Plusieurs sources européennes ont confirmé à EUROPE la préparation d’un régime de sanctions liées aux activités malveillantes cybernétiques.
« Les groupes de travail compétents du Conseil examinent actuellement un régime de sanctions thématiques visant à réagir aux cyberactivités malveillantes et à les décourager. Nous progressons très bien dans la définition du nouveau régime au niveau de l'UE », a expliqué à EUROPE une source de la Présidence roumaine du Conseil de l’UE, précisant que l’objectif était d’avoir ce régime adopté sous cette présidence.
« Il y a eu plusieurs échanges sur le fond en groupe de travail ‘cyber’ [le 8 février, NDLR], où il y a un accord politique global sur le principe et les caractéristiques générales du futur régime », a révélé un diplomate à EUROPE.
Ce régime pourrait concerner des activités de vol de fonds par le biais d’un système d’information, de vol de données ou d’atteinte importante à la protection de données au moyen d'un système d'information ou encore des activités cybernétiques qui affectent le système d'information lié aux infrastructures critiques, aux services essentiels de l’État ou à des informations classifiées.
Si les principaux éléments politiques ont été agréés, il faut désormais les traduire dans des actes juridiques. Il a ainsi été demandé au Service européen pour l’action extérieure de présenter un premier projet d’acte juridique. Ce régime devrait initialement prendre la forme d’un cadre juridique vide.
Mais le travail s’annonce complexe, car il est nécessaire que le cadre soit solide juridiquement et qu'il soit précis. En effet, selon une source européenne, les tentatives préjudiciables seraient également incluses dans le champ d'application, et non pas uniquement les cyberattaques réussies, et cela pose de nombreuses questions, notamment sur la façon de mesurer les dégâts potentiels qu’aurait pu créer la cyberattaque.
Selon le diplomate, « il y aura un examen de la proposition, en groupe de travail ‘relex’ d’ici trois semaines ». « Les discussions devraient prendre plusieurs semaines », a-t-il ajouté.
Dans des conclusions du 18 octobre 2018, le Conseil européen avait demandé aux ministres de « travailler à l'élaboration d'un régime de sanctions qui sera spécifique aux cyberattaques » (EUROPE 12120). (Camille-Cerise Gessant)