Affronter les risques cyber : quelles politiques pour l’Europe ?

Plus de 500 agents, dont certains chargés de questions intéressant la sécurité nationale, ont été affectés. Et ces pirates, de l’aveu de Microsoft, ont exploité une faille de Microsoft Azure, le service cloud du groupe. Or, d’après un rapport publié le 2 avril 2024 par le département américain de la Sécurité intérieure (DHS) et selon l’analyse réalisée par le Cyber Safety Review Board, Microsoft aurait fait preuve de négligence et aurait pu éviter l’intrusion de ces hackers ; l’entreprise n’aurait pas donné la priorité aux investissements en matière de sécurité ni correctement gérer les risques. Avant cela, dès février, l’association InterCERT de détection et de réponse aux incidents de cybersécurité avait alerté sur l’enjeu sécuritaire lié à la dépendance aux solutions Microsoft. Et les conséquences sont donc graves sur la confiance dans les outils qui sont à notre disposition, à commencer par Microsoft qui avait su faire du cloud le levier d’Archimède de sa spectaculaire remontée en puissance au cours des dix dernières années. 

Cette affaire est révélatrice de l’ampleur des menaces qui pèsent sur nos réseaux et nos données, aux Etats-Unis comme en Europe, qu’il s’agisse de Microsoft ou d’autres hébergeurs, gestionnaires de données ou acteurs du numérique, comme ce fut le cas récemment pour Hewlett Packard Enterprise (HPE), victime d’une attaque de hackers russes en janvier dernier. Microsoft et HPE ont sans doute sous-estimé la menace, ou en tout cas, ils ne sont pas les seuls, n’ont pas pris la mesure que le monde changeait à vive allure et que la cyberguerre se généralisait, sur fond de conflits en Ukraine et à Gaza, de tensions autour de Taiwan et dans le Caucase, et d’une atmosphère globale propice à un réarmement militaire général dans le monde.

Les Etats-Unis ont immédiatement réagi en réunissant tous les opérateurs américains d’importance du secteur du numérique, sous l’égide du département de la sécurité intérieure, en leur demandant de prendre des mesures destinées à combler les failles béantes de sécurité révélées ces derniers mois. Le 26 avril dernier, les 22 membres, publics et privés, du « Artificial Intelligence Safety and Security Board » ont donc été chargés de proposer rapidement des mesures pour mieux protéger les systèmes des réseaux électriques, oléoducs, transports, etc., en travaillant en priorité sur toutes les menaces susceptibles d’impacter la sécurité nationale, la stabilité économique ou la santé publique.

En Europe, la menace est diversement prise au sérieux. En Allemagne, pour des raisons qui tiennent à l’histoire de ce pays, qu’il s’agisse de la période nationale-socialiste ou plus tard de celle de l’Allemagne de l’est communiste sur la gestion des fichiers et des données de leurs concitoyens, la réaction s’organise. De fait, l’Allemagne et la République tchèque sont des cibles de plus en plus privilégiées des hackers russes, par exemple récemment avec le groupe APT28 très liés aux services russes de renseignement. En France, l’alerte sur les produits Microsoft a été lancée par l’Agence nationale de la Sécurité des Systèmes d’Information (ANSSI) en février dernier.

Mais une approche européenne plus globale de ces menaces reste toujours à imaginer. De fait, alors que s’approchent les élections pour le Parlement européen, les questions de cybersécurité ne soulèvent pas un enthousiasme majeur en Europe, alors qu’il s’agit de menaces à brève échéance, probablement massives, et certainement destructrices. Ce manque d’intérêt peut s’expliquer par l’absence d’une vraie stratégie européenne de lutte contre les menaces cyber, malgré l’existence de mesures de coopération entre-autre créées dans la foulée de la signature de l’accord de novembre 2022 sur les menaces cyber avec la création du programme MICNET pour Military computer emergency response team operational network. Or, au vu de ce qui vient de se passer aux Etats-Unis et de ce qui est arrivé à Microsoft, attendre et faire avec ce qui existe ne sont pas des options pertinentes. Il est plus que temps de se saisir de ce sujet et d’en faire une priorité critique pour l’Union européenne.