Intervention de Margiris Abukevicius

Merci beaucoup pour ces propos liminaires sympathiques. C'est un grand privilège d'être présent parmi vous au sein de l'Assemblée nationale et de vous faire part de notre point de vue sur la thématique de la cybersécurité. Nous venons récemment d'assister à une conférence dédiée à ce sujet, et je suis convaincu que vos travaux pourront bénéficier des différents points de vue exprimés par les autres pays de l'Union européenne.

Je commencerai par rappeler quelques définitions afin de répondre à votre première question relative à notre conception de la souveraineté numérique. De notre point de vue, trois éléments sont à prendre en compte pour répondre clairement à cette interrogation.

D'abord, quels sont les enjeux et de quoi parlons-nous ? Ici, le plus important est de bien comprendre les technologies dans le contexte de l'économie, de la concurrence, de la politique, mais aussi et surtout de la sécurité nationale. En effet, l'accès aux nouvelles technologies façonnera notre avenir et déterminera non seulement les avantages en termes technologiques, mais également le pouvoir économique et politique, ainsi que les structures de puissance au niveau mondial. Ce premier élément permet déjà de répondre partiellement à cette question relative à la souveraineté numérique.

Ensuite, quels sont les acteurs principaux ? Ici, il est essentiel d'identifier clairement les interactions entre les différents acteurs impliqués, notamment au niveau européen. Aujourd'hui, la Chine est clairement le premier acteur et la première puissance remettant en question le statu quo et les structures de puissance et de pouvoir. C'est vrai dans le domaine technologique, mais également de manière plus générale, puisque la Chine et l'Occident se font concurrence jusque dans leurs systèmes politico-économiques. Pour le sujet qui nous intéresse aujourd'hui, nous devons évoquer la technosphère chinoise, qui se développe de manière très active, ainsi que la technosphère occidentale, à laquelle nous appartenons en tant qu'Européens.

J'en profite d'ailleurs pour expliquer ce que j'entends par Occident ou monde démocratique, même s'il est sans doute plus risqué de m'exprimer à ce sujet devant l'Assemblée nationale que dans le cadre d'une conférence moins formelle. Lorsque je fais référence à l'Occident, je pense bien entendu et avant tout aux États-Unis. La Chine et les États-Unis sont deux pôles de compétition technologique. De mon point de vue, l'Union européenne n'a d'autres choix que de travailler étroitement avec les Américains. Des voix s'élèvent parfois pour promouvoir une relation triangulaire entre les États-Unis, l'Europe et la Chine, mais cette stratégie me paraît plutôt risquée. La coopération avec les Américains paraît au contraire la seule option viable pour que l'Europe soit considérée comme un acteur crédible capable de peser globalement. En tout état de cause, le Parlement est probablement l'endroit idoine pour discuter de la manière dont nous pourrions garantir cette coopération entre Américains et Européens en matière de technologies. Dans cette perspective, l'initiative visant à instituer un conseil du commerce et de la technologie entre Européens et Américains – et qui est au cœur des préparatifs du prochain sommet de l'OTAN – semble particulièrement pertinente. Les détails de sa mise en œuvre restent encore à régler, mais le message politique envoyé par la création de cette instance me semble tout à fait clair et très important.

Enfin, nous devons nécessairement nous interroger sur la manière de procéder pour sécuriser notre accès aux technologies et préserver le statu quo. Plusieurs éléments sont à prendre en compte. En premier lieu, il est primordial de faire évoluer nos mentalités, et c'est sans doute le message le plus important que je m'efforce de promouvoir. La Chine a jusqu'ici fortement tiré parti de sa coopération étroite avec les États-Unis, et nous devons nous en accommoder. En revanche, je suis convaincu que davantage de coopération avec Pékin ne peut qu'être contreproductif pour l'Union européenne. Il est donc crucial que ce changement d'état d'esprit survienne dans les plus brefs délais.

Deuxièmement, nous devons avoir conscience de la dépendance de nos chaînes d'approvisionnement. Dans différents secteurs, et pas uniquement dans le domaine technologique, nos chaînes d'approvisionnement sont extrêmement dépendantes de la Chine, ce qui est facteur de risques économiques et sécuritaires. D'ailleurs, en matière de sécurité, plusieurs aspects sont à prendre en compte, notamment en termes de sécurité nationale. Lorsque l'on analyse l'environnement légal et juridique en Chine, on constate que les entreprises technologiques sont contraintes de coopérer avec le régime communiste. En parallèle, un certain nombre d'activités malveillantes ont pu être clairement imputées à la Chine, comme le vol d'adresses IP ou diverses opérations d'espionnage. La volonté de nuire est donc bien réelle. Ainsi, à mesure que notre dépendance vis-à-vis des technologies s'accroîtra, les cibles potentielles d'attaques seront de plus en plus nombreuses.

Nous devons également discuter des menaces très concrètes de cybersécurité auxquelles nous sommes exposés. À cet égard, je me permettrai d'évoquer plusieurs rapports et analyses de sécurité produits par notre centre national de cybersécurité. Je pourrai d'ailleurs vous en laisser quelques exemplaires si vous souhaitez en apprendre davantage. L'année dernière, nos experts ont conduit une analyse de sécurité sur les caméras fabriquées en Chine. Cette année, ils publieront un autre rapport sur les téléphones fabriqués en Chine. Ces équipements sont source de multiples menaces en termes de cybersécurité. Il est par exemple possible d'intercepter le contenu des caméras, mais aussi de capter, utiliser et diffuser des informations sensibles stockées dans les téléphones, à partir de messages cryptés et d'applications intégrées dans les terminaux téléphoniques. Ces problématiques de cybersécurité associées et intégrées aux technologies sont donc parfaitement identifiées.

Au-delà du changement de mentalité nécessaire pour sécuriser l'accès aux technologies, nous devons également protéger les infrastructures critiques. Nous avons multiplié les échanges autour de la 5G et de la manière de garantir l'implication de fabrications et de fournisseurs de confiance dans la construction de nos réseaux. En Lituanie, le Parlement a récemment adopté une loi sur les communications électroniques, qui introduit des critères très précis pour identifier ces fabricants de confiance, que nous définissons comme des entreprises provenant des États membres de l'OTAN, de l'Union européenne ou de l'Organisation de coopération et de développement économique (OCDE). Ce genre d'initiative mériterait d'être reproduit dans d'autres domaines critiques, par exemple dans le secteur de l'énergie, marqué par une forte dépendance à l'égard des produits chinois pour ce qui relève de l'énergie solaire, mais aussi dans le secteur des transports et des villes intelligentes. À l'avenir, nos vies seront extrêmement dépendantes de ces technologies. Il est donc primordial de protéger ces infrastructures.

Pour en revenir à l'exemple lituanien, j'évoquerai deux manières de protéger ces infrastructures critiques. D'abord, nous avons mis en place un solide mécanisme de sélection dans le cas des investissements et des marchés publics. Néanmoins, dans la mesure où cet outil s'avère insuffisant pour protéger efficacement nos infrastructures, nous avons commencé à travailler sur une législation dédiée. Tout comme pour la 5G, nous introduirons un critère de sécurité nationale dans l'ensemble des marchés publics de construction des infrastructures critiques, qui seront réservés non seulement aux entreprises des pays membres de l'OTAN, de l'Union européenne et de l'OCDE, mais plus largement aux entreprises des pays partageant nos valeurs et principes démocratiques, avec qui nous collaborerons pour construire ces infrastructures.

Enfin, pour garantir cette protection et cet accès aux technologies, il me paraît essentiel de raccourcir, d'occidentaliser et d'européaniser nos chaînes d'approvisionnement, afin de nous prémunir des risques que nous venons d'évoquer.

Sur le plan politique, nous savons que l'Europe investira de manière significative et collective dans la transformation numérique et dans la transition énergétique. Logiquement, ces fonds devront naturellement bénéficier aux entreprises européennes. Cela dit, il est encore plus primordial que la Chine et les entreprises chinoises n'en bénéficient pas, étant entendu qu'elles en sont aujourd'hui bénéficiaires. Le changement de mentalités que nous appelons de nos vœux doit donc parallèlement s'accompagner de nouveaux paradigmes politiques.

Comme vous l'avez compris au travers de cette réponse relativement longue à votre question initiale, notre conception de la souveraineté numérique repose avant tout sur le primat de la coopération transatlantique. Nous privilégions les alliances technologiques occidentales, et non la souveraineté technologique de l'Europe.

Votre seconde question portait sur la coopération en matière de cyberdéfense. Il s'agit également d'un sujet extrêmement vaste, notamment si on pense à la coopération européenne, qui vous intéresse plus particulièrement. En l'occurrence, la Lituanie est l'un des pays les plus ouverts à la coopération internationale en matière de cybersécurité. Dans ce domaine, j'évoquerai une initiative concrète que nous avons promue depuis près de deux ans.

En tant que pays européens, nous avons tous pris l'habitude d'échanger des informations de cybersécurité avec l'Union européenne et avons constitué des réseaux dédiés. Dans le même temps, de nombreux pays ont tendance à vouloir apporter des réponses nationales en matière de gestion des incidents de cybersécurité. Il n'est ainsi pas rare d'entendre des dirigeants français affirmer que ce sujet relève de prérogatives nationales. Pour notre part, nous considérons nécessaire de dépasser cette approche. Les investissements dans les capacités nationales sont évidemment nécessaires, mais cette stratégie plutôt facile à envisager pour les grands pays s'avère difficile à mettre en œuvre pour les petits États, dont les capacités nationales ne sont pas suffisantes pour faire face aux risques de cybersécurité.

Dans cette logique, nous avons piloté la création d'équipes d'intervention rapide en matière de cybersécurité (Cyber Rapid Response Teams) au niveau européen. Dans le format de l'Union européenne, la mise en place d'équipes opérationnelles à l'échelle communautaire s'avère toujours difficile et sensible. Malgré tout, nous sommes parvenus à trouver un compromis avec un certain nombre d'États membres à même de prendre des décisions, avec qui nous avons élaboré des capacités de réponse utilisables dans différents scénarios. Si nous sommes évidemment prêts à appuyer les institutions communautaires et les pays partenaires contribuant à cette initiative, nous sommes également disposés à assister d'autres États membres de l'Union européenne qui n'y sont pas associés.

Les deux dernières années ont été marquées par de véritables avancées pour ces équipes. Nous avons récemment conduit un exercice de déploiement en différents endroits pour aider à la résolution d'incidents de cybersécurité affectant plusieurs ambassades. En outre, et malgré le contexte pandémique Covid-19, nous avons élaboré des procédures logistiques permettant à ces équipes de gérer efficacement des incidents de cybersécurité. Enfin, nous avons mené plusieurs exercices de certification qui nous permettront de mettre en place des capacités d'intervention pleinement opérationnelles. En résumé, retenez que nous sommes parvenus à constituer une équipe multinationale de six États membres, qui peut être utilisée et déployée dans différents scénarios.

Bien entendu, d'autres initiatives de cyberdéfense reposent sur la coopération internationale. Néanmoins, l'initiative précitée est un projet phare et un projet européen, qui trouve son origine dans le dispositif de coopération structurée permanente (Permanent Structured Cooperation, PESCO) cadrant la coopération des États membres en matière de sécurité et de défense. Il s'avère que nous avons utilisé cet outil l'an dernier, en amont de nos élections parlementaires, afin de mettre à l'épreuve la résilience de nos réseaux. Comme me l'ont confirmé mes interlocuteurs français, la sécurité des élections est également un enjeu majeur dans votre pays, notamment en perspective de l'élection présidentielle de 2022. Nous sommes donc convenus d'approfondir nos discussions et de renforcer la coopération franco-lituanienne sur le sujet, avec l'objectif de sécuriser les processus électoraux, dans lesquels les questions de cybersécurité – mais aussi de désinformation – sont de plus en plus prégnantes.

J'en arrive à votre dernière question, qui est certainement la plus complexe à traiter. Quoi que l'on mette en œuvre, les menaces de cybersécurité sont une réalité avec laquelle nous devrons composer, puisqu'elles ne disparaîtront pas. À ce titre, je pense que le facteur humain et la sensibilisation sont des enjeux critiques en matière de cybersécurité. Il ne s'agit pas seulement d'investir dans les technologies et de protéger les infrastructures. Tout ceci ne sera d'aucune utilité si le grand public et les citoyens ne sont pas sensibilisés, puisqu'ils constitueront alors un maillon faible.

Dans cette perspective, nous avons récemment présenté notre rapport annuel sur le panorama des menaces de cybersécurité en Lituanie, en sensibilisant différents groupes et communautés – mais aussi la population générale – aux cybermenaces les plus actuelles. La publicité et la visibilité offertes par ce rapport nous permettent de promouvoir et de défendre nos messages. En guise de conclusion, ce rapport montre que les incidents de cybersécurité doivent être considérés comme une menace pérenne. Ceux-ci ont progressé de 25 % par rapport à l'an dernier, en lien avec l'utilisation accrue des infrastructures numériques dans le contexte de Covid-19 et de confinement. Nous avons également observé une corrélation avec l'actualité politique, et notamment avec nos dernières élections législatives, durant lesquelles nous avons connu un pic d'incidents de cybersécurité. À cet égard, il est toujours intéressant d'observer le pourcentage d'incidents ciblant les institutions étatiques, les secteurs critiques et la population générale. Selon nos analyses, 10 % des incidents enregistrés ciblaient les institutions étatiques et les secteurs critiques. Par ailleurs, lorsque l'on cherche à savoir qui se cache derrière ces incidents, la réponse est très claire dans notre cas : il s'agit de la Russie. L'État russe sponsorise les cybermenaces, ce qui constitue un véritable enjeu. La Chine se veut également de plus en plus influente en Lituanie et dans la Baltique, et nous nous efforçons désormais de mettre fin à cette dépendance technologique de longue date et de nous prémunir des activités malveillantes soutenues par Pékin.