Concernant le renforcement des capacités cyber-offensives, les États membres de l'UE ne peuvent pas attendre Bruxelles

Les cyberdéfenses européennes sont faibles et vulnérables. En cette période de tensions géopolitiques, les systèmes informatiques de notre continent sont des cibles faciles pour les pirates informatiques et les nations hostiles. Nous devons mieux nous protéger. écrit Antonia-Laura Pup.

Bien que le bloc ait progressé dans le renforcement de certaines infrastructures de cyberdéfense, notamment grâce à sa récente Loi sur la cyber-résilienceL'UE reste à la traîne par rapport à la Russie, à la Chine et aux États-Unis dans le développement de solides capacités cybernétiques offensives. C'est un problème facile à résoudre. Il suffit d'assouplir les règles afin que les États membres de l'UE puissent collaborer plus facilement. L'Europe a besoin d'interopérabilité et de davantage d'exercices conjoints entre les pays qui possèdent déjà cette capacité et partagent une évaluation commune des menaces.

La nature du cyberconflit rend obsolète la distinction entre temps de paix et temps de guerre. Des acteurs étatiques aux agendas stratégiques opaques, comme la Russie et la Chine, ainsi que des acteurs non étatiques comme les groupes criminels et les hacktivistes, peuvent attaquer des infrastructures critiques, recueillir des renseignements précieux et lancer des attaques perturbatrices sans pour autant entrer dans le cadre d'un conflit armé. L'Europe doit donc peser soigneusement sa réponse.

Avant le vote présidentiel de 2024, 85,000 cyberattaques a frappé le système électoral roumain. Cela a incité les services de renseignement roumains à affirmer publiquement Des sites web électoraux nationaux ont été publiés sur des plateformes de cybercriminalité russes quelques heures avant le vote. En 2024, des pirates informatiques chinois ont été liés au service de renseignement national MSS. a ciblé des législateurs européens anti-chinois par des cyberattaques pour collecter des données sensibles.

Dans la zone grise du cyberespace, la posture défensive et passive adoptée par l'UE est insuffisante. Sans capacités cybernétiques robustes, l'UE ne peut menacer de représailles, pourtant un élément essentiel de la dissuasion et un élément clé de la crédibilité du bloc. sa tentative de devenir plus pertinente sur le plan militaire.

La Commission européenne a reconnu cette urgence dans sa Livre blanc sur la défense européenne, publié en mars 2025, qui a insufflé un pragmatisme indispensable au cyberespace de l'UE. « Des capacités cybernétiques défensives et offensives sont nécessaires pour garantir la protection et la liberté de manœuvre dans le cyberespace », a-t-il déclaré.

La sécurité européenne ne peut toutefois pas attendre le développement de nouveaux dispositifs de soutien ou de capacités cyberoffensives communes à l'ensemble du bloc. Le problème est plus fondamental. Il existe même un manque de compréhension commune de ce qui constitue un cyberrisque. Pour la Hongrie, qui a développé une partenariat significatif de transformation numérique avec Huawei, il est beaucoup moins probable que leurs dirigeants politiques admettent que la Chine représente un risque cybernétique.

De même, le gouvernement slovaque, dirigé par Fico, sympathisant de la Russie, pourrait constituer un obstacle aux efforts de l'UE pour mener des opérations offensives contre Moscou. Ces deux pays pourraient à eux seuls facilement opposer leur veto à une initiative visant à développer une capacité cyberoffensive conjointe dans le cadre de la Politique européenne de sécurité et de défense commune, qui a besoin de l'unanimité pour ses décisions politiques. Sans une vision commune de ce qu'est une menace pour la sécurité, tenter de déployer des efforts à l'échelle de l'UE pour développer des capacités offensives communes en matière de cybersécurité deviendrait un projet creux avant même d'avoir démarré.

Il n'y a pas de temps à perdre avec ces manœuvres politiciennes. Les États membres ne devraient pas attendre la mise en place d'une capacité offensive commune à l'échelle de l'UE en matière de cybersécurité. Ils devraient s'y atteler dès maintenant, en multipliant les exercices conjoints volontaires entre alliés européens et en renforçant l'interopérabilité, y compris avec les États candidats à l'UE ayant l'expérience de la conduite d'opérations cybernétiques offensives, comme Ukraine.

Par exemple, ils pourraient se pencher sur la PESCO (Coopération structurée permanente). Établi en décembre 2017 au niveau de l'UE, il s'agit d'un cadre qui permet aux États membres de l'UE, qu'ils le souhaitent ou le puissent, de collaborer plus étroitement en matière de sécurité et de défense, sans nécessiter l'accord unanime des autres États membres. En tant que plateforme volontaire, elle permet aux États membres de développer des capacités de défense communes, d'investir dans des projets communs et d'améliorer leur préparation opérationnelle en collaborant plus étroitement.

Des initiatives cybernétiques sont déjà en cours dans le cadre de la PESCO. Équipes d'intervention rapide en cybersécurité (CRRT) est devenu le premier projet de ce type à atteindre sa pleine capacité opérationnelle en mai 2021. Ce projet regroupe 8 à 12 professionnels de la cybersécurité issus des six pays participants de l'UE (Croatie, Estonie, Lituanie, Pays-Bas, Pologne et Roumanie) pour apporter une assistance en cas d'incidents cybernétiques dans les États membres, les institutions et les pays partenaires de l'UE. Les pays candidats à l'adhésion à l'UE ayant une expérience de la lutte contre les cyberopérations pourraient également rejoindre et étendre ce projet PESCO. Cette alliance élargie pourrait ensuite élargir son champ d'action pour inclure des exercices cyber offensifs conjoints.

La CSP est mûre pour être élargie. Les États membres devraient envisager de l'élargir en permettant aux pays candidats à l'adhésion de participer, mais aussi en élargissant son champ d'action cybernétique pour y inclure des capacités offensives et des exercices cyberoffensifs conjoints.

L'interopérabilité doit également être une priorité. Dans ce cas, Centres de partage et d'analyse de l'information (ISAC) visent à favoriser la collaboration entre les communautés de cybersécurité de différents secteurs économiques. Le développement d'ISAC pour les capacités cyberoffensives permettrait des consultations multipartites et l'identification du soutien dont les entreprises ont besoin, notamment en réduisant les formalités administratives pour les start-ups souhaitant participer au développement de capacités cyberoffensives pour l'UE.

L'UE doit renforcer ses capacités cyberoffensives de manière plus agile, en multipliant les exercices conjoints, en renforçant l'interopérabilité grâce au partage d'informations et en allégeant les formalités administratives pour les acteurs économiques qui souhaitent s'engager dans cette démarche. Cependant, attendre l'émergence d'un consensus politique et d'une maturité partagée au niveau des blocs est contre-productif et accentuerait le retard de l'Union européenne sur les acteurs étatiques qui utilisent déjà la cyberoffensive avec brio. Avec pragmatisme, l'UE doit aller plus loin dans le développement de ses capacités cyberoffensives, ne serait-ce qu'en rassemblant ceux qui sont déjà motivés.

Antonia-Laura Pup est chargée de recherche politique auprès de Young Voices Europe. Elle est étudiante Fulbright en études de sécurité à l'Université de Georgetown, où elle étudie l'influence de la Chine dans la région de la mer Noire. Originaire de Roumanie, elle a été conseillère auprès du président de la commission de la défense du Parlement roumain. Elle a également travaillé à l'OCDE et au Parlement européen.

Partagez cet article: