CyberEast : quel est ce projet européen que le conflit ukrainien met en lumière ?

« À la lumière des événements actuels, se renforcer face au cybercrime […] est plus important que jamais. » Ainsi débute le communiqué par lequel le Conseil de l’Europe annonce l’organisation d’un « stress test ». Il se déroulera du 7 au 11 mars à Athènes. Les 50 participants feront face à une simulation d’attaque. Ils devront détecter les incidents, identifier les auteurs et tracer les éléments exfiltrés.

L’initiative réunit 11 pays d’Europe de l’Est et du Sud-Est. Parmi eux, quatre des six membres du Partenariat oriental (EaP ; Eastern Partnership). En l’occurrence, l’Arménie, l’Azerbaïdjan, la Géorgie et la Moldavie. Ni l’Ukraine, ni la Biélorussie n’en sont.

Cet exercice de crise s’inscrit dans un projet orchestré à l’échelle de l’EaP. Son nom : CyberEast. Amorcé en juin 2019, il prendra, aux dernières nouvelles, fin en décembre 2023. Enveloppe budgétaire : 5,3 M€, dont 90 % provenant de l’UE et 10 % du Conseil de l’Europe.

Ligne directrice CyberEast : accompagner l’implémentation, dans les législations des pays participants, des principes de la Convention de Budapest sur le cybercrime. En tenant compte, entre autres, de celles de Lanzarote (protection des enfants contre l’exploitation et les abus sexuels) et d’Istanbul (prévention et lutte contre la violence à l’égard des femmes et la violence domestique).

Dans les grandes lignes, l’objectif affirmé est de renforcer les capacités des autorités judiciaires et policières (formation, équipes opérationnelles, mécanismes de coopération public-privé et à l’international…)… tout en améliorant la transparence de leurs pratiques et le rôle de la société civile.

CyberEast : la Biélorussie, présente et absente

La Biélorussie est la seule parmi les membres de l’EaP a ne pas avoir adhéré à la Convention de Budapest. Elle a néanmoins « exprimé sa volonté de l’implémenter », rappelait encore récemment le Conseil de l’Europe.

Dans les faits, le pays n’a pas encore amorcé de révision législative en ce sens. Il est par ailleurs totalement absent de l’agenda 2022 de CyberEast. Au contraire de l’Ukraine, où sont censés se tenir les événements suivants :

– Formation organisée dans les locaux de l’équivalent de notre École nationale de la magistrature (entre Odessa et Dnipro), du 14 au 17 mars

– Formation d’avocats au cybercrime et à la preuve électronique, avec une association sur place, du 21 au 23 mars

– Forum de la justice pénale de la société civile et du secteur privé sur la transparence de l’action contre le cybercrime, du 2 au 6 mai

– Exercice national pour la police et les magistrats, du 6 au 10 juin

– À Kiev, un exercice cyber à l’échelle de l’EaP, sur le modèle de celui qui se déroulera à Athènes

– Définition de procédures standardisées pour l’échange de données entre forces de l’ordre et FAI

CyberEast fait suite à d’autres initiatives au niveau de l’EaP :

– Première impulsion entre 2011 et 2014, avec le projet CyberCrime@Eap I, doté de 894 000 €

– Entre 2015 et 2017, volets II et III du projet ; respectivement axés sur la coopération internationale (budget : 800 000 €) et la coopération public-privé (1,2 M€)

– Un quatrième volet sur la période 2019-2022, doté de 4,2 M€

Parallèlement à CyberEast se déroule le projet iPROCEEDS-2. Son thème : le traçage des produits du cybercrime et la collecte de preuves électroniques. Essentiellement en Europe du Sud-Est. Tous les pays membres – Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie, Turquie – participeront à l’exercice d’Athènes.

Illustration principale © Denis Rudyi – Adobe Stock