D. LES BALKANS OCCIDENTAUX, MAILLON FAIBLE DE LA CYBERSÉCURITÉ EUROPÉENNE
1. Des défenses sous-dimensionnées...
Le niveau de préparation des pays balkaniques face à la menace cyber est inégal, même si les cyberattaques de 2022 et 2023 ont entraîné une prise de conscience. Ainsi, au regard de la directive NIS2 :
- La Serbie a renforcé son cadre réglementaire, avec l'adoption dès 2015 d'une loi sur la cybersécurité. Elle travaille actuellement à s'aligner sur la directive NIS2.
- L'Albanie a considérablement amélioré sa cyber résilience suite aux attaques de 2022. Elle dispose aujourd'hui de moyens de formation et de capacités propres, et travaille à s'aligner sur NIS2.
- Le Monténégro est sur le point de se doter d'une loi sur la cybersécurité, et a annoncé la création d'une agence nationale de cybersécurité courant 2025.
- Le Kosovo travaille à l'élaboration d'une stratégie cyber et d'une loi afférente. Le premier directeur de l'autorité cyber a été nommé en octobre 2024.
- La Macédoine du Nord ambitionne de transposer NIS2 dans les deux prochaines années.
- La Bosnie-Herzégovine apparaît la moins avancée (absence de stratégie nationale, peu de capacités techniques, absence de CSIRT national, pas de projet de loi visant à s'aligner sur la directiveNIS2...). Son morcellement administratif rend ce pays particulièrement vulnérable.
Globalement, la vulnérabilité des pays des Balkans occidentaux tient à des difficultés de coordination institutionnelle et à une prise de conscience politique inégale de la menace cyber. Le phénomène de saut technologique, qui a vu les administrations balkaniques tenter une numérisation rapide sans prise en compte de la cybersécurité, combiné à la faiblesse de la protection initiale et au manque de culture de sécurité, explique également la vulnérabilité de la région.
En termes de moyens humains, des difficultés de recrutement et de fidélisation des compétences techniques-clés facilitent le succès des cyberattaques, dans un contexte de crise démographique et de fuite des cerveaux touchant tout particulièrement le domaine des nouvelles technologies. L'absence d'écosystème, notamment privé, de cybersécurité, fait peser en outre un risque de valorisation criminelle sur les quelques spécialistes disponibles sur le marché29(*). Il en résulte dans l'ensemble de la région un niveau insuffisant de compétences qui représente un obstacle majeur à sa résilience cyber et entraîne trop souvent le développement de pratiques irresponsables.
Le Global security index classe ainsi les Balkans occidentaux parmi les zones les plus vulnérables de la planète :
Source : Global Security Index, Organisation des Nations unies
2. ...faisant de ces pays des cibles faciles...
L'Albanie, puis le Monténégro, ont souffert à l'été 2022 d'une série de cyberattaques sans précédent dans la région par leur ampleur, faisant la preuve, s'il en était besoin, de la capacité de nuisance de leurs agresseurs.
- Le 15 juillet 2022, l'Albanie a été victime d'une cyberattaque d'ampleur et sophistiquée, ayant touché des infrastructures et de systèmes gouvernementaux. Les attaquants auraient réussi à infiltrer des réseaux gouvernementaux et à exfiltrer des données en amont du 15 juillet, avant de déployer un rançongiciel (chiffrement de données) et un wiper (destruction de données). Le 10 septembre 2022, la police albanaise a subi une nouvelle cyberattaque qui a temporairement mis hors ligne son Total Information Management System (TIMS), un système informatique de contrôle des arrivées et des départs utilisés par les douanes albanaises. Les autorités albanaises, ainsi que les Etats-Unis et Microsoft, ont publiquement attribué la cyberattaque à la République Islamique d'Iran. Tirana considère que ces cyberattaques étaient des mesures de rétorsion de l'Iran suite à l'accueil sur le territoire albanais de membres de l'organisation des moudjahidines du peuple iranien (OMPI).
- Le 22, puis le 26 août 2022, les autorités monténégrines ont annoncé qu'une cyberattaque d'ampleur affectait plusieurs de leurs institutions publiques. Cette cyberattaque est intervenue dans le contexte de la guerre d'agression de la Russie contre l'Ukraine, plusieurs mois après que le Monténégro a été placé sur la liste des « pays ennemis » de la Russie. L'ampleur de l'attaque a conduit le Premier ministre à demander l'aide de ses partenaires internationaux. Répondant à cet appel, la France a déployé temporairement sur place une équipe de réponse à incident cyber de l'ANSSI.
Les pays des Balkans occidentaux continuent à être fréquemment visés par des cyberattaques. Ainsi, l'Albanie a indiqué en décembre 2023 que le site du Parlement avait été ciblé, puis début février 2024 que son institut national des statistiques avait été victime d'une cyberattaque sophistiquée.
3. ...et créant des vulnérabilités pour ses partenaires
Dans un espace de conflictualité hybride, en partie immatériel, et où les attaquants se jouent des frontières, le renforcement de notre résilience nationale ne peut être pleinement efficace sans un renforcement des capacités cyber plus global : La Revue nationale stratégique du 9 novembre 2022 soulignait ainsi que « la résilience de la France dépend [...] de celle de ses partenaires européens et internationaux ainsi que de la sécurité et de la stabilité du cyberespace dans son ensemble. ».
Cette fragilité de l'espace cyber des Balkans occidentaux, au vu des risques de rebond, constitue une menace majeure pour les réseaux et infrastructures cyber des États membres de l'Union européenne ainsi que des Alliés de l'OTAN. Dans la perspective d'un aboutissement, à moyen terme, des processus d'intégration en cours, une mise à niveau de leurs capacités de résilience cyber est indispensable, faute d'apporter des failles de sécurité chez l'ensemble de leurs partenaires.
Dans ce contexte, le soutien apporté au développement des capacités cyber de la région des Balkans occidentaux prend tout son sens, et la France a tout particulièrement un rôle à y jouer :« Nos coopérations structurelles, techniques et opérationnelles [...] sont des instruments stratégiques concourant de manière directe et indirecte à consolider notre sécurité nationale et notre influence. [Elles sont] un vecteur efficace pour promouvoir l'offre et l'expertise françaises en matière de cybersécurité » estimait la Revue stratégique de cyberdéfense de la France de février 2018.
* 29 Ainsi, Cytrox AD, filiale de la galaxie Intellexa basée en Macédoine du Nord, a joué un rôle-clé dans la production du logiciel espion hautement intrusif Predator. Cytrox AD a été ajoutée sur l'Entity List du Département du Commerce américain le 18 juillet 2023 pour avoir vendu des exploits utilisés pour obtenir des accès à des systèmes d'information, et sur la liste des désignations de l'OFAC du Département du Trésor le 5 mars 2024.