Après Pegasus, comment l’UE fera-t-elle face aux cyberattaques ?

L’affaire Pegasus nous rappelle, une fois encore, qu’il est essentiel de trouver des solutions innovantes qui peuvent nous protéger contre les cybermenaces les plus récentes et les plus avancées.

Après Pegasus, comment l’UE fera-t-elle face aux cyberattaques ?
©D.R.
Contribution externe

Un texte de Sophie Everarts de Velp – Juriste (www.mutatis.legal) et Chercheuse en droit du digital au Crids (UNamur).

En début de semaine dernière, nous découvrions l’immense fuite de données du logiciel-espion Pegasus géré par la société israélienne NSO-group. Le consortium de journalistes Forbidden Stories a enquêté sur ce logiciel et a révélé l’ampleur des dégâts : les données de plus de 50 000 numéros de téléphone sélectionnés par les clients de NSO depuis 2016 pour une surveillance potentielle. Elle inclut les numéros d’au moins 180 journalistes, 600 hommes et femmes politiques (dont Emmanuel Macron, Charles Michel, etc.), 85 militants des droits humains ou encore 65 chefs d’entreprise.

Concrètement, Pegasus s’introduit dans un smartphone et permet d’en récupérer les messages, photos, contacts et même d’écouter les appels de son propriétaire. Il peut aussi prendre le contrôle du micro, transformant le téléphone en mouchard et géolocaliser l’appareil.

Cette affaire pose la question de la sécurité de nos données et de la protection de notre vie privée. Bien qu’elle soit particulièrement de grande ampleur, il ne s’agit pas de la première cyberattaque révélée au grand jour. En effet, rappelons-nous des affaires Stuxnet, Cyberbunker, Wannacry, NotPetya, DarkHotel, Mirai, Meow ou plus récemment Solarwinds. Toutes ces cyberattaques ont permis l’accès, l’effacement, l’utilisation et la publication de milliards de données.

De la théorie à la pratique

Bien que théoriquement, nous sommes protégés par la législation belge et européenne (ex : RGPD, Règlement de l’UE sur la cybersécurité, Directive NIS, etc.), il conviendrait de mettre en place un arsenal législatif plus élaboré qui tiendrait compte davantage des réalités du terrain. En effet, dans la pratique les attaques sont encore bien trop nombreuses. Par exemple, en 2020, la Police fédérale belge a fait état de près de 44 000 faits liés à la criminalité informatique (hacking, phishing, fraude et faux en informatique, etc.). Parmi ceux-ci, 5447 faits de hacking, à savoir l’accès non autorisé à un système informatique, ont été traités par la Police belge (1).

Il est essentiel de trouver des solutions innovantes qui peuvent nous protéger contre les cybermenaces les plus récentes et les plus avancées.

Une stratégie européenne

C’est ce que tente de faire le Conseil de l’Union européenne, dans sa stratégie de cybersécurité de l’UE pour la décennie numérique, parue en mars 2021, en affirmant vouloir mettre en place des mesures pour “protéger ses citoyens, ses entreprises et ses institutions contre les cyber-incidents et les cybermenaces, tout en renforçant la confiance des particuliers et des organisations dans la capacité de l’UE à promouvoir des réseaux et des systèmes d’information ainsi que des infrastructures et une connectivité sûrs et fiables, ainsi qu’à favoriser et à protéger un cyberespace mondial, ouvert, libre, stable et sûr, fondé sur les droits de l’homme, les libertés fondamentales, la démocratie et l’état de droit”.

La cybersécurité constitue un élément fondamental dans la stratégie européenne des prochaines années. En mai 2020, 49 millions d’euros ont été dégagés pour stimuler l’innovation dans le domaine de la cybersécurité et des systèmes de protection de la vie privée. En outre, dans le cadre du programme pour une Europe numérique pour la période 2021-2027, l’UE s’est engagée à investir 1,6 milliard d’euros dans la capacité de réaction en matière de cybersécurité et le déploiement à grande échelle d’infrastructures et d’outils de cybersécurité dans l’ensemble de l’UE, pour les administrations publiques, les entreprises et les particuliers. Enfin, en avril 2021, un nouveau centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité a été créé.

En particulier, la création de ce nouveau centre de recherche et développement technologique (Cybersécurité, intelligence artificielle, blockchain, 5G, smart cities, etc.) pourrait permettre à l’Union européenne d’accroître sa crédibilité sur le marché international et de diminuer sa dépendance aux acteurs technologiques pour la plupart asiatiques ou américains. En effet, les grandes entreprises américaines, japonaises et chinoises ont pris énormément de place ces dernières années sur le marché des nouvelles technologies (Plus de 25 % des demandes de brevets européens sont déposées par des entreprises américaines).

Face à cette situation, c’est souvent vers le droit que l’Europe se tourne. Par exemple, le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, constitue une bonne illustration de la volonté des Européens de réguler un monde digital qui leur échappe (Pour rappel, le RGPD s’impose également aux entreprises hors UE qui traitent des données à caractère personnel de citoyen européen). Toutefois, cet outil peut être considéré comme un signe de faiblesse, qui témoigne de l’incapacité des Européens à concurrencer les entreprises américaines.

Force est de constater que l’Europe accuse un certain retard dans le domaine des technologies, surtout lorsqu’on la compare avec les géants américains, désignés communément par les Gafam (Google, Apple, Facebook, Amazon, Microsoft). Grâce à ce nouveau centre de recherche et développement, nous pouvons espérer voir des “Gafam européens” émerger et venir concurrencer les Gafam américains en profitant du marché de 500 millions de consommateurs que constitue l’UE. La principale difficulté consisterait en la réduction de la fragmentation du marché européen, ce qui paraît aujourd’hui difficile vu les nombreuses barrières linguistiques, normatives, administratives ou culturelles.

Il convient, enfin, de féliciter les nombreuses initiatives prises par l’UE en matière de cybersécurité et technologies : création de centres spécialisés dans la lutte contre la cybercriminalité, formations, rédaction de textes législatifs, négociation d’accords internationaux, recherches, financement de projets, etc. Et de les encourager à continuer sur cette voie, pour une meilleure protection de notre vie privée et de nos données.

>>> (1) Police fédérale de Belgique, Statistiques policières de criminalité 2020, http://www.stat.policefederale.be/statistiquescriminalite/rapports/>national

Sur le même sujet