Le Conseil a adopté, vendredi 17 mai, un cadre juridique afin d’imposer des sanctions aux responsables de cyberattaques qui menacent l’UE ou ses États membres, y compris les attaques contre des États tiers ou des organisations internationales (EUROPE 12253/20).
Ce cadre juridique - vide pour l’instant - permet d’imposer des mesures aux personnes ou entités responsables de cyberattaques ou de tentatives de cyberattaques, qui apportent un soutien financier, technique ou matériel à de telles attaques ou qui sont impliquées de toute autre manière dans celles-ci. Des sanctions peuvent également être imposées aux personnes ou entités qui leur sont associées.
Selon la décision du Conseil, les cyberattaques sont des actions non autorisées qui concernent l'accès aux systèmes d'information, les atteintes à l'intégrité d'un système d'information, les atteintes à l'intégrité des données ou l'interception de données. Elles constituent une menace pour les États membres notamment quand elles s'attaquent aux infrastructures critiques, aux services nécessaires au maintien d'activités sociales et/ou économiques critiques, les fonctions critiques des États, le stockage ou le traitement des informations classifiées ou les équipes d'intervention d'urgence mises en place par les pouvoirs publics. Les cyberattaques qui menacent l'UE sont notamment celles qui sont dirigées contre ses institutions, organes et organismes, ses délégations auprès de pays tiers ou d'organisations internationales, ses opérations et missions organisées dans le cadre de la politique de sécurité et de défense commune (PSDC) et ses représentants spéciaux.
Pour faire partie du champ d’application de ce régime, les cyberattaques doivent avoir eu un « impact significatif » et avoir eu pour origine ou avoir été menées à l’extérieur de l’UE ou avoir utilisé une infrastructure d’un pays tiers. Les mesures restrictives concernent aussi les attaques effectuées par des personnes ou entités établies ou opérant à l’extérieur de l'UE ou menées avec le soutien de personnes ou d'entités agissant à l’extérieur de l’Union.
Les tentatives de cyberattaque pourront aussi être sanctionnées si elles ont « des effets potentiels importants », selon le Conseil.
Les mesures restrictives comprennent une interdiction de visa et le gel des avoirs. Il est aussi interdit aux personnes et entités de l'UE de mettre des fonds à la disposition des personnes physiques ou entités figurant sur la liste.
Cette décision d’imposer des sanctions aux responsables de cyberattaques fait suite à la demande du Conseil européen d’octobre 2018 d’adoption d’un tel régime de mesures restrictives (EUROPE 12120/5). L’UE a aussi demandé, en avril dernier, aux pays tiers, d'agir contre les cyberattaques (EUROPE 12236/14).
Déjà, en juin 2017, le Conseil avait adopté une ‘boîte à outils de cyberdiplomatie’, un cadre pour une réponse diplomatique commune de l’UE face aux actes de cybermalveillance qui mentionnait la possibilité de prendre des sanctions (EUROPE 11811/27). (Camille-Cerise Gessant)