Dans les années 2000, l’Europe était la première au monde dans l’innovation et le déploiement de la 3G. Les Européens n’avaient pas un, mais bien deux géants en tête des classements d’équipementiers, bien au-devant des États-Uniens. Vingt ans après, les réseaux européens de télécommunications souffrent d’une dépendance critique envers les équipementiers chinois, et les fleurons de jadis survivent grâce à leurs parts de marchés hors-Europe.
Comment expliquer une telle dépendance, et un tel retard, à l'heure de la 5G ?
Plusieurs facteurs sont identifiables : une mise en concurrence sans cesse croissante avec les marchés asiatiques, l’appétit des équipementiers chinois pour le marché européen, le manque de réglementation… ainsi qu’un manque d’actions des entreprises, par manque de visibilité sur le moyen terme, un manque d’actions des États membres, par manque d’incitations, et un manque d’actions de l’Union européenne, par manque de coopération.
Bien que le travail en équipe et les capacités de coopération figurent sur toutes les fiches de poste des métiers de la cybersécurité, les attentes des individus face à ce mot, “coopération”, sont peu souvent les mêmes. Comme réponse à ce constat, invoquons la coopération comme partie des relations sociales : elle est donc conditionnée par les intérêts, les motivations, et le vécu de chaque individu. C’est ce qui la rend si complexe et imprévisible.
La recherche d'un consensus européen
Pourtant, la coopération est au cœur de nos institutions, dont l’Union européenne. Chacune de ses décisions et mesures provient d’un consensus collaboratif des États membres. Pourtant, leurs intérêts et motivations propres, alimentés par la continuité de leur histoire économique, politique, culturelle et religieuse, tissent aussi le fil conducteur de leurs stratégies économique ou sécuritaire, ce qui devrait influer sur les décisions de l’Union européenne. Néanmoins, au niveau supérieur, le personnel des institutions et agences européennes est tenu d’agir en toute impartialité, dans l’intérêt des Européens, et non pas celui d’un État membre en particulier. Ainsi, il s’avère que c’est précisément dans ces institutions si culturellement diverses que la coordination et la coopération sont les plus visibles, puisqu’elles sont inscrites parmi les valeurs à respecter contractuellement.
L’Union européenne a cela de bien particulier qu’une coordination efficace évite le désordre et facilite la naissance d’une culture commune. Dans un contexte de perpétuel changement où l’incertitude règne, il est vital pour tous les acteurs de se coordonner, afin d’aller dans la même direction. Se coordonner passe par une coopération préalable : c’est le rôle de chaque État membre que de participer à l’élaboration d’une stratégie commune qui sera ensuite mise en application.
À travers ce rapport (Cf. lien du PDF ci-dessous) se concentrant sur le domaine de la cybersécurité et de la gestion des réseaux numériques, nous avons donc choisi d’explorer les modalités de cette action collective européenne. Nous nous proposons d’analyser de la manière dont les acteurs de la cybersécurité travaillent ensemble afin de sécuriser l’espace numérique.
Afin de mieux comprendre les spécificités propres à l’Europe, il est nécessaire de l’analyser en profondeur, tant sur le plan de sa géopolitique que du domaine cyber. C’est l’analyse que donne le premier chapitre.
En plus d’un contexte géopolitique troublé en Europe territoriale, il faut rappeler que l’Union européenne n’a jamais été autant sollicitée que ces dernières années : conséquences sanitaires et économiques de la pandémie, bouleversement de l’équilibre mondial avec le conflit en Ukraine… La guerre a aussi fait resurgir des questions de sécurité, tant des personnes que de l’information, comme on pourra le voir avec plusieurs cas développés dans le premier chapitre. L’Europe a dû revoir ses alliances et ses partenaires, y compris ceux de longue date.
Le premier chapitre de ce rapport détaille aussi la position particulière de l’Europe, au sein de la triade que forment les États-Unis, la Chine et la Russie. Si les États-Unis ont dominé la scène internationale au XXème siècle, ils ne sont plus la seule superpuissance mondiale. En effet, entre géant mondial en matière d’infrastructures, première puissance exportatrice, deuxième plus grande importatrice au monde, la Chine possède l’une des économies les plus puissantes au monde. Cela a été rendu possible par des réformes économiques internes et une diplomatie stratégique collaborative avec les pays extérieurs. De plus, à travers les dépendances créées par ses contrats économiques et financiers, la Chine a réussi à se rendre indispensable à de nombreux États. La Russie, quant à elle, fille de la grande Union soviétique, garde un pouvoir d’influence économique et politique croissant. Grâce à ses vastes ressources minérales et énergétiques, la Russie reste grande exportatrice sur le marché européen, comme en témoigne la dépendance au gaz russe d’un grand nombre de pays européens.
Mais quelle est la place des technologies dans cette configuration géopolitique ?
Au regard de tous ces changements majeurs, la “souveraineté“ des pays, ou leur “autonomie stratégique” est mise en danger. Pourtant, la puissance même de ces pays est définie par leur capacité à assurer leur sécurité nationale et à garder un équilibre économique. Pour agir sur ces deux plans, la maîtrise, le contrôle et l’accès total aux technologies critiques est indispensable. Si la liberté de pouvoir faire des choix est si capitale, c’est parce que les technologies permettent le transport, le stockage et le traitement des données qui représentent le cœur même de la stratégie sécuritaire et commerciale d’un pays.
La situation en Europe est à cet égard préoccupante, ces inquiétudes concernent les dépendances de l’Europe, présentes au niveau de la défense (OTAN), au niveau économique européen (via les accords commerciaux avec la Chine, les États-Unis), au niveau économique national (avec la Chine et la Russie), et au niveau technologique (avec les États-Unis et la Chine principalement). Néanmoins, face à ces dépendances technologiques, l’Europe ne reste pas passive. Depuis les années 2010, elle considérait que la sécurité de l’information devait aussi être juridique, et non pas uniquement technique. Aussi, l’Union européenne décide d’incorporer cette dimension dans sa Stratégie européenne de Cybersécurité dès 2013. Pourtant le constat est clair : dix ans après, rien n’a changé au niveau de ses dépendances technologiques, puisque l’Europe est trop fragmentée pour pouvoir devenir un bloc indépendant. Vient alors l’exigence d’une véritable coopération, aujourd’hui vitale. Vue l’étendue de la menace cyber et la hausse de tensions entre les grandes puissances, aucun État européen ne pourrait se défendre seul dans le cyberespace.
La définition d'objectifs à atteindre
La nécessité d’une coopération en matière de cybersécurité apparaît donc. Celle-ci implique Ceux-ci sont traités dans le deuxième chapitre, fondé sur la littérature disponible et sur des exemples factuels. Nous verrons que l’attirail législatif européen est abondant et que la coopération y est inscrite en tant qu’objectif à atteindre. Si cela a permis la création d’une culture de la cybersécurité à travers les institutions européennes, ce n’est pas le cas pour les États membres ni le secteur privé : cette culture y est très variable. L’histoire et la géographie des pays font que leurs ressources et leurs capacités numériques sont très variables. C’est dans ce cadre qu’intervient l’European Union Agency for Cybersecurity (ENISA) dont l’une des missions principales est d’augmenter jusqu’à un seuil minimum les capacités des États membres. Mais l’ENISA est l’exemple même des incohérences européennes : les investissements manquent et les ressources lui font défaut, alors même que l’ambition d’offrir aux Européens le cyberespace le plus sûr au monde est devenu son leitmotiv. Pour le secteur privé1, l’ENISA ne reste qu’une entité abstraite, uniquement reliée aux autorités étatiques.
De plus, la cybersécurité se heurte à des exigences réglementaires qui entravent le développement économique et l’innovation privée dans la cybersécurité. Cela est développé à travers l’exemple des groupes de travail de normalisation, le secteur privé européen état largement sous représenté. Des collaborations fructueuses ont cependant eu lieu, notamment en ce qui concerne la participation de la recherche européenne à la normalisation des algorithmes post-quantiques. Une coopération et donc possible… Mais pour cela, faudrait-il encore que tous les acteurs de la cybersécurité y voient un intérêt.
Les différences de niveau de perception de la sécurité
Une compréhension commune et partagée des risques et des menaces cyber à travers tous les acteurs de l’écosystème est indispensable pour coopérer. Bien que cet alignement soit effectif parmi les acteurs du même niveau, chaque niveau semble avoir une perception particulière de la cybersécurité. Si les États membres s’intéressent surtout à la défense militaire et à la sécurité juridique, le secteur privé donne la priorité aux profits économiques. Il en résulte une contradiction évidente : si aujourd’hui l’Europe est avancée en matière de réglementation de la sécurité numérique, son développement industriel a du retard. Pourtant, investir dans la cybersécurité semble rentable : selon une information reprise par le Conseil de l’Union européenne, le marché européen de la cybersécurité est estimé à plus de 130 milliards d’euros et progresse à un rythme de 17 % par an. Si le secteur privé a plusieurs fois sollicité l’appui des États membres et de la Commission pour pouvoir investir dans le secteur, l’Europe n’a pas répondu, tiraillée entre des intérêts opposés. À d’autres occasions, elle a préféré la prudence, comme avec l’Open RAN. La 5G est la seule technologie pour laquelle l’Europe avait des grands espoirs de leadership.
Romain Goduchon, Simona Leroux, Jean-William Lieng, Édouard Petetin
Auditeurs de la 1ère promotion MACYB de l’EGE