L’Allemagne dévoile une stratégie de « cyberdéfense active » face à la multiplication des attaques contre les infrastructures critiques
L’Allemagne s’apprête à introduire un cadre de « cyberdéfense active » qui accorderait à ses agences de sécurité des pouvoirs élargis pour répondre aux cyberattaques visant les infrastructures critiques et les neutraliser, rejoignant ainsi une liste croissante d’États européens qui recalibrent leur posture de sécurité numérique face à un paysage de menaces en constante dégradation.
L’annonce, faite par de hauts responsables à Berlin, intervient dans un contexte de hausse marquée du volume et de la gravité des incidents cyber affectant les institutions gouvernementales allemandes, les services municipaux, les établissements de santé, les opérateurs énergétiques et les institutions financières. Bien que l’attribution individuelle demeure difficile, les services de renseignement allemands ont publiquement établi un lien entre une part significative de ces incidents et des acteurs étatiques ainsi que des réseaux criminels bien financés opérant hors de portée de la juridiction allemande.
La cyberdéfense active est un concept contesté. Dans ses interprétations les plus prudentes, elle englobe la surveillance proactive, la traque des menaces et la perturbation des infrastructures de commandement et de contrôle au sein des réseaux du défenseur lui-même. Dans des interprétations plus larges, elle peut s’étendre à des actions contrôlées contre les serveurs utilisés par les attaquants, soulevant des questions délicates concernant le droit international, la souveraineté et le risque d’escalade.
Les législateurs allemands débattent depuis des années de l’opportunité d’autoriser les opérations dites de « riposte informatique ». Le nouveau cadre esquissé semble tracer une voie médiane, en se concentrant sur la capacité des agences fédérales à perturber les attaques en cours à leur source, tout en renforçant la supervision et l’ancrage juridique de telles opérations. Les détails seront précisés dans une législation qui devrait être présentée dans les prochains mois.
La communauté de la cybersécurité a réagi avec un intérêt mesuré. Les associations professionnelles se félicitent de la reconnaissance de l’ampleur du problème et de la perspective de règles d’engagement plus claires, tout en insistant pour que les mesures opérationnelles s’inscrivent dans une stratégie plus large privilégiant le renforcement des infrastructures critiques, la déclaration obligatoire des incidents et le déploiement de normes cryptographiques européennes.
La société civile et les organisations de défense des droits numériques ont exprimé leurs inquiétudes quant au fait que, sans garde-fous appropriés, une posture plus agressive pourrait porter atteinte aux droits fondamentaux, éroder la confiance entre les autorités et les citoyens, et compliquer la position des chercheurs en sécurité indépendants. Des appels ont été lancés en faveur d’un contrôle indépendant ex ante des opérations et d’un reporting transparent sur leur efficacité.
L’initiative allemande sera suivie de près dans l’ensemble de l’Union. Plusieurs États membres, dont la France, les Pays-Bas et l’Estonie, ont déjà développé des doctrines de cyberdéfense active plus ou moins explicites. Une approche européenne coordonnée, potentiellement ancrée dans la directive NIS2 et dans les travaux de l’Agence de l’Union européenne pour la cybersécurité, est jusqu’à présent restée insaisissable, mais la pression en faveur d’une plus grande harmonisation s’intensifie.
