20
fév
2019
Espace Média L'Ifri dans les médias
Julien NOCETTI, chercheur au Centre Russie/NEI, propos recueillis par Jean Comte et Guénaël Pépin pour Contexte

L’UE veut protéger ses élections des fake news et des cyberattaques, mais avance en ordre dispersé

A trois mois des élections européennes, les vingt sept pays membres de l’UE craignent des tentatives de déstabilisation numérique, mais les efforts pour coordonner la riposte sont encore balbutiants, et reposent sur les autorités nationales existantes.

contexte.jpg

Entre la négociation du budget européen post-2020 et l’analyse de l’État de droit en Pologne et en Hongrie, le sujet faisait un peu figure d’intrus. Le 19 février, les ministres des Affaires européennes ont adopté des conclusions communes sur « des élections (européennes) libres et équitables ».

Le texte soutient les deux « paquets » présentés par la Commission européenne fin 2018 (sur les élections libres et équitables et sur la désinformation) et engage l’ensemble des autorités nationales et européennes à intensifier la préparation à toute « menace contre le processus électoral ».

Scandale Cambridge Analytica

Cette préoccupation a émergé courant 2018. Elle est la conséquence directe des divers scandales qui ont émaillé les derniers scrutins nationaux, de Cambridge Analytica aux MacronLeaks.

La première à s’en inquiéter a sans doute été Vera Jourova, la commissaire européenne à la Justice. En avril dernier, elle a organisé une première réunion des autorités électorales nationales. À l’époque, le sujet a rencontré un intérêt limité :

« Autour de la table, tout le monde s’est dit que j’avais une vision trop apocalyptique. Mais ces élections ne seront pas “business as usual”. »

Le réseau des autorités électorales s’est retrouvé le 21 janvier, date à laquelle la Commission a mis sur la table l’idée d’un exercice pan-européen de cybersécurité, prévu pour début avril. La prochaine réunion, fin février, doit permettre d’aborder plusieurs questions – allant de l’application de la loi électorale à la régulation des médias. Une autre doit avoir lieu en avril.

Contre la désinformation, la soft law

Dans les faits, la question recoupe deux grands enjeux : la désinformation et les cyberattaques.

Le premier sujet – multiforme et mal identifié – reste difficile à appréhender. Surtout depuis Bruxelles.

« Il existe des compréhensions nationales différentes de ce qu’est la désinformation », souligne Alina Bargaoanu, spécialiste du sujet et membre du groupe d’experts monté par la Commission européenne.

La façon de gérer le problème ne fait pas non plus consensus. La France a opté pour une loi (polémique) , mais les pays du nord de l’Europe se montrent plutôt réticents à légiférer sur le sujet. Selon une source diplomatique, les Pays-Bas ont notamment insisté durant les négociations pour que cette responsabilité soit laissée à la société civile. « Cela a causé des discussions entre experts nationaux, on s’en est sorti en renforçant la formulation sur la liberté d’expression dans les conclusions », souligne une autre source.

Entre les deux, Bruxelles privilégie pour l’instant l’approche non contraignante, avec notamment un code de conduite pour les plateformes et une task force du Service d’action extérieure (SEAE). Un « réseau d’alerte rapide » réunissant les Vingt-Sept doit aussi être opérationnel en mars.

La plupart des plateformes en ligne adaptent leurs outils de transparence et de contrôle lancés outre-Atlantique, en amont des élections américaines de mi-mandat en novembre dernier. Elles promettent notamment la transparence des publicités politiques, avec les registres publics des clients de ces réclames. Twitter a annoncé le sien le 19 février. La démarche n’est pas sans couac, Facebook ayant temporairement coupé l’accès de ses données aux chercheurs.

La Commission européenne envisage officiellement de légiférer si les résultats du code de conduite ne lui conviennent pas à la fin de l’année. En privé, une plateforme concernée s’attend à une loi, peu importe le résultat du code de conduite. Ce dernier serait en fait surtout un moyen de préparer le futur texte.

Une cybersécurité en chantier

Au-delà de la désinformation, la sécurité informatique des élections est un grand sujet d’inquiétude. Les ministres des Affaires européennes ont chargé les agences nationales de cybersécurité de protéger les élections dans chaque pays.

Ces dernières ont déjà leur guide. En juillet 2018, le groupe de coordination pour la cybersécurité (NIS) a publié un recueil de bonnes pratiques pour la protection des technologies dans les élections. Il intègre des mesures de sécurité classiques, en particulier la protection des réseaux, et d’autres spécifiques aux élections, en particulier la formation des partis.

Chaque pays coordonne donc ses acteurs.

« Nous ne réinventons pas la roue. Il y a déjà parfois des réseaux existants qui se focalisent sur le cyber, ou des task forces. On fait le lien entre ceux qui s’occupent des élections, de désinformation ou de menaces hybrides. On systématise », explique une source diplomatique européenne.

En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) nous affirme qu’il est encore « prématuré » de parler des mesures prévues. Certaines sont pourtant détaillées dans le recueil du groupe NIS. L’agence recommande surtout aux partis des mesures d’hygiène informatique classiques et a organisé deux rencontres avec des directeurs de campagne et des responsables de la sécurité en amont des élections.

En Belgique, le centre de cybersécurité et la Sûreté de l’État ont briefé les partis la semaine dernière pour qu’ils renforcent leur sécurité. Les autorités jugent la menace sur le scrutin « vraisemblable », même si chaque formation politique reste responsable de ses propres mesures.

Manque de moyens des partis

La protection des partis politiques est un point sensible.

« Ce sont des PME. Ils n’ont clairement pas les moyens de l’État ou des grandes entreprises », rappelle Matthieu Garin, du cabinet de conseil Wavestone.

En 2017, En Marche avait anticipé une fuite de ses communications internes, en créant à l’avance des emails délibérément faux, pour semer la confusion en cas de fuite. Cette tactique a contribué au doute sur le contenu des MacronLeaks, publiés le week-end avant le second tour des élections présidentielles.

« Ils avaient totalement accepté le fait que ça pouvait leur arriver. Ce sont des techniques de défense avancées qu’on voit apparaître dans les ministères et les grandes sociétés, qui n’existaient pas vraiment à l’époque. »

La Commission européenne (unité H. 2 de la DG Connect) et l’agence européenne de cybersécurité (l’Enisa) assurent la coordination des États. Elles participent notamment aux réunions du réseau des autorités nationales électorales.

Le SEAE prépare un régime de sanctions en cas de cyberattaque, en particulier lors d’élections. Le cadre, prévu avant mai, pourrait surtout être un moyen de dissuasion. Désigner le coupable d’une attaque est un choix politique très sensible. « La France n’attribue jamais les attaques, alors que l’Allemagne a plutôt l’attribution facile », rappelle Matthieu Garin.

Dans leurs conclusions adoptées le 19 février, les États veulent aussi s’assurer de la bonne application du règlement général sur la protection des données (RGPD), et ont prévu des sanctions pour les partis qui l’enfreignent à des fins électorales. La vie privée s’est greffée sur le débat, entre autres à la suite du scandale Cambridge Analytica et la collecte silencieuse de données à des fins de ciblage électoral.

Des élections qui arrivent vite

À trois mois de l’échéance, le système est donc encore en pleine préparation. Est-ce trop tard ? « En tout cas, c’est avant les élections », s’amuse une source diplomatique, sans vraie réponse. Selon nos informations, les systèmes prévus sont destinés à perdurer après l’échéance de mai, certaines hors cadre électoral.

« Ce genre de campagne se prépare assez longtemps à l’avance, et non pas du jour au lendemain », souligne Julien Nocetti, chercheur à l’Institut français des relations internationales. « On n’a pas de réponse franche de l’UE, c’est un peu éparpillé. »

« Une chaîne n’est pas plus solide que son maillon le plus faible », rappelle Vera Jourova.

Lire l'article sur le site de Contexte

Mots-clés
Cyberattaques Cybersécurité Elections Européennes Union européenne