Cyber Sécurité un enjeu européen ? un enjeu de souveraineté ? Synthèse de la réunion d’Avril au CEPS

Aujourd’hui, les entreprises créent de la richesse avec les données qu’elles génèrent et celles de leurs clients – à l’instar de Facebook. Nous sommes individuellement et collectivement de plus en plus dépendant à la technologie et donc… de plus en plus vulnérables. Cette richesse, ces données attisent les convoitises des menaces traditionnelles.

La convoitise et cette vulnérabilité provoquent une multiplication des incidents graves : vols de données confidentielles, cyber chantage, même l’intégrité physique des biens et des personnes est remise en cause.
La réglementation européenne s’attaque aux deux facteurs de risque : GDPR par exemple se concentre sur la protection de la richesse et NIS sur la vulnérabilité de nos infrastructures.

Chaque pays européen aujourd’hui a une approche personnelle et culturelle de présenter les dossiers à l’Executif pour décision. Un exécutif qui doit alors se mettre d’accord avec ses pairs européens. Une Europe de la Défense semble de ce fait improbable à court terme. En revanche, la Cyber repose sur une culture partagée par les geeks qui agissent déjà de concert : les CERT/CSIRT se coordonnent. Les meilleurs outils utilisés par ces équipes sont open source à l’initiative d’européen : MISP au Luxembourg, The Hive en France, etc. le partage d’information sur la menace cyber (threat intel, les marqueurs IOC…) est également déjà dans les mœurs avec un filtrage normalisé sur ce qui reste interne à une entité, ce qui est partageable avec un réseau de confiance et ce qui est publique.

Une fois de plus, l’espoir vient de la communauté d’experts et pas des pouvoirs publiques 🙂
D’autres initiatives en cours de finalisation ont été évoquées, comme la création d’une agence dotée de moyens conséquents en Europe et la labélisation sécurité de produits, à l’image de ce qui se fait en France. Cocorico !

Le débat s’est essentiellement concentré sur la régulation. Chaque zone géographique cherchant à réguler un sujet sans frontière par définition : comment délimiter le cyber espace ? comment imputer une attaque cyber sans se tromper ?

  • Le Cloud Act américain signé fin mars permet aux autorités USA la saisie d’emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines à l’étranger (Amazon, MS, Google par exemple ?). Une réponse à GDPR selon les intervenants sur le principe d’extraterritorialité.
  • Plusieurs sociétés américaines réfléchissent à l’utilisation de la GDPR comme barrière pour sécuriser leur business et empêcher des start-ups européennes d’émerger ! un comble 🙂 A noter, qu’au Brésil, pays à faible maturité cyber sécurité, nos rendez-vous client remontent systématiquement le besoin d’un accompagnement GDPR. Le monde entier a compris qu’une bataille de réglementations se profilait.
  • La protection des savoir-faire et des informations commerciales dans le Trade Secret vise à protéger notamment les PME/ETI. Un cadre juridique qui se renforce mais aussi un cadre juridique qui devient un facteur de risques en lui-même. Le RSSI va devoir également de plus en plus développer une compétence réglementaire et juridique pour aider son COMEX/CODIR à faire les bons choix stratégiques dans sa digitalisation et pas uniquement pour se protéger des attaques de mafias ou hackers. L’arme réglementaire sera utilisée. Dans cette logique, nous ne voyons pas comment les PME/ETI vont pouvoir se développer avec leurs moyens limités : complexité de la menace mafia et étatique, exigences accrue de leurs clients grands comptes et de la régulation, une régulation qui peut même se retourner contre elle et freiner leur développement. Plutôt que de concentrer leurs efforts à la création de champions industriels de solutions sécurité (un Airbus européen de la cyber) voués à l’échec car l’avenir vient des start-up innovantes, les pouvoirs publiques devraient investir dans le soutien cybersécurité des PME en mutualisant les compétences et dépenses.

Une soirée passionnante qui a montré que la Cyber sécurité ce n’est pas seulement éduquer les utilisateurs, sécuriser les méthodes de travail, protéger les systèmes, détecter les attaques cyber et y réagir.
C’est également un enjeu :

  • De souveraineté  pour préserver notre capacité future
  • Economique pour permettre aux start ups et PME de se développer
  • Réglementaire pour lutter à armes égales avec d’autres territoires/nations
  • Politique pour démontrer que l’Europe est possible et utile à l’heure des tentations isolationnistes.