Jeunes IHEDN : Pouvez-vous revenir sur le contexte autour de la négociation de cette nouvelle politique européenne de cyberdéfense ?

Maxime ROCLORE : Le cyber est un sujet important au niveau de l’Union européenne, la preuve en est les nombreuses politiques, règlementations et les nombreux programmes qui existent déjà dans ce domaine. En revanche, le domaine de la cyberdéfense est une responsabilité étatique ce qui signifie que l’Union européenne (UE) intervient principalement en soutien de la coopération entre les États-membres. Jusqu’alors, il existait un cadre de coopération politique en matière de cyberdéfense, le Cyber Defense Policy Framework (CDPF), dont la première version a été publiée en 2014 et la deuxième en 2018. Ce cadre général recense l’ensemble des activités liées à la cyberdéfense qu’il s’agisse des activités mises en œuvre par l’Agence européenne de défense, par l’État-major de l’UE (EMUE) ou par la Commission au travers de son soutien financier. La mise à jour de ce document cadre était prévue par la stratégie de cybersécurité de 2020, une stratégie à laquelle j’avais déjà contribué. Lors de son discours sur l’état de l’Union en 2021, la présidente de la Commission Ursula VON DER LEYEN avait annoncé que l’UE allait se doter d’une nouvelle politique de cyberdéfense. Cette déclaration illustre la volonté de la Commission européenne de mettre le sujet de la cyberdéfense en avant quand bien même ce domaine touche les fonctions régaliennes des États-membres.

De nombreux acteurs ont été impliqués dans l’écriture de cette politique. En ce qui concerne la Commission, la direction générale (DG) CONNECT et la DG DEFIS (Défense, Industrie et Espace) ont mené le travail. Au côté de la Commission, la section cyber du Service Européen d’Action Extérieure (SEAE), l’état-major de l’UE et le Collège européen de sécurité et de défense (CESD) ont également participé. Enfin, l’Agence européenne de défense a grandement contribué à cet effort collectif. Pour ma part, j’étais en charge de coordonner toutes les contributions internes émanant de nos différentes directions opérationnelles et j’y ai apporté la dimension politique.

Il est également intéressant de revenir sur l’approche choisie par la Commission s’agissant de ce document. Contrairement au CDPF mentionné plus tôt, qui a été préparé par les institutions européennes puis négocié et adopté par le Conseil de l’UE, une communication conjointe appartient entièrement aux institutions puisqu’elle est adoptée par le collège des commissaires. Cela signifie que la politique européenne de cyberdéfense a été présentée aux États-membres et au Parlement en même temps qu’elle a été annoncée au grand public. Cela a été un grand défi pour l’AED qui a l’habitude de travailler en intergouvernemental, où nous avons à cœur de faire émerger des consensus. Il a fallu s’assurer que les mesures proposées soient crédibles et réalistes, notamment du faire de la forte visibilité politique de cette communication.

Jeunes IHEDN : Quelles sont les prochaines étapes pour cette nouvelle politique de cyberdéfense ?  

Maxime ROCLORE (MR) : Maintenant que la politique de cyberdéfense a été publiée, chaque État-membre va pouvoir l’étudier. Le Conseil de l’UE adoptera ensuite des conclusions dans lesquelles il donnera les orientations à prendre concernant cette nouvelle politique. Il s’agit ainsi de l’opportunité pour les États-membres d’exprimer leur avis sur la communication conjointe et de définir en interne quelles mesures ils décident d’appliquer ou de rejeter.

Au premier semestre 2023, un Plan de mise en œuvre sera négocié avec les États-membres pour décider de mesures plus concrètes à mettre en place pour réaliser les objectifs fixés par la politique. Ensuite, un rapport sera réalisé chaque année par les acteurs impliqués dans la rédaction de la politique de cyberdéfense pour rendre compte des avancées dans ce domaine.

L’idée est que cette politique soit valide pour environ 5 ans avant d’être révisée. Cela ne veut pas dire que l’horizon temporel des mesures proposées ne va pas au-delà. Lorsque l’on travaille sur le développement des capacités de défense, il faut beaucoup de temps et donc parfois on peut fixer des objectifs et revoir la politique en mettant à jour une ambition. Cette notion est d’autant plus importante lorsqu’on parle de cyber, une technologie qui évolue très vite.

Jeunes IHEDN : Pouvez-vous revenir sur le contenu de cette nouvelle politique ? Quelles sont les grandes ambitions européennes en matière de cyberdéfense ?

MR : La politique européenne de cyberdéfense a été divisée en quatre axes importants. Le premier vise à améliorer la coopération dans le domaine de la cyber défense. Le deuxième vise à renforcer l’écosystème européen de défense. Le troisième propose aux États-membres d’investir dans leurs capacités de cyber défense. Et enfin le dernier consiste à coopérer avec nos partenaires sur des défis communs.

I- Agir ensemble pour une cyber défense renforcée

MR : Le premier axe consiste à développer le cadre de coopération et de coordination pour les acteurs de cyber défense. Lorsque l’on compare à ce qui est fait dans le domaine civil, notamment la coopération entre les CERTs civils avec le CSIRTs network, ainsi que le réseau CyCLONe qui permet la coopération entre les niveaux technique et politique, on se rend compte qu’il existe une coordination assez fluide entre les acteurs civils qui n’existe pas encore au niveau militaire. En effet, du fait de la sensibilité des informations en question, il y a très peu d’habitude de coopérer entre les acteurs de cyberdéfense au niveau de l’Union européenne et donc il n’y a pas de réseau ou de cadre qui existe. Ce constat avait déjà été dressé dans le CPCF de 2014 et a été renforcé lors d’un exercice mis en place par l’Agence européenne de défense.

Dans l’objectif de faire le point sur la coopération en matière de cyberdéfense, l’AED a organisé la Conférence d’interopérabilité des CERTs militaires en 2021, un exercice rassemblant environ 200 participants. L’objectif était de faire travailler ensemble les États-membres et leurs CERTs militaires en conditions réelles en leur demandant de répondre à des défis variés. C’était une opportunité d’observer la manière dont les CERTs répondaient, coopéraient, interagissaient et de les confronter aussi aux bénéfices qu’ils pourraient avoir de coopérer. Au cours de l’exercice, on a identifié un certain nombre de problèmes. Une des tâches assignées consistait à contacter trois autres équipes et on s’est vite rendu compte qu’ils n’avaient pas de points de contact dans les différents CERTs militaires. Les CERTs ne se connaissaient pas. De plus, on leur a demandé de rendre compte des attaques dont ils avaient fait l’objet. On a vite remarqué qu’il n’existait aucun processus harmonisé pour rendre compte de ces attaques. À l’issue de cet exercice, on a développé des leçons et on a commencé à travailler sur un premier projet afin de créer des modèles harmonisés au niveau européen pour rendre compte des attaques. Cet exercice a si bien fonctionné qu’il a été reconduit l’année suivante. On s’est dit qu’il fallait arriver à faire perdurer cela et puis surtout qu’il était temps de développer un cadre de coopération plus précis en matière de cyberdéfense.

Et donc c’est pour cela que l’on a proposé de mettre en place le réseau opérationnel des CERTs militaires, MICNET, qui est une des mesures très importantes de la politique. Le projet MICNET a été signé par 12 ministres de la Défense le 15 novembre soit 5 jours après l’adoption de la politique de cyberdéfense. D’ici à janvier, lorsque le projet entrera en vigueur, on devrait avoir 18 États-membres avec l’espoir que l’ensemble des États-membres rejoigne à terme ce réseau de CERTs militaires.

En plus de cette coopération au niveau technique, on a aussi une coopération au niveau militaro-stratégique c’est-à-dire au niveau des responsables des commandements cyber. L’objectif est d’avoir des discussions non pas sur un simple incident mais plus généralement sur les attaques dont sont victimes les opérations militaires. L’AED aura la charge d’organiser au moins deux conférences des commandants cybers par an pour faciliter ce dialogue européen.

Enfin, il y a une autre action importante qui est la création d’un Centre de coordination de cyberdéfense européen au sein du SEAE pour soutenir les opérations de l’Union européenne en matière de cyberdéfense. Aujourd’hui, il n’y a pas vraiment de mécanisme pour que les États-membres puissent être alertés d’un besoin et contribuer à la connaissance d’une situation cyber sur les théâtres d’opération européens. Ce centre se ferait sur la base d’un projet PESCO existant avec une échelle de temps longue parce que le projet PESCO doit arriver à sa capacité finale et ensuite il sera transformé au solde du SEAE pour améliorer de manière structurelle la prise en compte du domaine cyber pour les opérations et missions de la politique de sécurité et de défense commune (PSDC).

II- Protéger l’écosystème européen de défense

MR : L’Union européenne, à part les capacités de soutien des opérations et missions de la PSDC et la protection de ses réseaux, n’a pas de capacité de cyberdéfense propre. Ce sont les États-membres qui possèdent ces capacités et donc l’objectif est de les inciter à continuer à les développer. Il existe des différences de maturité très importantes entre les État-membres, l’enjeu est donc de tirer vers le haut les capacités de cyberdéfense de l’ensemble des États-membres. Pour cela, on a proposé un certain nombre d’initiatives. Une première consiste à s’inspirer des obligations données par NIS et NIS 2, qui ne s’appliquent pas au domaine de la défense par volonté des États-membres, pour le domaine de la cyberdéfense. NIS et NIS 2 mettent en place des obligations pour atteindre un niveau de cybersécurité qui soit plus élevé dans l’ensemble des domaines de la société que cela concerne les opérateurs privés ou publics en leur imposant notamment de rendre compte des incidents qu’ils subissent. Elles mettent également des responsabilités très importantes sur les opérateurs d’infrastructure critique. Nous avons ainsi proposé que l’Agence et la Commission travaillent avec les États-membres pour développer des recommandations s’inspirant de NIS 2, non contraignantes, pour fixer des objectifs communs à réaliser en matière de cyberdéfense. Il s’agirait d’un cadre de bonnes pratiques commun à tous qui permettrait aux États-membres les moins avancés de tendre vers un niveau plus élevé de cyberdéfense.

III- Investir dans les capacités de cyber défense

MR : On propose aussi d’aider les États-membres à définir des objectifs pour leurs investissements en matière de cyberdéfense pour atteindre un niveau de maturité élevé. Ces objectifs seraient définis avec les États-membres et seraient revus grâce à la revue coordonnée annuelle de défense, la CARD, réalisée tous les deux ans par l’AED pour entamer un dialogue avec les États-membres sur leurs capacités de défense. Cela répond à une difficulté identifiée par la précédente CARD qui est que les États-membres ne partagent que très peu d’informations sur leurs investissements en matière de cyberdéfense.

Ensuite, on a mis en avant dans la politique de cyberdéfense que les États-membres faisaient insuffisamment de coopération lorsqu’ils développaient leurs capacités de défense donc on les a invités à utiliser les cadres de coopération existant notamment la coopération structurée permanente avec les projets PESCO. Il s’agit d’un cadre très attractif car il inclut un bonus de 10% de financement lorsque les projets aboutissent à un consortium qui va solliciter des subventions au sein du Fonds européen de défense (FED). L’AED est aussi un lieu dans lequel on peut porter des projets à partir de deux États membres. C’est un cadre qui est plus souple et qui permet, par exemple, de développer uniquement une partie d’un projet comme l’harmonisation des spécifications, la définition du besoin ou encore des objectifs. On peut aussi mettre en œuvre des projets PESCO si des États-membres nous demandent d’être gestionnaire du projet. De nombreuses solutions existent ainsi au niveau européen pour encourager les États-membres à investir dans de nouvelles capacités de cyber défense ensemble.

L’un des enjeux lorsque l’on parle de cyber est que la technologie évolue très rapidement et donc, pour garder notre capacité à répondre aux évolutions technologiques et aux menaces, il est extrêmement important d’investir massivement dans la recherche et le développement mais aussi de s’assurer que cette recherche n’est pas déconnectée du cycle capacitaire. L’enjeu est d’aller le plus rapidement possible de la phase de recherche à la phase de développement et donc d’arriver à transférer les technologies qui ont été développées dans des capacités. Pour permettre cette innovation, l’Agence européenne de défense vient de mettre en place un Hub pour l’innovation de défense (HEDI) qui va nous permettre au travers de défis technologiques de travailler sur des preuves de concept qui vont ensuite aller rapidement à une phase de développement. Avec la Commission européenne, nous allons aussi travailler à développer les technologiques critiques pour la cyberdéfense, identifier les dépendances européennes et orienter les financements européens vers ces technologies clefs dont nous sommes dépendants pour l’avenir.

IV- Coopérer avec nos partenaires

MR : Enfin, la partie des partenaires. La politique rappelle aussi l’importance de travailler avec des partenaires dont l’OTAN qui est un partenaire important. On n’interagit pas avec l’OTAN sur l’ensemble du même spectre d’activité. Par exemple, l’OTAN fait très peu de développement capacitaire à part pour ses propres besoins, elle n’offre pas de cadre de coopération tel que nous on peut le proposer. En revanche, l’OTAN est très active sur tout ce qui concerne les réponses à des attaques, la coordination des sanctions ou des déclarations conjointes suite à des attaques. Et donc nous à l’AED, on contribue à cette coopération avec l’OTAN. Plus largement, la politique appelle au développement du dialogue cyber avec des partenaires privilégiés de l’Union, tels que l’Ukraine ou les États-Unis.

Jeunes IHEDN : Pouvez-vous nous expliquer la notion de cyberdéfense active mentionnée au début de la politique ?

MR : Lorsque l’on parle de cyberdéfense, il ne s’agit pas juste d’essayer de patcher au mieux nos systèmes, les États-membres doivent aussi développer des capacités de réaction par rapport à des attaques cybers. On est ainsi nécessairement sur ce que l’on appelle de la cyberdéfense active. Aujourd’hui, au sein de l’Union européenne, nous n’avons pas (encore) initié de discussions sur la coordination d’effets cyber offensifs tels que l’OTAN a pu le décider. Le cyber offensif reste un sujet très complexe car quand on utilise des outils cyber offensifs, cela signifie dévoiler une partie de son savoir-faire et donc ne pas être en mesure de le réutiliser. Dans le cadre de l’OTAN, on demande aux Alliés s’ils sont capables de produire un effet dans le cadre d’une opération de défense collective mais on ne leur demandera jamais comment ils y sont arrivés et quels moyens ont été utilisés. Donc je dirais que c’est pour cela que l’on a utilisé le terme de cyberdéfense active qui est communément utilisé, afin de souligner que l’on ne reste pas passif par rapport aux attaques mais qu’on tente d’être aussi un peu actif pour tenter de bloquer des attaques sans pour autant faire des actions purement offensives. Il n’est par ailleurs pas exclu que la discussion puisse s’ouvrir à l’avenir au sein de l’Union européenne sur le cyber offensif, même si le sujet n’est pas encore mûr.

Jeunes IHEDN : Pouvez-vous revenir sur la mesure de réserve cyber européenne ?

MR : L’idée de la réserve cyber européenne a été poussée par la Commission en soutien d’une proposition de juin 2021 visant à orchestrer depuis Bruxelles la réponse aux incidents cybers majeurs à l’échelle de l’Union, en coordonnant et en amenant ensemble les quatre grandes communautés cyber : la cybersécurité, la lutte contre la cybercriminalité, la cyberdiplomatie et la cyberdéfense. Cette notion de Joint Cyber Unit comprenait également l’idée de mieux préparer ces experts nationaux à faire face aux incidents en organisant des exercices et des audits de capacités au niveau européen. À l’époque, nous avions émis des doutes quant à l’acceptabilité par les États-membres de réaliser des audits sur leurs capacités de cyberdéfense. De plus, il y a une autre grande difficulté qui est l’implication du secteur privé s’agissant de la communauté de cyberdéfense, qui ne voudra pas que des informations partagées à l’échelle de l’Union soient ensuite transmises à des acteurs privés, puisqu’il s’agit de défense nationale. La proposition ambitieuse de Joint Cyber Unit n’ayant pas été très bien reçue par les États-membres, la Commission a réintroduit quelques éléments dont cette idée d’une réserve cyber à l’échelle européenne dans la politique. Les mois à venir nous permettront de savoir si les États-membres pourraient accepter cette idée, désormais détachées de la proposition d’unité cyber conjointe.

Jeunes IHEDN : Quelles discussions peut-on attendre au cours de la révision de la boîte à outils cyber diplomatique prévue pour 2023 ?

MR : La boîte à outils cyber diplomatique est déjà bien développée et fonctionne. Toutefois, on peut encore s’attendre à ce que les discussions se poursuivent s’agissant de l’attribution publique des cyberattaques. En effet, certains États-membres considèrent que l’attribution publique n’est pas forcément la meilleure des réponses, et donc, même si on atteint un degré de certitude élevé sur qui est à l’origine des attaques, parfois l’attribution publique n’est pas la solution privilégiée. Donc je pense que l’objectif va être de continuer à faire évoluer cet outil-là. Peut-être qu’en matière d’attribution, les États-membres iront plus loin. L’enjeu est aussi pour l’Union de continuer à porter une voie commune à l’échelle internationale pour promouvoir une vision respectueuse du droit international.

Jeunes IHEDN : Merci pour vos réponses !