Cyber-Resilience Act · L’impuissance numérique européenne, une fois de plus

Cyrille Dalmont, directeur de recherche à l’Institut Thomas More

21 septembre 2022 • Opinion •


Cyrille Dalmont, directeur de recherche à l’Institut Thomas More et auteur du rapport L’impossible souveraineté numérique européenne : analyse et contre-propositions, examine les contours du futur Cyber-Resilience Act, présenté par la Commission européenne. Un nouveau coup d’épée dans l’eau. Explications…


Après le Digital Service Act (DSA), le Digital Market Act (DMA), le Data Gouvernance Act (DGA), la Commission européenne vient d’annoncer ce 15 septembre la présentation au Conseil et au Parlement européen de son futur Cyber-Resilience Act (CRA) visant à « renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels ».

Remèdes pires que les dangers

Dans un contexte de tensions géopolitiques et géoéconomiques croissantes, les inquiétudes de la Commission européenne en matière de cybersécurité sur le continent paraîtront à la fois légitimes et bienvenues à tout observateur de bonne foi. Las, la vision et la méthode dans lesquelles s’enferre la Commission constituent des remèdes pires que les dangers qu’ils prétendent combattre. En effet, depuis le traité de Maastricht, l’ensemble du droit européen de la concurrence repose sur l’idée que les objectifs fondamentaux de l’Union consistent à garantir le bon fonctionnement du marché intérieur au prix le plus avantageux pour le consommateur. Cette vision d’une concurrence « pure et parfaite », qui pouvait s’entendre dans un marché intérieur fermé entre entreprises européennes performantes il y a quelques décennies est devenu une machine à laminer les industries européennes avec la création de l’OMC, la mondialisation et l’ouverture du marché européen aux quatre vents.

Le Cyber-Resilience Act s’inscrit pleinement dans cette vision dépassée de l’économie mondiale mais entérine également l’effondrement de l’écosystème numérique européen. Les déclarations du Commissaire européen au marché intérieur Thierry Breton sont éloquentes à cet égard : « en matière de sécurité, la résistance de l’Europe est déterminée par celle de son maillon le plus faible : il peut s’agir d’un État membre vulnérable ou d’un produit non sécurisé dans la chaîne d’approvisionnement […]. En introduisant la cybersécurité dès la conception, l’acte législatif sur la cyber-résilience contribuera à protéger l’économie européenne et la sécurité de tous ».

Impossibilité systémique de construire des géants européens

Au-delà de l’inversion significative du réel consistant à qualifier les États membres de « maillons faibles » alors qu’ils sont les titulaires de la souveraineté et des compétences en cause (puisque l’Union européenne ne possède que des compétences déléguées… comme toute organisation internationale), Thierry Breton identifie les produits non sécurisés dans la source d’approvisionnement comme un risque majeur pour la cybersécurité en Europe. Ce point doit nous alerter ! Si le Commissaire parle de « chaîne d’approvisionnement » et non de « chaîne de production », ce n’est pas un hasard.

Les revers accumulés par les entreprises européennes et l’impossibilité systémique de construire des géants européens du numérique (en raison de la philosophie même du droit européen de la concurrence, nous l’avons dit) font que la production d’objets connectés, d’ordinateurs, de tablettes, de smartphones ou de systèmes d’exploitation battant pavillon européen est epsilonesque sur le marché mondial…

Internet of Things

Si la pénurie mondiale de composants électroniques risque de le tendre fortement dans les mois qui viennent, il n’en demeure pas moins que le marché des objets connectés (Internet of Things, IoT) représente plus de douze milliards d’objets en circulation aujourd’hui et a connu une croissance de 22% à l’échelle mondiale l’an dernier. Il s’agit d’un marché en pleine expansion, que l’intégration d’intelligences artificielles spécialisées (visant à réduire les cycles de décisions machines entre la collecte d’informations et leur traitement et le déclenchement d’une action machine, notamment dans les domaines industriels, de la santé ou de la défense) va encore dynamiser. Ce marché est dominé par les États-Unis, la Corée du sud, la Chine et l’Inde. Les entreprises européennes en sont soit absentes, soit des micros-acteurs.

Si l’on se tourne vers le marché des systèmes d’exploitation, en 2021, les systèmes d’exploitation des ordinateurs personnels sont détenus à 73,6% par Microsoft (Windows) et 13,7% par Apple (OS X) et 2,4% pour Linux. Quant aux smartphones, les systèmes d’exploitation Android monopolisent le marché avec 71,9% de parts de marché, suivis par iOS (Apple) avec 27,33%. Linux quant à lui ne représente que 0,02% de parts de marché. Aucun Européen à l’horizon… Et pas davantage sur le marché des semi-conducteurs : aucune entreprise européenne parmi les dix premières entreprises mondiales qui représentent 55,86% du marché mondial. Idem en ce qui concerne les clouds et les data center : la part de marché des entreprises européennes ne cesse de décroître et se situe désormais en dessous des 15%. OVHcloud, le principal acteur français du secteur, estime que la situation est tellement catastrophique que 80% des données des Européens sont aujourd’hui stockées chez les hyperscalers américains.

Ces nouvelles dispositions ne changeront rien

Le Cyber-Resilience Act comme les précédents règlements de la Commission entérine cette réalité et prétend agir sur les acteurs par la norme. Rien de plus. Mais, même cela, elle le fait mal… ou bien mollement. Car ce que propose le CRA est seulement une autoévaluation par les entreprises elles-mêmes consistant en une déclaration préalable des faiblesses de leurs produits (90% des produits) et en une évaluation par un tiers (organisme de certification) pour les 10% de produits considérés comme critiques. A cela s’ajoutent l’engagement des entreprises à fournir les mises à jour de sécurités et les patchs pendant cinq ans (ou pour la durée de vie du produit si elle est inférieure) et l’obligation de prévenir la Commission en cas de failles de sécurité découvertes dans leurs produits et leurs systèmes.

Comme nous l’avons dénoncées dans ces colonnes à plusieurs occasions, il est bien évident que ces nouvelles dispositions ne changeront rien à la situation d’ultra-dépense numérique de l’Europe aux grands acteurs mondiaux, américains et chinois en premier lieu. Mais pire, elles feront peser sur les entreprises européennes la quasi-totalité de ces nouvelles contraintes. En effet, les marques de commercialisations éphémères de produits asiatiques, qui n’existent que le temps de remplir les formulaires européens et disparaissent une fois leurs containers vendus, ne seront en rien impactées. Leurs produits, eux, chargés de multiples failles de sécurités, resteront en circulation. Quant aux géants américains (GAFAM) et asiatiques (BATX) qui dominent les marchés technologiques et produisent des équipements que l’Europe ne produit pas et ne maîtrise plus, ils se feront un plaisir de répondre à des normes qui vont un peu plus conforter leur domination sur le marché européen et empêcher l’émergence de nouveaux acteurs dans ce domaine.

Le problème européen

Une nouvelle fois, le champ numérique révèle la nature profonde de l’Union européenne, qui n’est ni un État, ni un empire et encore moins une puissance, mais une organisation internationale qui ne conçoit les relations internationales qu’au travers de la production de normes et la création de nouvelles autorités administratives pour les contrôler. Ce phénomène s’observe dans toutes les organisations internationales dont la plus prestigieuse, l’ONU, croule sous les normes et les commissions jusqu’à l’impuissance.

Alors que le numérique se révèle chaque jour un peu plus l’un des champs de bataille de la compétition géopolitique et géoéconomique que se livrent les grandes puissances du monde, cette manière de voir, normative et impolitique, nous condamne à la domination. Les États membres de l’Union devraient, de manières urgente, poser les actes de souveraineté nécessaires à garantir la sécurité de leurs peuples et la cybersécurité de leurs infrastructures critiques…