À l’approche des élections européennes, l‘UE s’inquiète de potentielles campagnes de désinformation et de cyberattaques. NTT Security, branche et centre d’excellence en sécurité du groupe NTT, recommande quatre mesures visant à minimiser le risque de manipulation des élections.
Dans un rapport récent, l'Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA) indique que des acteurs, étatiques ou non, pourraient tenter d'influencer les élections européennes de 2019 avec des attaques ciblées de piratage et des campagnes de désinformation. Les nombreux événements de ces dernières années, à l’image des cyberattaques en amont des élections américaines de 2017 ou au moment des élections françaises en 2018, illustrent bien ce risque. Les menaces ne sont pas seulement d'ordre technique, elles ciblent également des faiblesses organisationnelles. NTT Security présente quatre mesures visant à sécuriser les élections européennes :
1. Harmoniser les mesures au niveau européen
L'organisation et la conduite des élections européennes relevant de différents Etats membres, il n'existe pas de mesures de sécurité uniformes. En septembre 2018, les députés européens ont adopté le règlement européen sur la cybersécurité, qui renforce le rôle et les pouvoirs de l’ENISA et instaure un dispositif commun de certification en matière de cybersécurité pour les produits, les processus et les services. Dans un premier temps néanmoins, son application repose sur une démarche volontaire de la part des acteurs concernés. Or le monde numérique ne connaissant pas de frontières, il est essentiel de pouvoir s’appuyer sur un raisonnement juridique aussi uniforme que possible et sur des normes de sécurité comparables et applicables au niveau international pour se prémunir contre les cyberattaques et les campagnes de désinformation.
2. Sensibiliser pour lutter contre les campagnes de désinformation
Selon la dernière enquête Eurobaromètre publiée par la Commission européenne, 83% des citoyens européens s’inquiètent de la désinformation ciblée en ligne, indiquant que ce phénomène représente un danger pour la démocratie. Le recours aux fausses informations pour influencer l’opinion publique est une pratique courante. Sur Internet, les campagnes diffusent ces fausses informations via les réseaux sociaux, tandis que les campagnes de piratage informatique vont par exemple viser à publier les e-mails de politiciens afin de les discréditer.
3. Choisir les fournisseurs avec soin et protéger les outils de communication
Quel que soit le pays, l’infrastructure électorale devrait être considérée comme une infrastructure critique et protégée en tant que telle, à l’aide de technologies de pointe. Il est nécessaire d’arriver à un standard pour qu’ensuite, des guides techniques et recueils de bonnes pratiques avec des recommandations concrètes puissent aider les administrations à mettre en œuvre des mesures de sécurité. Cela signifie aussi que les administrations devraient créer un système de gestion de la sécurité de l'information qui définit, gère et améliore constamment la sécurité des données qui y transitent.
Lorsqu’elles sélectionnent de nouveaux fournisseurs, les administrations devraient également commencer par s’assurer que ceux-ci disposent de normes de sécurité adaptées. Le matériel et les logiciels développés selon le principe de « security by design », à savoir l’intégration de la sécurité dès la phase de conception, offrent un plus haut niveau de protection contre les manipulations. Grâce à des mesures de sécurité comme le chiffrement des communications, il est possible de réduire le risque que les échanges des politiciens soient la cible de campagnes malveillantes destinées à influencer les élections.
4. Investir dans la formation et effectuer des tests de vulnérabilité
La protection technique de l’infrastructure réseau n’est pas suffisante. Employés, politiciens et utilisateurs ont besoin de formations régulières concernant les mesures de sécurité, l’utilisation des technologies et des réseaux sociaux. Ces démarches de sensibilisation peuvent se faire sous forme de formations de base (formation personnelle, modules d’apprentissage en ligne), de micro-formations ou en assistant à des événements autour de la sécurité. L’organisation de tests de sécurité récurrents, qui prennent en compte les aspects techniques aussi bien qu’humains, permettent d’identifier et de combler les lacunes en matière de sécurité. Les Etats membres, grâce à un échange continu d’expériences, seront mieux à même de coordonner leurs mesures préventives, ainsi que leurs procédures en cas d’attaques.
« L’Estonie offre un bon exemple d’approche face aux cybermenaces à l'approche des élections. Le pays est considéré comme pionnier dans ce domaine », explique Charles Bovy, Director MSS PreSales EMEA & Regional Lead Benelux. « Après les cyberattaques massives de 2007, qui ont fait de nombreuses victimes dont des banques, des sites gouvernementaux et des médias, l’Estonie a réalisé d’importants investissements dans le domaine de la cybersécurité, a rendu public le code source de son système de vote électronique et ses protocoles, et utilise le chiffrement des bulletins de vote. Les Etats membres de l'UE devraient s'en inspirer. »