Joint Cyber Unit : vers une coopération renforcée en Europe
Devant l’ampleur grandissante des menaces, y compris transfrontalières, la Commission européenne a décidé de mettre en place une entité conjointe de la cybersécurité européenne (ou Joint Cyber Unit) pour muscler la coopération entre les États et améliorer la détection des attaques. L'unité entrera dans sa phase opérationnelle en 2022.
En janvier 2021, la métropole d’Angers a été frappée par un ransomware qui a paralysé l’ensemble du parc informatique des services municipaux. Quelques mois plus tard, durant l’été, c’était au tour de Rome de voir ses services informatiques ciblés par une attaque similaire. Deux exemples parmi bien d’autres qui illustrent la tendance à la hausse des rançongiciels (+ 255% en 2020 selon le dernier rapport de l’ANSSI), mais aussi la vulnérabilité des infrastructures informatiques. Entreprises, hôpitaux, mairies : tout le monde est potentiellement menacé par ce type de logiciels malveillants qui ne connaissent pas les frontières, à l’instar de WannaCry en 2017 qui avait touché plus de 300 000 ordinateurs dans 150 pays en exploitant une faille de Windows XP.
Afin de lutter plus efficacement contre les cyberattaques majeures, la Commission européenne mise sur une coopération renforcée à l’échelle du continent qui prendra la forme d’une nouvelle entité : la Joint Cyber Unit. « Nous avons besoin d’une coopération entre les entreprises, les institutions et les États car les attaquants, eux, sont totalement mondialisés : ils n’ont aucun souci à jouer sur tous les tableaux et à toucher tous types d’acteurs dans une attaque », commente Thomas Gayet, directeur du CERT Cyber services France (computer emergency response team) au sein d’Atos.
La création de la Joint Cyber Unit intervient à la suite de la révision de la directive européenne Network and Information System Security (NIS), ou « NIS 2 », rendue publique fin 2020 et concernant les opérateurs dits important ou essentiels. Celle-ci doit renforcer le cadre juridique et harmoniser le niveau de cybersécurité parmi les pays et les secteurs d’activités, sous peine de sanctions.
Réorganiser les troupes
Cette nouvelle entité, qui devrait être opérationnelle dès 2022, a vocation à « aller plus loin que les initiatives existantes comme le CSIRTs Network qui réunit des équipes de réponses à incident nationales au niveau européen ou l’ECG Group (European Government CERTs) qui est plus informel. En effet, la Joint Cyber Unit va davantage structurer les mécanismes de coopération en cas d’incident de cybersécurité », précise Thomas Gayet. En coopération avec Europol notamment, c’est l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) – chargée d’accompagner les États membres en matière de politique de cybersécurité – qui sera chargée de la mettre en place.
Concrètement, elle prendra la forme d’une « plateforme virtuelle et physique de coopération » permettant de déployer une réaction coordonnée aux cyberattaques. « Ça va être un élément différenciateur très important pour traiter un incident à l’échelle européenne, affirme Thomas Gayet. Le succès de la réponse à un incident repose sur l’organisation préalable de nos capacités à gérer une crise. Ça demande un travail de préparation pour se connaître, s’identifier et surtout se faire confiance – car sans confiance, aucune coopération n’est possible. C’est sans doute le plus grand défi qui attend la Joint Cyber Unit ».
En France, poursuit-il à titre d’exemple, « l’InterCERT-FR, qui réunit une cinquantaine d’équipes (CERT internes de grands groupes, CERT institutionnels, CERT commerciaux…), constitue un véritable réseau de confiance reposant sur une mutualisation des informations que l’on possède sur les caractéristiques d’un attaquant ou d’une attaque, et qui peuvent aider chacun à mieux traiter l’incident qu’il a chez lui ».
L’union fait la force
Directrice de la communication et des relations institutionnelles sur les sujets de cybersécurité chez Atos, Laurence Bégou complète : « Dans le processus de gestion de crise de la Joint Cyber Unit, il y aura un mapping de tous les acteurs en mesure d’apporter leur aide : d’abord les acteurs publics, et les acteurs privés dans un second temps ». Difficile, en l’état, de se passer de ces derniers, juge-t-elle : « Les agences de cybersécurité nationales ne peuvent pas de manière réaliste venir en aide à tous ceux qui sont attaqués. »
Pour faciliter cette coopération, il paraît important de « spécifier les rôles de chacun » et de « garantir des démarches qui soient cohérentes d’un acteur à l’autre », estime Thomas Gayet. La diffusion de labels au niveau européen pourrait également aider à fixer un cadre commun propice à un climat de confiance, avance-t-il : « Si l’on parle par exemple des qualifications de l’ANSSI identifiant les acteurs fiables en France, cela ferait sens de généraliser la démarche en Europe pour pouvoir faire appel en toute confiance à un acteur privé qui se situe dans un autre pays, par exemple. »
Un « cyberbouclier » dopé à l’IA
Une démarche qui devrait également affiner la détection des attaques le plus en amont possible, en s’armant d’un « cyberbouclier » s’appuyant sur l’intelligence artificielle, et dont « l’unité conjointe de cybersécurité est le bras opérationnel », a souligné Thierry Breton, commissaire au marché intérieur.
« L’objectif du cyber shield est de faire monter en compétence les SOC (Security Operations Centers, chargés de surveiller, d'analyser et de protéger une entreprise contre les cyberattaques) en Europe, et ensuite de voir comment les SOC pourraient s’interconnecter pour échanger davantage sur la détection des menaces », détaille Laurence Bégou – même si « la notion de bouclier est discutée ».
D’autant que des défis inédits attendent encore les CERT et les SOC, à commencer par l’explosion de l’IoT qui inquiète particulièrement la Commission européenne. « Si tout est connecté, tout peut être piraté ! », a lancé sa présidente, Ursula von der Leyen, lors de son discours sur l’état de l’Union le 15 septembre. Les objets connectés devraient être 22,3 milliards d’ici 2024, autant de cibles pour les botnets (réseaux de bots informatiques) exploitant leurs failles pour en prendre le contrôle et déployer des attaques de grande ampleur. Entre les hackeurs et les équipes opérationnelles de cybersécurité, la course contre la montre n’est pas près de s’essouffler.