INTERNATIONAL - Gendarmerie nationale
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
INTERNATIONAL © mixmagic - EU GDPR data bits and bytes wave ripples CYBERSÉCURITÉ COLLABORATIVE : DE LA SOUVERAINETÉ A L’INTÉGRATION Cet article de chercheur esquisse les horizons de la construction d’une cybersécu- rité européenne collaborative selon trois approches. La première décrit des États qui rythment leur transposition nationale de la législation européenne, non sans lourdeur et quelques divergences liées à l’expression de souverainetés numériques, et qui freinent des progrès coordonnés au regard de contraintes géostratégiques et de la nature des cybermenaces. L’imbrication des actions sous la forme d’une gouvernance multiniveaux de réseaux et de capacités de recherche constitue une seconde voie. Ces collaborations transnationales favorisent les partenariats et la construction de projets européens et des réponses plurielles mais parfois complexes à appréhender dans une stratégie globale. Enfin, une intégration européenne par étapes, selon une approche néo-fonctionnaliste, reposerait sur l’obtention d’une cybersécurité normative et serait l’incarnation d’une méthode communautaire renouvelée. Sa conséquence directe serait un rapprochement des législations nationales qui caractériserait un modèle européen de cybersécurité collaborative dégageant un corpus juridique spécifique. 4 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL L’Europe de la cybersécurité au prisme de la souveraineté, des flux et de l’intégration Par Pierre Berthelet L’ L’objectif de cet article est de présenter une lecture conceptuelle de la cybersé- curité européenne voulue comme « col- lective et collaborative ». Il est possible un accord en vertu duquel ils considèrent que la sécurité de l’un d’entre eux est l’affaire de tous. de dégager trois grilles de lecture dis- La deuxième lecture correspond à une tinctes : une sécurité par « le bas » en sécurité « collective et collaborative » en adoptant une approche par la souverai- réseau. Cette sécurité se présente comme neté nationale, une sécurité transver- une « forme d’auto-organisation non sale en privilégiant une approche par centralisée ». les flux transnationaux et une imbrica- tion des strates, enfin une sécurité par La troisième et dernière lecture insiste sur « le haut » en optant le mouvement d’intégration que connait la pour une approche cybersécurité européenne. Cette dernière par l’intégration ne correspond pas à une sécurité sur- européenne. plombant celle des États membres. Elle est en revanche le fruit d’une construction La première lecture progressive, expression de solidarités PIERRE correspond à une nationales toujours plus fortes. BERTHELET sécurité « collective Docteur en droit, et collaborative » sta- Une lecture sous l’angle chercheur associé to-centrée. Les États de la souveraineté nationale au CESICE (Université de l’Union définissent La théorie intergouvernementaliste de Grenoble). les contours de cette souligne la prééminence du rôle des États Chercheur associé au CREOGN sécurité en concluant dans le processus décisionnel européen. 1er trimestre 2021 Revue de la Gendarmerie Nationale 5
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION (1) Hoffmann, S., Elle insiste sur leur poids en matière opérationnelle, il est possible « Obstinate or Obsolete? The Fate dans ce processus d’évoquer le protocole de lutte contre les of the Nation-State et souligne les obstacles menaces hybrides de 2016 (EU Playbook). and the Case of Western Europe », à l’intégration européenne Cet outil s’inscrit dans une logique Daedalus, vol. 95, n° 3, 1966, inhérents à la souveraine- intergouvernementale, une telle action p. 862-915. té de chacun d’eux1. s’opérant à ce sujet en liaison avec d’autres organisations internationales, Une telle théorie, qui met en évidence en premier lieu l’OTAN. Il complète ainsi l’importance pour les États de coopérer, d’autres structures telles que la cellule s’applique à la cybersécurité européenne. de fusion de l’Union européenne contre les La coopération européenne menée menaces hybrides et qui constitue le point en matière de cybersécurité n’interdit focal pour l’évaluation de telles menaces. pas des avancées dans la construction européenne, bien au contraire. C’est le Les États rythment donc une collaboration cas d’une plateforme en ligne restreinte qui rencontre un ensemble de limites. entre la Commission et le Service euro- L’une d’entre elles a trait à la mise péen pour l’action extérieure recensant les en œuvre effective de la législation outils employés pour contrer les menaces en matière de cybercriminalité. L’Union hybrides. C’est aussi celui du projet d’une s’est dotée d’un arsenal législatif consé- unité conjointe de cybersécurité visant à quent mais le droit reste mal appliqué. permettre une coordination opérationnelle (2) Saurugger, S., Il ressort de certaines ana- F. Terpan. englobant un mécanisme d’assistance « Resisting ‘New lyses juridiques que cette mutuelle en période de crise. Modes of Gover- réticence n’est pas une nance’ through Policy Instruments anormalité de l’exécution », Comparative La coopération opérationnelle se trouve European Politics, du droit, mais au contraire au cœur de cette coordination qui se veut vol. 14, n° 1, 2016, une des conséquences p. 53–70. structurée. Ainsi, les États consentent directes du poids des à l’élaboration d’un socle commun de États sur la mise en œuvre des normes règles communes en matière de cyber- juridiques2. sécurité pour les institutions et organes de l’Union. Il s’agit de favoriser l’échange Une autre limite concerne l’élaboration par sécurisé d’informations des infrastruc- l’Union de capacités propres. Ainsi en est-il tures numériques de ces institutions et de l’Agence européenne de cybersécurité organes de l’UE à partir d’une coopération (ENISA), qui ne constitue pas une agence opérationnelle articulée autour de l’équipe disposant des capacités opérationnelles d’intervention en cas d’urgence informa- similaires à celles des États membres, tique (CERT UE). Parmi d’autres avancées telles que l’ANSSI en France. Un rapport 6 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION de l’Assemblée nationale secteurs critiques, il souligne que l’identifi- (3) Assemblée nationale, Rapport rappelle à cet égard que cation des OES demeure encore considé- d’information déposé par la l’ENISA constitue une rablement fragmentée dans l’ensemble de commission des affaires européennes agence facilitatrice, mais l’Union. Ainsi, il existe une résistance sur l’avenir de qu’elle n’est, en aucun étatique forte qui freine la construction la cybersécurité européenne, cas, un organe suprana- européenne. D’ailleurs, ce rapport ne n° 2415 , déposé(e) le jeudi 14 tional de cybersécurité promeut pas une révision de la directive, novembre 2019. de l’Union3. mais seulement davantage de réunions de groupes de travail et l’instauration Selon la pensée intergouvernementaliste, de lignes directrices afin de faire converger la structuration de la cybersécurité les approches nationales. européenne dépend de la volonté des États, en particulier en matière d’infrastruc- Une lecture sous l’angle des flux tures critiques. Ceux-ci possèdent la liberté transnationaux de renforcer leur collaboration certes, mais Pour une autre approche, cette grille de aussi ils ont aussi la capacité de la limiter. lecture sous l’angle de rapport opposant À cet égard, la structuration impliquant les les États soucieux de préserver leur sou- « opérateurs d’importance vitales » (OIV), veraineté et l’Union n’est pas pertinente. ou les opérateurs de services essentiels Suggérant une conception transversale (OES) dans le jargon de la cybersécurité, elle part de l’idée qu’il européen, constitue une existe une interpénétration des sphères (4) Dunn-Cavelty, M., « The socio- limite. Il s’agit d’un secteur conduisant à un brouillage des secteurs political dimensions of critical information sensible au sein duquel les (public et privé) et des niveaux (national infrastructure États membres demeurent et européen). protection (CIIP) ». International Journal en charge de la désigna- of Critical Infrastruc- tures, 1(2), 2005, tion et de la gestion La cybersécurité européenne se déploie p. 258-268. de ces infrastructures4. sous forme d’interactions diverses. Les (5) La directive Un rapport remis par la analyses de la gouvernance multi-niveaux, (UE)2016/1148 du Parlement euro- Commission européenne (6) Hooghe, L., comme théorie alternative péen et du Conseil du 6juillet 2016 sur l’évaluation de la Marks, G., à l’intergouvernementa- Multi-Level concernant des directive SRI5 précise que Governance lisme, appréhende l’Union mesures destinées and European à assurer un niveau si ce texte a enclenché un Integration, Lanham, sous l’angle d’une élevé commun de sécurité des réseaux processus crucial d’aug- imbrication de différentes Rowman & Littlefield Publishers, coll. et des systèmes mentation et d’améliora- strates6. La cybersécurité Governance d’information in Europe Series, dans l’Union1 tion des pratiques 2001. européenne, en tant que (directiveSRI). de gestion du risque « sécurité coopérative des opérateurs dans les et collaborative », apparaît ainsi sous la 1er trimestre 2021 Revue de la Gendarmerie Nationale 7
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION perspective d’une sécurité de nature Tous ces réseaux constituent multi-niveaux. La création du Réseau des enceintes de dialogue et de réflexion judiciaire européen anti-cybercriminalité, propices à l’adoption de normes élaboré en 2016, apparaît comme techniques et de droit mou (soft law). l’illustration de ce mouvement de réticulari- sation à l’œuvre, à l’instar du Réseau L’action menée par l’Union concernant de compétences en cybersécurité qui fait les infrastructures liées à la 5G est un autre l’objet depuis 2019 d’une exemple. Cette action s’organise autour (7) ttps://eur-lex.euro- pa.eu/legal-content/ proposition de règlement d’une recommandation non contraignante EN/HIS/?uri=CELE X:52018PC0630&q en cours de discussion7. de la Commission européenne. Le constat id=1537349553647&- sortOrder=asc Ce réseau, connecté au est un risque de perturbations systémiques Centre européen de et généralisées de ces réseaux. Différentes compétences industrielles, technologiques mesures ont été adoptées au sein de ce et de recherche en matière de cybersécuri- cadre d’une gouvernance informelle, dans té visera à assurer la mise en commun le contexte d’une « boîte à outils » relative à et le partage des capacités de recherche la 5G. Elle incarne le caractère innovant des ainsi que des résultats en matière instruments mis en place, souligné par les de cybersécurité. tenants de la gouvernance multi-niveaux. © Master 1305 - Adobe stock La voie de programmes mobilisant des acteurs multidisciplinaires et provenant tant des puissances étatiques que des groupes privés permet de fait la production d’une norme qui s’impose aux tenants de thèses souverainistes. 8 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION Ces outils, fondés sur des dispositifs Dans le cadre de ce programme pour la contraignants, promeuvent une approche recherche et l’innovation, les collaborations horizontale visant à mettre en réseau des se forgent par l’encouragement et la acteurs existants ; le but est de faciliter stimulation. certains flux, en l’occurrence des données. En effet, la cybersécurité européenne est Le système d’alerte rapide de l’UE en vue comme une réponse collective et matière de cybercriminalité est un exemple. plurielle impliquant toutes les composantes Élaboré conjointement entre Europol de la société. Autrement dit, les procédés et l’ENISA, il vise à permette une meilleure d’identification des menaces, autant que circulation de l’information en cas d’aggra- ceux qui concernent la résilience et la vation de la cybercriminalité, vue elle-même réaction, requièrent une action coordon- comme un phénomène fluctuant, qu’il née et des acteurs diversifiés : institutions importe de mesurer et d’endiguer. et agences de l’Union, États membres, entreprises, milieux universitaires, associa- Les programmes financiers européens tions et particuliers. Le futur plan d’action constituent un levier de l’action publique en matière d’éducation numérique prévoit de l’Union destiné à promouvoir la collabo- à cet égard, une série mesures destinées ration d’acteurs pluriels (parties prenantes à renforcer les compétences informatiques ou « stakeholders ») à l’élaboration des citoyens. Or, cet effort de formation d’une cybersécurité européenne. s’appuie sur les divers niveaux d’action : Ces programmes favorisent, au moyen institutions européennes, États membres de la subvention publique, cet effet et société civile, en particulier le milieu d’imbrication des différents niveaux associatif impliqué dans la sensibilisation de prise de décision et associent de certaines catégories de la population (8) Berthelet, P., étroitement les secteurs (enfants, demandeurs d’emploi, personnes « La coopération privé et public. Ils ren- âgées, etc.). public-privé à l’échelle de l’UE. forcent les collaborations L’émergence d’un (9) Coen, D., That- «Etat régulateur» transnationales en dehors Les différentes structures cher, M., « Network européen en matière governance and de cybersécurité », des canaux classiques de multi-level dele-et agences européennes note du Centre coopération8. Le partena- gation: European sont donc impliquées de recherche networks of regu- de l’Ecole nationale riat public-privé européen dans le contexte de cette latory agencies », de la Gendarmerie Journal of Public (CREOGN), note sur la cybersécurité, lancé action coordonnée et Policy, vol. 28, n° 1, avril 2008, p. 49-71. n° 29, décembre en 2016, sur la base multi-acteurs. Cependant, 2017. des financements dans cette perspective multiniveaux, elles du programme Horizon 2020, constituent des systèmes non-hiérar- est une illustration de cet entrelacement. chiques de négociation et de régulation9. 1er trimestre 2021 Revue de la Gendarmerie Nationale 9
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION C’est le cas d’Europol et de l’ENISA, l’intégration, même si sa structuration ne qui ont vu chacune leurs compétences correspond pas à un saut qualitatif voulu renforcées respectivement en 2017 par les partisans d’une Europe fédérale. et en 2019. Enfin, cette mise en réseau Elle a trait davantage à un (11) Lindberg, L. N., se traduit d’une part, par une multiplication Scheingold, S. A., processus incrémental des acteurs qu’ils soient publics ou privés, Europe’s would- correspondant à l’ap- be polity: Patterns par exemple ceux du marché of change in the proche néo-fonctionna- European Commu- (10) Sterlini, P. de la cybersécurité, nity, Prentice Hall, liste. Selon les tenants et al., Governance Englewood Cliffs, Challenges for Euro- représentés par l’organisa- 1970. de cette théorie, l’Europe pean CyberSecurity tion européenne pour la se construit par étapes11. Policy: Stakeholders Views, EU H2020- cybersécurité (ECSO), SU-ICT-03-2018 Project No. 830929 et d’autre part, par une La cybersécurité européenne peut être lue CyberSec4Europe, démultiplication des sous cet angle. D’abord, l’Union a dévelop- Povo di Trento, University of Trento, sphères de collaboration, pé un ensemble de mesures dans le cadre 2019. avec, par exemple, du marché unique, qu’elle a étendues au le groupe consultatif créé par l’Acte domaine numérique. La cybersécurité de cybersécurité10. apparaît comme un complément à la protection de ce marché, l’existence de Ce foisonnement d’enceintes est l’expres- législations divergentes générant des sion de cette configuration européenne décalages préjudiciables à son bon multi-niveaux, fondée sur des interdépen- fonctionnement. De même, en matière de dances toujours plus fortes en matière de répression pénale dans le cyberespace, cybersécurité. La lecture néofonctionnaliste l’Union a pu étendre les mesures déjà analyse aussi la construction européenne prises dans le contexte de l’espace de sous l’angle des interdépendances, mais liberté, de sécurité et de justice, en ses conclusions sont radicalement diffé- particulier les dispositifs de reconnaissance rentes, conduisant à une grille de lecture mutuelle des décisions judiciaires natio- distincte de la cybersécurité. nales. Là encore, une répression efficace et uniforme dans le cyberespace apparaît Une lecture sous l’angle comme une nécessité afin d’éviter que de l’intégration européenne les cyberdélinquants ne (12) Le spill-over trouvent refuge dans les est la notion selon L’élaboration d’un modèle européen laquelle l’intégration mondes numériques. Le dans un certain de cybersécurité domaine fonctionnel processus de spill-over12 La cybersécurité européenne, comme entraîne de facto s’opère du moment que l’intégration dans les sécurité « coopérative et collaborative », domaines connexes. l’Union ne conçoit plus la peut enfin être analysée sous le prisme de cybersécurité comme une 10 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION annexe des politiques déjà en place, mais économiques. C’est le cas de la proposi- comme une politique en soi. C’est ce tion de règlement relative à la prévention qu’elle a fait en 2013 avec l’élaboration de la diffusion en ligne de contenus à d’un agenda spécialisé. Force est de caractère terroriste qui impose un cadre constater que par effet de « petit pas » mis contraignant à l’égard des opérateurs en évidence par les privés. (13) Kasper; A.; Vernygora, V. A., analyses néofonctionna- « Towards a ‘Cyber Maastricht’: Two listes, l’Union développe Cela étant dit, il est inexact de réduire Steps Forward, et structure son action l’Europe de la cybersécurité à sa seule One Step Back », in Harwood, M., dans ce domaine13. En dimension normative. La construction Moncada, S., Pace, R. (dir.). The Future particulier, un rapport de la européenne porte également sur l’élabora- of the European Union: Demisting Commission européenne, tion de capacités spécifiques, incarnation the Debate, 2020, de 2017, révèle que la d’une méthode communautaire renouvelée. p. 186−210. directive dite « cyberat- À cet égard, l’Union se dote de capacités taques », adoptée au moyen de la méthode de plus en plus conséquentes en matière communautaire, a contribué à accomplir de lutte contre les cyberrisques et les des progrès substantiels en matière de cybermenaces. De prime abord, la création criminalisation des cyberattaques, à un de celles-ci s’opère à côté et en complé- niveau comparable dans tous les États ment des capacités étatiques. membres. L’élaboration d’un socle Pour autant, il est possible de considérer commun de normes contraignantes, que ces capacités ne se limitent pas adopté dans un contexte de prise de à des outils européens à la disposition décision européenne qui ne relève pas, ou des acteurs nationaux. plus, de la méthode intergouvernementale, est l’illustration de cet effacement progres- (14) European Ainsi, Europol se dote sif des souverainetés. center crime depuis les années 2000 ou centre européen de lutte contre lade structures dans ce cybercriminalité. La nouvelle stratégie, destinée à remplacer https://www. domaine, notamment celle de 2017, va être adoptée dans les europol.europa. l’EC314 qui est l’unité eu/about-europol/ mois à venir. Elle marque un nouveau stade european-cyber- anti-cybercriminalité ou crime-centre-ec3 de cette Europe de la cybersécurité norma- plus récemment la tive. La sédimentation des textes juridiques plateforme dite « NAI » visant notamment à européens contribue à piéger les souve- aider les États membres, les agences rainetés nationales, en créant progressive- européennes et les réseaux de profession- ment un cadre de plus en plus élaboré nels, à partager les connaissances entre et en limitant les marges de manœuvre les services répressifs dans l’ensemble de des États membres et des acteurs l’UE sur les manières d’effectuer des 1er trimestre 2021 Revue de la Gendarmerie Nationale 11
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION analyses criminelles. Ce renforcement Cette convergence de vues se combine d’Europol s’opère dans le cadre d’un avec un rapprochement des législations mouvement permettant à l’Union de se nationales aux fins d’établissement d’un doter de capacités autonomes concourant modèle européen de sécurité. L’adoption à façonner et préserver à un intérêt du Cybersecurity Act en 2019 établit à cet supranational. Contrairement aux tenants égard un cadre européen de certification de l’intergouvernementalisme pour qui la de cybersécurité, élément destiné à assurer construction européenne se heurte à une la sécurité du marché unique numérique forme de plafond de verre, les partisans du européen et à renforcer la compétitivité néofonctionnalisme estiment quant à eux, de l’Union sur le marché mondial. Ce texte que le plafond de verre se fissure progres- établit un nouveau cadre de certification sivement. Le Procureur européen, opéra- de cybersécurité contribuant à une culture tionnel en 2020, est, quant à lui, l’illustra- de la cybersécurité dès la conception. tion archétypique de ce processus en matière d’atteintes Il est possible d’évoquer également l’éta- (15) Majone, G., « The new European aux intérêts financiers blissement en cours d’un instrument sur agencies: regulation by information ». de l’Union, qui englobe les preuves numériques (e-evidence) visant Journal of European la lutte contre la criminalité à accélérer, grâce à une injonction judi- Public Policy, vol. 4, n° 2, 1997, numérique ayant trait ciaire européenne, le recueil des preuves p. 262 -275. à ce domaine15. détenues par des fournisseurs de services sur le territoire de l’Union. Il importe enfin Qui plus est, les travaux de ces agences, de mentionner le RGPD qui incarne à lui en particulier ceux d’Europol, comme seul, les valeurs défendues par l’Union le rapport sur l’état de la cybercriminalité en matière de protection de la vie privée. en Europe (iOCTA), favorisent une conver- Or, ces textes réglementaires constituent gence des vues sur les cybermenaces. un cadre normatif contraignant auquel Dans le même registre, les efforts se les États membres doivent se plier. Ils concentrent actuellement sur le développe- concourent à façonner un modèle original, ment d’une conscience situationnelle. distinct des États membres et que l’Union À cet effet, la Commission européenne et entend exporter. Ce cadre normatif, qui re- le Service européen pour l’action extérieure pose sur un ensemble de valeurs, constitue œuvrent conjointement sur l’intégration des les fondements de l’action de l’Union, qui, flux d’information émanant des agences en tant que puissance normative, entend européennes (Europol, ENISA, Frontex) promouvoir son modèle de cybersécurité et des États membres, ainsi que d’agences sur la scène internationale. de l’UE. 12 Revue de la Gendarmerie Nationale 1er trimestre 2021
INTERNATIONAL L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION © Par beebright pour AdobeStock L’AUTEUR Diplômé de l’Université d’Oxford au RU et de l’Université catholique de Louvain en Belgique, Pierre BERTHELET est docteur en droit et spécialisé en droit de l’UE. Il est chercheur associé sur les questions de droit & sécurité à l’Université de Grenoble (CESICE), à l’Université d’Aix-Marseille (CERIC) et auprès de la Gendarmerie nationale (CREOGN). Diplômé de l’Université de Cambridge en anglais, il a fait un post-doctorat en criminologie & relations internationales à l’Université de Laval (Québec). Ancien conseiller ministériel, il est l’auteur de nombreux travaux universitaires, dont plusieurs ouvrages. Il est intervenant à la faculté de droit de l’Université de Strasbourg et il l’a été pendant plusieurs années auprès de l’École Nationale d’Administration (ENA). 1er trimestre 2021 Revue de la Gendarmerie Nationale 13
Vous pouvez aussi lire