COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN, AU CONSEIL EUROPÉEN ET AU CONSEIL Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides

COMMISSION EUROPÉENNE

Bruxelles, le 13.6.2018

JOIN(2018) 16 final

COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN, AU CONSEIL EUROPÉEN ET AU CONSEIL

Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides

1.Introduction

Les activités hybrides des acteurs étatiques et non étatiques continuent à représenter une menace grave et inquiétante pour l’UE et ses États membres. Les tentatives de déstabilisation d’un pays se sont multipliées; elles cherchent à saper la confiance publique dans les institutions gouvernementales et à attaquer nos valeurs fondamentales. Nos sociétés sont gravement menacées par ceux qui cherchent à nuire à l’UE et à ses États membres par des moyens aussi divers que les cyberattaques qui perturbent l’économie et les services publics, les campagnes de désinformation ciblées ou les actions militaires hostiles.

Les campagnes hybrides sont multidimensionnelles: combinant des mesures coercitives et des mesures subversives, elles utilisent des outils et des tactiques aussi bien conventionnels que non conventionnels (diplomatiques, militaires, économiques et technologiques) pour déstabiliser l’adversaire. Elles sont conçues de manière à être difficiles à détecter ou à «attribuer» et sont mises en œuvre aussi bien par des acteurs étatiques que non étatiques. L’attaque à l’agent neurotoxique commise à Salisbury en mars dernier 1 est un nouvel exemple de la polyvalence des menaces hybrides et de la multitude de tactiques aujourd’hui possibles. Le Conseil européen 2 a réagi en soulignant la nécessité de renforcer la capacité de l’UE et de ses États membres à détecter, écarter et contrer les menaces hybrides dans des domaines tels que le cyberespace, la communication stratégique et le contre-renseignement. Il a par ailleurs attiré l’attention en particulier sur la nécessité de développer la capacité de résilience face aux menaces de nature chimique, biologique, radiologique et nucléaire.

Les menaces liées aux armes non conventionnelles entrent dans une catégorie à part compte tenu de l’ampleur des dommages qu’elles peuvent causer. En plus d’être difficiles à détecter et à attribuer, elles sont également difficiles à écarter. Les menaces chimiques, biologiques, radiologiques et nucléaires, qui vont au-delà des menaces hybrides et incluent les menaces terroristes, sont également une préoccupation majeure de la communauté internationale 3 , en particulier le risque de prolifération en constante évolution, à la fois sur le plan géographique et auprès d’acteurs non étatiques.

Les tâches consistant à renforcer la résilience à ces menaces et à accroître la capacité à y répondre incombent principalement aux États membres. Toutefois, les institutions de l’UE ont déjà pris un certain nombre de mesures au soutien des efforts déployés au niveau national. À cet effet, elles ont travaillé en étroite collaboration avec d’autres acteurs internationaux, notamment l’Organisation du traité de l’Atlantique Nord (OTAN) 4 et l’aide apportée aux États membres pourrait être élargie à d’autres domaines comme celui de la réaction rapide 5 .

La présente communication conjointe répond à l’invitation du Conseil européen à faire avancer les travaux dans ce domaine. Elle s’inscrit dans le cadre d’un paquet plus large incluant aussi le dernier rapport sur les progrès accomplis dans la mise en place d’une union de la sécurité 6 , qui dresse un bilan et présente les prochaines étapes de la mise en œuvre du plan d’action visant à améliorer la préparation aux risques en matière de sécurité chimique, biologique, radiologique et nucléaire (octobre 2017) 7 , ainsi que le deuxième rapport d’avancement 8 concernant la mise en œuvre des vingt-deux actions présentées dans la communication «Cadre commun en matière de lutte contre les menaces hybrides - une réponse de l’Union européenne» 9 .

2.La réponse de l’UE

La Commission et la haute représentante ont consenti des efforts importants pour renforcer les capacités de l’UE et soutenir efficacement les États membres dans la lutte contre les menaces hybrides et les risques chimiques, biologiques, radiologiques et nucléaires. Des résultats tangibles ont déjà été atteints, notamment en ce qui concerne la communication stratégique, l’appréciation de la situation, le renforcement de l’état de préparation et la résilience ainsi que l’accroissement des capacités de réaction aux crises.

La task force East Stratcom, mise en place après le Conseil européen de mars 2015, a piloté les travaux sur la prévision, le traçage et le combat de la désinformation émanant de sources étrangères. Ses analyses d’expert et ses contenus publics 10 ont contribué de façon significative à sensibiliser l’opinion aux conséquences de la désinformation russe. Au cours des deux dernières années, la task force a mis au jour plus de 4 000 cas individuels de désinformation, dont beaucoup visaient délibérément l’Europe. Elle s’est également attachée à améliorer la diffusion de communications positives, avec un retentissement renforcé dans les pays du voisinage oriental. Au vu de ce succès, deux autres task forces ont été créées, portant sur des zones géographiques différentes, l’une pour les Balkans occidentaux et l’autre consacrée au sud pour le monde arabophone.

Des mesures importantes ont été prises pour renforcer les structures permettant une meilleure appréciation de la situation et pour soutenir le processus de prise de décision. La cellule de fusion contre les menaces hybrides a été créée en 2016 au sein du centre de situation et du renseignement de l’UE, qui relève du service européen pour l’action extérieure. Elle reçoit et analyse des informations classifiées et des informations de source ouverte, émanant de différents acteurs, concernant les menaces hybrides. À ce jour, une bonne centaine d’évaluations et de documents d’information, partagés au sein de l’UE et entre les États membres, appuient le processus décisionnel de l’UE. La cellule de fusion contre les menaces hybrides collabore étroitement avec le centre européen d’excellence pour la lutte contre les menaces hybrides, à Helsinki. Créé en avril 2017 dans l’objectif d’encourager le dialogue stratégique et de mener des recherches et des analyses sur les menaces hybrides, le centre d’excellence compte maintenant seize pays participants 11 et bénéficie d’un appui soutenu de l’UE.

Il y a eu également des avancées importantes en ce qui concerne l’état de préparation et la résilience, en particulier à l’égard des menaces chimiques, biologiques, radiologiques et nucléaires. Au cours des six derniers mois, des progrès majeurs ont été réalisés pour recenser les lacunes dans la préparation aux incidents sécuritaires liés aux risques chimiques, biologiques, radiologiques et nucléaires, notamment en ce qui concerne la capacité de détection visant prévenir des attaques chimiques, biologiques, radiologiques et nucléaires. À l’initiative de la Commission, un consortium d’experts nationaux a effectué une analyse des lacunes dans les équipements de détection sur la base de différents types de scénarios d’incident chimique, biologique, radiologique et nucléaire. Le rapport de cette analyse a été communiqué aux États membres afin de leur permettre de prendre des décisions éclairées sur les meilleures stratégies en matière de détection et d’adopter les mesures opérationnelles pour remédier aux lacunes mises en évidence.

Ces travaux ont été complétés par des exercices visant à tester le degré d’avancement. L’exercice coordonné et parallèle de 2017 (PACE17) mené avec l’Organisation du traité de l’Atlantique Nord a permis de tester de manière approfondie les capacités de réaction de l’UE face à une crise hybride à grande échelle. D’une ampleur inégalée, cet exercice a mis à l’épreuve non seulement le protocole opérationnel contre les menaces hybrides («EU Playbook»), les différents mécanismes de réaction de l’UE et leur capacité à interagir efficacement, mais aussi la façon dont la réaction de l’UE aux menaces hybrides se conjugue à l’action de l’Organisation du traité de l’Atlantique Nord. Un exercice est en cours de planification pour 2018. L’ambition est non seulement d’établir cette pratique sur une base annuelle mais aussi d’aider les États membres à renforcer leurs capacités de réaction aux crises hybrides.

Ces mesures concrètes illustrent le succès des cadres d’action de l’UE déjà en place: toute une série de cadres ont été mis en œuvre ces deux dernières années pour guider et cibler les travaux de l’UE.

Le cadre commun en matière de lutte contre les menaces hybrides: une réponse de l’Union européenne 12 adopté en avril 2016 préconise une approche qui associe l’ensemble des instances de gouvernement et inclut vingt-deux domaines d’action afin de lutter contre les menaces hybrides et d’accroître la résilience de l’Union et des États membres ainsi que celle des partenaires internationaux. La plupart des actions définies dans le cadre commun visent des avancées dans l’appréciation de la situation et la résilience, et notamment une meilleure capacité de réaction. Elles incluent le renforcement, à l’échelle de l’UE, de la capacité d’analyse du renseignement, la protection accrue des infrastructures critiques ou encore la cybersécurité pour lutter contre la radicalisation et l’extrémisme violent. Les cybermenaces et les cyberattaques sont également des thèmes centraux du cadre commun. Le deuxième rapport d’avancement sur la mise en œuvre du cadre commun, adopté parallèlement à la présente communication conjointe, démontre que des progrès tangibles ont été obtenus concernant ces actions, et confirme le renforcement et l’intensification des efforts déployés par l’UE pour lutter contre les menaces hybrides 13 .

S’agissant de la cybersécurité, le 9 mai 2018 a marqué une étape importante puisque que c’est à cette date que tous les États membres devaient avoir transposé le premier ensemble de règles de cybersécurité juridiquement contraignantes à l’échelle de l’Union, définies dans la directive sur la sécurité des réseaux et des systèmes d’information. Il s’agit d’un volet important de l’approche globale décrite dans la communication conjointe de septembre 2017 intitulée «Résilience, dissuasion et défense: doter l’Union européenne d’une cybersécurité solide» 14 ) qui prévoit toute une série de mesures concrètes pour optimiser les structures et les capacités de l’UE en matière de cybersécurité. Ces mesures visaient essentiellement l’accroissement de la résilience de l’UE face aux cyberattaques et l’amélioration des capacités de l’UE en matière de cybersécurité; la mise en place d’une réponse pénale efficace et le renforcement de la stabilité à l’échelle mondiale grâce à la coopération internationale. Cette communication était accompagnée d’une proposition de règlement sur la cybersécurité visant à accroître le soutien à l’échelle de l’UE 15 et a été soutenue par une série de propositions qui doivent encore être mises en œuvre (voir ci-dessous).

La désinformation nuit à nos démocraties car elle empêche les citoyens de prendre des décisions en connaissance de cause et de participer au processus démocratique. Avec l’internet, les citoyens ont accès à une quantité et une variété accrues d’informations. Mais les nouvelles technologies peuvent aussi servir de vecteurs à une désinformation d’une ampleur et d’une rapidité sans précédent, dont le but précis est de semer la méfiance et créer des tensions sociétales. La communication de la Commission intitulée Lutte contre la désinformation en ligne: une approche européenne 16 établit une stratégie pour lutter, à l’échelle de l’Union, contre le problème de la désinformation, en invitant différents acteurs, en particulier les plateformes en ligne mais aussi les sociétés de médias, à prendre des mesures concrètes. Ces mesures portent sur de multiples aspects: la transparence, la fiabilité et la responsabilité des plateformes en ligne; la sécurité et la résilience des processus électoraux; la promotion de l’enseignement et de l’éducation aux médias, le soutien d’un journalisme de qualité; la lutte contre la désinformation grâce à une communication stratégique. Au nombre des premières étapes concrètes figurent l’établissement, par un forum plurilatéral sur la désinformation et un réseau indépendant de vérificateurs de faits (qui sera mis en place avant l’été), d’un code de bonnes pratiques pour lutter contre la désinformation. Réuni pour la première fois le 29 mai 2018, le forum plurilatéral sur la désinformation s’est mis d’accord sur les mesures requises en vue de l’adoption du code en juillet 2018. D’ici la fin de 2018, la Commission fera le point sur les progrès accomplis dans ce domaine et décidera si des mesures supplémentaires sont nécessaires. Les actions prévues seront cohérentes et complémentaires avec celles de la task force East Stratcom.

En ce qui concerne les risques de nature chimique, biologique, radiologique et nucléaire, la Commission a proposé, dans son plan d’action 17 d’octobre 2017, vingt-trois actions et mesures concrètes visant à mieux protéger les citoyens et les infrastructures contre ces menaces, notamment grâce à une coopération plus étroite entre l’UE et ses États membres, d’une part, et avec l’Organisation du traité de l’Atlantique Nord, d’autre part. Dans le cadre des mesures prévues dans l’union de la sécurité afin de renforcer la protection et la résilience contre le terrorisme, elle a suivi une approche préventive fondée sur la constatation que les risques de nature chimique, biologique, radiologique et nucléaire, même s’ils présentent un faible degré de probabilité, ont des conséquences lourdes et durables dans le cas où un attentat est perpétré. Par ailleurs, l’attentat de Salisbury et l’inquiétude croissante quant à l’intérêt et la capacité des terroristes à utiliser des matières chimiques, biologiques, radiologiques et nucléaires tant à l’intérieur qu’à l’extérieur de l’UE 18 montrent que les risques nucléaires, radiologiques, biologiques et chimiques sont bien réels. Il est donc aujourd’hui plus que jamais nécessaire de mettre en œuvre l’intégralité du plan d’action. La Commission suit une approche «tous risques» et met l’accent sur quatre objectifs: 1) réduire l’accessibilité des matières chimiques, biologiques, radiologiques et nucléaires; 2) garantir une préparation et une capacité de réaction plus solides face aux incidents de sécurité dans les domaines chimique, biologique, radiologique et nucléaire; 3) resserrer les liens intérieurs et extérieurs en matière de sécurité chimique, biologique, radiologique et nucléaire avec les principaux partenaires internationaux et régionaux de l’UE; 4) développer les connaissances concernant les risques chimiques, biologiques, radiologiques et nucléaires. Le dernier rapport sur les progrès accomplis dans la mise en place d’une union de la sécurité, adopté parallèlement à la présente communication, dresse un bilan détaillé de la mise en œuvre du plan d’action.

Enfin, pour renforcer l’efficacité des efforts déployés dans la lutte contre les menaces hybrides et renforcer le message d’unité entre les États membres de l’UE et les alliés de l’Organisation du traité de l’Atlantique Nord (OTAN), la coopération dans la lutte contre les menaces hybrides a été définie comme une priorité stratégique de la coopération entre l’UE et l’OTAN, comme indiqué dans la déclaration commune de Varsovie de juillet 2016 19 . Près d’un tiers des propositions conjointes de coopération concerne aujourd’hui les menaces hybrides 20 . Les exercices et le protocole opérationnel «EU Playbook» 21 décrits ci-dessus servent de point de départ, avec une coopération renforcée cette année.

3.Renforcer la capacité de réaction face aux menaces grandissantes

3.1.Connaissance de la situation — meilleure capacité de détection des menaces hybrides

Les efforts pour lutter contre les menaces hybrides doivent pouvoir s’appuyer sur une capacité à détecter à un stade précoce les activités et les sources hybrides malveillantes, internes ou externes, et à comprendre les liens possibles entre des évènements souvent non connectés en apparence. À cet égard, il est essentiel d’exploiter tous les flux de données disponibles, y compris le renseignement de source ouverte.

La cellule de fusion contre les menaces hybrides, établie au sein du service européen pour l’action extérieure en tant que point de convergence unique à l’échelle de l’UE pour l’analyse des menaces hybrides, est un atout important mais elle a besoin de toute l’expertise nécessaire pour traiter l’ensemble des menaces hybrides, y compris dans les domaines chimique, biologique, radiologique et nucléaire et dans le contre-espionnage. Une expertise élargie permettrait de mieux soutenir une réaction de l’UE en cas de crise en offrant une panoplie plus complète de produits d’intelligence civile et militaire dans ces domaines spécifiques. À cet effet, les États membres pourraient prendre des mesures visant à accroître la contribution de leurs services de renseignement nationaux à la cellule de fusion contre les menaces hybrides ainsi qu’à renforcer encore la capacité à fournir et à traiter des informations urgentes du réseau de points de contact nationaux de cette cellule. Les États membres pourraient aussi examiner si leurs services de renseignement nationaux pourraient communiquer davantage d’informations au centre de situation et du renseignement de l’UE (INTCEN), de façon à permettre une analyse plus approfondie des risques potentiels.

3.2.Renforcement des actions de lutte contre les risques chimiques, biologiques, radiologiques et nucléaires

Le plan d’action visant à améliorer la préparation aux risques en matière de sécurité chimique, biologique, radiologique et nucléaire d’octobre 2017 fournit un cadre d’action dont l’objectif est de renforcer la préparation, la résilience et la coordination au niveau de l’UE. Les nombreuses mesures préconisées visent à aider les États membres grâce à la mise en commun du savoir-faire et au développement de capacités conjointes, à l’échange des connaissances et des bonnes pratiques ainsi qu’au renforcement de la coopération opérationnelle. Les États membres et la Commission doivent coopérer pour mettre pleinement en œuvre le plan d’action dans les plus brefs délais. En outre, en s’appuyant sur les progrès déjà accomplis concernant la capacité d’analyse des lacunes et l’échange des meilleures pratiques au sein du groupe consultatif sur la sécurité dans les domaines chimique, biologique, radiologique et nucléaire, l’Union devrait prendre de nouvelles mesures pour lutter contre les menaces grandissantes et en mutation. Cela s’applique en particulier aux menaces chimiques. Comme pour les travaux visant à limiter l’accès aux précurseurs d’explosifs 22 , l’Union européenne doit prendre rapidement des mesures opérationnelles qui permettent de mieux contrôler l’accès aux matières chimiques à haut risque et d’optimiser la capacité à détecter ces matières à un stade aussi précoce que possible. Les États membres devraient également envisager la réalisation d’autres exercices d’analyse et de cartographie des lacunes à l’échelle de l’UE, par exemple en ce qui concerne les outils et les stratégies de résilience et de décontamination dans les domaines chimique, biologique, radiologique et nucléaire. Pour être mieux préparés aux attentats dans les domaines chimique biologique, radiologique et nucléaire et mieux gérer leurs conséquences, les États membres, y compris les autorités chargées de la protection civile, doivent coopérer davantage et coordonner leurs efforts. À cet égard, le mécanisme de protection civile de l’Union peut jouer un rôle clé pour renforcer la capacité collective de l’Europe en matière de préparation et de réaction aux attentats.

La coopération internationale est également un élément clé de ces travaux, et l’Union européenne peut s’appuyer sur les liens avec les centres d’excellence régionaux pour l’atténuation des risques chimiques, biologiques, radiologiques et nucléaires, tout en recherchant aussi des synergies avec l’Organisation du traité de l’Atlantique Nord et les programmes pour la prévention, la préparation et la réaction aux catastrophes naturelles et d’origine humaine dans le sud et l’est 23 .

3.3.Communication stratégique — diffusion cohérente des informations

Un défi majeur en ce qui concerne les menaces hybrides est de sensibiliser les citoyens et de leur apprendre à distinguer information et désinformation. Sur la base de l’expérience de la task force East StratCom, de la cellule de fusion contre les menaces hybrides de l’UE, du centre européen d’excellence pour la lutte contre les menaces hybrides et d’autres initiatives de la Commission 24 , la Commission et la haute représentante continueront à développer et à professionnaliser les capacités de communication stratégique de l’UE, en garantissant une interaction et une cohérence systématiques entre les structures existantes. Cette approche sera encore étendue à d’autres institutions et aux États membres de l’UE, moyennant l’utilisation notamment de la prochaine plateforme en ligne sécurisée sur la désinformation.

Il faudra améliorer la coordination et la coopération en matière de communication stratégique entre l’ensemble des institutions de l’UE, les États membres et les partenaires et organisations internationales. À cet égard, une préparation et de la pratique seront indispensables pour pouvoir réagir aux crises en temps réel.

L’expérience a prouvé que les périodes électorales constituent tout particulièrement une cible stratégique et sensible pour les cyberattaques et le contournement en ligne des sauvegardes et des règles conventionnelles («hors ligne»), comme les périodes de silence, les règles sur les financements transparents et l’égalité de traitement des candidats. Ces attaques ont porté notamment sur des infrastructures électorales et les systèmes informatiques des campagnes, ont inclus des campagnes de désinformation massive en ligne et des cyberattaques par des pays tiers, menées à des fins politiques, dans le but de discréditer et de délégitimer les élections démocratiques. Plusieurs volets d’action sont mis en œuvre à l’échelle de l’UE afin d’informer les États membres sur la façon de se préparer et de répondre à ces menaces en constante évolution. Au sein du Conseil, les autorités des États membres chargées de la cybersécurité 25 émettront des lignes directrices non contraignantes et définiront des bonnes pratiques communes pour traiter de la cybersécurité des technologies électorales pendant le cycle de vie des élections. Il s’agit notamment des systèmes d’information et des solutions TIC utilisés pour enregistrer les électeurs et les candidats, rassembler et compter les suffrages exprimés et diffuser les résultats, ainsi que les systèmes auxiliaires directement liés à la légitimité des résultats des élections.

En cas d’attaque hybride, il faut aussi pouvoir fournir rapidement au public des informations rapides, fiables et cohérentes. Les incidents de nature chimique, biologique, radiologique et nucléaire ou tout incident ayant des conséquences similaires suscitent l’indignation générale et les citoyens demandent des réponses rapides. La communication stratégique joue un rôle clé, y compris entre les organisations internationales susceptibles d’adopter séparément leur plan de réaction.

3.4.Renforcement de la résilience et de la dissuasion dans le secteur de la cybersécurité

La cybersécurité est essentielle tant pour notre sécurité que pour notre prospérité. Nous sommes de plus en plus exposés, à mesure que notre vie quotidienne et nos économies deviennent dépendantes des technologies numériques.

Des investissements et une coordination insuffisants nuisent à l’efficacité de la cybersécurité dans l’UE. L’UE cherche à remédier à ce problème en créant des capacités grâce à des mesures d’appui, une coordination renforcée et de nouvelles structures qui permettront de promouvoir la technologie et son application dans le domaine de la cybersécurité 26 . La directive sur la sécurité des réseaux et des systèmes d’information a défini un niveau minimal de sécurité 27 pour les réseaux et les systèmes d’information dans l’Union. Sa mise en œuvre pleine et entière par tous les États membres est indispensable pour améliorer la cyberrésilience et constitue une première étape essentielle. Le règlement général sur la protection des données introduit l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle compétente. Au nombre des autres mesures clés figurent une Agence de cybersécurité de l’Union européenne renforcée et modernisée ainsi qu’un cadre européen de certification pour les produits et services TIC 28 qui permettra de renforcer la confiance des consommateurs. Des travaux sur les moyens d’aider le réseau des centres de compétences, afin de stimuler le développement et le déploiement de solutions de cybersécurité et de compléter les efforts de renforcement des capacités dans ce domaine au niveau de l’UE et au niveau national sont également en cours. Ils s’appuieront sur les travaux du programme pour une Europe numérique, présenté par la Commission le 6 juin 29 , qui fait de l’investissement dans la cybersécurité une nouvelle priorité pour l’UE.

Dans le même temps, une recommandation sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (le «plan d’action» ou «blueprint») 30 définit la façon dont la coopération devrait fonctionner entre les États membres et les divers acteurs de l’UE lorsqu’ils sont confrontés à une cyberattaque transfrontières à grande échelle. Le rôle essentiel de la connaissance de la situation pour une coordination efficace sur le plan technique, opérationnel et stratégique/politique y est souligné. Le groupe de coopération institué par la directive sur la sécurité des réseaux et des systèmes d’information s’emploie également à améliorer l’échange et le partage des informations entre les parties concernées, en élaborant une taxonomie commune pour la description d’un incident. Cette approche sera testée au cours des exercices qui sont prévus. Une analyse stratégique des cybermenaces actuelles et émergentes, sur la base des contributions des services de renseignement des États membres, est fournie par la cellule de fusion contre les menaces hybrides.

Le cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance (la «boîte à outils cyberdiplomatique») représente une grande avancée sur le plan opérationnel. Il définit les mesures relevant de la politique étrangère et de sécurité commune, y compris les mesures restrictives, qui peuvent être appliquées pour renforcer la réaction de l’UE aux activités portant atteinte à ses intérêts politiques, sécuritaires et économiques. L’effet de dissuasion sera d’autant plus important que ces mesures seront pleinement utilisées par les États membres. En avril, le Conseil des affaires étrangères a adopté des conclusions sur les actes de cybermalveillance, qui condamnent fermement l’utilisation à des fins malveillantes des technologies de l’information et de la communication, y compris les attaques WannaCry et NotPetya qui ont causé des dommages et des pertes économiques considérables à l’intérieur et à l’extérieur de l’UE.

L’UE et ses États membres doivent renforcer leur capacité à attribuer l’origine des cyberattaques, notamment en améliorant l’échange de renseignements. L’attribution de l’origine dissuaderait les agresseurs potentiels d’agir et augmenterait les chances que les responsables d’attaques répondent dûment de leurs actes. Accroître l’effet dissuasif est l’un des principaux objectifs de la stratégie de la Commission pour le renforcement de la cybersécurité. Les récentes propositions de la Commission visant à améliorer la collecte transfrontières de preuves électroniques dans le cadre des procédures pénales permettraient également de renforcer sensiblement la capacité des services répressifs à mener des enquêtes et à poursuivre la cybercriminalité.

Une bonne cyberrésilience nécessite une approche collective étendue. Pour ce faire, il faut disposer de structures plus solides et plus efficaces pour promouvoir la cybersécurité et réagir aux attaques dans les États membres, y compris au sein des institutions, des agences, des délégations et dans le cadre des missions et des opérations de l’UE: l’absence d’un réseau de communication commun sécurisé entre les institutions européennes est une lacune importante. Il faudrait sensibiliser davantage les institutions de l’UE et leur personnel à la cybersécurité en améliorant la culture de la sécurité et en intensifiant la formation.

3.5.Renforcer la résilience aux activités hostiles de renseignement

La lutte contre les activités hostiles de renseignement exige avant tout une coordination renforcée et efficace entre les États membres, conformément aux règles et aux accords nationaux et de l’UE concernés. Il est toutefois impératif aussi d’augmenter la capacité des institutions de l’UE à lutter contre la menace croissante de ces activités dirigées spécifiquement contre les institutions et de créer une culture de sensibilisation à la sécurité, soutenue par une meilleure formation et une meilleure sécurité physique. Les institutions pourraient également collaborer avec les États membres afin de renforcer le système d’accréditation de l’UE. Ce système reposerait sur la déclaration proactive et permettrait de que les États membres et les institutions soient mieux informés sur les acteurs hostiles potentiels, notamment ceux qui ont déjà été identifiés par les États membres.

La coordination entre les États membres et entre les États membres et d’autres organisations internationales concernées, en particulier l’Organisation du traité de l’Atlantique Nord, devrait permettre de mobiliser le contre-espionnage contre les activités malveillantes dans l’UE. Un exemple de domaine qui tirerait avantage d’une coordination accrue entre les États membres est le filtrage des investissements, sur la base d’un règlement 31 proposé par la Commission en septembre 2017 sur le filtrage des investissements étrangers directs, par les États membres, pour des raisons de sécurité ou d’ordre public. De même, une plus grande coordination entre les États membres serait utile pour le contrôle des opérations financières, étant donné que les services de renseignement hostiles financent de plus en plus leurs activités contre l’Union européenne au moyen de mécanismes financiers sophistiqués.

4.Conclusion

Les menaces hybrides et les menaces chimiques, biologiques, radiologiques et nucléaires font partie des préoccupations majeures de l’Union européenne. L’incident du mois de mars au Royaume-Uni a montré les multiples facettes de la guerre hybride et la nécessité particulière de développer une résilience aux menaces chimiques, biologiques, radiologiques et nucléaires.

La Commission et la haute représentante ont adopté et proposé un certain nombre d’initiatives visant à relever les défis liés aux menaces hybrides. La Commission accélère par ailleurs la mise en œuvre du plan d’ac de 2017 visant à améliorer la préparation aux risques en matière de sécurité chimique, biologique, radiologique et nucléaire.

La présente communication conjointe vise à informer le Conseil européen des travaux déjà engagés et à identifier les domaines dans lesquels les mesures doivent être intensifiées en vue d’approfondir et de renforcer le rôle essentiel de l’UE dans la lutte contre ces menaces. Il appartient à présent aux États membres, à la Commission et à la haute représentante de prendre rapidement des mesures de suivi.

(1) En ce qui concerne l’attaque de Salisbury, le Conseil européen a souscrit, le 22 mars 2018, à l'analyse du gouvernement du Royaume-Uni selon laquelle «il est hautement probable que la Fédération de Russie soit responsable de cet acte et [...] il n'existe pas d'autre explication plausible».

(2) Conclusions du Conseil européen de mars 2018.

(3) Y compris le Conseil de sécurité des Nations unies, résolution S/RES/2325 (2016) du 14 décembre 2016.

(4) La lutte contre les menaces hybrides est l’un des sept domaines de coopération avec l’Organisation du traité de l’Atlantique Nord, présentés dans la déclaration commune signée à Varsovie en juillet 2016 par le président du Conseil européen, le président de la Commission européenne et le secrétaire général de l’Organisation du traité de l’Atlantique Nord.

(5) Le G7, réuni en sommet à Charlevoix en juin 2018, est en outre convenu de mettre en place un mécanisme de réaction rapide pour faire face aux menaces pesant sur les démocraties. https://g7.gc.ca/en/official-documents/charlevoix-commitment-defending-democracy-from-foreign-threats/

(6) Quinzième rapport sur les progrès accomplis dans la mise en place d’une union de la sécurité réelle et effective [COM(2018) 470].

(7) COM(2017) 610 final.

(8) Rapport conjoint sur la mise en œuvre du cadre commun en matière de lutte contre les menaces hybrides (juillet 2017-juillet 2018), [JOIN(2018) 14].

(9) JOIN(2016) 18 final.

(10) Voir www.euvsdisinfo.eu

(11) Sur les seize membres actuels, quatorze sont des États membres de l’UE: la République tchèque, le Danemark, l’Estonie, la Finlande, la France, l’Italie, l’Allemagne, la Lettonie, la Lituanie, les Pays-Bas, la Pologne, l’Espagne, la Suède, le Royaume-Uni. Le centre d’excellence a été créé à l’initiative du cadre commun en matière de lutte contre les menaces hybrides. Le centre a également été soutenu activement par l’Union européenne et l’Organisation du traité de l’Atlantique Nord dans le cadre de leur coopération.

(12) Concernant le premier rapport de mise en œuvre (juillet 2017): JOIN(2017) 30 final.

(13) JOIN(2017) 450 final.

(14) COM (2017) 477 final, voir ci-après.

(15) COM (2018) 236 final.

(16) COM(2017) 610 final.

(17) Rapport 2010 d'Europol sur la situation et les tendances du terrorisme en Europe (TE-SAT) 2017, p. 16, disponible à l'adresse: www.europol.europa.eu/sites/default/files/documents/tesat2017.pdf. Voir également les déclarations du directeur général de l’OIAC: www.globaltimes.cn/content/1044644.shtml.

(18) La déclaration signée par le président Juncker, le président Tusk et le secrétaire général de l’OTAN, M. Stoltenberg, constitue la base légale actuelle de la coopération entre l’UE et l’OTAN.

(19) 15283/16 et 14802/17.

(20) SDW(2016) 227 final.

(21) Dans le cadre des travaux de l’union de la sécurité visant à restreindre le périmètre d’action des terroristes et des criminels, la Commission a pris des mesures strictes pour réduire l’accès aux précurseurs d’explosifs susceptibles d’être détournés pour la fabrication d’explosifs artisanaux. En octobre 2017, la Commission a présenté une recommandation définissant des actions immédiates visant à prévenir le détournement de précurseurs d’explosifs en se fondant sur les règles existantes [C(2017) 6950 final]. Sur cette base, la Commission a adopté, en avril 2018, une proposition visant à réviser et à renforcer le règlement no 98/2013 sur la commercialisation et l’utilisation de précurseurs d’explosifs [COM(2018) 209 final].

(22) Dans les pays du voisinage oriental et méridional, une formation et des exercices dans le domaine de la protection civile sont organisés au titre des programmes régionaux pour la prévention, la préparation et la réaction aux catastrophes naturelles et d’origine humaine.

(23) Les représentations de la Commission, par exemple, sont également actives dans le domaine de la vérification des faits et de la démystification. Certaines ont mis en place des outils adaptés au niveau local comme Les Décodeurs de l'Europe en France, UE Vero Falso en Italie, un concours de dessins animés sur le thème des dissipeurs de mythes sur l’UE, en Autriche, une série de dessins animés similaires en Roumanie et Euromyths A-Z de la représentation du Royaume-Uni. D’autres projets de ce type sont en préparation.

(24) Sous les auspices du groupe de coopération institué en vertu de la directive relative à la sécurité des réseaux et des systèmes d’information.

(25) Dans le cadre du renforcement de l’innovation dans les régions d’Europe, une nouvelle action pilote interrégionale regroupant des régions de l’UE afin d’intensifier les travaux en matière de cybersécurité a été lancée en décembre 2017.

(26) Directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

(27) COM(2017) 477 final.

(28) Proposition de règlement établissant le programme pour une Europe numérique pour la période 2021-2027 COM(2018) 434].

(29) C(2017) 6100.

(30)

Proposition de règlement du parlement européen et du conseil établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union européenne [COM(2017) 487].