Henry Farrell, professeur agrégé de sciences politiques et d’affaires internationales à la George Washington University est coauteur d’un ouvrage sur la sécurité intérieure et la vie privée dans les relations UE/Etats-Unis, dont la publication est imminente. Il explique à Europolitique les défis à venir. Alors que les Etats-Unis, par peur de cyberattaques en provenance de Chine, consacrent d’énormes ressources publiques à ce problème depuis des années, l’Europe est nettement moins préparée, estime M. Farrell. Les problèmes qu’elle rencontre sont l’absence de compétence et de capacité institutionnelle, les guerres intestines, et la divergence des approches européennes et américaines.

Que couvre le terme « cybersécurité » ?

Il y a plusieurs façons d’aborder le sujet. On peut y voir des termes purement techniques, d’une perspective opérationnelle de quelqu’un qui gère un système informatique et tente d’empêcher des incursions dans ce système. Mais on peut aussi l’envisager d’une perspective de haut en bas, où c’est un autre aspect de la sécurité nationale et c’est cette perspective qui a pris le dessus aux Etats-Unis. Les attaques contre l’Estonie en 2007 en sont un bon exemple : leurs auteurs, sans grandes ressources, ont pu paralyser des pans entiers de l’économie. Lors de ce type d’attaques, on bombarde un site web public de fausses demandes et en cas de réussite, le système est inondé et le site devient inaccessible. Les attaques se font généralement via des botnets, des réseaux d’ordinateurs manipulés. Elles peuvent viser un pays pour une action de ce pays, comme ce fut le cas pour l’Estonie. Elles peuvent aussi servir de chantage contre des sociétés, par exemple des sites de paris, et viser des ONG comme Falun Gong ou Wiki-leaks.

Pourquoi le dossier prend-il tant d’ampleur aujourd’hui ?

Ce sont les Etats-Unis qui mettent l’accent dessus. Le gouvernement américain y consacre des milliards de dollars. Il a créé un centre majeur de cybersécurité (Cyber Command) au sein du Département de la Défense (DOD) et parle de renforcer son rôle pour lui donner la même importance que les commandements couvrant des régions entières du monde. Une bonne partie est liée à la perception américaine que la Chine s’engage dans le cyber-espionnage – tenter d’obtenir des informations commercialement et militairement sensibles. L’autre élément est que les Etats-Unis estiment qu’en cas de guerre conventionnelle, les Américains veulent développer une cyber-capacité offensive pouvant terrasser les défenses de tout acteur. Les Etats-Unis regardent cependant leurs alliés d’Europe et voient qu’ils sont moins développés, et tentent de les rendre mieux à-mêmes de défendre leur territoire.

Quel rôle devrait jouer l’UE ?

L’UE est en grande difficulté en matière de cybersécurité à cause de la manière dont elle est constituée. Aux Etats-Unis, le DOD mène la coordination et a établi de nombreux liens avec d’autres sections du gouvernement comme le Département de la sécurité intérieure. L’UE ne peut en faire autant parce que la cybersécurité implique à la fois des questions de défense nationale et de sécurité intérieure. L’UE a bien des compétences en sécurité intérieure où elle travaille étroitement avec le secteur privé. Mais elle n’a pratiquement aucune capacité ou compétence en défense nationale qui se fait via l’OTAN, qui ne traite qu’avec des militaires. Ces deux volets sont complètement déconnectés et nous n’avons pas de moyen réel de les relier.

Quelles guerres intestines potentielles décelez-vous ?

En termes de relations UE/Etats-Unis, je ne vois pas de guerre intestine. En fait, les gens ne se rendent pas compte que depuis le 11 septembre, c’est une coopération croissante qui s’est développée surtout entre le Département de la sécurité intérieure et la Commission européenne. Cette évolution est bien plus importante que les grands titres tapageurs sur l’UE et les Etats-Unis en lutte concernant la vie privée et la sécurité. Au sein de l’UE, nous notons que la commissaire aux Affaires intérieures Cecilia Malmstrom et d’autres s’efforcent de planter leur drapeau sur ce territoire. Car s’ils n’ont pas les compétences en sécurité nationale, je vois quand même que la Commission pousse à créer un réseau d’expertise pour qu’au final, lorsque des changements institutionnels se produiront, ils seront en tête de file pour demander plus de compétences. Europol y voit aussi un domaine où il peut étendre son autorité. Je pense que le Parlement européen acceptera ces pouvoirs supplémentaires tant qu’il en obtient le contrôle. L’on voit quand même des grincements de dents côté commissaire en charge de la protection des données.

La cybersécurité est-elle vue différemment de part et d’autre de l’Atlantique ?

Oui. L’UE préfère agir par voie de règlements, traités, persuasion et incitations financières, mais pas par la projection de pouvoir militaire à l’étranger. Je vois donc que l’UE veut assumer un rôle dans la cyber-défense mais pas dans la capacité offensive. En revanche, les Etats-Unis ont adopté la politique de Roosevelt : parler doucement mais le bâton à la main. Du point de vue américain, la capacité défensive et la capacité offensive vont de pair, je pense aussi que l’UE voudra, plus que les Etats-Unis, écouter la Russie et la Chine lorsqu’elles réclameront un traité international.