui est également soutenue par l’EC3. Il n’avait pour durée de vie que 6 mois, à partir de 2014, et avait pour missions de lutter contre les crimes high-tech (malware, botnets, intrusions), les crimes de facilitation (blanchiment d’argent, des services de contournement des anti-virus, etc.), la fraude en ligne, et plusieurs formes d’exploitation d’enfants en ligne. Grâce à ses succès, le programme a été renouvelé et est toujours en place.

            EUROPOL, quant à lui, a servi de coordinateur dans de nombreux cas, comme l’opération Darkode, l’opération Ramnit, le JIT Mozart ou l’opération Travel. Darkode était un des plus grands forum cybercriminels au monde, et pour faire fermer le site, il a fallu une coopération au niveau mondial, avec non seulement les pays de l’UE mais aussi les États-Unis, le Brésil et l’Australie, entre autres. EUROPOL a facilité les activités légales tout au long de l’opération, et a mis en place un poste de commandement avec un lien direct sécurisé entre eux et le poste de commandement aux États-Unis. En tout, cela a permis de non seulement fermer le site-web, mais aussi l’arrestation de 28 personnes. Ramnit a rencontré un succès similaire : c’était un botnet (logiciel malveillant mis en place dans un réseau privé, et contrôlé par un groupe de personnes sans que le propriétaire en soit au courant) qui avait infecté 3,2 millions d’ordinateurs dans le monde. Dans cette opération, outre des forces de l’ordre de certains États membres, ont également été inclus Anubis Networks, Microsoft et Symantec, trois partenaires du secteur privé. Dans l’opération concernant l’équipe d’enquête conjointe en Ukraine (JIT Mozart), nous pouvons également noter la participation d’Eurojust, la coopération judiciaire en Union européenne. C’est une des plus grandes opérations soutenues par l’EC3 que nous pouvons noter, et le centre y a participé à travers la mise en place « d’une stratégie globale et l’identification de liens cruciaux entre les attaques de malware et les différentes investigations. De plus, le travail analytique et l’analyse médico-légale d’Europol ont aidé à faire le lien entre les suspects et les crimes […] ». Cette opération a permis l’arrestation de 60 personnes dans de nombreux pays, ainsi que le démantèlement d’un groupe cybercriminel responsable de cyber-attaques contre des banques en Europe, en Amérique, en Australie et en Asie. De nos jours, les informations recueillies continuent d’être utilisées pour suivre la trace des cybercriminels toujours en liberté. Nous pouvons également évoquer deux opérations mises en place avec les forces de l’ordre roumaines, l’opération Travel, et une opération concernant des attaques de malware à travers les ATM. La première a permis l’arrestation de 50 personnes, dont quatre leaders d’un groupe de crime organisé, suite à des ventes de faux billets d’avion sur Internet ainsi que le vol d’informations de cartes de crédit. Enfin, nous pouvons évoquer l’opération Falling sTAR, qui est en rapport avec le virus Trojan à des fins cybercriminelles. EUROPOL a mis en place des réunions de coordination, a rassemblé des informations de renseignement, et a fourni du soutien analytique aux neufs pays européens inclus dans l’opération.

            Ce ne sont que certains exemples parmi d’autres concernant les actions policières menées au niveau cyber dans l’Union européenne. De la même façon que la coopération policière concernant des cas « physiques » s’est renforcée au long des dernières années, la coopération cyber se met en place et délivre, malgré les difficultés, certains résultats. Cependant, le cyberespace se développe à une très grande vitesse, et les problèmes qui en découlent n’en sont pas une exception.

Quels sont les principaux défis du cyberespace ?

         Depuis 2016, il y a certains domaines qui sont particulièrement enclins à subir des cyber-attaques, tels que les services financiers, la manufacture et les télécommunications. Le « ransomware » (logiciel malveillant conçu pour bloquer l’accès à un système informatique jusqu’à ce qu’une certaine somme d’argent soit payée) a notamment été très utilisé, comme pour l’attaque Locky, qui a affecté plus de 50 pays, ou plus récemment WannaCry, qui a affecté plus de 230 000 ordinateurs dans plus de 150 pays. Ces attaques peuvent être très dangereuses puisqu’outre les conséquences financières, ils ciblent souvent l’industrie de la santé (cela constitue 88% des « ransomware »), à travers des hôpitaux, mettant ainsi la vie de personnes en danger. Ce genre de structures sont choisies puisque les cybercriminels ont l’assurance d’être payés. Cependant, en Europe, actuellement la principale cible d’attaques sont les gouvernements, notamment les ministères des Affaires étrangères ou de la Défense. La scène politique semble également devenir un centre d’intérêt, avec, par exemple, les élections présidentielles.

Un autre domaine qui subit de façon croissante les cyber-attaques est l’aviation, que ce soient les compagnies aériennes, les fabricants d’aéronefs, les systèmes de transport aérien ou les autorités travaillant dans ce domaine. Non seulement il est de plus en plus en risque, mais il y a aussi une difficulté pour les États de l’Union européenne de coopérer dans la matière, notamment pour s’échanger dans les informations, affirme Pascal Andrei, responsable de la sécurité des aéronefs à Airbus. Dans ce cadre, il faut faire coopérer à la fois différents États et différentes industries, ce qui complique davantage la mise en place d’une coopération efficace. Pour Andrei, « les institutions européennes devraient jouer le rôle de ‘directeur musical’ afin d’harmoniser les spécifications et exigences pour les fabricants, compagnies aériennes, aéroports, fournisseurs, et systèmes de gestion du trafic aérien ».

Cependant, nous pouvons noter qu’un des plus grands problèmes que les pays de l’Union européenne ont à régler concerne le terrorisme. Et celui-ci touche également le monde cyber. EUROPOL explique que c’est notamment cela qui permet d’expliquer le phénomène djihadiste du « loup solitaire ». Déjà en 2005, Ayman al-Zawahiri, chef stratégique d’al-Qaïda, parlait de l’importance des médias. En effet, les médias ainsi qu’Internet sont populaires dans les milieux terroristes depuis les années 1990, et le « Digihad » est une étape importante dans la radicalisation d’individus, « à travers la dissémination de vidéos de propagande violentes, des manuels techniques et tactiques et des documents doctrinaux ». Depuis 2010, il y a l’expansion de ces idées, due à la première édition d’un magazine en ligne djihadiste en anglais (Inspire). Ainsi, il y a des tutos dans le Web, dans des forums et des blogs, qui expliquent comment mettre en place une attaque, et ainsi faire en sorte qu’il y ait des « combattants de djihad auto-proclamés », phénomène qui marque de plus en plus les attaques actuelles. Cette appropriation d’Internet par des organisations terroristes s’appelle le « Cyber-Djihad », ce qui a poussé à la création d’un « Cyber Califat Uni ». Cela est ensuite lié aux médias puisque ce sont eux qui peuvent fortement influencer les personnes, et qui, en fin de compte, permettent une telle visibilité à ces organisations et aux terroristes ayant été physiquement totalement détachés de celles-ci.

Dans son rapport datant de 2017, EUROPOL dit clairement que la prévention et la lutte contre cette radicalisation, qui se fait à travers le cyberespace, « représente un challenge complètement nouveau pour les forces de l’ordre, capital pour comprendre l’évolution de la menace terroriste et son potentiel changement dans un certain ‘État d’Esprit Islamique’ ; avec un impact important dans le phénomène du ‘loup djihadiste’ ».

Une amélioration continue de la coopération

            Pour mieux combattre les menaces évoquées jusqu’à présent, notamment la menace de radicalisation qui mène à la menace terroriste, la Commission a présenté en juin son 8ème rapport sur le progrès accompli concernant une Sécurité de l’Union qui soit efficace, afin d’accélérer le processus de sécurité des citoyens de l’UE. Cela advient un an après la présentation de mesures concrètes pour que les États membres soient capables de lutter contre la radicalisation, à la fois en ligne et hors ligne. La Commission travaille ainsi avec des compagnies importantes depuis 2015, notamment le EU Internet Forum, afin de détecter et éliminer du contenu terroriste trouvé dans le web. La Commission conseille également aux États membres de mettre en place des Unités de Référence Internet, qui viendraient en complément de l’Unité de Référence Internet d’EUROPOL afin de trouver plus efficacement ce genre de contenu. En outre, la Commission veut établir un Groupe d’Experts en Radicalisation, afin d’accroître l’impact des politiques de l’UE dans ce domaine. La partie « offline » concerne le renforcement d’initiatives d’intégration et de soutien social qui sont conduits dans l’espace cyber depuis de nombreuses années, parmi lesquelles la Commission évoque l’Erasmus+ ou le Pilier Européen de Droits Sociaux. En outre, pour lutter contre le financement terroriste, une nouvelle approche a été proposée concernant l’interopérabilité des systèmes d’informations des pays-membres.

            D’autres efforts sont en cours dans le domaine de la cybersécurité, notamment suite à la mise en place du Marché Unique Numérique, et la Commission a affirmé que certaines actions doivent être mises en place, telles que de renforcer les systèmes et les réseaux, à travers le financement de 14 États membres appartenant au réseau CSIRT (Équipes d’intervention en cas d’incident informatique) et celui de l’EC3. De plus, la Commission se rend compte de l’importance d’améliorer la coopération au niveau législatif, afin d’avoir un accès plus facile à des preuves électroniques.

            De la même façon, la directive sur la Sécurité de l’Information Réseau a été renforcée, et à partir de 2018 elle « imposera aux États-membres et aux opérateurs d’infrastructures d’augmenter la base de leurs capacités de cybersécurité ». Toujours dans cet élan de nouveaux projets, le président de la Commission, Jean-Claude Juncker a fait appel à la mise en place d’une agence de cybersécurité dans son discours de l’état de l’Union, voulant en réalité dire que l’ENISA, agence de cybersécurité européenne déjà en place, sera renforcée, avec un nouveau mandat, et sûrement un nouveau budget ; en effet, jusqu’à maintenant, cette agence avait des pouvoirs très limités. Ainsi, ce renforcement permettra « l’assistance à des pays de l’UE qui subissent des cyberattaques et leur préparation à des exercices cyber annuels ».

            En réalité, le cyberespace est, quelque part, infini. Il n’a pas totalement un territoire physique, presque tout y est immatériel. Sa régulation est ainsi très difficile à mettre en place. Elle n’est cependant pas impossible, puisque des pays tels que la Chine arrivent à imposer une certaine censure (malgré le fait qu’elle ne soit pas infaillible). Cependant, il reste possible de combattre, jusqu’à un certain niveau, le cyber-crime, et de prévenir des cyber-attaques. Il est primordial que les États adoptent ce chemin, puisqu’il est de plus en plus utilisé par des cybercriminels. Beaucoup de pays ont des retards en la matière, et ils doivent rapidement le rattraper, pour ne pas être perdus dans la vitesse de développement de cet espace. La lutte contre le cyber-crime oblige à une certaine coopération, puisque celui-ci outrepasse les frontières. Il est donc important que les pays au sein de l’Union européenne puissent se mettre d’accord sur des législations communes, qui leur permettront une plus grande efficacité, et qui peuvent, éventuellement, paver le chemin pour une cyberdéfense commune.

* le Royaume-Uni étant en phase de sortie de l’Union Européenne

 

Carolina Duarte de Jesus

 

Pour en savoir plus :

Citations, LeMonde, 2017, [consulté en ligne le 11/09/2017]. http://www.lemonde.fr

Clause de Solidarité, EUR-Lex, 2017, [consulté en ligne le 12/09/2017]. http://eur-lex.europa.eu

« En Chine et en Russie les VPN sont interdits par la censure », LeMonde, 2017, [consulté en ligne le 12/09/2017]. http://www.lemonde.fr

“EU cybersecurity initiatives, working towards a more secure online environment”, European Commission, 2017, 8 pages

“Tallinn Manual on the International Law Applicable to Warfare”, NATO, 2013, 302 pages

“The EC3 Bulletin”, EUROPOL, 2016, nº7, 36 pages

“What you need to know about the WannaCry Ransomware”, Symantec, 2017, [consulté en ligne le 11/09/2017]. http://www.symantec.com

CARRIÇO Gonçalo, “Strengthening the EU’s Resilience in the Virtual Domain”, Wilfried Martens Centre for European Studies, 2017, 16 pages

DESFORGES Alix, « La coopération internationale et bilatérale en matière de cybersécurité : enjeux et rivalités », IRSEM, 2013, nº16, 18 pages

EC3, First Year Report, 2014, 32 pages

EUROPOL, General Report on Europol Activities 2015, 2015, 52 pages

EUROPOL, “The “Jihadi wolf” threat”, 2017, 11 pages

FireEye, “Cyber threats: A perfect storm about to hit Europe?”, Marsh&McLennan Companies, 2017, 24 pages

STOA, “Cybersecurity in the EU Common Security and Defence Policy (CSDP)”, EPRS, 2017, 94 pages

TEFFER Peter, “EU’s existing cybersecurity agency will be beefed up”, euobserver, 2017, [consulté en ligne le 13/09/2017]. http://www.euobserver.com

VALERO Jorge, “Europe struggles to tackle cyber-attacks in aviation”, Euractiv, 2017, [consulté en ligne le 07/09/2017]. http://www.euractiv.com