COMMISSION EUROPÉENNE

Bruxelles, le 10.11.2022

JOIN(2022) 49 final

COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN ET AU CONSEIL

La politique de cyberdéfense de l’UE

I. INTRODUCTION

Le retour de la guerre en Europe, avec l’agression militaire injustifiée et non provoquée de la Russie contre l’Ukraine, a constitué un signal d’alarme pour tous ceux qui remettaient en question l’approche de l’UE en matière de sécurité et de défense, et sa capacité à promouvoir sa vision et à défendre ses intérêts, y compris dans le cyberespace. Les régimes autoritaires tentent de remettre en cause et de saper l’ordre international fondé sur des règles dans le cyberespace, en transformant ce dernier en un domaine de plus en plus disputé, aux côtés des domaines terrestre, maritime, aérien et spatial. Les comportements malveillants d’acteurs tant étatiques que non étatiques dans le cyberespace se sont intensifiés ces dernières années, parmi lesquels un nombre croissant de cyberattaques ciblant des infrastructures critiques militaires et civiles dans l’UE ainsi que dans les zones où sont déployées des missions et opérations.

Les frontières entre les dimensions civile et militaire du cyberespace sont floues, comme en témoignent les récentes attaques contre des réseaux énergétiques, des infrastructures de transport et des moyens spatiaux. Cela illustre également l’interdépendance entre les infrastructures physiques et numériques, ainsi que le risque que des incidents de cybersécurité importants perturbent ou endommagent des infrastructures critiques. Ce constat rappelle avec force que l’UE a besoin d’une coopération militaire et civile étroite dans le cyberespace pour devenir un garant plus solide de la sécurité.

L’UE doit assumer davantage de responsabilités pour sa propre sécurité. Pour ce faire, elle a besoin de forces armées européennes modernes et interopérables. Les États membres doivent donc, d’urgence et en priorité, s’engager à accroître les investissements dans tout l’éventail des capacités de cyberdéfense, y compris les capacités de défense active. Tout en restant pleinement attachée au droit international et aux normes internationales dans le cyberespace, l’UE devrait manifester sa volonté d’utiliser ces capacités de manière coordonnée en cas de cyberattaque contre un État membre.

Pour y parvenir, l’UE doit garantir sa souveraineté technologique et numérique dans le domaine du cyber. La capacité d’action de l’UE dépendra de sa capacité à maîtriser et à développer des technologies de pointe en matière de cybersécurité et de cyberdéfense dans l’Union. Étant donné que les cybertechnologies présentent un fort potentiel de double usage, les industries de la cybersécurité et de la cyberdéfense, le monde de la recherche et du développement et les acteurs de l’innovation doivent travailler de manière beaucoup plus synergique pour développer de meilleures capacités.

Une prévention et une détection communes constituent un élément important des capacités de défense de l’UE. Cette dernière doit avoir la capacité de détecter les attaques à un stade précoce. Les données de détection doivent être transformées en renseignements exploitables, qui peuvent servir à la fois à la cybersécurité et à la cyberdéfense. Une telle coopération entre les cybercommunautés civile et de la défense est le fondement d’une meilleure appréciation commune de la situation dans le cyberespace et est tout aussi essentielle pour une réponse coordonnée aux crises, tant au niveau technique qu’au niveau opérationnel.

Le conflit armé en Ukraine a également montré l’intérêt d’une coopération étroite avec le secteur privé et la nécessité d’avoir accès à des prestataires privés de confiance agissant en tant que réserves cyber afin de renforcer la capacité de réponse en cas de cyberattaques majeures. Il est donc nécessaire de veiller à ce que les États membres puissent compter sur le soutien de réserves cyber fiables, et ce de manière sûre et coordonnée.

La présente communication conjointe, tout en s’appuyant sur le cadre stratégique de cyberdéfense 1 , propose une stratégie ambitieuse pour permettre à l’UE et à ses États membres d’agir avec assurance et fermeté dans le cyberespace. Elle vise à renforcer les capacités de cyberdéfense grâce à l’action individuelle ou conjointe des États membres et à intensifier la coordination et la coopération entre les cybercommunautés de l’UE. Elle visera également à réduire les dépendances stratégiques de l’UE à l’égard des cybertechnologies critiques et à renforcer la base industrielle et technologique de défense européenne (BITDE). La politique de cyberdéfense définira les règles du jeu de l’UE et proposera des moyens de renforcer la solidarité au cœur de l’Union dans le domaine de la cyberdéfense, ainsi que de coopérer avec le secteur privé afin d’améliorer la capacité de réponse en cas de cyberattaques majeures. Compte tenu de la nature transnationale des cybermenaces, elle développera des partenariats mutuellement bénéfiques et adaptés dans le domaine de la cyberdéfense, couvrant notamment le développement des capacités de cyberdéfense, et renforcera la cyber-résilience des pays partenaires.

Comme proposé dans la boussole stratégique en matière de sécurité et de défense 2 adoptée par le Conseil en mars 2022, la présente politique de cyberdéfense renforcera ainsi la capacité à prévenir, détecter, défendre, rétablir et dissuader face aux cyberattaques visant l’UE et ses États membres, en utilisant tous les moyens disponibles. Cela est conforme aux priorités numériques de la Commission, à l’ambition définie dans la stratégie de cybersécurité de l’UE de 2020 3 , à l’annonce faite par la présidente von der Leyen dans son discours sur l’état de l’Union 2021 4 et aux conclusions du Conseil du 23 mai 2022 sur la mise en place d’une posture cyber de l’Union européenne 5 . La communication conjointe de 2022 sur les déficits d’investissement dans le domaine de la défense 6 a également encouragé l’UE et ses États membres à entamer des travaux visant à mettre en place tout un éventail de capacités de cyberdéfense, allant de la recherche à la réponse, en passant par la détection et la protection.

II. CYBERDÉFENSE DE L’UE POUR PROTÉGER, DÉTECTER, DISSUADER ET DÉFENDRE FACE AUX CYBERATTAQUES

1. Agir ensemble pour renforcer la cyberdéfense

Les cyberattaques sont souvent de nature transfrontière et peuvent avoir une incidence physique sur les infrastructures critiques dans l’UE. Les incidents de cybersécurité importants peuvent être trop perturbateurs pour permettre à un ou plusieurs États membres concernés d’y faire face seuls. Ils peuvent également s’inscrire dans le cadre d’attaques hybrides de plus grande ampleur menées par des pays tiers dans le but de déstabiliser l’économie et la société, d’affaiblir les infrastructures critiques nécessaires pour assurer la sécurité de l’UE ou de nuire au fonctionnement des démocraties, y compris par des attaques contre les infrastructures électorales.

En 2018, l’UE a identifié le cyberespace comme un domaine d’opérations militaires. Le document «Vision et stratégie militaires sur le cyberespace en tant que domaine d’opérations» 7 , adopté en 2021, fixe les conditions-cadres et décrit les fins et les moyens nécessaires pour utiliser le cyberespace en tant que domaine d’opérations à l’appui des opérations relevant de la politique de sécurité et de défense commune (PSDC) de l’UE. La cyberdéfense et l’emploi de capacités connexes dans l’ensemble des opérations militaires dans le cyberespace sont une prérogative nationale des États membres, tout en s’appuyant sur un écosystème plus large, comprenant une base industrielle solide soutenue par le développement des capacités au niveau de l’UE.

La communauté de cyberdéfense de l’UE, composée des autorités de défense des États membres et soutenue par les institutions, organes et organismes de l’UE, présente certaines spécificités par rapport aux autres cybercommunautés 8 et suit un modèle de gouvernance différent. L’absence d’un cadre établi pour l’échange d’informations et la coopération entre les équipes militaires d’intervention en cas d’urgence informatique de l’UE (milCERT), y compris à l’appui des missions et opérations militaires de la PSDC, est problématique compte tenu du niveau accru des cybermenaces émanant d’acteurs étatiques et non étatiques.

La coopération entre les cybercommunautés civile, diplomatique et répressive et leurs homologues de la défense apportera une forte valeur ajoutée à tous les acteurs concernés. Il est donc essentiel de favoriser une telle collaboration en fournissant des moyens appropriés et sûrs d’échanger des informations et de participer à des exercices et à d’autres activités qui renforcent la confiance et la compréhension mutuelle.

En outre, l’assistance opérationnelle mutuelle entre les États membres est actuellement limitée. Il convient d’explorer la possibilité d’étendre davantage le concept d’équipes d’intervention rapide en cas d’incident informatique dans l’ensemble de l’UE, en s’appuyant sur le projet connexe de la coopération structurée permanente (CSP) relatif aux équipes d’intervention rapide en cas d’incident informatique et à l’assistance mutuelle dans le domaine de la cybersécurité (CRRT) 9 , y compris dans le cadre de l’article 42, paragraphe 7, du traité sur l’Union européenne (TUE) 10 («clause d’assistance mutuelle») et de l’article 222 du traité sur le fonctionnement de l’Union européenne (TFUE) 11 («clause de solidarité»). Dans le même ordre d’idées, l’un des enseignements tirés du succès de la cyberdéfense ukrainienne dans le contexte de la guerre d’agression menée par la Russie est le rôle décisif joué par le secteur privé. Il convient dès lors d’examiner dans quelle mesure le secteur privé pourrait également contribuer à améliorer la réponse aux cyberattaques.

1.1 Renforcer l’appréciation commune de la situation et la coordination au sein de la communauté de la défense

Compte tenu de l’ampleur du risque associé aux cyberattaques, les États membres doivent disposer des capacités collectives d’appréciation de la situation les plus complètes, comprenant des capacités de détection précoce ainsi que des ressources permettant de réagir de manière appropriée et de se rétablir de manière solidaire et coordonnée.

En ce qui concerne l’appréciation militaire de la situation, il est nécessaire de mettre en place un Centre de coordination de l’UE en matière de cyberdéfense (EUCDCC) favorisant une meilleure appréciation de la situation au sein de la communauté de la défense, y compris de l’ensemble des commandants militaires de la PSDC de l’UE. Le haut représentant présentera la proposition relative à l’EUCDCC pour examen par les États membres, en s’appuyant sur le projet CSP de Centre de coordination dans le domaine du cyber et de l’information (CIDCC) 12 . Cette proposition visera à fournir une analyse globale du cyberespace, de l’environnement électromagnétique et du domaine cognitif en rassemblant différentes sources d’information aux niveaux militaires stratégique et opérationnel. Il conviendrait d’établir des liens appropriés entre l’EUCDCC et le Centre de situation et du renseignement de l’Union (Intcen) ainsi que la direction «Renseignement» de l’État-major de l’UE — dans le cadre de la capacité unique d’analyse du renseignement. Outre des sources d’information externes, l’EUCDCC devrait mettre en place et intégrer un système indépendant de capteurs actifs dans le domaine des technologies de l’information afin de renforcer la surveillance des nœuds détenus par l’UE à l’appui des missions et opérations militaires de la PSDC. Il renforcera les capacités de détection et créera une nouvelle couche d’informations afin de renforcer encore la base d’informations pour l’évaluation des risques et l’appréciation de la situation en matière de cybersécurité.

À cette fin, des capacités sont nécessaires pour permettre et assurer la mise en place et le maintien d’un tableau opérationnel 24 heures sur 24 et 7 jours sur 7 et, dans la mesure du possible, général du cyberespace, couvrant les cyberopérations en cours et imminentes des adversaires et des forces amies. Un tel tableau contribuerait à la planification et à la conduite des missions et opérations militaires relevant de la PSDC de l’UE. Il deviendra ainsi la contribution militaire qui permettra à l’UE de mieux connaître les actions malveillantes dans le cyberespace et d’y être plus réactive.

Afin d’améliorer la confiance et d’échanger en temps utile des informations stratégiques fiables sur les cyberincidents majeurs, la Conférence des cybercommandeurs de l’UE sera encore développée et renforcée 13 . Avec l’Agence européenne de défense (AED) faisant office de secrétariat et avec la participation de l’État-major de l’UE, elle se réunira au moins deux fois par an pour discuter de questions opérationnelles et d’autres sujets pertinents.

Un réseau opérationnel de milCERT (MICNET) sera mis sur pied, avec le soutien de l’AED. Tous les États membres sont invités à participer à MICNET, qui devrait être opérationnel en janvier 2023.

En facilitant l’échange d’informations entre les équipes milCERT, MICNET favorisera une réponse plus solide et plus coordonnée aux cybermenaces touchant les systèmes de défense de l’UE, y compris ceux utilisés dans le cadre des missions et opérations militaires relevant de la PSDC. MICNET permettra également de maintenir au fil du temps les processus de formation et le recensement continu des nouvelles exigences pour la communauté des milCERT. Au cours des quatre prochaines années, une infrastructure de partage d’informations, ainsi que des outils et procédures connexes, seront mis au point par l’AED en collaboration avec les États membres afin de soutenir le partage d’informations entre les équipes milCERT. MICNET fournira également le cadre d’un exercice annuel visant à tester, valider et définir de nouvelles exigences et solutions.

1.2 Renforcer la coordination avec les communautés civiles

MICNET devrait servir de cadre et d’infrastructure pour le partage d’informations entre les différents niveaux au sein de la communauté de cyberdéfense et les parties prenantes externes.

Lorsque MICNET aura atteint un niveau de maturité plus élevé, l’AED aidera les États membres à étudier les possibilités de collaboration avec le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), qui rassemble les CSIRT nationaux et l’équipe d’intervention en cas d’urgence informatique des institutions, organes et organismes de l’UE (CERT-UE). Cette collaboration pourrait comprendre des réunions et des exercices conjoints. La participation du secteur privé aux efforts pertinents en matière d’échange d’informations et de réponse aux incidents devrait également être envisagée.

Afin de permettre une gestion plus efficace des crises cyber, la Conférence des cybercommandeurs de l’UE devrait dialoguer avec le réseau européen pour la préparation et la gestion des crises cyber (CyCLONe), qui rassemble les États membres et la Commission à l’appui de la coordination et de la gestion des incidents de cybersécurité majeurs dans l’UE. Ce dialogue combinera expérience militaire et appréciation civile de la situation aux niveaux stratégique et opérationnel.

Alors que l’EUCDCC devrait faire office de nœud central pour la collecte, l’analyse, l’évaluation et, in fine, la diffusion d’informations dans le domaine de la cyberdéfense, en particulier pour les missions et opérations militaires relevant de la PSDC, il pourrait également nouer des liens avec la task force interinstitutionnelle chargée des crises cyber 14 , qui a été mise en place pour garantir une prise de décision éclairée et une réponse coordonnée des institutions, organes et organismes de l’Union européenne aux crises cyber majeures aux niveaux stratégique et opérationnel.

L’EUCDCC pourrait également échanger des informations pertinentes avec un centre d’analyse et de situation dans le domaine du cyber qui est actuellement mis en place au sein de la Commission, avec le soutien de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et du CERT-UE, afin de fournir des analyses et un soutien plus efficace à la gestion des crises.

En outre, l’absence d’outils et de plateformes de communication sécurisés communs ou interopérables entre les États membres et les institutions, organes et organismes de l’Union concernés reste un obstacle majeur. La Commission et les institutions concernées procèdent actuellement à un recensement des outils existants pour une communication sécurisée dans le domaine du cyber. Sur la base de ce recensement, la Commission présentera ses recommandations au Conseil à la fin de 2022 en vue de s’accorder sur de nouvelles mesures.

La cybersolidarité de l’UE pour renforcer les capacités communes de détection et d’appréciation de la situation

Des actions de soutien civil peuvent encore améliorer l’appréciation commune de la situation. La communauté de cyberdéfense pourra bénéficier d’un renforcement des capacités civiles de détection et d’appréciation de la situation développées pour la protection des infrastructures critiques de l’UE. À cette fin, la Commission prépare une initiative visant à promouvoir le déploiement d’une infrastructure de centres d’opérations de sécurité (SOC) de l’UE sur la base d’une première phase à lancer dans les semaines à venir, et elle serait ensuite élargie et déployée à plus grande échelle 15 . Cette infrastructure se composerait en définitive de plusieurs plateformes SOC plurinationales, chacune regroupant divers SOC nationaux, avec le soutien du programme pour une Europe numérique 16 pour compléter les financements nationaux. Une modification législative du programme pour une Europe numérique permettrait un soutien financier à plus long terme en vue de l’acquisition conjointe d’outils et d’infrastructures ultra-sécurisés de nouvelle génération. Cela permettrait à l’infrastructure de SOC de l’UE envisagée d’améliorer les capacités collectives de détection sur la base des outils les plus récents de l’intelligence artificielle (IA) et de l’analyse des données, couvrant les réseaux de communication civils. Cette génération de renseignements exploitables sur les cybermenaces permettrait d’alerter en temps utile les autorités et les entités concernées afin de leur permettre de détecter les incidents majeurs et d’y réagir efficacement. La taille et le champ d’action de l’infrastructure dépendront du financement global pouvant être déployé au niveau national et par l’Union, sous réserve du budget disponible au titre du cadre financier pluriannuel.

Ces SOC plurinationaux pourraient également permettre la participation d’entités de défense en établissant un «pilier défense» sur le plan de la gouvernance et du type d’informations partagées. Ce «pilier défense» serait élaboré en collaboration avec le haut représentant et pourrait inclure un mécanisme spécifique d’échange d’informations avec les acteurs militaires, incluant l’UECDCC, pour lequel des normes de sécurité au niveau de la défense pourraient être élaborées.

Cybersolidarité de l’UE en matière de préparation, de réponse et de rétablissement

Les incidents de cybersécurité importants sont souvent trop perturbateurs pour qu’un ou plusieurs États membres concernés puissent y faire face seuls. Dans de tels cas, les États membres doivent pouvoir recourir à l’assistance mutuelle et à la solidarité, y compris dans le cadre de l’article 42, paragraphe 7, du TUE et de l’article 222 du TFUE. Le haut représentant, en coopération avec la Commission et les États membres, étudiera les possibilités d’étendre le concept d’équipes d’intervention rapide en cas d’incident informatique (CRRT), en s’appuyant sur le projet CRRT connexe de la CSP, afin de mieux soutenir les missions et opérations de la PSDC et des États membres de l’UE. Le rôle de ces équipes consisterait à fournir une assistance à court terme adaptée et ciblée, sur demande et en fonction des besoins spécifiques de chaque cas. Il pourrait également comprendre, le cas échéant, des possibilités de soutien de la part de partenaires privés de confiance afin de garantir des mesures de réponse et de rétablissement efficaces.

Dans le cadre de l’initiative européenne de cybersolidarité, la Commission prépare actuellement des actions visant à renforcer les mesures de préparation et de réponse dans l’ensemble de l’UE. Il s’agira notamment de soumettre les entités essentielles exploitant des infrastructures critiques à des tests de détection d’éventuelles vulnérabilités sur la base d’évaluations des risques réalisées par l’UE – en s’appuyant sur les actions déjà entamées par la Commission en collaboration avec l’ENISA – ainsi que de déployer des mesures de réponse aux incidents visant à atténuer l’impact d’incidents graves, à soutenir un rétablissement immédiat et/ou à rétablir le fonctionnement des services essentiels 17 .

L’initiative de l’UE en matière de cybersolidarité pourrait soutenir la mise en place progressive d’une réserve cyber de l’UE au moyen de services offerts par des prestataires privés de confiance qui seraient prêts à intervenir à la demande des États membres en cas d’incidents transfrontières importants. Les rôles et responsabilités devraient être clairement définis et pleinement coordonnés avec les organismes existants afin de veiller à ce que le soutien provenant de la réserve cyber de l’UE soit fourni là où il est nécessaire et complète d’autres formes d’assistance potentielles. Si le champ d’action et la répartition des coûts d’interventions spécifiques dépendront des fonds disponibles de l’UE, l’Union apportera également une valeur ajoutée en garantissant la disponibilité d’une telle réserve au niveau de l’UE. Afin de garantir un niveau élevé de confiance, la Commission examinera également les possibilités de soutenir le développement de schémas de certification de cybersécurité pour ces entreprises privées de cybersécurité.

Les exercices sont un élément essentiel du renforcement de la préparation. Ils favorisent le développement d’une base de connaissances commune et d’une compréhension commune de la cyberdéfense, ce qui permet d’améliorer la préparation opérationnelle. Des exercices communs de cyberdéfense permettront également de renforcer l’interopérabilité et la confiance entre les parties prenantes, y compris pour soutenir les missions et opérations militaires de la PSDC. Sur la base de la série d’exercices CYBER PHALANX 18 et des exercices milCERT, l’AED mettra en place un nouveau projet CyDef-X, réunissant tous les États membres, qui servira de cadre aux exercices de cyberdéfense de l’UE. Ce projet pourrait également servir à déployer des exercices visant à tester l’assistance mutuelle prévue à l’article 42, paragraphe 7, du TUE. Il convient également d’étudier le recours à des environnements spécifiques de test, de formation et d’exercices dans le domaine de la cyberdéfense (par exemple, la «Cyber Ranges Federation»), y compris en utilisant le projet CSP des «Cyber Ranges Federations») 19 .

Les exercices peuvent également jouer un rôle important dans l’amélioration de la coopération entre les entités civiles et militaires. Lors de l’organisation d’exercices, l’ENISA, l’AED et d’autres entités concernées devraient donc envisager systématiquement d’associer des participants d’autres cybercommunautés.

Dans le cadre du renforcement de la capacité de l’UE à prévenir et à dissuader les cyberattaques, ainsi qu’à y réagir, et conformément à la stratégie de cybersécurité de l’UE de 2020 et à la boussole stratégique, le haut représentant proposera en 2023 des pistes pour renforcer encore la boîte à outils cyberdiplomatique de l’UE 20 , en s’inspirant des éléments de la cyberposture de l’UE et des enseignements tirés de la mise en œuvre de la boîte à outils depuis sa création.

2. Sécuriser l’écosystème de la défense de l’UE

Ces dernières années, le nombre de cyberattaques a augmenté de manière spectaculaire, notamment les attaques commises contre des chaînes d’approvisionnement ayant pour but de mener des activités de cyberespionnage, d’utiliser des rançongiciels ou de provoquer des perturbations. En 2020, l’attaque contre la chaîne d’approvisionnement SolarWinds 21 a touché plus de 18 000 organisations dans le monde, dont des agences gouvernementales, de grandes entreprises et des entreprises de défense. L’exploitation d’une vulnérabilité dans le logiciel Apache log4J 22 a mis en évidence le fait que même les composants logiciels qui ne sont pas considérés comme à haut risque ou critiques peuvent être utilisés comme une arme pour mener à bien des attaques dans l’UE contre de grandes entreprises ou des pouvoirs publics, y compris dans le domaine de la défense. Cela démontre qu’il est manifestement nécessaire de renforcer encore la cyber-résilience des entités qui sont actives dans l’écosystème de la défense de l’UE, y compris les entités militaires, l’industrie de la défense et les opérateurs privés.

Les forces armées dépendent dans une large mesure des infrastructures civiles critiques, que ce soit pour la mobilité, les communications ou l’énergie. L’attaque russe contre le réseau satellitaire KA-SAT 23 , qui a perturbé les communications au sein de plusieurs autorités publiques ainsi qu’au sein des forces armées ukrainiennes, illustre cette interdépendance. Cela démontre la nécessité de sécuriser de telles infrastructures critiques.

Pour résoudre les problèmes liés à la sécurité de leurs systèmes d’information et de communication (SIC), les États membres élaborent leurs propres normes et exigences de sécurité pour les systèmes militaires, qui ne tiennent pas toujours compte du besoin d’interopérabilité, ni de l’existence de normes civiles pour les produits à double usage. Cela a une incidence négative sur la capacité des États membres à agir ensemble dans le cyberespace, y compris dans le cadre des missions et opérations militaires de la PSDC, et entrave l’assistance mutuelle. En outre, il est également nécessaire de promouvoir des synergies plus fortes entre les filières de normalisation militaire et civile, étant donné que l’obligation de suivre des normes similaires mais différentes pour les clients civils et militaires augmente les coûts de production pour le développement de produits à double usage par l’industrie.

2.1. Renforcer la cyber-résilience de l’écosystème de la défense

Le renforcement de la cyber-résilience de l’écosystème de la défense nécessite des actions et des investissements ciblés dans un large éventail d’entités allant des infrastructures militaires des États membres et des missions et opérations de la PSDC aux infrastructures critiques, à l’industrie de la défense et aux entités de recherche concernées.

La protection des informations requises pour une prise de décision éclairée est nécessaire à la réussite des missions et opérations de la PSDC. L’UE et ses États membres doivent renforcer davantage leurs structures de commandement et de contrôle militaires et développer et sécuriser leurs infrastructures. Cela vaut également pour la consultation politico-militaire aux premiers stades de la gestion des crises pour un emploi efficace du quartier général opérationnel, y compris de la capacité militaire de planification et de conduite (MPCC). Ce point sera notamment traité dans le cadre de la poursuite du développement du réseau étendu destiné aux opérations de l’UE.

Dans le cadre des missions et opérations militaires, les acteurs de la cyberdéfense traitent des informations de différents formats et classifications et provenant de différentes sources. De ce fait, il est de la plus haute importance d’employer des technologies de pointe sûres, telles que l’IA, avec le soutien de l’industrie.

La sécurité de l’infrastructure SIC doit être améliorée grâce à l’application de procédures de gestion convenues d’un commun accord, renforçant ainsi la confiance dans l’intégrité des informations disponibles parmi les parties prenantes. En outre, le haut représentant, y compris en sa qualité de chef de l’AED et avec le soutien de la Commission, aidera les États membres à élaborer des recommandations juridiquement non contraignantes pour la communauté de la défense, inspirées de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI2) 24 , étant donné que la défense est exclue du champ d’application de la directive. Cela contribuera à accroître la maturité globale de la cyberdéfense.

La proposition de la Commission relative à une législation sur la cyber-résilience 25 , qui vise à établir des exigences en matière de cybersécurité pour les produits comportant des éléments numériques, contribuera également à réduire encore la surface d’attaque des produits à double usage utilisés, par exemple, dans les SIC par l’industrie de la défense et les acteurs publics de la défense. Selon la proposition, les fabricants seraient tenus de signaler les vulnérabilités activement exploitées dans un délai de 24 heures à l’ENISA, qui informera les CSIRT nationaux concernés. À cet égard, il serait également important de veiller à ce que la communauté de la défense soit rapidement informée des vulnérabilités des produits comportant des éléments numériques, ainsi que de tout correctif ou mesure d’atténuation disponible et/ou appliqué.

À plus forte raison, compte tenu de la dépendance des militaires à l’égard des infrastructures critiques civiles, il est également nécessaire de renforcer encore la protection des infrastructures critiques contre les cyberattaques de grande ampleur. À la demande du Conseil 26 , la Commission, le haut représentant et le groupe de coopération SRI 27 élaborent actuellement des scénarios de risque pour la sécurité des infrastructures numériques. L’accent sera mis en premier lieu sur la cybersécurité dans les secteurs de l’énergie, des télécommunications et des transports, ainsi que dans l’espace. En outre, des évaluations ciblées des risques en matière de cybersécurité seront également élaborées 28 pour les infrastructures et réseaux de communication dans l’UE (y compris les infrastructures fixes et mobiles, les satellites, les câbles sous-marins et le routage internet). En ce qui concerne la protection des infrastructures critiques contre les menaces d’origine humaine, y compris les menaces hybrides, la proposition de recommandation du Conseil relative à une approche coordonnée de l’Union pour renforcer la résilience des infrastructures critiques 29 invite les États membres à garantir, entre autres, des tests de résistance appropriés et une coordination en cas de crise. Les infrastructures maritimes critiques, et notamment la protection des câbles de données sous-marins, feront l’objet d’un examen plus approfondi dans le cadre de la prochaine révision de la stratégie de sûreté maritime de l’UE et de son plan d’action. D’autres actions visant à renforcer la cybersécurité des infrastructures critiques du système énergétique sont définies dans le plan d’action de l’UE pour la numérisation du système énergétique 30 .

Les services spatiaux revêtent une importance croissante pour la défense, qu’il s’agisse de surveillance, d’appréciation de la situation, de localisation précise ou de communication ultrasécurisée. Ils constituent donc des atouts stratégiques essentiels pour la souveraineté technologique. La perturbation des services spatiaux pourrait avoir une incidence majeure sur les systèmes de défense, mais aussi sur l’ensemble de la société et de l’économie. Leur résilience est essentielle à la résilience globale en matière de cyberdéfense, étant donné qu’ils peuvent être la cible d’attaques malveillantes. En particulier, comme on l’a vu avec les attaques contre les réseaux KA-SAT, les systèmes spatiaux sont de plus en plus exposés à des cybermenaces qui peuvent affecter la disponibilité ou la continuité des services spatiaux. Cela crée un risque pour les intérêts stratégiques et de sécurité de l’UE dans le domaine spatial, ainsi que pour les capacités spatiales rendant possible et assistant la cyberdéfense. La stratégie spatiale de l’UE pour la sécurité et la défense annoncée dans la boussole stratégique 31 définira des mesures visant à améliorer la robustesse et la cyber-résilience des infrastructures spatiales et des services connexes, ainsi qu’à décourager les menaces pesant sur les systèmes et services spatiaux sensibles dans l’UE et à y réagir, en s’attaquant en particulier aux cybermenaces.

La Commission invite également les États membres à mettre en œuvre d’urgence les mesures recommandées dans la boîte à outils de l’UE pour la cybersécurité de la 5G 32 . Les États membres qui n’ont pas encore adopté de restrictions à l’égard des fournisseurs à haut risque devraient le faire sans plus tarder, étant donné que toute perte de temps peut accroître la vulnérabilité des réseaux dans l’UE. De tels risques peuvent être importants pour les moyens militaires et avoir une incidence sur l’environnement de défense global des États membres.

En ce qui concerne la cyber-résilience de l’industrie européenne de la défense ainsi que des entités de recherche et développement dans le domaine de la défense, ces entités sont couvertes par le champ d’application de la directive SRI 2, à moins qu’elles ne soient explicitement exclues par les États membres. Cela exigerait que ces entités disposent d’un programme de gestion des risques en matière de cybersécurité qui comprenne la sécurité des chaînes d’approvisionnement ainsi que la notification des incidents. Étant donné que le secteur privé joue un rôle important dans la fourniture de services de cybersécurité dans l’écosystème de la défense, les États membres devraient en outre avoir recours à des schémas de certification de cybersécurité. Un schéma européen de certification de cybersécurité destiné aux entreprises fournissant des services à l’industrie de la défense pourrait être envisagé comme moyen d’assurer un niveau harmonisé de confiance sur le marché, en s’appuyant sur l’expérience de l’ENISA.

2.2. Garantir l’interopérabilité et la cohérence des normes en matière de cyberdéfense dans l’UE

Interopérabilité et communauté d’approche sont des exigences importantes à prendre en considération dès la phase de conception des capacités de cyberdéfense, en tenant également compte des enseignements tirés des missions et opérations en cours, telles qu’elles ont été définies sous la direction de l’État-major de l’UE, avec le soutien de l’AED. Les principes, processus et normes convenus dans le cadre du réseau de mission fédéré (FMN) 33 devraient fournir les éléments d’orientation pour le développement des capacités nationales de cyberdéfense afin d’assurer l’interopérabilité.

Les efforts de collaboration peuvent être facilités par une harmonisation des exigences en matière de capacités de cyberdéfense de nouvelle génération, ce qui pourrait déboucher sur des initiatives conjointes de développement et de passation de marchés et un soutien intégré au cycle de vie. C’est pourquoi l’AED et l’État-major de l’UE élaboreront des recommandations sur un ensemble d’exigences d’interopérabilité de l’UE en matière de cyberdéfense. Ces exigences doivent être prises en considération dans tous les horizons de planification afin de garantir que tous les aspects de la normalisation constituent le facteur essentiel de l’interopérabilité. Les exigences en matière de test, d’évaluation et de certification sont d’autres facteurs essentiels.

Des normes harmonisées en matière de cybersécurité seront élaborées pour les produits et composants matériels et logiciels dans le cadre de la proposition de législation sur la cyber-résilience 34 . Ces normes concerneront tous les produits civils et à double usage comportant des éléments numériques, qui représentent une grande partie des produits utilisés dans le secteur de la défense. Dans la mesure du possible, la Commission encouragera la cohérence avec les normes de cybersécurité liées à la défense pour les produits numériques. Comme indiqué dans le plan d’action sur les synergies entre les industries civile, spatiale et de la défense 35 (le «plan d’action pour les synergies»), la Commission présentera, en étroite coopération avec les principales parties prenantes, un plan visant à promouvoir l’utilisation des normes hybrides existantes en matière civile et de défense et l’élaboration de nouvelles normes. La coopération devrait se développer davantage entre toutes les parties prenantes concernées, y compris les organismes européens de normalisation, l’Organisation du traité de l’Atlantique Nord (OTAN) et d’autres partenaires, en tirant le meilleur parti du comité européen de normalisation de la défense à cette fin. Dans le même ordre d’idées, lorsque les organismes militaires de normalisation élaborent de nouvelles normes de cybersécurité pour les produits comportant des éléments numériques destinés à être utilisés dans le domaine de la défense, les normes harmonisées élaborées dans le cadre de la législation sur la cyber-résilience devraient servir de référence 36 .

3. Investir dans les capacités de cyberdéfense

Au cours des dernières années, les investissements dans la cyberdéfense ont augmenté au sein de l’UE, alors que se multipliaient les actes de cybermalveillance commis par des acteurs étatiques et non étatiques. Il est essentiel que l’UE renforce ses capacités de cyberdéfense. La guerre d’agression menée par la Russie contre l’Ukraine renforce encore la nécessité d’accroître les investissements, afin de garantir que les États membres disposent de capacités de cyberdéfense de pointe, aussi bien fixes que déployables.

Les améliorations technologiques sont essentielles pour conserver un avantage par rapport aux concurrents et aux adversaires, qui investissent eux aussi massivement dans les nouvelles technologies. Par conséquent, l’UE et les États membres doivent également renforcer leur coopération et leur interopérabilité en matière de cyberdéfense grâce au développement de capacités communes et à des investissements accrus dans la recherche et le développement.

En outre, il convient de remédier aux vulnérabilités découlant des dépendances stratégiques et de la fragmentation de la BITDE 37 . En particulier, les aptitudes et les compétences sont essentielles pour surmonter les dépendances stratégiques en matière de cybersécurité et de cyberdéfense en Europe. L’industrie européenne de la défense doit conserver les compétences clés et en acquérir de nouvelles pour rester en mesure de proposer des solutions de haute technologie dans un contexte mondial 38 . Le manque de compétences a une incidence négative sur le secteur de la défense, car il entrave le développement des capacités dans tous les domaines. Toutes les actions seront pleinement conformes aux approches annoncées dans le plan d’action pour les synergies, dans la feuille de route sur les technologies critiques pour la sécurité et la défense (ci‑après la «feuille de route») 39 et dans l’analyse des déficits 40 .

3.1. Développer un éventail complet de capacités de cyberdéfense de pointe

L’utilisation des capacités de cyberdéfense relève de la responsabilité et de la compétence des États membres, tandis que l’UE joue un rôle important dans le soutien à la poursuite du développement des capacités militaires spécifiques dans tous les domaines de la doctrine, de l’organisation, de la formation, du matériel, du développement de l’aptitude au commandement, du personnel, des installations et de l’interopérabilité (DOTMLPFI) afin de créer une liberté d’action dans le cyberespace. Il est nécessaire d’unifier davantage l’approche de la cyberdéfense dans tous les domaines des capacités et de l’adapter à l’évolution de l’environnement géopolitique. Il est dès lors indispensable de recenser les éléments manquants dans les capacités existantes et de soutenir le développement de nouvelles capacités de manière coordonnée et mesurable.

Toutefois, le niveau d’engagement des États membres dans des projets collaboratifs de développement en matière de cyberdéfense reste insuffisant à ce jour; il devrait être augmenté pour maximiser l’impact au niveau de l’UE. Tous les États membres doivent accroître leurs investissements dans le développement des capacités de cyberdéfense dans tous les domaines et développer ces capacités de manière collaborative. Les États membres devraient envisager d’élaborer un ensemble d’engagements volontaires en faveur du développement de capacités nationales de cyberdéfense, y compris de capacités multinationales allant au-delà des projets CSP existants en matière de cyberdéfense 41 . Le processus d’examen annuel coordonné en matière de défense (EACD) pourrait être utilisé pour entamer un dialogue avec les États membres sur les exigences en matière de cyberdéfense et les objectifs nationaux en matière de développement des capacités de cyberdéfense, ainsi que pour évaluer la mise en œuvre des engagements. La Commission soutient et cofinance le développement et la recherche dans tous les domaines des capacités de cyberdéfense, y compris les capacités de défense active, par l’intermédiaire du Fonds européen de la défense (FED). La Commission a déjà accru les investissements dans la cyberdéfense par l’intermédiaire du FED, ce qui devrait conduire à la mise au point d’outils européens communs et/ou interopérables pour les opérations et la gestion des incidents dans le cyberespace, à des opérations de défense dans la guerre de l’information et à des mesures préventives, ainsi qu’à l’amélioration de la résilience des systèmes SIC. Le FED cible des domaines tels que la connaissance de la situation en matière de cybersécurité, la détection des menaces en temps réel et les capacités opérationnelles réactives, les capacités de cyberopération et les formations et exercices en matière de cybersécurité 42 . Afin de garantir que les États membres sont en mesure de mener des cyberopérations conjointes, les opérations réactives et les capacités de cyberopérations bénéficieront d’un soutien au titre du FED au cours des prochaines années. Enfin, les États membres sont encouragés à participer activement aux différents cadres de coopération et à utiliser tous les instruments mis en place au niveau de l’UE, y compris l’équipe de projet «cyberdéfense» de l’AED 43 .

La révision en cours des priorités de l’UE en matière de développement des capacités pour 2018 44 arrive à point nommé pour définir de nouvelles priorités en matière de développement coopératif et collaboratif, ce qui permettra ensuite de renforcer le développement coopératif des capacités. Le réexamen de la priorité spécifique relative à la cyberdéfense devrait tenir compte des résultats de l’EACD de 2022, ainsi que des conclusions de l’analyse des déficits présentée aux États membres en mai 2022. Par la suite, l’EACD offrira un cadre régulier permettant d’évaluer les progrès accomplis dans la mise en œuvre de cette priorité actualisée au niveau national et d’explorer de nouvelles options émergentes pour le développement collaboratif des capacités de cyberdéfense avec les États membres. Les priorités actualisées de l’UE en matière de développement des capacités serviront de référence essentielle pour les projets CSP en matière de cyberdéfense.

À cet égard, sur la base de la mission du Comité militaire de l’UE, l’État‑major de l’UE élaborera, en étroite coordination avec les États membres, le plan de mise en œuvre des opérations dans le domaine du cyberespace afin de fournir une vue d’ensemble de l’état d’avancement de la mise en œuvre des capacités de cyberdéfense et d’aider les États membres à mieux aligner leurs efforts et leurs activités. Ces efforts se fondent sur la doctrine de cyberdéfense de l’UE pour les opérations et missions militaires dirigées par l’UE, qui fait écho aux priorités du plan de développement des capacités (PDC).

Intensifier les efforts de recherche sur les technologies clés pour la cyberdéfense

Pour maintenir des capacités de cyberdéfense de pointe, il faut rester au fait des évolutions technologiques et de leurs applications dans les systèmes en lien avec la défense, en particulier les technologies émergentes et technologies de rupture (TE/TR: IA, cryptage, informatique quantique, etc.) 45 . En particulier, l’UE doit investir dans la cryptographie post‑quantique afin de pérenniser la sécurité de ses systèmes de défense. Compte tenu du rythme rapide des évolutions technologiques, les efforts de recherche et de développement technologique collaboratifs doivent être adaptés afin d’atteindre un niveau de maturité technologique suffisamment avancé pour que les résultats puissent être intégrés plus rapidement dans les capacités existantes et futures.

Dans le cadre du FED, la Commission finance l’innovation technologique en matière de défense et soutient le développement de technologies émergentes et technologies de rupture ainsi que de technologies de pointe, y compris pour la cyberdéfense. Jusqu’à 8 % du budget du FED sont alloués à des thèmes traitant des technologies de rupture dans le domaine de la défense, y compris certains éléments pertinents pour la cyberdéfense. Au cours des années à venir, une attention particulière sera accordée, dans le cadre du FED, aux actions et aux projets de recherche portant sur les nouvelles technologies développées en réponse aux menaces nouvelles et évolutives, ainsi que sur le renforcement de la résilience et de la cybersécurité, et de leur intégration dans les capacités de défense.

Conformément au plan d’action sur les TE/TR 46 , l’AED informera chaque année les États membres sur le paysage des technologies émergentes, y compris les technologies applicables à la cyberdéfense. En outre, l’AED élaborera l’évaluation stratégique des TE/TR européennes afin d’aider les États membres à adopter des orientations stratégiques à long terme, en décelant les possibilités de synergies et de collaboration. Le Centre de compétences européen en matière de cybersécurité (ECCC) adoptera un programme stratégique d’investissement dans des domaines clés de la cybersécurité, qui guidera à son tour l’élaboration des futurs programmes de travail d’Europe numérique et d’Horizon Europe en ce qui concerne la cybersécurité, en soutenant respectivement la recherche, l’innovation et l’adoption par le marché. Afin de favoriser les synergies, l’ECCC et l’AED élaboreront également un accord de travail visant à faciliter le partage d’informations entre leurs services respectifs sur les priorités en matière de technologies civiles, à double usage et de défense.

Agir sur les besoins technologiques en matière de cyberdéfense

Des mesures supplémentaires et un renforcement de la coordination sont nécessaires pour faire en sorte que le secteur de la défense adopte sans tarder les évolutions technologiques rapides dans le domaine du cyberespace. Il s’agit notamment d’intensifier les efforts visant à définir les technologies critiques pour la cyberdéfense et la cybersécurité qui devraient être prioritaires afin de réduire les dépendances technologiques de l’UE et d’évaluer si la définition des priorités et les instruments de financement actuels tiennent suffisamment compte de ces dépendances.

À cette fin, la Commission, en collaboration avec l’AED et les États membres, proposera en 2023 une feuille de route technologique pour les cybertechnologies critiques, fondée sur des consultations pertinentes, y compris, le cas échéant, avec l’industrie. La feuille de route technologique définira les cybertechnologies importantes pour la souveraineté technologique de l’UE, couvrira à la fois la cyberdéfense et la cybersécurité, recensera les évolutions technologiques et les dépendances stratégiques, et proposera des mesures pour réduire ces dépendances. La feuille de route pour les cybertechnologies servira de base aux priorités stratégiques pour les instruments de financement de l’UE et proposera de tirer pleinement parti des programmes civils et militaires de recherche et développement et de développement des capacités, ainsi que des instruments de financement, conformément à leurs règles de gouvernance respectives. Elle proposera également d’autres moyens d’encourager le développement de la recherche à double usage, le développement technologique et l’innovation en matière de cybersécurité et de cyberdéfense, au niveau de l’UE et des États membres.

Dans ce contexte, la Commission 47 , en coopération avec l’ECCC et l’AED, évaluera en 2023 les technologies qui ont déjà été désignées comme essentielles pour la cyberdéfense et, éventuellement avec le soutien de l’observatoire des technologies critiques 48 , elle recensera et analysera davantage les dépendances existantes. Il s’agira pour ce faire de tenir compte des travaux entrepris dans le cadre du document de suivi annuel de l’AED 49 et de l’évaluation stratégique des TE/TR européennes 50 . En outre, l’ECCC pourrait lancer un projet spécifique de soutien aux politiques qui pourrait alimenter le processus de feuille de route technologique et rassembler les parties prenantes concernées des sphères civile et militaire pour créer un dialogue avec elles.

Dans le cadre des activités décrites dans le plan d’action sur les synergies, la feuille de route et l’analyse des déficits, plusieurs actions sont déjà en cours pour renforcer les synergies afin de mieux exploiter le potentiel des technologies à double usage, y compris dans le domaine du cyberespace.

En outre, les États membres sont encouragés à tirer pleinement parti des initiatives existantes en faveur de la recherche et du développement technologique, à savoir, pour la défense, les groupes de l’AED chargés des technologies des capacités de défense 51 et les modules technologiques y afférents de l’OSRA 52 , le cadre ad hoc de l’AED 53 , le FED et la CSP. En ce qui concerne les technologies civiles et à double usage, l’ECCC et le réseau peuvent gérer des projets ayant une dimension à la fois militaire et civile, conformément à sa base légale 54 . Comme annoncé dans le plan d’action sur les synergies et dans la feuille de route, la Commission s’efforcera également de renforcer les synergies entre les activités de l’ECCC et du FED dans le domaine de la cybersécurité et de la cyberdéfense, conformément aux règles de gouvernance du FED.

3.2. Une industrie européenne de la défense souple, compétitive et innovante

L’UE a besoin d’une industrie européenne de la défense forte, souple, compétitive et innovante, capable de fournir tout un éventail de capacités de défense de pointe, y compris des capacités de cyberdéfense. Dans ce dernier domaine, l’industrie de la défense de l’UE repose toutefois actuellement en grande partie sur des solutions civiles et sur les marchés extérieurs pour ce qui est des solutions de pointe. Bien que les progrès technologiques dans le domaine civil soient rapides et que le marché des produits civils de l’information et de la cybersécurité se développe rapidement, il existe des exigences militaires spécifiques qui ne sont pas satisfaites par des produits civils prêts à l’emploi. Des éléments importants du matériel et des logiciels actuellement utilisés pour la cyberdéfense ne sont pas fabriqués dans l’UE, ce qui peut créer des dépendances industrielles et technologiques. L’UE ne peut pas non plus s’appuyer sur une présence forte dans l’industrie mondiale de la cybersécurité et de la cyberdéfense. Sa BITDE, très fragmentée, réduit considérablement sa capacité à améliorer sa compétitivité 55 , la majorité des entreprises de cybersécurité de l’UE étant des petites et moyennes entreprises (PME) 56 . Disposer d’une capacité industrielle souveraine sur le plan technologique est une pierre angulaire de la capacité d’action de l’UE.

L’UE soutient la mise en place d’une BITDE forte au moyen d’une série de programmes et d’initiatives. Alors que le FED finance l’innovation technologique en matière de défense et soutient le développement de technologies, ce qui doit déboucher, à terme, sur le développement conjoint de capacités militaires de pointe et contribuer à la compétitivité de l’industrie de la défense de l’Union, Horizon Europe et le programme pour une Europe numérique soutiennent la recherche en matière de cybersécurité et le développement de technologies à double usage, y compris les technologies quantiques, le cryptage, l’informatique en nuage sécurisée et l’IA 57 .

D’autres actions liées aux technologies critiques pour la cyberdéfense et aux besoins industriels recensés dans la feuille de route sur les cybertechnologies critiques devraient être prises en considération. Il est nécessaire de définir des filières de soutien appropriées, par exemple pour stimuler les efforts communs en matière de marchés publics, par exemple dans le cadre du futur programme européen d’investissement dans le domaine de la défense, ou pour faciliter l’accès aux fonds propres et aux prêts par l’intermédiaire du Fonds européen d’investissement et de la Banque européenne d’investissement.

Pour assurer la vigueur de la BITDE, il convient de veiller à exploiter pleinement les synergies entre entreprises civiles et entreprises de défense. Les actions d’innovation proposées dans le cadre du programme de l’UE pour l’innovation dans le domaine de la défense (EUDIS), y compris la sensibilisation des PME et la veille technologique, pourraient avoir une incidence positive sur l’industrie de la défense de l’UE et la BITDE.

La Commission entamera également un dialogue sectoriel dans le but de développer l’industrie de cyberdéfense de l’UE, en y associant, le cas échéant, l’AED.

La Commission et le haut représentant proposent de mettre en place plusieurs mesures afin de doter l’industrie des moyens nécessaires pour obtenir des résultats à court et à long terme. Il s’agit, dans l’immédiat, d’établir une cartographie détaillée des capacités de fabrication industrielle de l’UE dans le domaine de la défense, afin de recenser avec précision les déficits et les domaines dans lesquels une montée en puissance est nécessaire.

La réduction des dépendances critiques dans le domaine du cyberespace, telles que recensées dans les feuilles de route technologiques, pourrait également être abordée dans le cadre du nouveau Fonds de souveraineté européen annoncé par la présidente von der Leyen dans son discours sur l’état de l’Union de septembre 2022.

Le cadre de l’UE pour le filtrage des investissements directs étrangers continuera d’être utilisé pour atténuer les risques liés à l’acquisition de technologies ou de solutions européennes qui présentent des risques en matière de défense et de sécurité. Les États membres qui n’ont pas encore mis en place de mécanismes nationaux de filtrage devraient le faire sans délai.

3.3. Une main-d’œuvre européenne dans le domaine de la cyberdéfense

L’Europe est confrontée à un déficit réel et alarmant de compétences informatiques, l’Organisation européenne pour la cybersécurité (ECSO) estimant que les besoins sont déjà de 500 000 professionnels en 2022. Ce déficit de compétences entrave la capacité de l’UE à développer de nouvelles technologies et à défendre nos infrastructures critiques. Pour les entités publiques telles que les ministères de la défense et de l’armée, la chasse aux compétences et les salaires attractifs offerts par le secteur privé aggravent encore les difficultés à attirer et à retenir les cybertalents.

Dans le cadre de l’Année européenne des talents 2023, la Commission lancera une initiative en faveur d’une Académie des compétences cyber. Cette initiative faîtière visera à accroître le nombre de professionnels formés à la cybersécurité. Elle rassemblera les nombreuses initiatives différentes en matière de compétences cyber, assurera leur coordination et leur intégration mutuelle, ainsi qu’une communication commune à leur sujet. Organisée autour de plusieurs piliers d’action tels que le financement, un soutien de proximité, la formation et la certification, la participation des parties prenantes et la production de connaissances, l’Académie des compétences cyber sera également bénéfique pour les travailleurs du secteur de la cyberdéfense. Le Collège européen de sécurité et de défense (CESD) étudiera les moyens de faciliter l’échange de bonnes pratiques et de nouvelles synergies entre les domaines militaire et civil en ce qui concerne la formation et le développement de compétences militaires spécifiques au cyberespace.

Sur la base d’une analyse des exigences de formation de l’UE ainsi que des besoins en formation, le CESD, l’AED et les États membres poursuivront le développement et l’organisation d’activités et d’exercices de formation en matière de cyberdéfense pour les institutions de l’UE, les opérations et missions relevant de la PSDC, ainsi que les fonctionnaires des États membres. Un renforcement de la plateforme de formation, d’entraînement, d’exercices et d’évaluation dans le domaine du cyber (ETEE) du CESD sera également envisagé afin de générer davantage de capacités de formation. Il s’agit notamment d’inclure des cours de formation pour des opérations relevant de domaines opérationnels spécifiques ou multidomaines. Il convient en particulier de rechercher des synergies avec le projet CSP Académie et plateforme d’innovation de l’UE dans le domaine du cyber (EU CAIH) 58 .

Les États membres sont encouragés à élaborer des programmes d’enseignement spécifiques dans le domaine de la cyberdéfense, en amenant les établissements d’enseignement supérieur et les établissements universitaires (civils et militaires) à élaborer et à créer des programmes communs en matière de cyberdéfense, en partageant les bonnes pratiques, en créant des partenariats et des projets communs et en facilitant les échanges de formateurs et de stagiaires. Afin de garantir l’interopérabilité et une culture commune dans l’ensemble de l’UE, le CESD encouragera les échanges entre les États membres par l’intermédiaire de l’ETEE.

Les États membres devraient favoriser une coopération plus étendue entre acteurs de la formation et de l’enseignement, en combinant les aspects civils et militaires dans les domaines technique, opérationnel, stratégique et juridique, en jetant les bases de la création de programmes de formation communs et normalisés à différents niveaux pour les communautés civile, répressive, diplomatique et de cyberdéfense. En outre, les États membres devraient dialoguer avec les prestataires de formation du secteur privé européen, ainsi qu’avec les établissements universitaires, afin de relever les niveaux de compétences et d’aptitudes du personnel participant aux missions et aux opérations militaires de la PSDC.

De plus, la coopération dans les domaines de la certification et des normes de formation en matière de cyberdéfense devrait être encouragée entre les États membres, les institutions, organes et organismes de l’Union, les partenaires internationaux et d’autres acteurs, y compris dans le secteur privé et le monde universitaire. En s’appuyant sur les initiatives civiles existantes telles que le cadre européen des compétences en matière de cybersécurité (ECSF) élaboré par l’ENISA, le CESD élaborera un cadre de certification des compétences en matière de cyberdéfense. La Commission envisagera également différentes approches pour la certification des compétences informatiques, disponibles sur le marché et auprès du monde universitaire, tout en cherchant, par l’intermédiaire de l’Académie des compétences cyber, à stimuler les synergies entre ces approches et à combler les déficits, notamment grâce à un financement ciblé de l’UE.

4. Établir des partenariats pour relever les défis communs

Les partenaires bénéficieront d’un accroissement des capacités de l’UE et du renforcement de sa résilience dans le cyberespace, ainsi que de l’assistance et du renforcement des capacités en matière de cyberdéfense, rendus possibles grâce aux instruments pertinents de l’UE. L’UE s’efforcera d’établir des partenariats sur mesure dans le domaine de la cyberdéfense là où ils sont mutuellement bénéfiques. Des partenariats en matière de cyberdéfense seront également envisagés dans le contexte de la participation des pays partenaires aux missions et opérations militaires de la PSDC.

Le cas échéant, ces travaux s’appuieront sur les dialogues existants dans le domaine du cyber, ainsi que sur les dialogues en matière de sécurité et de défense. Le haut représentant étudiera également les synergies possibles entre le réseau informel de cyberdiplomatie de l’UE et le réseau des attachés militaires au sein des délégations de l’UE. 

4.1. La coopération avec l’OTAN

Le partenariat stratégique de l’UE avec l’OTAN demeure essentiel pour la sécurité euro-atlantique, comme le soulignent la boussole stratégique et le concept stratégique 2022 de l’OTAN 59 . L’UE reste fermement résolue à renforcer ce partenariat essentiel, y compris dans le domaine de la cyberdéfense, et de nouvelles mesures doivent être prises pour élaborer des solutions partagées aux menaces et aux défis communs. Conformément aux déclarations communes de Varsovie et de Bruxelles sur la coopération UE-OTAN 60 et sur la base des principes de transparence, de réciprocité et d’inclusion, d’ouverture et d’autonomie décisionnelle des deux organisations, la cybersécurité et la cyberdéfense comptent parmi les domaines de coopération prioritaires de l’UE.

Sur la base de la réciprocité, l’UE continuera d’échanger avec l’OTAN sur le cadre conceptuel militaire concernant l’intégration des questions de cyberdéfense dans la planification et la conduite des missions et opérations militaires de la PSDC. L’UE s’efforcera, dans la plus large mesure possible, d’assurer la compatibilité avec les concepts et la doctrine de l’OTAN en matière de cyberdéfense.

En ce qui concerne la forte demande de capacités de cyberdéfense, l’UE encouragera les synergies et la complémentarité avec l’OTAN au‑delà des frontières organisationnelles et nationales. L’UE coopérera avec l’OTAN pour renforcer l’interopérabilité technique et procédurale des capacités de cyberdéfense, y compris le développement des capacités conformément à l’initiative du FMN. Cela ouvrira la voie au développement et à l’emploi de capacités de cyberdéfense susceptibles de se renforcer mutuellement. Il convient d’accorder une attention particulière à l’interopérabilité des normes, en contribuant à la cyber-résilience et à l’interopérabilité des systèmes militaires de communication et d’information, en y associant éventuellement l’industrie.

Afin de fournir une formation cohérente au personnel de cyberdéfense concerné, l’UE renforcera également, le cas échéant, sa coopération avec l’OTAN en ce qui concerne l’harmonisation des besoins en formation et l’analyse des exigences de formation, en élaborant des programmes, des cours et des exercices conjoints. Sur la base des principes de réciprocité et de non‑discrimination, le CESD ouvrira ses cours de formation en matière de cyberdéfense au personnel de l’OTAN et mettra en place une plateforme de promotion des cours communs. L’UE encouragera également la participation du personnel de l’OTAN aux exercices de cybersécurité et aux exercices de gestion de crise comportant des éléments de cybersécurité.

L’UE et l’OTAN s’engageront également à continuer à améliorer l’appréciation mutuelle de la situation, et étudieront des pistes de coordination, notamment en renforçant la coopération entre la NCIRC et la CERT‑EU. Afin de favoriser la coopération en ce qui concerne les questions et les implications cyber de la gestion des crises et de la réaction aux crises, l’UE contribuera aux échanges entre les services sur les initiatives militaires, civiles et communes et, le cas échéant, au développement de synergies potentielles entre les cadres et initiatives respectifs de gestion des crises, y compris en cas d’incidents de grande ampleur. Afin d’assurer la complémentarité mutuelle et d’éviter les doubles emplois inutiles, l’UE s’emploiera à renforcer la coopération et l’échange d’informations avec l’OTAN en ce qui concerne les efforts de renforcement des capacités en matière de cyberdéfense dans les pays partenaires.

4.2. La coopération avec les partenaires partageant les mêmes valeurs

Le haut représentant inclura plus systématiquement les questions de cyberdéfense dans les dialogues existants et futurs sur la cybersécurité, ainsi que dans les dialogues sur la sécurité et la défense menés avec les partenaires. Étant donné que les aspects liés à la cyberdéfense se développeront dans le cadre des dialogues bilatéraux, il sera de plus en plus possible d’introduire des questions de cyberdéfense dans d’autres formes de coopération menées avec les partenaires de l’UE.

Le partenariat stratégique de l’UE avec les États‑Unis continuera d’approfondir la coopération en matière de sécurité et de défense d’une manière bénéfique pour les deux parties, y compris au moyen d’un échange structuré d’informations sur l’appréciation de la situation. Les dialogues UE-États-Unis réguliers consacrés au cyber et à la sécurité et la défense confirment la solidité du partenariat transatlantique. Le cas échéant, le haut représentant introduira des questions pertinentes de cyberdéfense dans ces dialogues.

Avec ses partenaires internationaux, l’UE continuera de soutenir l’Ukraine, notamment au moyen d’un dialogue sur le cyberespace. Compte tenu de l’expérience acquise par l’Ukraine en matière de renforcement des capacités de cyber-résilience et de cyberdéfense, l’échange de bonnes pratiques en matière de cyberdéfense, y compris d’informations sur le paysage des menaces et l’appréciation de la situation, ainsi que sur les évolutions stratégiques pertinentes, revêt un intérêt commun; il devra se poursuivre et s’intensifier.

Les partenaires partageant les mêmes valeurs jouent un rôle important pour maintenir un cyberespace mondial ouvert, stable et sûr et peuvent compléter la capacité de l’UE à prévenir, dissuader et contrer les comportements malveillants dans le cyberespace. L’UE reste ouverte à un engagement large, ambitieux et mutuellement bénéfique en matière de sécurité et de défense, y compris en matière de cyberdéfense, avec tous les partenaires partageant les mêmes valeurs.

4.3. Un soutien au renforcement des capacités de cyberdéfense pour les pays partenaires

Les défis mondiaux et régionaux ont accru l’interdépendance entre l’UE et ses partenaires et ont souligné la nécessité d’établir des partenariats plus étroits en matière de sécurité et de défense. Ces questions sont particulièrement importantes pour les pays candidats à l’adhésion à l’UE. Les cyberattaques récentes à grande échelle illustrent la nécessité de renforcer l’engagement et le partenariat de l’UE en matière de cybersécurité et de cyberdéfense, en s’appuyant sur les programmes existants. En raison de la nature transnationale des cybermenaces, le renforcement de la cyber-résilience des pays partenaires, en particulier de ceux dont le niveau de cybermaturité est plus faible, contribuera à rendre le cyberespace plus sûr. Ainsi, l’UE sera mieux à même de prévenir, de détecter, de défendre et de dissuader les cyberattaques. L’UE intensifiera la coopération en matière de sécurité et de défense avec les pays partenaires afin de renforcer leur cyber-résilience, y compris dans le cadre des dialogues existants. Le cas échéant et dans un intérêt mutuel, l’UE coopérera avec ses partenaires, et en particulier avec les pays candidats à l’adhésion à l’UE qui sont alignés sur la politique étrangère et de sécurité commune et la politique de sécurité et de défense commune, dans leurs efforts de renforcement des capacités de cyberdéfense. Il pourrait s’agir de soutien aux mesures et aux cadres législatifs, de formation, de conseils et d’encadrement et d’équipement des forces armées et des forces de sécurité des partenaires. Des États membres pourraient décider de fournir une assistance opérationnelle en matière de cyberdéfense aux partenaires. En outre, l’UE aidera les partenaires à renforcer leurs capacités de contribution aux missions et opérations militaires de la PSDC, car il s’agit d’une contribution précieuse aux efforts mutuels visant à promouvoir la paix et la sécurité.

La facilité européenne pour la paix (FEP) continuera de soutenir les efforts déployés par l’UE pour contribuer au renforcement des capacités de défense, y compris de cyberdéfense, dans les pays partenaires, en particulier dans le voisinage de l’UE, en complément des efforts de gestion des crises relevant de la PSDC. À cet égard, si nécessaire, l’UE établira également un meilleur lien entre l’assistance en matière de cyberdéfense et le renforcement des capacités civiles en matière de cybersécurité, en particulier par l’intermédiaire du comité de l’UE pour le renforcement des cybercapacités. Une coordination efficace entre les programmes et instruments pertinents de l’UE, y compris la FEP, et les États membres sera nécessaire pour que les mesures de renforcement des capacités en matière de cyberdéfense et de cybersécurité soient couronnées de succès.

Tout en apportant un soutien aux pays partenaires dans leurs efforts de renforcement des capacités en matière de cyberdéfense, l’UE travaillera en étroite collaboration avec d’autres donateurs afin de mettre en place des plateformes d’appréciation de la situation et de coordination destinées à offrir le meilleur soutien possible, sur mesure, et à assurer la cohérence et l’absence de doubles emplois.

III. CONCLUSION

Le haut représentant, y compris en sa qualité de chef de l’AED, et la Commission invitent les États membres à développer les aspects pertinents de la nouvelle politique de cyberdéfense et se concerteront avec les États membres pour définir des mesures pratiques de mise en œuvre. Un plan de mise en œuvre pourrait être établi en coopération avec les États membres. Les résultats de la mise en œuvre de la politique de cyberdéfense de l’UE contribueront à la réalisation des objectifs généraux de la stratégie de cybersécurité et de la boussole stratégique de l’UE.

Un rapport annuel sera présenté au Conseil pour suivre et évaluer les progrès accomplis dans la mise en œuvre de la politique de cyberdéfense. Les États membres sont encouragés à concourir, par leurs contributions, à l’avancement des mesures de mise en œuvre déployées dans des formats nationaux ou des formats de coopération.

(1)

Le cadre stratégique de cyberdéfense de l’UE (CDPF), Version actualisée 2018, 19 novembre 2018, https://data.consilium.europa.eu/doc/document/ST-14413-2018-INIT/fr/pdf

(2)

Une boussole stratégique en matière de sécurité et de défense - Pour une Union européenne qui protège ses citoyens, ses valeurs et ses intérêts, et qui contribue à la paix et à la sécurité internationales.

(3)

La stratégie de cybersécurité de l’UE pour la décennie numérique, JOIN/2020/18 final .

(4)

https://ec.europa.eu/commission/presscorner/detail/fr/SPEECH_21_4701

(5)

  9364/22 .

(6)

  JOIN(2022) 24 final .

(7)

EEAS(2021) 706 REV4.

(8)

Les cybercommunautés civile, diplomatique et répressive.

(9)

Équipes d’intervention rapide en cas d’incident informatique et assistance mutuelle dans le domaine de la cybersécurité.

(10)

Traité sur l’Union européenne, version consolidée: Journal officiel C 326 du 26.10.2012, p. 1.

(11)

Traité sur le fonctionnement de l’Union européenne, version consolidée: Journal officiel C 326 du 26.10.2012 p. 1.

(12)

L’objectif du projet est de développer, de mettre en place et d’exploiter un centre multinational de coordination dans le domaine du cyber et de l’information (CIDCC) en tant qu’élément militaire multinational permanent.

(13)

S’appuyant sur les deux premières réunions des conférences stratégiques européennes des cybercommandeurs (CyberCo) tenues en janvier et juin 2022, les cybercommandeurs de l’UE ont décidé de mettre en place une instance plus permanente à leur niveau.

(14)

Un groupe informel comprenant les services compétents de la Commission, le SEAE, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le CERT-UE et Europol, coprésidé par la Commission et le haut représentant.

(15)

La stratégie de cybersécurité de l’UE pour la décennie numérique (JOIN/2020/18 final) et la stratégie de l’UE pour l’union de la sécurité [COM(2020) 605].

(16)

Conformément au règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240, JO L 166 du 11.5.2021, p. 1, sous réserve d’une possible modification.

(17)

  Appel de Nevers à renforcer les capacités de cybersécurité de l’UE .

(18)

https://eda.europa.eu/publications-and-data/factsheets/factsheet-cyber-phalanx

(19)

https://www.pesco.europa.eu/project/cyber-ranges-federations-crf/

(20)

Conclusions du Conseil relatives à un cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance («boîte à outils cyberdiplomatique»).

(21)

https://cybernews.com/security/solarwinds-hack-the-mystery-of-one-of-the-biggest-cyberattacks-ever/

(22)

https://english.ncsc.nl/topics/log4j-vulnerability

(23)

Déclaration du haut représentant au nom de l’Union européenne sur les actes de cybermalveillance perpétrés par des pirates informatiques et des groupes de pirates informatiques dans le contexte de l’agression de la Russie contre l’Ukraine: https://www.consilium.europa.eu/fr/press/press-releases/2022/07/19/declaration-by-the-high-representative-on-behalf-of-the-european-union-on-malicious-cyber-activities-conducted-by-hackers-and-hacker-groups-in-the-context-of-russia-s-aggression-against-ukraine/

(24)

Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148, qui a été récemment approuvée par les colégislateurs et devrait être formellement adoptée d’ici la fin de l’année.

(25)

Proposition de règlement relatif aux exigences horizontales en matière de cybersécurité applicables aux produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020, COM/2022/454 final .

(26)

Conclusions du Conseil sur la mise en place d’une cyber posture de l’Union européenne; ST09364/22, 23 mai 2022.

(27)

https://digital-strategy.ec.europa.eu/fr/policies/nis-cooperation-group

(28)

  Appel de Nevers à renforcer les capacités de cybersécurité de l’UE

(29)

Proposition de RECOMMANDATION DU CONSEIL relative à une approche coordonnée de l’Union pour renforcer la résilience des infrastructures critiques,  COM/2022/551 final .

(30)

Transition numérique du système énergétique — Plan d’action de l’UE, COM/2022/552 final.

(31)

Une boussole stratégique pour la sécurité et la défense, le 21 mars 2022 https://www.eeas.europa.eu/sites/default/files/documents/strategic_compass_en3_web.pdf

(32)

  Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures | Bâtir l’avenir numérique de l’Europe (europa.eu).

(33)

https://dnbl.ncia.nato.int/FMNPublic/SitePages/Home.aspx

(34)

 COM/2022/454 final.

(35)

COM(2021) 70 final.

(36)

Des travaux de normalisation sont en cours en ce qui concerne les exigences de cybersécurité relatives aux équipements radioélectriques, sur la base du règlement délégué (UE) 2022/30. Si la Commission abroge ou modifie ce règlement délégué avec pour conséquence qu’il cesserait de s’appliquer à certains produits soumis à la législation sur la cyber-résilience, la Commission et les organismes européens de normalisation devraient tenir compte des travaux de normalisation effectués dans le cadre de la décision d’exécution C(2022) 5637 de la Commission relative à la demande de normalisation pour le règlement délégué susmentionné lors de l’élaboration et de la mise au point de normes harmonisées visant à faciliter la mise en œuvre de la législation sur la cyber-résilience.

(37)

Par exemple, comme indiqué dans l’analyse des déficits d’investissement dans le domaine de la défense.

(38)

Plusieurs initiatives ont été lancées, telles que le partenariat européen pour les compétences en matière de défense.

(39)

Dans sa feuille de route sur les technologies critiques, la Commission a appelé à renforcer la coopération dans les technologies qui sont essentielles pour la sécurité et la défense à long terme de l’Europe, ainsi que les efforts visant à réduire les dépendances stratégiques connexes.

(40)

La communication conjointe sur l’analyse des déficits d’investissement dans le domaine de la défense et sur la voie à suivre, dans laquelle la Commission et le haut représentant ont proposé plusieurs mesures visant à faire en sorte que l’industrie de l’UE soit à même d’obtenir des résultats à court et à long terme.

(41)

Les équipes d’intervention rapide en cas d’incident informatique et l’assistance mutuelle dans le domaine de la cybersécurité (CRRT), le centre de coordination dans le domaine du cyber et de l’information (CIDCC), la plateforme de partage d’informations sur les cybermenaces et les réponses aux incidents (CTIRISP), les fédérations de plateformes de simulation cyber (CRF) et l’académie et la plateforme d’innovation de l’UE dans le domaine du cyber (EU CAIH).

(42)

Dans le cadre du programme européen de développement industriel dans le domaine de la défense (PEDID), 6 projets ont été financés (PANDORA, DISCRETION, CYBER4DE, ECYSAP, SMOTANET et HERMES), pour un budget de 39 millions d’euros. Au titre du FED 2021, près de 40 millions d’euros seront consacrés à 3 projets collaboratifs de recherche et développement dans le domaine de la cyberdéfense, sélectionnés en vue d’un financement (ACTING, AInception et EU‑GUARDIAN).

(43)

L’équipe de projet «cyberdéfense» constitue un forum permettant aux États membres de débattre des questions de cyberdéfense ayant des implications militaires.

(44)

Fiche d’information PDC de l’AED (28.6.2018): fiche d’information PDC .

(45)

Comme indiqué dans le programme de recherche stratégique dans le domaine de la cyberdéfense et dans l’agenda de recherche stratégique général (OSRA).

(46)

Le document «Emerging Disruptive Technologies (EDTs): A capability-driven Action Plan» [Technologies émergentes et technologies de rupture (TE/TR): plan d’action axé sur les capacités] a été adopté par le comité directeur de l’AED, dans sa composition réunissant les directeurs de la recherche et des technologies, le 16 décembre 2021.

(47)

Y compris le JRC.

(48)

Annoncé dans le plan d’action sur les synergies entre les industries civile, spatiale et de la défense.

(49)

Première phase du plan d’action 2021 sur les TE/TR de l’AED.

(50)

Deuxième phase du plan d’action 2021 sur les TE/TR de l’AED.

(51)

Les technologies CapTech fournissent aux experts des États membres des forums de mise en réseau et un cadre flexible pour les projets collaboratifs. De plus amples informations sur les technologies CapTech liées au cyberespace (cyber, information et composantes) sont disponibles à l’adresse suivante: https://eda.europa.eu/what-we-do/research-technology/capability-technology-areas-(captechs).

(52)

L’OSRA répertorie les domaines pertinents de la R&T dans le secteur de la défense et détaille des possibilités concrètes de collaboration. Il existe 17 modules technologiques, auxquels correspondent des feuilles de route technologiques associées aux cybertechnologies et portant sur l’appréciation de la situation en matière de cyberdéfense, la protection des systèmes de communication militaires, le traitement d’informations provenant de sources hétérogènes, la modélisation et la simulation, l’informatique quantique et la cryptographie, ainsi que l’exploration des synergies entre les cyberopérations et la guerre électronique. L’intelligence artificielle et les mégadonnées jouent un rôle essentiel dans le traitement de l’information.

(53)

Le cadre ad hoc de l’AED est défini par la décision (PESC) 2015/1835 du Conseil. Actuellement, 6 projets comportant des éléments de cybertechnologie sont en cours d’exécution dans ce cadre, pour un budget d’environ 20 millions d’euros: ANQUOR, CERERE, EDA SOC 2, MASFAD II, PASEI II et ASSAI.

(54)

Règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination.

(55)

Comme indiqué dans la communication conjointe sur l’analyse des déficits d’investissement dans le domaine de la défense et sur la voie à suivre.

(56)

Le nombre total de PME de l’Union opérant dans les chaînes d’approvisionnement de la défense, qui comportent plusieurs niveaux et ont souvent une dimension transfrontière, est estimé à 2 500. Ils approvisionnent des clients du domaine de la défense et 7,8 % de leurs activités sont liées au cyberespace.

(57)

Le programme Horizon Europe prévoit que les synergies avec le FED bénéficieront à la recherche civile et à la recherche dans le domaine de la défense, même si les activités menées au titre du programme-cadre seront exclusivement axées sur les applications civiles.

(58)

https://www.pesco.europa.eu/project/eu-cyber-academia-and-innovation-hub-eu-caih/

(59)

https://www.nato.int/strategic-concept/fr/

(60)

Signées respectivement en 2016 et en 2018.