D’après un rapport publié par le cabinet d’avocats international CMS, les Etats d’Europe centrale seraient particulièrement vulnérables aux cyberattaques. Le manque voire l’absence de mesures réglementaires prises par les autorités locales y est notamment souligné. Ainsi, Dora Petranyi, Directrice générale de la zone centre-européenne pour CMS, considère que les entreprises opérant dans la région devraient significativement accroître leurs dispositifs de cybersécurité pour faire face aux menaces.
Les enjeux de cybersécurité semblent alors complexes tant il s’agit d’un défi stratégique touchant la sécurité nationale mais également les activités économiques et juridiques. Les auteurs de ces opérations sont souvent difficiles à identifier et travaillent fréquemment pour le compte d’Etats. Dès lors, comment caractériser les enjeux de cybersécurité spécifiques à l’Europe centrale ?
La dimension protéiforme des enjeux cyber en Europe Centrale
Zone d’influence historique entre l’Europe de l’Ouest et la Russie, l’Europe centrale apparaît comme une cible de premier-plan dans un contexte inédit de cyberguerre globale. Face aux attaques qui se multiplient contre les États-membres – notamment centre-européens – la Commission européenne et l’Organisation européenne de cybersécurité (ECSO) ont notamment signé un partenariat public-privé en 2016 afin de promouvoir les initiatives et dispositifs européens dans ce domaine. Pourtant, il apparaît que les pays d’Europe centrale sont encore incontestablement sous-représentés à l’ECSO. Si certaines initiatives comme le CYBERSEC, forum européen de cybersécurité, visent à favoriser la création d’un écosystème solidaire et durable de cybersécurité, cela ne semble tout de même pas suffisant.
L’enjeu n’est pas exclusivement politico-institutionnel car si la coopération inter-étatique est ici primordiale, il en est de même pour l’implication des firmes privées. Toutefois, ces dernières ne semblent pas encore à la hauteur des défis. En effet, une étude réalisée par la plateforme Cybersec Hub intitulée « Cyber Threat CEE Region 2018 » montre que 65% des entreprises de la région n’ont mis en place aucune stratégie de cybersécurité et que la moitié d’entre elles seulement effectuent régulièrement des sauvegardes de données. Des disparités intra-régionales sont observables : si la Pologne apparaît comme le pays ayant fourni le plus d’efforts en la matière (50% des entreprises ont pris des mesures conséquentes), force est de constater que la Tchéquie comme la Slovaquie accusent un retard inquiétant (23% des entreprises ont mis en place un dispositif de sécurisation des données).
En outre, la problématique purement financière doit aussi être rappelée. A cet égard, 2 000 euros en moyenne et par entreprise sont consacrés à la cybersécurité. Encore une fois, la Pologne se positionne comme un véritable leader régional avec une moyenne de dépenses s’élevant à 6 400 euros soit plus de trois fois la moyenne régionale alors que le niveau de dépenses de la Tchéquie n’atteint que 300 euros soit 15% de la moyenne régionale… Ces chiffres sont très éloignés de la moyenne de 1,28 millions d’euros de dépenses en matières de cyber-sécurité pour les entreprises d’Europe de l’Ouest (Royaume-Uni, Belgique, France, Allemagne, Pays-Bas, Espagne) et des États-Unis étudiées par la compagnie d’assurance Hiscox.
La prise de conscience tant gouvernementale qu’entrepreneuriale est partielle puisque parmi les 100 « cyberincidents » identifiés par le cabinet CMS en 2017 dans 18 pays d’Europe centrale et orientale, moins de 25 d’entre-eux ont donné lieu à des mesures réglementaires ou gouvernementales.
Des cyberattaques visant des activités et acteurs stratégiques sensibles
Les cyberattaques dirigées vers l’Europe centrale ces dernières années ont souvent visé des institutions ou secteurs stratégiques essentiels à la vie du pays, telles que les infrastructures médicales ou aéroportuaires.
En ce sens, la Pologne a subi une cyberattaque de taille en juin 2015. En effet, suite à une attaque de ses systèmes informatiques, la compagnie aérienne LOT Polish Airlines fut contrainte d’annuler dix de ses vols prévus au départ de l’aéroport Chopin à Varsovie. L’attaque a ainsi paralysé la capacité de la compagnie à créer ses plans de vols en ligne empêchant 1 400 passagers de voyager. Si les systèmes de vol des avions dans les airs n’ont heureusement pas été atteints, l’ensemble des appareils au sol étaient dans l’incapacité de décoller cinq heures durant. Plusieurs experts en cybersécurité ont signalé les similitudes que cette attaque revêtait avec les exactions commises dans le cadre de la campagne Operation Cleaver. Cette dernière, soutenue par le gouvernement de la République Islamique d’Iran, avait lourdement endommagé les systèmes d’informations de 50 organisations dans 16 pays distincts dont des compagnies aériennes et aéroports.
Par ailleurs, l’éthique ne semble pas être une valeur promue par ces hackers puisque certains d’entre eux ont récemment frappé l’un des plus grands laboratoires d’essais tchèques sur le Covid-19. En pleine pandémie, l’hôpital universitaire de Brno fut touché par une cyberattaque obligeant les médecins et chercheurs à, non seulement, reporter des interventions chirurgicales mais aussi rediriger les nouveaux patients vers un autre hôpital proche. Pendant l’incident, l’hôpital fut contraint de fermer son réseau informatique handicapant les activités des branches pédiatrie et maternité. Interrogé à ce sujet, Flavius Plesu, fondateur de la société spécialisée OutThink, confia : « En période de risque, les équipes de sécurité doivent être particulièrement vigilantes et comprendre que le risque d’une cyberattaque est beaucoup plus élevé que d’habitude, car les pirates informatiques essaient de profiter du personnel fatigué et débordé pour agir ».
Les diverses initiatives européennes en termes de cybersécurité: vers un système de protection unifié et commun ?
L’une des priorités actuelles de l’UE concerne le développement d’un Marché Unique du Numérique reposant sur un dispositif solide de cybersécurité. Néanmoins, l’un des premiers obstacles à ce projet porte sur la forte hétérogénéité des niveaux de cyber-protection des différents Etats membres. Or, une stratégie commune de cybersécurité est ici indispensable. Dès lors, la Commission Juncker a publié en 2015 une stratégie basée sur trois piliers à savoir un accès simplifié aux biens et services numériques, un écosystème favorable au développement des réseaux et un potentiel de croissance accru de ce marché unique.
Les cybermenaces portant sur les processus électoraux provoquèrent une politisation croissante des enjeux et si l’on constate désormais un vrai consensus européen sur la forme que doit prendre cette stratégie commune, subsistent des désaccords fondamentaux sur le fond. Des avancées substantielles se sont enfin concrétisées ces dernières années à l’image de la création, en mars 2004 à Héraklion, de l’Agence européenne chargée de la sécurité des réseaux et de l’information ou encore en 2013 de la Directive SRI sur la sécurité des réseaux et des informations finalement adoptée en 2016.
En revanche, nombre d’Etats se sont révélés hostiles à des formes approfondies d’échanges d’informations stratégiques dans le cadre d’une coopération volontaire. Les pays avancés de l’Ouest sont réticents au partage d’informations « trop sensibles » alors que ceux de l’Est ne sont pas habitués à la coopération dans ce domaine (hormis l’Estonie) et ne souhaitent pas réellement s’ouvrir sur l’extérieur, privilégiant l’échelon national. Ces divergences se sont par exemples illustrées à l’occasion d’une réunion format Weimar en juin 2019 qui réunissait les Sénats français et polonais ainsi que le Bundesrat allemand. À cette occasion, si les parlementaires de ces trois pays se sont accordés à rappeler que l’échelon européen apparaît comme le plus approprié afin de faire face aux cybermenaces, certains parlementaires français à l’image de Jean-Marie Bockel ont fait part de leur crainte qu’une implication croissante de nouveaux partenaires dans ces initiatives européennes soit synonyme d’une plus grande vulnérabilité pour les États mieux dotés. Ce type de propos contraste alors fortement avec la réelle ambition européenne des parlementaires polonais dont ont témoigné les propos de Łukasz Mikolajczyk : « Ce serait parfait si on pouvait le faire au niveau européen » .
Finalement, les Etats membres de l’UE réussiront-ils à coopérer et forger une stratégie de cybersécurité dissuasive mais surtout résiliente à l’échelle communautaire ou retomberont-ils dans une forme désuète et paralysante de fracture Est-Ouest ?
- Boucart, Théo. « L’émergence d’une politique européenne de cybersécurité ». Le Taurillon, https://www.taurillon.org/l-emergence-d-une-politique-europeenne-de-cybersecurite.
- Cimpanu, Catalin. « Un hôpital tchèque frappé par une cyberattaque en pleine épidémie de COVID-19 ». ZDNet France, https://www.zdnet.fr/actualites/un-hopital-tcheque-frappe-par-une-cyberattaque-en-pleine-epidemie-de-covid-19-39900659.htm.
- « CYBER THREAT REPORT CEE 2018 – the Newest Report by CYBERSEC HUB ». CYBERSEC Forum, 26 juin 2018, https://cybersecforum.eu/en/cyber-threat-report-cee-2018-the-newest-report-by-cybersec-hub/.
- « ECSO – European Cyber Security Organisation ». ECSO – European Cyber Security Organisation, https://www.ecs-org.eu/about.
- Europe, Emerging. « CEE countries particularly at risk from cyber attack ». Emerging Europe | Intelligence, Community, News, 23 novembre 2018, https://emerging-europe.com/news/cee-countries-particularly-at-risk-from-cyber-attack/.
- Goud, Naveen. « CEE Countries Are Vulnerable to Cyber Attacks ». Cybersecurity Insiders, 23 novembre 2018, https://www.cybersecurity-insiders.com/cee-countries-are-vulnerable-to-cyber-attacks/.
- i24NEWS. https://www.i24news.tv/fr/actu/international/1587201303-mike-pompeo-preoccupe-par-des-cyberattaques-contre-des-hopitaux-tcheques.
- La cybersécurité en Europe: des règles plus strictes et une meilleure protection. http://www.consilium.europa.eu/fr/policies/cybersecurity/.
- La Cybersécurité : Le Nouveau Cheval de Bataille de l’Union Européenne – EU-Logos. https://eulogos.blogactiv.eu/2019/04/03/la-cybersecurite-le-nouveau-cheval-de-bataille-de-lunion-europeenne/.
- « L’Europe centrale et orientale, pièce maitresse du puzzle de la cybersécurité européenne [ par JOANNA ŚWIĄTKOWSKA, Redacteur en Chef du European Cybersecurity Journal] ». Observatoire FIC, https://observatoire-fic.com/leurope-centrale-et-orientale-piece-maitresse-du-puzzle-de-la-cybersecurite-europeenne-par-joanna-swiatkowska-redacteur-en-chef-du-european-cybersecurity-journal/.
- Ouest-France. « L’aéroport de Varsovie victime de hackers ». Ouest-France.fr, 23 juin 2015, https://www.ouest-france.fr/europe/pologne/laeroport-de-varsovie-victime-de-hackers-3507916.
- Two in three CEE companies don’t have any cybersecurity strategy, according to “Cyber Threat CEE Region 2018” report – CYBERSEC HUB. https://cybersechub.eu/two-in-three-cee-companies-dont-have-any-cybersecurity-strategy-according-to-cyber-threat-cee-region-2018-report/.
- « Une cyberattaque cloue au sol 1 400 passagers en Pologne – Le Monde Informatique ». LeMondeInformatique, https://www.lemondeinformatique.fr/actualites/lire-une-cyberattaque-cloue-au-sol-1-400-passagers-en-pologne-61549.html.
Les propos de l’auteur sont personnels et ne peuvent en aucun cas engager la responsabilité juridique de l’association Euro Créative.
Harold Brieckler-Richert
Harold Brieckler-Richert est un contributeur régulier d’Euro Créative pour les questions européennes. Etudiant au Collège Universitaire de Sciences Po Paris, sur le campus européen de Dijon, il a choisi de focaliser ses études sur l’Europe centrale et orientale. Ayant co-organisé un voyage en Ukraine à la rencontre d’artistes locaux en avril 2019, il a également étudié à l’Académie Diplomatique de Russie durant l’été 2019. C’est donc personnellement et académiquement qu’Harold possède un fort intérêt pour cette région.