En Europe, les risques de cyber incidents obtiennent la première place des préoccupations des entreprises, devançant l’interruption d’activité et la pandémie d’après le baromètre Allianz de 2021.
La propagation de fake news ayant pour but d’orienter l’opinion publique, l’espionnage des données ou encore la revente de données personnelles de façon frauduleuse sont des sujets cruciaux pour les gouvernements européens.
L’Union européenne se doit de traiter la sécurité de ses données de façon systémique. Et même si les budgets augmentent chaque année, leurs travaux sont de plus en plus complexes car les enjeux sont devenus multiples : économiques, politiques, éthiques voir même écologiques.
Cybersécurité - Investir pour réduire les dépenses
D’après IBM, au niveau mondial, le coût moyen d’une violation de données a augmenté de 10% entre 2020 et 2021 pour atteindre 4,24 millions de dollars. Il est de 3,84 millions d'euros en France.
De plus, les cyberattaques ont augmenté de 36% en Europe au premier semestre 2021. Le nombre d'attaques de type ransomware est même en hausse de 93% selon Check Point Software Technologies. L'étude de Malwarebytes souligne que cette hausse arrive juste après la mise en place du confinement. La transition rapide vers le télétravail a laissé des failles pour de nombreuses entreprises dans l’utilisation des services cloud ou des réseaux privés virtuels (VPN).
Les solutions pour réduire ces cyberattaques ainsi que leurs coûts existent : l’intelligence artificielle, le cloud hybride, mélangeant cloud public et cloud privé ou encore le « Zero Trust » validant les accès de tout élément où personne tentant de se connecter aux systèmes d’une organisation. Cette dernière solution fait déjà ses preuves puisque les entreprises les plus matures en termes de « Zero trust » peuvent faire baisser le coût moyen d’une violation des données de 60%.
L’UE a déjà commencé ces travaux au travers du programme Digital Europe. L’objectif de ce programme est de « stimuler la compétitivité de l’Europe et la transition verte vers la neutralité climatique d’ici 2050, ainsi que d’assurer la souveraineté technologique européenne ». Sur les 5 grands volets, l’intelligence artificielle et la cybersécurité représentent quasiment 50% du budget total prévu sur la période 2021-2027 avec 3,7 Milliards d’euros.
De plus les gouvernements et les institutions Européennes peuvent s’appuyer sur l'agence européenne de cybersécurité (l’ENISA) afin d’être mieux préparés pour prévenir et détecter les problèmes de sécurité de l’information et y apporter une réponse concrète.
Même si les investissements sont importants, ils sont moindres comparé aux Etats-Unis (18,78 Mds $ juste sur 2021), les dépendances des GAFAM sur ces technologies sont inévitables au vu de leur maturité technologique en terme de sécurité des données. Si l’indépendance technologique semble un combat perdu d’avance, l’Union européenne se doit maintenant d’assurer la souveraineté de ses propres données.
Souveraineté des données – le combat majeur de l’UE
Lors de la 13ème édition du Forum International de la Cybersécurité (FIC) qui s’est tenu du 7 au 9 septembre 2021 à Lille, Margaritis Schinas, vice-président de la Commission européenne a déclaré “Ce n’est plus seulement un sujet technique, c’est une question de société, de souveraineté et de sécurité nationale”.
La souveraineté des données signifie que les données numériques doivent être soumises aux lois du pays où elles se trouvent. Dans l’UE, les données relatives au respect de la vie privée sont régies à la fois par le droit national du pays, mais aussi par le droit Européen avec notamment le RGPD. Mais la souveraineté des données passe aussi par la maîtrise de ses éléments matériels et la composition d’un espace démocratique.
L’aspect matériel se caractérise par les data centers et autres antennes relais (4G ou 5G) mais aussi par les câbles sous-marins représentant 99% du trafic internet. La réglementation étant encore inexistante, les GAFAM entrent en jeu avec leurs budgets colossaux est leur part de marché pourraient passer de 5% à 90% en 6 ans. L’Europe perd peu à peu du terrain sur ce secteur clef.
L’espace démocratique quant à lui se présente sous plusieurs aspects pour lesquels l’UE a déjà annoncé plusieurs lois :
- le Digital Service Act (DSA) pour la régulation des contenus et la transparence des algorithmes. Suite à des « fakes news » ou des propos de type haineux, l’UE pourra exiger de la plate-forme un compte-rendu sur les moyens de modération mise en œuvre
- le Digital Market Act (DMA) pour l’abus de position dominante
- le Gouvernance Data Act (GDA) pour la régulation du partage des données et leurs réutilisations dans l’Union afin de créer une économie européenne de la donnée
Annoncé en décembre 2020, l’adoption du DSA et du DMA doit se faire au printemps 2022 mais d’après Bloomberg cela pourrait être repoussé jusqu’à fin 2022. Concernant le GDA les discussions ont débuté le 20 octobre 2021.
Les combats à mener sur la sécurité des données sont nombreux. La protection, le contrôle, l’approvisionnement, la complétude, la véracité, le partage, la régulation sont autant d’axes qui nécessitent des compétences bien spécifiques et des infrastructures aux budgets faramineux. Les 5 prochaines années seront décisives pour l’UE pour contrer l’omnipotence des GAFAM et anticiper la gestion du volume de données mondial qui augmente de manière vertigineuse sachant qu’il sera multiplié par 45 entre 2020 et 2035.