Le but de cet article est de démontrer que le mode de gouvernance mis en place afin de lutter contre la cybercriminalité est cohérent et recouvre tous les aspects de la cybersécurité. Cependant, il souligne également l’absence de ce chaînon crucial qu’est l’adhésion internationale à la vision européenne et qui permet à l’Union européenne de parfaire ce mode de gouvernance.
Afin de dresser la carte de la gouvernance européenne dans le domaine de la cybersécurité, il faut tout d’abord comprendre la nature et l’étendue du domaine analysé. Le réseau internet tel que nous le connaissons aujourd’hui a été créé en 1983, lorsque le protocole TCP/IP (Transmission Control Protocol/Internet Protocol) a été instauré, abolissant les frontières entre les systèmes autonomes, c.-à-d. les réseaux individuels, à travers le monde grâce à un langage commun et à des adresses IP leur permettant de communiquer entre eux. En d’autres termes, le réseau Internet est composé d’une série de quartiers connectés entre eux à l’aide de ponts numériques qui permettent à des milliards d’appareils de communiquer (presque) librement les uns avec les autres.
Depuis lors, internet a attiré un nombre sans cesse croissant de nouveaux utilisateurs. En juin 2012, la masse déferlante de nouveaux utilisateurs a entraîné le lancement de la version 6 d’IP (IPv6) qui repousse la limite à des adresses composées de 2^128 éléments (plus de 340 milliards de milliards de milliards d’adresses) car la réserve d’adresses disponibles sous IPv4 est arrivée à épuisement en février 2012. Les statistiques démontrent que, depuis 2000, le nombre d’utilisateurs a augmenté de 566,40 %, ce qui représente aujourd’hui un tiers de la population mondiale. Cette augmentation phénoménale des utilisateurs fait d’internet le nouveau terrain de jeu d’un grand nombre d’entreprises souhaitant toucher un public beaucoup plus large et créer ainsi de nouvelles opportunités sur le plan social et économique.
Toutefois, cette impressionnante hausse du nombre d’utilisateurs a, en parallèle, entrainé une cybercriminalité et des menaces informatiques croissantes. Ces cyber-menaces peuvent être classées en deux catégories : la cybercriminalité d’un côté et les attaques visant les infrastructures critiques de l’autre. La première catégorie est constituée du comportement criminel qui porte atteinte aux individus ou aux entreprises privées, et englobe aussi bien la pédopornographie sur internet, le vol de banque en ligne, le vol de renseignements que l’usurpation d’identité. Le principal enjeu dont il est ici question est étayé par les récentes polémiques portant sur les activités du groupe WikiLeaks, ainsi que la revendication selon laquelle les « secrets les mieux gardés » des États-Unis ont déjà été dérobés.
La seconde catégorie de menaces concerne les attaques susceptibles d’endommager ou de détruire des infrastructures critiques, pouvant entraîner une paralysie du réseau ou même une perte d’informations. Le développement de virus informatiques tels que Flame ou Stuxnet ainsi que leur utilisation afin de désorganiser les installations nucléaires iraniennes, parallèlement au fait que six banques aux États-Unis aient été récemment victimes de perturbations en ligne depuis septembre 2012, témoignent de la réalité de ces menaces. Si celles-ci ne sont prises aux sérieux, préviennent les experts et les représentants des gouvernements, l’augmentation des attaques à l’encontre des infrastructures critiques pourrait résulter en un « cyber Pearl Harbor », et ils concentrent ainsi leurs efforts sur des actions préventives.
En résumé, même si l’environnement numérique peut être doté d’un fort potentiel « d’exploration », des menaces se tapissent dans chaque recoin. Néanmoins, les gouvernements constatent que les avantages engendrés dépassent de loin les menaces et inconvénients respectifs des nouvelles technologies, bien qu’ils n’aient commencé qu’à la fin des années 90 à développer des systèmes de cybersécurité afin de contrer le plus de cyber-incidents possible.
À cet égard, bien que la communauté internationale soit divisée, la cybersécurité peut être définie comme un « ensemble d’outils, de politiques, de concepts sécuritaires, de dispositifs de sécurité, de directives, d’approches de gestion du risque, d’actions, de formations, de bonnes pratiques, d’assurance et de technologies qui peuvent être utilisés afin de protéger l’environnement et l’organisation informatiques ainsi que les intérêts des utilisateurs ». Cette cybersécurité comprend à la fois la prévention de la guerre électronique, considérée comme une offensive électronique soutenue par un état et dirigée contre un autre état, ses infrastructures ou sa population, et la prévention de la cybercriminalité, considérée comme une cyberattaque envers d’autres individus ou entreprises et qui n’est pas soutenue par un état. Autrement dit, l’objectif de la cybersécurité est de fournir une protection contre les accès non autorisés, la manipulation et la destruction de ressources critiques, ainsi que contre les comportements criminels menaçant les individus.
L’Union européenne a développé sa propre politique numérique, en s’assurant qu’elle recouvrait à la fois les opportunités et les défis que représente le monde numérique. À cette fin, l’Union européenne a homologué une structure décentralisée dans laquelle les différentes institutions sont responsables des trois aspects du monde numérique. Dans un premier temps, l’UE a lancé en 2010 sa Stratégie numérique pour l’Europe, sous l’égide de N. Kroes, Commissaire européenne à la stratégie numérique. Son objectif est de promouvoir les nouvelles technologies afin de développer les perspectives économiques et sociales. Dans le cadre de sa Stratégie, l’Europe a adopté plusieurs lois régissant la couverture à large bande, l’harmonisation de l’itinérance, le commerce électronique, la carte d’identité électronique, la signature électronique, ainsi que la protection de la propriété intellectuelle.
Puis, afin de garantir la protection des infrastructures contre les cyberattaques, Bruxelles a fondé une agence spécialisée, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), qui a pour mission d’assurer « un niveau élevé et efficace de sécurité des réseaux et de l’information au sein de la Communauté et en vue de favoriser l’émergence d’une culture de la sécurité des réseaux et de l’information dans l’intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l’Union européenne ». Instituée en 2005, l’ENISA a également fait preuve de son efficacité en organisant le premier exercice de cybersécurité à l’échelle européenne en 2012, et en publiant en octobre 2012 son premier rapport annuel de cyber-incidents survenus en 2011.
Ce rapport fournit une évaluation de la protection des infrastructures face à une cyberattaque. En réalité, il souligne que 51 incidents significatifs ont eu lieu dans 11 pays membres et ont concerné 300 000 utilisateurs au cours de l’année 2011. Seulement 6 % de ces incidents ont été provoqués par des attaques malveillantes, tandis que 47 % et 33 % ont été causés respectivement par des pannes de matériel/logiciel et par des pannes dues à une tierce partie. Ce qui signifie que sur les 51 incidents graves, seuls trois se révélèrent être de réelles cyberattaques contre des infrastructures critiques. Toutefois, il convient de noter que l’ENISA « estime que le nombre d’incidents qui seront signalés pour l’année 2012 sera multiplié par 10 car la plupart des pays auront gagné en maturité concernant la mise en place du processus de rapport d’incidents ».
Enfin, la cybercriminalité est également traquée par une pléthore d’institutions et politiques numériques européennes, placées spécialement sous l’égide de Cecilia Malmström, Commissaire européenne aux affaires intérieures, ainsi que par le Centre européen de lutte contre la cybercriminalité qui vient d’être fondé, et qui a pour mission de « rassembler en un point focal l’expertise et l’information, de soutenir les investigations criminelles et de promouvoir des solutions à l’échelle européenne, tout en sensibilisant l’ensemble des pays membres aux questions de cybercriminalité ». Il est intéressant d’observer les premiers résultats de cette nouvelle agence spécialisée, alors qu’elle dressera le portrait réel des cybercrimes existants au sein de l’union. En outre, l’Union européenne a franchi une nouvelle étape dans la lutte contre les cybercrimes en adoptant des lois européennes de protection contre les violences sexuelles, l’exploitation sexuelle des enfants et la pédopornographie sur internet, ainsi que dans la lutte contre la fraude en ligne.
Finalement, le Parlement européen peut être considéré comme un acteur essentiel dans la gouvernance de la cybersécurité au sein de l’Union. En effet, le Parlement européen a servi de garant des libertés civiles et fondamentales dans plusieurs dossiers controversés, comme lors des négociations PNR (Passenger Name Record) et ACAC (Accord commercial anti-contrefaçon) avec les États-Unis, en s’assurant de la cohérence entre les opportunités économiques, les droits des citoyens et la prévention des menaces numériques. À vrai dire, le Parlement européen fait souvent figure de dernier rempart en matière de protection des valeurs européennes dans les partenariats entre l’Union européenne et le reste du monde.
La cybersécurité est un phénomène mondial et il est donc primordial pour l’Union européenne de coopérer avec les autres États et régions du monde. Cependant, ces partenariats se sont révélés être jusqu’ici des plus précaires. Le meilleur exemple illustrant la position internationale tenue par l’Union européenne est le développement récent des négociations multilatérales concernant la cybersécurité lors de la Conférence mondiale des télécommunications internationales (CMTI-12) qui a eu lieu en décembre 2012.
La question au cœur de la conférence était de savoir si le Règlement des télécommunications internationales (RTI) devait être révisé ou non de manière à faire expressément référence à internet, et de ce fait, avoir une incidence profonde sur la gouvernance d’internet et ouvrir la porte à un contrôle par les états du contenu d’internet. Au cours de la conférence, l’UE, représentée par la Commission européenne (membre non votant), et les vingt-sept États membres (membres votants) ont réussi à s’accorder sur une position commune, ont agi et se sont prononcés d’une seule voix. Ces efforts furent toutefois insuffisants à organiser le débat contre la censure d’internet, et une résolution controversée encourageant de façon explicite l’enlisement de l’UIT (Union internationale des télécommunications) face à internet fut approuvée. En outre, la carence de l’UE durant ces négociations a également influencé sa coopération avec les États-Unis, étant donné que la pierre angulaire de son partenariat sur la cybersécurité repose sur une assistance mutuelle afin d’organiser le débat sur la question de la cybersécurité et des cybercrimes.
Tandis que les États-Unis et l’Europe faisaient tous deux front commun lors de la CMTI, l’autre volet du partenariat États-Unis – Europe sur la cybersécurité demeure fragile, oscillant entre une solide coopération dans la lutte contre les cybercrimes, et des désaccords portant sur les questions de protection des données et de la vie privée. Finalement, la coopération États-Unis – Europe est renforcée par l’OTAN afin de protéger les infrastructures critiques des cyber-menaces. Toutefois, des désaccords idéologiques, des intérêts nationaux divergents et la peur de perte de souveraineté pour les états membres au sein de l’OTAN ternissent le niveau de coopération.
En conclusion, la structure de la gouvernance européenne en matière de cybersécurité révèle que l’Union européenne a parfaitement compris la nature d’internet et ses avantages sur le plan économique et social, ainsi que les menaces qui hantent le monde numérique. Elle a ainsi échafaudé sa gouvernance en conséquence ; elle a fondé l’ENISA afin de combattre les menaces contre les infrastructures critiques et le Centre de lutte contre la cybercriminalité afin de s’attaquer à la criminalité en ligne, tout en promouvant de façon continue le développement d’opportunités économiques et sociales en ligne grâce à la Stratégie numérique pour l’Europe mise en place par la Commission européenne.
Enfin, le Parlement européen joue un rôle croissant dans la défense des droits et des libertés des citoyens, tout en assurant un équilibre cohérent entre les opportunités économiques, la cybersécurité et les droits individuels. Néanmoins, les états de service de l’Union européenne au niveau international sont bien moins impressionnants, au vu de son échec à mener les débats et à défendre ses valeurs lors de négociations multilatérales. En outre, elle doit faire face à des désaccords avec ses partenaires les plus proches que sont les États-Unis et l’OTAN. Ce piètre bilan au niveau de la coopération internationale dans le domaine de la cybersécurité est d’autant plus hautement problématique qu’il entrave tous les efforts de l’Union européenne visant à rayonner sur le reste du monde et à promouvoir son modèle de gouvernance cohérent et global dans le domaine de la cybersécurité, qui pourrait servir de modèle pour d’autres régions du monde afin de sécuriser le monde numérique à l’échelle planétaire.
Suivre les commentaires : |