INTERNATIONAL - Gendarmerie nationale
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
INTERNATIONAL
© mixmagic - EU GDPR data bits and bytes wave ripples
CYBERSÉCURITÉ COLLABORATIVE :
DE LA SOUVERAINETÉ A L’INTÉGRATION
Cet article de chercheur esquisse les horizons de la construction d’une cybersécu-
rité européenne collaborative selon trois approches. La première décrit des États
qui rythment leur transposition nationale de la législation européenne, non sans
lourdeur et quelques divergences liées à l’expression de souverainetés numériques,
et qui freinent des progrès coordonnés au regard de contraintes géostratégiques
et de la nature des cybermenaces. L’imbrication des actions sous la forme
d’une gouvernance multiniveaux de réseaux et de capacités de recherche constitue
une seconde voie. Ces collaborations transnationales favorisent les partenariats
et la construction de projets européens et des réponses plurielles mais parfois
complexes à appréhender dans une stratégie globale. Enfin, une intégration
européenne par étapes, selon une approche néo-fonctionnaliste, reposerait
sur l’obtention d’une cybersécurité normative et serait l’incarnation d’une méthode
communautaire renouvelée. Sa conséquence directe serait un rapprochement
des législations nationales qui caractériserait un modèle européen de cybersécurité
collaborative dégageant un corpus juridique spécifique.
4 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL
L’Europe de la cybersécurité
au prisme de la souveraineté, des flux
et de l’intégration
Par Pierre Berthelet
L’
L’objectif de cet article est de présenter
une lecture conceptuelle de la cybersé-
curité européenne voulue comme « col-
lective et collaborative ». Il est possible
un accord en vertu duquel ils considèrent
que la sécurité de l’un d’entre eux est
l’affaire de tous.
de dégager trois grilles de lecture dis- La deuxième lecture correspond à une
tinctes : une sécurité par « le bas » en sécurité « collective et collaborative » en
adoptant une approche par la souverai- réseau. Cette sécurité se présente comme
neté nationale, une sécurité transver- une « forme d’auto-organisation non
sale en privilégiant une approche par centralisée ».
les flux transnationaux et une imbrica-
tion des strates, enfin une sécurité par La troisième et dernière lecture insiste sur
« le haut » en optant le mouvement d’intégration que connait la
pour une approche cybersécurité européenne. Cette dernière
par l’intégration ne correspond pas à une sécurité sur-
européenne. plombant celle des États membres. Elle
est en revanche le fruit d’une construction
La première lecture progressive, expression de solidarités
PIERRE
correspond à une nationales toujours plus fortes.
BERTHELET sécurité « collective
Docteur en droit, et collaborative » sta- Une lecture sous l’angle
chercheur associé to-centrée. Les États de la souveraineté nationale
au CESICE
(Université de l’Union définissent La théorie intergouvernementaliste
de Grenoble). les contours de cette souligne la prééminence du rôle des États
Chercheur associé
au CREOGN sécurité en concluant dans le processus décisionnel européen.
1er trimestre 2021 Revue de la Gendarmerie Nationale 5
INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
(1) Hoffmann, S., Elle insiste sur leur poids en matière opérationnelle, il est possible
« Obstinate or
Obsolete? The Fate
dans ce processus d’évoquer le protocole de lutte contre les
of the Nation-State et souligne les obstacles menaces hybrides de 2016 (EU Playbook).
and the Case of
Western Europe », à l’intégration européenne Cet outil s’inscrit dans une logique
Daedalus, vol. 95,
n° 3, 1966, inhérents à la souveraine- intergouvernementale, une telle action
p. 862-915. té de chacun d’eux1. s’opérant à ce sujet en liaison avec
d’autres organisations internationales,
Une telle théorie, qui met en évidence en premier lieu l’OTAN. Il complète ainsi
l’importance pour les États de coopérer, d’autres structures telles que la cellule
s’applique à la cybersécurité européenne. de fusion de l’Union européenne contre les
La coopération européenne menée menaces hybrides et qui constitue le point
en matière de cybersécurité n’interdit focal pour l’évaluation de telles menaces.
pas des avancées dans la construction
européenne, bien au contraire. C’est le Les États rythment donc une collaboration
cas d’une plateforme en ligne restreinte qui rencontre un ensemble de limites.
entre la Commission et le Service euro- L’une d’entre elles a trait à la mise
péen pour l’action extérieure recensant les en œuvre effective de la législation
outils employés pour contrer les menaces en matière de cybercriminalité. L’Union
hybrides. C’est aussi celui du projet d’une s’est dotée d’un arsenal législatif consé-
unité conjointe de cybersécurité visant à quent mais le droit reste mal appliqué.
permettre une coordination opérationnelle (2) Saurugger, S., Il ressort de certaines ana-
F. Terpan.
englobant un mécanisme d’assistance « Resisting ‘New
lyses juridiques que cette
mutuelle en période de crise. Modes of Gover- réticence n’est pas une
nance’ through
Policy Instruments anormalité de l’exécution
», Comparative
La coopération opérationnelle se trouve European Politics, du droit, mais au contraire
au cœur de cette coordination qui se veut vol. 14, n° 1, 2016, une des conséquences
p. 53–70.
structurée. Ainsi, les États consentent directes du poids des
à l’élaboration d’un socle commun de États sur la mise en œuvre des normes
règles communes en matière de cyber- juridiques2.
sécurité pour les institutions et organes
de l’Union. Il s’agit de favoriser l’échange Une autre limite concerne l’élaboration par
sécurisé d’informations des infrastruc- l’Union de capacités propres. Ainsi en est-il
tures numériques de ces institutions et de l’Agence européenne de cybersécurité
organes de l’UE à partir d’une coopération (ENISA), qui ne constitue pas une agence
opérationnelle articulée autour de l’équipe disposant des capacités opérationnelles
d’intervention en cas d’urgence informa- similaires à celles des États membres,
tique (CERT UE). Parmi d’autres avancées telles que l’ANSSI en France. Un rapport
6 Revue de la Gendarmerie Nationale 1er trimestre 2021INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
de l’Assemblée nationale secteurs critiques, il souligne que l’identifi-
(3) Assemblée
nationale, Rapport rappelle à cet égard que cation des OES demeure encore considé-
d’information
déposé par la l’ENISA constitue une rablement fragmentée dans l’ensemble de
commission des
affaires européennes
agence facilitatrice, mais l’Union. Ainsi, il existe une résistance
sur l’avenir de qu’elle n’est, en aucun étatique forte qui freine la construction
la cybersécurité
européenne, cas, un organe suprana- européenne. D’ailleurs, ce rapport ne
n° 2415 , déposé(e)
le jeudi 14
tional de cybersécurité promeut pas une révision de la directive,
novembre 2019. de l’Union3. mais seulement davantage de réunions
de groupes de travail et l’instauration
Selon la pensée intergouvernementaliste, de lignes directrices afin de faire converger
la structuration de la cybersécurité les approches nationales.
européenne dépend de la volonté des
États, en particulier en matière d’infrastruc- Une lecture sous l’angle des flux
tures critiques. Ceux-ci possèdent la liberté transnationaux
de renforcer leur collaboration certes, mais Pour une autre approche, cette grille de
aussi ils ont aussi la capacité de la limiter. lecture sous l’angle de rapport opposant
À cet égard, la structuration impliquant les les États soucieux de préserver leur sou-
« opérateurs d’importance vitales » (OIV), veraineté et l’Union n’est pas pertinente.
ou les opérateurs de services essentiels Suggérant une conception transversale
(OES) dans le jargon de la cybersécurité, elle part de l’idée qu’il
européen, constitue une existe une interpénétration des sphères
(4) Dunn-Cavelty,
M., « The socio- limite. Il s’agit d’un secteur conduisant à un brouillage des secteurs
political dimensions
of critical information
sensible au sein duquel les (public et privé) et des niveaux (national
infrastructure États membres demeurent et européen).
protection (CIIP) ».
International Journal en charge de la désigna-
of Critical Infrastruc-
tures, 1(2), 2005, tion et de la gestion La cybersécurité européenne se déploie
p. 258-268. de ces infrastructures4. sous forme d’interactions diverses. Les
(5) La directive Un rapport remis par la analyses de la gouvernance multi-niveaux,
(UE)2016/1148
du Parlement euro- Commission européenne (6) Hooghe, L.,
comme théorie alternative
péen et du Conseil
du 6juillet 2016
sur l’évaluation de la Marks, G., à l’intergouvernementa-
Multi-Level
concernant des directive SRI5 précise que Governance lisme, appréhende l’Union
mesures destinées
and European
à assurer un niveau si ce texte a enclenché un Integration, Lanham,
sous l’angle d’une
élevé commun de
sécurité des réseaux processus crucial d’aug- imbrication de différentes
Rowman & Littlefield
Publishers, coll.
et des systèmes mentation et d’améliora- strates6. La cybersécurité
Governance
d’information
in Europe Series,
dans l’Union1 tion des pratiques 2001. européenne, en tant que
(directiveSRI).
de gestion du risque « sécurité coopérative
des opérateurs dans les et collaborative », apparaît ainsi sous la
1er trimestre 2021 Revue de la Gendarmerie Nationale 7INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
perspective d’une sécurité de nature Tous ces réseaux constituent
multi-niveaux. La création du Réseau des enceintes de dialogue et de réflexion
judiciaire européen anti-cybercriminalité, propices à l’adoption de normes
élaboré en 2016, apparaît comme techniques et de droit mou (soft law).
l’illustration de ce mouvement de réticulari-
sation à l’œuvre, à l’instar du Réseau L’action menée par l’Union concernant
de compétences en cybersécurité qui fait les infrastructures liées à la 5G est un autre
l’objet depuis 2019 d’une exemple. Cette action s’organise autour
(7) ttps://eur-lex.euro-
pa.eu/legal-content/ proposition de règlement d’une recommandation non contraignante
EN/HIS/?uri=CELE
X:52018PC0630&q en cours de discussion7. de la Commission européenne. Le constat
id=1537349553647&-
sortOrder=asc
Ce réseau, connecté au est un risque de perturbations systémiques
Centre européen de et généralisées de ces réseaux. Différentes
compétences industrielles, technologiques mesures ont été adoptées au sein de ce
et de recherche en matière de cybersécuri- cadre d’une gouvernance informelle, dans
té visera à assurer la mise en commun le contexte d’une « boîte à outils » relative à
et le partage des capacités de recherche la 5G. Elle incarne le caractère innovant des
ainsi que des résultats en matière instruments mis en place, souligné par les
de cybersécurité. tenants de la gouvernance multi-niveaux.
© Master 1305 - Adobe stock
La voie de programmes mobilisant des acteurs multidisciplinaires et provenant tant des puissances
étatiques que des groupes privés permet de fait la production d’une norme qui s’impose aux tenants
de thèses souverainistes.
8 Revue de la Gendarmerie Nationale 1er trimestre 2021INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
Ces outils, fondés sur des dispositifs Dans le cadre de ce programme pour la
contraignants, promeuvent une approche recherche et l’innovation, les collaborations
horizontale visant à mettre en réseau des se forgent par l’encouragement et la
acteurs existants ; le but est de faciliter stimulation.
certains flux, en l’occurrence des données.
En effet, la cybersécurité européenne est
Le système d’alerte rapide de l’UE en vue comme une réponse collective et
matière de cybercriminalité est un exemple. plurielle impliquant toutes les composantes
Élaboré conjointement entre Europol de la société. Autrement dit, les procédés
et l’ENISA, il vise à permette une meilleure d’identification des menaces, autant que
circulation de l’information en cas d’aggra- ceux qui concernent la résilience et la
vation de la cybercriminalité, vue elle-même réaction, requièrent une action coordon-
comme un phénomène fluctuant, qu’il née et des acteurs diversifiés : institutions
importe de mesurer et d’endiguer. et agences de l’Union, États membres,
entreprises, milieux universitaires, associa-
Les programmes financiers européens tions et particuliers. Le futur plan d’action
constituent un levier de l’action publique en matière d’éducation numérique prévoit
de l’Union destiné à promouvoir la collabo- à cet égard, une série mesures destinées
ration d’acteurs pluriels (parties prenantes à renforcer les compétences informatiques
ou « stakeholders ») à l’élaboration des citoyens. Or, cet effort de formation
d’une cybersécurité européenne. s’appuie sur les divers niveaux d’action :
Ces programmes favorisent, au moyen institutions européennes, États membres
de la subvention publique, cet effet et société civile, en particulier le milieu
d’imbrication des différents niveaux associatif impliqué dans la sensibilisation
de prise de décision et associent de certaines catégories de la population
(8) Berthelet, P., étroitement les secteurs (enfants, demandeurs d’emploi, personnes
« La coopération privé et public. Ils ren- âgées, etc.).
public-privé
à l’échelle de l’UE. forcent les collaborations
L’émergence d’un (9) Coen, D., That-
«Etat régulateur» transnationales en dehors Les différentes structures
cher, M., « Network
européen en matière governance and
de cybersécurité »,
des canaux classiques de multi-level dele-et agences européennes
note du Centre coopération8. Le partena- gation: European sont donc impliquées
de recherche networks of regu-
de l’Ecole nationale riat public-privé européen dans le contexte de cette
latory agencies »,
de la Gendarmerie Journal of Public
(CREOGN), note sur la cybersécurité, lancé action coordonnée et
Policy, vol. 28, n° 1,
avril 2008, p. 49-71.
n° 29, décembre en 2016, sur la base multi-acteurs. Cependant,
2017.
des financements dans cette perspective multiniveaux, elles
du programme Horizon 2020, constituent des systèmes non-hiérar-
est une illustration de cet entrelacement. chiques de négociation et de régulation9.
1er trimestre 2021 Revue de la Gendarmerie Nationale 9INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
C’est le cas d’Europol et de l’ENISA, l’intégration, même si sa structuration ne
qui ont vu chacune leurs compétences correspond pas à un saut qualitatif voulu
renforcées respectivement en 2017 par les partisans d’une Europe fédérale.
et en 2019. Enfin, cette mise en réseau Elle a trait davantage à un
(11) Lindberg, L. N.,
se traduit d’une part, par une multiplication Scheingold, S. A., processus incrémental
des acteurs qu’ils soient publics ou privés, Europe’s would- correspondant à l’ap-
be polity: Patterns
par exemple ceux du marché of change in the proche néo-fonctionna-
European Commu-
(10) Sterlini, P. de la cybersécurité, nity, Prentice Hall, liste. Selon les tenants
et al., Governance Englewood Cliffs,
Challenges for Euro-
représentés par l’organisa- 1970.
de cette théorie, l’Europe
pean CyberSecurity tion européenne pour la se construit par étapes11.
Policy: Stakeholders
Views, EU H2020- cybersécurité (ECSO),
SU-ICT-03-2018
Project No. 830929 et d’autre part, par une La cybersécurité européenne peut être lue
CyberSec4Europe, démultiplication des sous cet angle. D’abord, l’Union a dévelop-
Povo di Trento,
University of Trento, sphères de collaboration, pé un ensemble de mesures dans le cadre
2019.
avec, par exemple, du marché unique, qu’elle a étendues au
le groupe consultatif créé par l’Acte domaine numérique. La cybersécurité
de cybersécurité10. apparaît comme un complément à la
protection de ce marché, l’existence de
Ce foisonnement d’enceintes est l’expres- législations divergentes générant des
sion de cette configuration européenne décalages préjudiciables à son bon
multi-niveaux, fondée sur des interdépen- fonctionnement. De même, en matière de
dances toujours plus fortes en matière de répression pénale dans le cyberespace,
cybersécurité. La lecture néofonctionnaliste l’Union a pu étendre les mesures déjà
analyse aussi la construction européenne prises dans le contexte de l’espace de
sous l’angle des interdépendances, mais liberté, de sécurité et de justice, en
ses conclusions sont radicalement diffé- particulier les dispositifs de reconnaissance
rentes, conduisant à une grille de lecture mutuelle des décisions judiciaires natio-
distincte de la cybersécurité. nales. Là encore, une répression efficace et
uniforme dans le cyberespace apparaît
Une lecture sous l’angle comme une nécessité afin d’éviter que
de l’intégration européenne les cyberdélinquants ne
(12) Le spill-over trouvent refuge dans les
est la notion selon
L’élaboration d’un modèle européen laquelle l’intégration mondes numériques. Le
dans un certain
de cybersécurité domaine fonctionnel processus de spill-over12
La cybersécurité européenne, comme entraîne de facto s’opère du moment que
l’intégration dans les
sécurité « coopérative et collaborative », domaines connexes. l’Union ne conçoit plus la
peut enfin être analysée sous le prisme de cybersécurité comme une
10 Revue de la Gendarmerie Nationale 1er trimestre 2021INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
annexe des politiques déjà en place, mais économiques. C’est le cas de la proposi-
comme une politique en soi. C’est ce tion de règlement relative à la prévention
qu’elle a fait en 2013 avec l’élaboration de la diffusion en ligne de contenus à
d’un agenda spécialisé. Force est de caractère terroriste qui impose un cadre
constater que par effet de « petit pas » mis contraignant à l’égard des opérateurs
en évidence par les privés.
(13) Kasper; A.;
Vernygora, V. A., analyses néofonctionna-
« Towards a ‘Cyber
Maastricht’: Two listes, l’Union développe Cela étant dit, il est inexact de réduire
Steps Forward, et structure son action l’Europe de la cybersécurité à sa seule
One Step Back »,
in Harwood, M., dans ce domaine13. En dimension normative. La construction
Moncada, S., Pace,
R. (dir.). The Future particulier, un rapport de la européenne porte également sur l’élabora-
of the European
Union: Demisting
Commission européenne, tion de capacités spécifiques, incarnation
the Debate, 2020, de 2017, révèle que la d’une méthode communautaire renouvelée.
p. 186−210.
directive dite « cyberat- À cet égard, l’Union se dote de capacités
taques », adoptée au moyen de la méthode de plus en plus conséquentes en matière
communautaire, a contribué à accomplir de lutte contre les cyberrisques et les
des progrès substantiels en matière de cybermenaces. De prime abord, la création
criminalisation des cyberattaques, à un de celles-ci s’opère à côté et en complé-
niveau comparable dans tous les États ment des capacités étatiques.
membres. L’élaboration d’un socle Pour autant, il est possible de considérer
commun de normes contraignantes, que ces capacités ne se limitent pas
adopté dans un contexte de prise de à des outils européens à la disposition
décision européenne qui ne relève pas, ou des acteurs nationaux.
plus, de la méthode intergouvernementale,
est l’illustration de cet effacement progres- (14) European
Ainsi, Europol se dote
sif des souverainetés. center crime depuis les années 2000
ou centre européen
de lutte contre lade structures dans ce
cybercriminalité.
La nouvelle stratégie, destinée à remplacer https://www. domaine, notamment
celle de 2017, va être adoptée dans les europol.europa. l’EC314 qui est l’unité
eu/about-europol/
mois à venir. Elle marque un nouveau stade european-cyber- anti-cybercriminalité ou
crime-centre-ec3
de cette Europe de la cybersécurité norma- plus récemment la
tive. La sédimentation des textes juridiques plateforme dite « NAI » visant notamment à
européens contribue à piéger les souve- aider les États membres, les agences
rainetés nationales, en créant progressive- européennes et les réseaux de profession-
ment un cadre de plus en plus élaboré nels, à partager les connaissances entre
et en limitant les marges de manœuvre les services répressifs dans l’ensemble de
des États membres et des acteurs l’UE sur les manières d’effectuer des
1er trimestre 2021 Revue de la Gendarmerie Nationale 11INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
analyses criminelles. Ce renforcement Cette convergence de vues se combine
d’Europol s’opère dans le cadre d’un avec un rapprochement des législations
mouvement permettant à l’Union de se nationales aux fins d’établissement d’un
doter de capacités autonomes concourant modèle européen de sécurité. L’adoption
à façonner et préserver à un intérêt du Cybersecurity Act en 2019 établit à cet
supranational. Contrairement aux tenants égard un cadre européen de certification
de l’intergouvernementalisme pour qui la de cybersécurité, élément destiné à assurer
construction européenne se heurte à une la sécurité du marché unique numérique
forme de plafond de verre, les partisans du européen et à renforcer la compétitivité
néofonctionnalisme estiment quant à eux, de l’Union sur le marché mondial. Ce texte
que le plafond de verre se fissure progres- établit un nouveau cadre de certification
sivement. Le Procureur européen, opéra- de cybersécurité contribuant à une culture
tionnel en 2020, est, quant à lui, l’illustra- de la cybersécurité dès la conception.
tion archétypique de ce processus en
matière d’atteintes Il est possible d’évoquer également l’éta-
(15) Majone, G.,
« The new European aux intérêts financiers blissement en cours d’un instrument sur
agencies: regulation
by information ». de l’Union, qui englobe les preuves numériques (e-evidence) visant
Journal of European la lutte contre la criminalité à accélérer, grâce à une injonction judi-
Public Policy, vol. 4,
n° 2, 1997, numérique ayant trait ciaire européenne, le recueil des preuves
p. 262 -275.
à ce domaine15. détenues par des fournisseurs de services
sur le territoire de l’Union. Il importe enfin
Qui plus est, les travaux de ces agences, de mentionner le RGPD qui incarne à lui
en particulier ceux d’Europol, comme seul, les valeurs défendues par l’Union
le rapport sur l’état de la cybercriminalité en matière de protection de la vie privée.
en Europe (iOCTA), favorisent une conver- Or, ces textes réglementaires constituent
gence des vues sur les cybermenaces. un cadre normatif contraignant auquel
Dans le même registre, les efforts se les États membres doivent se plier. Ils
concentrent actuellement sur le développe- concourent à façonner un modèle original,
ment d’une conscience situationnelle. distinct des États membres et que l’Union
À cet effet, la Commission européenne et entend exporter. Ce cadre normatif, qui re-
le Service européen pour l’action extérieure pose sur un ensemble de valeurs, constitue
œuvrent conjointement sur l’intégration des les fondements de l’action de l’Union, qui,
flux d’information émanant des agences en tant que puissance normative, entend
européennes (Europol, ENISA, Frontex) promouvoir son modèle de cybersécurité
et des États membres, ainsi que d’agences sur la scène internationale.
de l’UE.
12 Revue de la Gendarmerie Nationale 1er trimestre 2021INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
© Par beebright pour AdobeStock
L’AUTEUR
Diplômé de l’Université d’Oxford au RU
et de l’Université catholique de Louvain
en Belgique, Pierre BERTHELET est docteur
en droit et spécialisé en droit de l’UE.
Il est chercheur associé sur les questions
de droit & sécurité à l’Université de Grenoble
(CESICE), à l’Université d’Aix-Marseille
(CERIC) et auprès de la Gendarmerie
nationale (CREOGN).
Diplômé de l’Université de Cambridge
en anglais, il a fait un post-doctorat
en criminologie & relations internationales
à l’Université de Laval (Québec).
Ancien conseiller ministériel, il est l’auteur
de nombreux travaux universitaires,
dont plusieurs ouvrages. Il est intervenant
à la faculté de droit de l’Université
de Strasbourg et il l’a été pendant plusieurs
années auprès de l’École Nationale
d’Administration (ENA).
1er trimestre 2021 Revue de la Gendarmerie Nationale 13Vous pouvez aussi lire
