Mardi 16 mai 2023, SMART TECH reçoit Éric Le Quellenec (Avocat associé spécialiste du droit du numérique, Simmons & Simmons) et Nicolas Arpagian (Vice-président, HeadMind Partners)
Category
🗞
NewsTranscription
00:00 Le Cyber Solidarity Act, donc ce règlement sur la cyber solidarité, est le texte qui
00:12 précise comment l'Europe va se protéger de main contre les cyber-attaques.
00:16 Quels sont véritablement les contours de ce bouclier cyber-européen qui a été annoncé
00:20 par le commissaire Thierry Breton au Forum international de la cybersécurité tout début
00:25 avril ? En quoi ça va consister ? Comment ça va se mettre en place ? Quelles sont
00:28 les conditions pour que ce soit véritablement efficace ? Et est-ce qu'on a les moyens
00:31 aussi de nos ambitions en Europe ? On en parle avec Eric Lequelenec, avocat associé spécialiste
00:37 du droit numérique au sein du cabinet Simons & Simons.
00:39 Vous vous êtes penché avec acuité sur ce dossier spécifique.
00:43 On compte sur vous pour tout nous expliquer.
00:44 Nicolas Arpadian, expert cyber si il en est, membre du conseil d'orientation de l'Institut
00:51 Diderot, conseiller du centre d'études et de prospectives stratégiques.
00:54 Vous êtes auteur d'une quinzaine d'ouvrages.
00:55 Je ne vais pas tous les citer, mais on peut dire par exemple "Que sais-je".
00:58 Sur la cybersécurité.
01:00 Et vous êtes le vice-président de Edminds Partners, qui est un spécialiste en conseil
01:05 en cyber.
01:06 Alors la clé de ce bouclier, si j'ai bien compris, c'est quand même la coopération
01:11 entre les États membres, une coordination, une collaboration qui ne semble pas évidente.
01:17 Qu'est-ce qui bloque sur ce sujet ?
01:19 Qu'est-ce qui peut bloquer ? Alors, deux, trois choses.
01:23 Déjà aujourd'hui, pourquoi on a besoin d'un règlement pour que ça avance ?
01:26 Déjà, vous avez parlé de solidarité.
01:29 Donc vous voyez qu'on n'est pas sur un langage guerrier, on n'est ni sur un langage économique,
01:33 on est sur l'assistance, la collaboration en cas de problème, en cas de crise, en cas
01:38 d'attaque.
01:39 Donc c'est déjà une posture qui n'est peu, qui est peu, justement, offensive.
01:43 La deuxième chose, c'est que lorsqu'on va parler de cyber, il y a trois dimensions.
01:46 Il va falloir de la technologie, il va falloir du droit et il va falloir des femmes et des
01:51 hommes.
01:52 Et la difficulté, c'est que les États membres ont des lacunes ou des pénuries ou des tensions
01:58 sur au moins deux de ces composantes, c'est-à-dire les technologies et les femmes et les hommes
02:03 avec la tête bien faite pour traiter ces sujets-là.
02:05 Donc effectivement, c'est là où on va envisager la solution.
02:08 Et les technologies, elles existent ? On peut utiliser des technologies étrangères ou
02:11 pas ?
02:12 Alors, on peut toujours.
02:13 La seule chose, c'est qu'il faut les maîtriser et donc s'assurer de la confiance, c'est
02:16 le terme qu'on a évoqué jusqu'à présent.
02:17 Et donc, on voit bien que c'est un sujet d'interrogation avec la thématique de la
02:21 souveraineté qui est un sujet qui monte et anime la problématique de cybersécurité.
02:26 Et donc, il va falloir prendre en compte ces trois dimensions.
02:29 La seule chose, c'est que comme il y a une tension, il y a une pénurie, on essaye de
02:33 se positionner dans cet environnement qui est potentiellement hostile.
02:37 Et c'est la raison pour laquelle on mise sur la solidarité en disant un peu comme
02:41 mutualiser les casernes de pompiers, faire en sorte que tout le monde n'a pas les ressources,
02:45 les expertises, les équipements.
02:47 Si on mise sur la solidarité avec l'espérance que l'une attaque surviendra à un endroit
02:52 et pas sur des multiples foyers qui, effectivement, seraient d'autant plus dommageables.
02:56 - Et alors là, on a...
02:57 - Je crois aussi que du point de vue de la composition de l'Union européenne et de ses
03:03 membres, est-ce qu'il y a vraiment une confiance totale dans tous ces membres, de manière
03:07 géopolitique ? Ce qui rejoint aussi la construction d'une défense européenne, c'est ce qui a
03:13 conduit en tous les cas certains États à se montrer frileux, y compris dans l'échange
03:17 et le partage d'informations.
03:18 - Et notamment pour ces questions de souveraineté, non pas européenne, mais il y a aussi la
03:22 question de la souveraineté nationale, quand on parle de défense.
03:24 - En fait, la souveraineté s'apprécie dans la compréhension d'un certain nombre de gouvernements
03:29 comme étant des nationalités juxtaposées.
03:32 C'est-à-dire qu'il n'y a pas un État fédéral américain...
03:35 Pardon, états-unien, le lapsus est important parce qu'effectivement, il parle d'une seule
03:40 voix, avec un seul droit et avec un pouvoir de police d'ailleurs éventuellement, ou de
03:44 sécurité à l'échelle d'un territoire unique.
03:46 Là, on a des États, et on le voit avec le sommet Choose France, c'est pas Choose EU,
03:52 c'est Choose France, et vous pouvez imaginer que le chancelier Olaf Scholz va faire l'équivalent
03:57 sur la République fédérale et que, effectivement, Mme Mélanie sur l'Italie et que les Espagnols
04:03 seraient intéressés par attirer ces mêmes entreprises qui font un peu, justement, qui
04:08 entretiennent et valorisent cette rivalité, cette concurrence entre les États membres.
04:12 Donc c'est vrai que le problème de la sécurité s'aborde de manière solidaire en cas de crise,
04:17 c'est-à-dire celle qui resserre les liens, fait en sorte que, effectivement, un peu comme
04:21 quand il y a un grand feu de forêt dans une zone du sud de l'Espagne et que donc on fait
04:25 en sorte d'apporter l'assistance, mais on apprécie des ressources nationalement pour
04:29 se protéger et passer à l'offensive.
04:31 C'est comment on sort de simplement l'élan de solidarité pour en créer une véritable
04:35 doctrine au sein de l'Union européenne ?
04:37 Quels sont les grands principes de ce bouclier ?
04:39 Le premier principe, c'est déjà de construire une intelligence à l'échelle de l'Union
04:45 européenne afin d'avoir une autonomie stratégique sur la menace cyber, de sorte qu'on puisse
04:51 avoir une force de détection grâce, justement, à l'intelligence artificielle notamment,
04:56 qui soit quasi instantanée entre le "zero-day threat", donc la détection en réalité d'une
05:01 menace et les premiers effets négatifs et les conséquences sur un système d'information.
05:06 On dit qu'il s'écoule 190 jours.
05:08 Il s'agit évidemment de réduire ce temps d'analyse et de détection.
05:12 Et puis il s'agit ensuite d'être prêt et d'avoir finalement une réserve qui puisse
05:18 agir très concrètement pour partager les éléments de remédiation entre parties prenantes
05:24 et utilisateurs des systèmes d'information.
05:25 Parce que vous dites réserve, on n'a pas de cyber armée européenne, on est d'accord
05:30 avec ce bouclier européen.
05:31 Alors, non du tout.
05:32 Simplement, le terme de réserve ne doit pas être pris dans l'acception que nous en avons,
05:36 nous, Français, par exemple, de personnes qui ont une activité civile, qui peuvent
05:40 être dentistes, bouchers, journalistes, avocats et par ailleurs être réservistes, que ce
05:45 soit pour être pompiers, gendarmes, policiers ou éventuellement militaires.
05:49 Là, le texte européen évoque une cyber réserve.
05:54 Par contre, quand vous rentrez dans le détail et que vous dites "mais est-ce que ce sont
05:57 des citoyens qui auraient une activité civile et qui viendraient en accessoire ?" on vous
06:00 dit "non, ce sont des prestataires à l'occasion de marchés qui auront été passés".
06:04 Donc, le terme de réserve ne doit pas être conçu comme étant un acte spontané, volontaire,
06:09 gracieux de quelqu'un qui mettrait à disposition son temps, son expertise au profit de la collectivité.
06:13 On est quand même dans la mise à disposition de personnel à l'occasion d'appels d'offres
06:17 avec la question de la disponibilité de ces personnes.
06:19 Donc, c'est une cyber armée qui dit façon ?
06:20 Non, de prestataires.
06:21 Parce que là, on est dans une appréciation civile et pas du tout avec une qualification
06:25 militaire, même si ça peut être un environnement concerné par les cyber attaques.
06:30 Mais c'est vrai que ce qui va être intéressant, c'est aussi la créativité administrative
06:35 puisque on a la commission, évidemment, on a, rappelons-le, l'ENISA, l'Agence Nationale
06:40 de Sécurité qui est basée à Athènes et à Héracléion, en Crète.
06:44 Début mai, a été créé à Bucarest, un centre cyber de compétences pour faire en
06:49 sorte de faire de la formation.
06:50 Donc, vous voyez, on a une géographie de la cyber qui s'installe mais un peu en décalé
06:54 du trio habituel qu'est Bruxelles, Luxembourg et Strasbourg.
06:58 Donc, on rajoute une géographie, c'est peut-être un vecteur de complexité, ça,
07:04 on va voir, mais là aussi, fondé sur la coopération et l'abondement par les États
07:09 parce qu'un budget a été alloué, mais il est en partie, à peu près un milliard
07:14 pour la période 2023-2027, un peu plus d'un milliard, deux tiers payés par la commission,
07:19 le troisième tiers en principe abondé par les États membres.
07:22 Donc, vous voyez qu'il va falloir aussi faire cette quête budgétaire.
07:26 Tout le monde est d'accord, mais on a cette période 2023-2027 à couvrir.
07:29 Voilà, il faut être sûr que ça aille jusqu'au bout et qu'on ait formé les personnels,
07:34 qu'on les ait trouvés et qu'ils soient au niveau et qu'ils soient capables de travailler
07:37 ensemble.
07:38 Et alors, un peu plus d'un milliard, on a les moyens de nos ambitions ?
07:40 Alors, par rapport à la LOPMI ou au niveau national, on a dégagé 8 milliards pour justement
07:46 la lutte contre la cybercriminalité.
07:49 Oui, en comparaison, ça paraît bien faible, mais ce qu'il faut bien comprendre, c'est
07:53 qu'on est sur une logique de partenariat public-privé grâce au Cyber Solidarity Act.
07:58 Donc, en réalité, ce seront beaucoup plus de moyens qui seront déployés, ce d'autant
08:03 plus qu'il y aura un mécanisme de certification justement par rapport aux acteurs de cette
08:08 cyber défense qui vont être également donc un élément fort de motivation et d'engagement
08:16 des ressources à plusieurs échelles, publiques et privées.
08:19 Je pense qu'en tous les cas, c'est une formule assez originale pour pouvoir être
08:22 efficace.
08:23 Après, il faut être capable de l'orchestrer, parce que là, on parle d'orchestrer quelque
08:27 chose à un niveau européen avec plusieurs entités qui entrent en jeu, du public, du
08:32 privé.
08:33 Qui va être le chef d'orchestre ?
08:34 Alors, la procédure telle qu'elle est inscrite, alors pour l'instant, vous savez, c'est
08:37 la théorie.
08:38 Il y a un vieux principe militaire qu'on dit que la première victime dans la guerre,
08:41 c'est le plan.
08:42 C'est-à-dire qu'on avait fait des plans et puis c'est la première victime du conflit.
08:44 En fait, l'idée, c'est qu'un État exigeant, c'est-à-dire que ses ressources internes
08:49 ne suffirait pas à traiter la Cressibère auquel il est confronté, solliciterait la
08:53 commission.
08:54 La commission s'engage à traiter, à instruire le dossier rapidement, on peut l'envisager,
09:00 et à ce moment-là, donnant mission à l'ENISA ou éventuellement aux autres centres européens
09:08 de supervision, donc les SOC, Security Operations Center, c'est-à-dire des lieux d'analyse,
09:13 de supervision, de détection de la menace, qui existent déjà, puisqu'il y a ce maillage
09:17 de SOC, donc de centres de supervision, qui doivent être alors soit créés, soit exploités
09:22 des centres existants préalablement à l'échelon national, comme c'est le cas en France avec
09:26 l'Agence Nationale de Sécurité, c'est le cas avec son homologue allemand, le BSI, et
09:30 ainsi dans les pays européens.
09:32 C'est plus qu'un point de contact, c'est vraiment l'autorité nationale en charge de
09:35 cybersécurité et qui a vocation à interagir.
09:38 Mais donc le protocole, c'est on va frapper à la porte de la commission, qui instruit,
09:41 qui redescend vers les instances, soit nationales, soit pour venir en aide, soit éventuellement
09:47 à cet échelon européen.
09:48 Raconté comme ça, on se dit, ça va peut-être prendre un petit peu de temps, quoi, pour
09:52 une réponse rapide.
09:53 Alors dans le communiqué initial, il est mis des adverbes qui précisent que ce sera
09:58 fait sans délai, avec diligence.
10:00 On est dans une logique coopérative, c'est certain.
10:02 Ce que moi j'ai du mal à comprendre, c'est que des SOC, donc des centres opérationnels,
10:06 on en a a priori dans tous les pays aujourd'hui.
10:08 Donc pourquoi la nécessité de parler de la création de nouveaux SOC sur le territoire
10:13 européen ?
10:14 Ce qui manquait, justement, c'était un partage entre États européens à cause des
10:17 réticences dont j'ai déjà pu parler et pour lequel, de toute façon, dans le texte,
10:22 il y aura une obligation pour chaque SOC national de participer justement à un des cinq ou
10:28 six SOC européens.
10:29 On n'a pas encore le chiffre très précisément, mais c'est ça qui va être en tous les cas
10:33 un "game changer", comme on le dit, par rapport à ce texte.
10:36 Et de faire monter le niveau.
10:38 Parce que le problème, c'est qu'il faut garder à l'esprit que les agences nationales
10:41 de sécurité sont des recruteurs, entre guillemets, comme les autres, sur ce marché très tendu
10:45 de la cyber.
10:46 Il y a des tensions.
10:47 Pourquoi ? Parce que les utilisateurs finaux, les grands groupes, sont des recruteurs.
10:52 Les fournisseurs de services sont des recruteurs.
10:54 Les administrations militaires de l'État sont des recruteurs.
10:56 Également les administrations civiles.
10:57 Et également, il faut quand même le savoir, le monde criminel.
11:00 Et donc, effectivement, il va falloir renforcer des agences nationales qui, même si elles
11:04 existent sur le papier, ne sont pas forcément en mesure de compléter l'ensemble des postes
11:09 disponibles et d'avoir à la fois en nombre et en expertise les personnalités qui peuvent
11:15 composer cette ressource.
11:16 Sachant en plus que, effectivement, et c'est ce qu'on évoquait avec le maître Leclerc-Lennex,
11:20 ce qui est de dire que les États sont...
11:22 Alors, on garde à l'esprit que leurs adversaires peuvent être également les autres États
11:27 membres.
11:28 On a eu des cas, pas si éloignés que cela, de pays européens s'espionnant les uns les
11:31 autres.
11:32 Et donc, la notion d'unité, elle peut être discutée.
11:36 Pourquoi ? Parce que les États membres sont concurrents d'un point de vue fiscal, social,
11:40 économique et diplomatique, scientifique.
11:43 Et donc, évidemment, veulent aussi préserver cette singularité dans le domaine de la souveraineté
11:48 et de l'exercice de leur autorité.
11:50 Qu'est-ce qui vous semble essentiel pour que l'ensemble de ce dispositif, pour que ce bouclier
11:56 européen soit vraiment opérationnel ?
11:58 Moi, ce que je pense, c'est une mobilisation et un état, effectivement, de préparation.
12:04 C'est dans le texte qu'il soit partagé de tous pour vraiment agir de la manière la
12:09 plus efficace et coordonnée qui soit.
12:11 Donc, on le voit déjà, on a cité certains des organes de gouvernance.
12:15 Grosso modo, l'ESSOC, ce sera l'ENISA, en lien avec le 3C.
12:21 Grosso modo, effectivement, sur la mobilisation des réserves, on voit aussi qu'il y aura
12:25 potentiellement un lien avec les groupes cyber, cette fois-là liés aux états-majors.
12:31 Donc, je pense que par rapport à une menace, on ne l'a pas dit, plus de 140% depuis le
12:35 début du conflit ukrainien.
12:37 Eh bien, je pense que réellement, on a la nécessité de rentrer dans le concret et nécessiter
12:42 faits lois.
12:43 Oui, parce qu'on n'a pas vu arriver la cyberguerre dont on nous parlait au moment
12:48 du déclenchement du conflit par la Russie en Ukraine.
12:52 Mais on a vu les cyberattaques croître de manière importante.
12:57 C'est à ce moment-là, d'ailleurs, qu'est née l'idée de créer ce bouclier cyber.
13:00 Ça a pris un an pour arriver à la rédaction du projet.
13:04 Tout ce temps long joue contre nous.
13:06 Alors, c'est long et il faut quand même concevoir que pour une organisation internationale
13:11 qui produit du droit, qui produit de la norme, c'est au final assez court.
13:15 Parce qu'il va falloir chaque rappeler que quand même les gouvernements ont leurs agendas
13:18 électoraux.
13:19 Ils ont à gérer une crise sanitaire, en tout cas pour un certain nombre d'entre eux.
13:22 Ils ont des problématiques liées à des plans environnementaux.
13:25 Il y a aussi d'autres chantiers mobilisateurs.
13:27 C'est long à l'échelle cyber, mais c'est rapide à l'échelle européenne.
13:31 Voilà, en regard institutionnel.
13:32 Je pense que par rapport à votre question de la concrétisation, il va falloir passer
13:37 à ce que les militaires connaissent dans les exercices opérationnels qui sont de passer
13:41 à des, justement, il faut tester le modèle grandeur nature.
13:45 C'est-à-dire que comment est-ce que c'est primordial, au-delà du plan théorique, conceptuel,
13:49 de dire très bien on va faire un exercice en commun.
13:51 Voir est-ce que nos systèmes de communication sont interopérables.
13:55 Est-ce que nous savons déjà qui joindre dans les instances et équivalents.
13:58 Quels sont, lorsque la crise s'installe et dure ou éventuellement s'étend à d'autres
14:03 domaines de l'économie, comment est-ce qu'on agit ? Comment est-ce qu'on fait pour assurer
14:07 la rotation des personnels ? Faire en sorte qu'on ait toujours des gens qui soient disponibles,
14:12 compétents et faire en sorte qu'il y ait cette confrontation avec le réel.
14:16 Cet exercice va être bienvenu.
14:18 Alors on a déjà fait des, la BCE, la Banque Centrale Européenne, procède à ce type d'examen,
14:23 de test auprès des banques.
14:25 On a des exercices, des stress tests.
14:27 On a des exercices dans différents environnements.
14:29 Ça, ce sera l'épreuve du feu pour justement voir est-ce que quand on compose un numéro,
14:34 parce qu'il y a quelqu'un qui est proche.
14:35 Mais là, il y a eu une grande opération d'ailleurs, l'opération Orion qui était organisée en
14:38 France où on a fait intervenir aussi des forces européennes.
14:42 Bien sûr.
14:43 En fait, il faut démontrer la réalité de quels sont les points de contact.
14:47 Est-ce qu'ils sont réactifs ? Est-ce qu'on peut mobiliser ? Est-ce qu'on ne tombe pas
14:51 sur des problèmes logistiques ? C'est-à-dire quelquefois pour faire accéder des personnels
14:56 à certains sites.
14:57 Est-ce qu'on a bien tous les numéros de téléphone ? Est-ce qu'on a des équipements de secours
15:01 ? Comment on fait quand les gens ne peuvent pas physiquement se déplacer ? Évidemment,
15:05 toutes ces circonstances qui viennent aggraver, amplifier une situation de crise.
15:09 Donc là, on a la théorie, on a la recette de cuisine.
15:12 Elle est bien accueillie par les professionnels que vous fréquentez depuis de longues, nombreuses
15:17 années.
15:18 Il y a cette annonce d'argent public, il y a cette annonce d'argent.
15:20 Donc, il ne faut pas le fantasmer parce que souvent, le chiffre du milliard, et la France
15:24 a pêché un peu par cet exercice de temps en temps d'annoncer un milliard pour la cyber.
15:28 Bon, après, il faut voir.
15:29 C'est sur une certaine durée.
15:31 On a vu qu'il y avait a priori deux tiers qui étaient financés.
15:33 Quel va être le guichet ? Quelle va être la procédure ? En tout cas, ce qui est certain,
15:36 c'est qu'il y a une dynamique.
15:37 Il y a une volonté de dire, voilà, coopérons, échangons.
15:42 Donc ça, c'est bienvenu.
15:43 Et la France est plutôt volontaire ?
15:44 La France et l'Allemagne sont incontestablement dans la politique cyber, que ce soit pour
15:48 le RGPD, le Règlement Général sur la Protection des Données, la directive NIS, celle qui
15:53 désigne les opérateurs d'importance vitale, les infrastructures critiques qui structurent
15:56 le pays et sa deuxième version, NIS2, qui est en cours de transposition.
16:02 La France, l'Allemagne sont très à la manœuvre.
16:04 Pourquoi ? Parce que ce sont les pays qui ont les deux plus grosses agences nationales.
16:08 Mais c'est aussi ces deux pays qui ont fait en sorte que l'échelon européen existe,
16:12 certes, mais ne soit pas, comment dire, supra autoritaire et que, effectivement, le pouvoir
16:18 national soit vigilant à cet égard.
16:20 D'un point de vue juridique, est-ce qu'il y a des choses qui peuvent faire capoter ce
16:25 projet ? Qu'est-ce que vous auriez aimé voir dans le texte ?
16:28 Alors, on est sur un règlement européen.
16:31 Donc, de ce point de vue-là, on est clairement sur un acte qui va s'appliquer directement
16:35 dans les législations des États membres.
16:38 En revanche, si on a déjà évoqué les quelques faiblesses sur l'aspect purement militaire,
16:44 même s'il y aura des partages d'informations et une certaine coordination, c'est sur le
16:48 volet pénal qu'on n'a malheureusement pas de concret dans le cyber solidarité.
16:53 Or, il faut des moyens qui doivent être également coordonnés pour lutter contre les cyber pirates.
17:01 En réalité, c'est une réponse pénale pan-européenne.
17:03 Et oui, avec notamment ce qu'on appelle des prosécuteurs, des procureurs qui puissent
17:08 agir sur le ressort des 27 États.
17:11 Nous avons un outil extrêmement efficace et qui en fait réellement la démonstration,
17:15 c'est le parquet européen, mais qui n'a comme compétence que, en gros, la protection
17:20 des subsides et des fonds européens et de lutte contre leur détournement.
17:24 Malheureusement, dans le Cyber Solidarity Act, il y a juste une petite phrase qui dit
17:28 "et oui, évidemment, les informations qu'on collecte peuvent être transmises au parquet
17:32 nationaux".
17:33 Et je crois qu'on vient de faire là un joli cadeau aux pirates, puisque manifestement
17:37 il n'y aura pas de réponse commune pénale.
17:38 Ce n'est peut-être pas trop tard, parce qu'on est encore au stade du projet.
17:42 Alors, il n'y a pas de...
17:43 Parce qu'en fait, le fantasme ou l'analogie, c'est souvent par le FBI européen.
17:46 Il n'y a pas de FBI européen, il y a, lequel Eric le mentionnait, le EC3.
17:50 Le EC3, c'est le European Cybercrime Center, qui est basé à La Haye, qui dépend d'Europol,
17:55 qui est un lieu de coordination.
17:56 C'est-à-dire que les services de police, de gendarmerie, viennent frapper à la porte,
18:00 disent "tiens, moi j'ai une affaire qui a ceci, cela, tu aurais des éléments".
18:03 Et ça se partage de manière, alors, tout à fait aimable et civile.
18:08 La seule chose, c'est que c'est de la coopération.
18:10 C'est évidemment plus contraignant, moins réactif que quand vous êtes directement
18:15 autonome pour vous déplacer, conduire vos opérations et votre autorité juridique et
18:19 judiciaire est assurée par la loi.
18:22 Merci beaucoup à tous les deux.
18:23 On arrive à la fin du temps qui nous est imparti pour dresser un peu les contours de
18:28 ce bouclier cyber européen.
18:29 Merci beaucoup à Maître Luc Hellenec du cabinet Simons & Simons et Nicolas Arpagian
18:34 de Edmines Partners.
18:35 À suivre, petite pause et après on retrouve Tariq Krim pour reparler d'IA et de la stratégie