Petite histoire de la cybersécurité en Europe, les pistes pour l’avenir

Dans ses Papiers numériques, l’ANSSI revient sur l’histoire de la cybersécurité en Europe. Elle navigue entre besoins régaliens, nécessité de coordination entre États et enjeux à venir. L’occasion de revenir sur les propositions que portera la France lorsqu’elle présidera le Conseil de l’UE.

Dans son introduction, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) rappelle que les instances de l’Union européenne ont proposé au début des années 2010 « un projet de règlementation européenne pour la sécurité informatique ». Si de nombreux États ont montré leur intérêt, ils étaient également« prudents ».

La raison est simple à comprendre : « L’idée que des instances extérieures puissent avoir droit de cité sur ces sujets souverains semble alors contre-intuitive aux aficionados du domaine ». Une manière polie de reprendre l’expression populaire « chacun chez soi et les moutons seront bien gardés ». Le problème pour l’ANSSI étant que dans la cybersécurité « les intérêts des uns sont souvent aussi ceux des autres ». 

Il fallait donc trouver une solution, pour éviter d’avoir une Europe à deux vitesses dans le domaine, avec des pays en retard sur leurs voisins, créant une porte d’accès. Car dans le cyberespace, les frontières sont poreuses : « une attaque affectant les systèmes d’information d’un opérateur au sein d’un État peut, par effet rebond, avoir un impact sur les services qu’il fournit dans d’autres pays ». Et ce ne sont pas les exemples qui manquent.

La genèse de la directive Network and Information Security (NIS)

Guillaume Poupard, directeur général de l’ANSSI, revient sur la genèse du projet d’une cyberdéfense européenne. À cette époque, « le réflexe était de dire qu’il fallait faire à l’échelle européenne ce que l’on faisait à l’échelle nationale ». « Nous, on s’y est plutôt opposé. Non pas par défiance, mais par pragmatisme », explique-t-il.

Historiquement, le travail de l’ANSSI « c’est de stopper les attaques informatiques menées contre les systèmes d’information les plus critiques et d’aider à réparer les dégâts », indique Anne Tricaud, cheffe de la division coordination internationale. Cela concerne aussi bien les réseaux des opérateurs critiques que les ministères et les grosses entreprises nationales. Des domaines « très régaliens », dont il aurait fallu laisser les clés à une instance européenne ; impensable pour certains. D'autant que cette instance aurait dû agir aux quatre coins du continent et répondre à de nombreuses crises.

Guillaume Poupard explique que la priorité de la France était donc « que chaque État développe ses propres capacités à détecter et à réagir aux incidents ». Après trois ans de négociations, la directive Network and Information Security (NIS) est adoptée par les institutions européennes le 6 juillet 2016.

Sur cette page, l’ANSSI dresse la chronologie et rappelle les grandes lignes des travaux qui y ont mené. 

Des OIV français aux OSE européens

Dès les premiers échanges sur NIS,  la volonté « d’édicter, au niveau européen, des exigences de sécurité pour certains opérateurs critiques » est mise sur la table. Pour rappel, la France n’a pas attendu une décision européenne pour se lancer : « le sujet de la protection d’opérateurs sensibles contre les attaques informatiques [était] déjà dans les tiroirs du Secrétariat général de la défense et de la sécurité nationale (SGDSN) et de l’ANSSI ».

C’est au travers de la Loi de programmation militaire (LPM), que la France ajoute dès 2013 « un volet "cyber" à un
dispositif déjà existant : la sécurité des activités d’importance vitale (SAIV) ». Vous l’aurez certainement deviné, il s’agit des opérateurs d’importance vitale (OIV).

Il était alors question de « quelques centaines d’organismes », répartis dans des secteurs divers et variés comme les transports, les activités militaires, la santé, la gestion de l’énergie… La liste des membres doit en théorie rester confidentielle, même si c’est un secret de polichinelle pour certains.

Au niveau européen aussi la volonté de protéger des organisations sensibles/critiques d’une menace cyber est grandissante. « Dans la terminologie de la directive, on ne parle pas d’OIV mais d’OSE : opérateurs de services essentiels », explique l’ANSSI.  Une nuance qui a son importance. 

La France, « attachée à préserver les ambitions de sa loi nationale », se retrouvait ballotée : « On avait deux textes qui avaient vocation à encadrer la sécurité des infrastructures critiques. Il fallait donc articuler les deux, d’autant que l’on considérait que la cybersécurité restait une question de sécurité nationale », explique Anne Tricaud.

Jean-Baptiste Demaison, qui était alors le pilote des négociations à l’ANSSI, explique la tambouille interne (de son point de vue) : « La complémentarité s’est faite en distinguant les types d’opérateurs régulés par les deux textes. La loi française concernait les OIV, critiques pour la sécurité nationale. Quant à la directive NIS, elle s’attachait aux OSE dont la protection vise à sécuriser le marché intérieur ».

Coopération : des CERT nationaux aux instances internationales 

La directive européenne ajoute un élément important : « le développement de réseaux de coopération ». Là encore, le sujet est sensible, car il s’agit de faire collaborer des États « autour d’activités très techniques, intrinsèquement nationales et souvent confidentielles », ce qui nécessite une « certaine dose d’inventivité ».

Il existait déjà des organismes chargés de communiquer sur des sujets de cybersécurité, notamment les Computer Security Incident Response Team (CSIRT) et Computer Emergency Response Team (CERT). En France, nous avons le CERT-FR (anciennement CERTA, créé en 1999) sous le contrôle de l’ANSSI. En 2011 les institutions européennes lancent leur propre CERT-EU.

Selon l’ANSSI, l’utilité de ces organismes n’est plus à démontrer : « l’exemple souvent utilisé dans les murs est celui de la vague mondiale d’infection WannaCry, en 2017, pendant laquelle les échanges multilatéraux ont nettement contribué à limiter les dégâts dans l’Hexagone ». 

La directive européenne NIS crée aussi un CSIRTs Network : un réseau de coopération et de partage d’informations techniques entre CERT gouvernementaux et nationaux, comprenant également le CERT-EU. « Concrètement, on y échange des marqueurs techniques permettant d’anticiper voire d’endiguer des attaques ou des conseils en termes de développement d’un CSIRT », explique Chloé Chabanol, cheffe de la cellule CERT-FR à l’ANSSI.

Depuis début 2020 après l’attaque de Bouygues Construction avec le rançongiciel Maze, l’ANSSI propose des indicateurs de compromission permettant à tout un chacun de détecter et bloquer le même genre de menace. Il y en a actuellement une petite dizaine référencés sur le CERT-FR.

• Rançongiciel Maze : l'ANSSI assure d’une « collaboration efficace » avec Bouygues Construction

Selon l’ANSSI, c’est un succès : « Quelques années après son lancement, le réseau européen est rodé et fructueux. Réunions plénières, plateformes, mailing-lists, chat dédié… Le réseau tourne et se développe en continu ». Pour Louis Rouxel, responsable des activités de coopération du CERT-FR, « tous les États murissent et développent leurs capacités à coopérer. L’échange d’information est vraiment dans notre ADN ».

Détour par l’European Union Agency for Cybersecurity 

Le succès de la directive NIS aurait ouvert de nouvelles perspectives selon l’ANSSI : « On a pu constater que la directive NIS nous permettait de renforcer le niveau de sécurité de l’ensemble de l’Union, de protéger plus d’acteurs, de nous coordonner avec nos partenaires… et ainsi, de contribuer à renforcer la sécurité nationale. Alors on a commencé à se dire que traiter le sujet cyber à l’échelle européenne… c’était une très bonne chose ».

Elle a ainsi « ouvert la voie à toutes les initiatives qui ont suivi pour la construction d’une véritable cybersécurité européenne ». Cette directive est donc comparée à « des fondations solides »… mais l’ANSSI rappelle qu’elle s’appuie elle-même sur une première brique posée en 2004 (cinq ans avant la création de l’ANSSI) : l’European Union Agency for Cybersecurity (ENISA). Cette agence faisait à l’époque un peu figure « d’OVNI ».

Elle a mis sur pied plusieurs missions, notamment « l’organisation de l’exercice Cyber Europe », un rituel bisannuel « simulant des crises d’origine cyber et testant la capacité des États à y faire face ». Plus récemment, un nouveau fait d’arme en 2019 : « l’adoption du Cyber Security Act ».

Selon l’ANSSI, « ce règlement marque une véritable avancée pour l’autonomie stratégique européenne ». Deux objectifs sont mis en avant : « l’adoption du mandat permanent de l’ENISA […] et la définition d’un cadre européen de certification de cybersécurité ».

L’ENISA joue aussi un rôle de sensibilisation et de formation aux bonnes pratiques ; « c’est sans doute le champ sur lequel elle a été la plus essentielle […] avec ses formations, ses guides, ses exercices et le pilotage du Mois européen de la cybersécurité [Cybermoi/s en France, ndlr]. Elle a aussi pris de la légitimité sur les politiques publiques européennes, où elle peut être consultée pour bâtir des orientations. Enfin, elle peut conseiller les États victimes d’incidents qui en font la demande ».

Dans la suite de ce dossier nous reviendrons sur le Cyber Security Act, NIS v2 et l'harmonisation des pratiques.

• Cybersécurité : l’année 2020 vue par l’ANSSI, avec deux fois plus d’« incidents »