Protéger l'Europe contre les menaces hybrides

RÉSUMÉ

Les rivaux géopolitiques de l'Europe incorporent de plus en plus des menaces hybrides dans leurs arsenaux – et les déploient.
Cet ensemble de menaces amorphes existe au-dessous du niveau de guerre, permettant à d'autres puissances d'exploiter les divisions sociales existantes et de semer la confusion et l'instabilité.
Pour faire face eux-mêmes aux menaces hybrides, les pays de l'UE devront enquêter de manière plus approfondie sur ces activités hybrides – et rendre publiques leurs conclusions.
L’Europe devrait poursuivre une approche «à deux voies» de la confrontation, suivie d’un dialogue avec des cyber-puissances hostiles.
Les États membres de l'UE devraient également investir conjointement dans des capacités cybernétiques offensives au sein de PESCO, élargir le mandat d'Europol pour y inclure le contre-espionnage et améliorer les normes de cyber-hygiène personnelle au sein du gouvernement et des citoyens.

INTRODUCTION

Le 12 octobre 1983, Ronald Reagan a signé la directive 108 de la décision de sécurité nationale concernant le «camouflage, la dissimulation et la tromperie soviétiques». Le document dit carrément que:

L’Union soviétique a mis au point une doctrine du "maskirovka" qui préconise l’utilisation du camouflage, de la dissimulation et de la tromperie (CC & D) dans les programmes liés à la défense et dans la conduite des opérations militaires. Ils définissent la maskirovka comme un ensemble de mesures visant à tromper ou à induire en erreur l'ennemi en ce qui concerne les capacités, les actions et les intentions de la sécurité nationale soviétique. Ces mesures comprennent la dissimulation, la simulation, les actions de diversion et la désinformation. Une direction soviétique pour la maskirovka stratégique a été créée… Plusieurs découvertes récentes révèlent que le programme de la maskirovka soviétique a connu un succès insoupçonné et qu'il entre apparemment dans une nouvelle phase améliorée.

Cette citation pourrait facilement provenir d’un livre blanc sur la défense publié en 2019 par un État membre de l’OTAN moyen. Les circonstances géopolitiques actuelles de l’Europe ne sont pas les premières pour lesquelles elle a dû faire face à des menaces de nature «hybride». Ils sont peu susceptibles d'être les derniers.

La situation n’est peut-être pas tout à fait nouvelle, mais elle reste néanmoins tendue. Après une décennie de crise économique, les systèmes politiques européens sont épuisés. Les relations sont pires que d’habitude entre certains États membres de l’Union européenne, entre l’Europe et les États-Unis et entre groupes sociaux au sein de ces États. Et il est maintenant moins cher et plus facile que jamais pour ceux qui souhaitent exacerber ces clivages de le faire par le biais de publicités à bas prix dans les médias sociaux, de quelques robots et d'une poignée de piratages, le tout soutenu par des systèmes de financement louche. Sans compter sur les États-Unis, l'Europe peut-elle vraiment être souveraine face aux menaces hybrides? Ce document évalue comment et dans quelle mesure les États de l'UE peuvent faire face à de telles menaces s'ils doivent agir seuls.

Du cheval de Troie au malware: Que sont les "menaces hybrides"?

Le terme «menaces hybrides» a une valeur conceptuelle douteuse. Diverses définitions s’y sont attachées et d’autres termes lui font également concurrence, telles que «guerre non linéaire», «conflit asymétrique» et «subversion». En bref, les «menaces hybrides» désignent l’utilisation d’acteurs parrainés par l’État, mais non officiellement affiliés (déniables), qui n’ont pas recours à la violence physique. Les menaces hybrides ont pour but de contraindre l’objet d’une menace à se conformer aux intérêts stratégiques de l’agresseur. Il existe un avertissement implicite concernant le recours à la force derrière de telles menaces. Comme l'a récemment déclaré devant le Conseil européen des relations extérieures, un responsable d'un État membre de l'UE récemment nommé "ambassadeur des menaces hybrides": "Il n'y a pas de" menace hybride " [on its own]. L'hybridité entre en jeu lorsque les menaces de différents domaines politiques sont fusionnées. "[1]

Des tours hybrides ont été utilisés à travers l'histoire, du cheval de Troie conçu par Odysseus au malware Trojan écrit par les pirates informatiques aujourd'hui. En effet, même les périodes de paix sont «hybrides», ponctuées d’assassinats, de corruption, d’espionnage, de désinformation, de manipulations et de pressions économiques. Le débat public sur les menaces hybrides se concentre sur les fausses nouvelles, la guerre de l'information et la manipulation des médias sociaux. Cette attention est compréhensible: la fausse nouvelle est l'élément le plus visible d'une campagne hybride. Mais les moyens dont disposent les États pour utiliser des actifs non divulgués et non attribués afin d’affaiblir leurs adversaires vont bien au-delà de ces éléments. Et la désinformation est rarement une fin en soi, mais plutôt une étape préparatoire à une action subversive ultérieure. Des efforts considérables en matière de renseignement, de conspiration et de subversion peuvent affaiblir la société d’un adversaire d’une manière qui permette à une puissance étrangère d’entrer et de tirer parti de la situation. La plupart des Européens occidentaux ont été surpris par la rapidité et la détermination de la guerre hybride menée par la Russie contre l’Ukraine, mais ils ne l’auraient pas été s’ils avaient assisté au vaste effort subversif déployé par la Russie dans l’Ukraine d’avant-guerre. La déstabilisation de l’Ukraine par la Russie a finalement abouti à l’invasion de la Crimée. Cette action directe, avec le déploiement par la Russie de "petits hommes verts", a conservé la caractéristique de déniabilité. Cela dit, l'action non directe reste la principale manifestation des menaces hybrides – bien que son utilisation par des acteurs puissants tels que la Russie comporte en son sein la menace latente de violences potentielles.

L'Europe aujourd'hui: territoire fertile pour les menaces hybrides

L’UE offre aujourd’hui plusieurs opportunités que les adversaires extérieurs peuvent exploiter. Trois facteurs principaux importent: l’évolution de l’environnement géopolitique de l’après-guerre froide; les vulnérabilités technologiques et juridiques inhérentes à la mondialisation et au marché commun; et un zeitgeist post-historique toujours répandu en Europe qui n'accepte pas que la subversion, et encore moins l'action militaire directe, constitue une menace pour le mode de vie européen.

Dans les années 90, l’Europe était en grande partie entourée d’États en réforme ou de démocraties naissantes préoccupées par leur propre transformation. À présent, le continent est voisin de puissances ambitieuses qui cherchent à projeter à la fois des puissances fortes et douces en Europe. Nombre d'entre eux travaillent également avec des forces anti-système en Europe. Cette projection de pouvoir peut viser divers objectifs, notamment celui de propager l’instinct de répression et les idéologies répressives des États en Europe, ce qui peut impliquer de réduire au silence, de supprimer ou même d’éliminer les dissidents qui y résident. Ces États peuvent également vouloir contrôler le développement de leurs développements nationaux à travers des opérations d’information ciblant les communautés d’émigrants, mais aussi en prenant le contrôle d’organisations culturelles et religieuses. En Europe, la Russie est l'acteur le plus connu à cet égard, mais la Turquie et l'Iran sont également actifs. Les opérations d’influence de l’Arabie saoudite se concentrent sur les États-Unis, mais certaines d’entre elles sont visibles en Europe.

Un autre développement est la montée de la Chine et l'affirmation croissante de son appareil d'Etat. Alors que les opérations d'influence chinoise sont moins visibles que celles de Russie, l'espionnage économique chinois est très actif; La Chine voit l'Europe comme une cible moins dure que les États-Unis. Il se concentre sur le lancement de cyber-attaques qualifiées contre des industries et des installations de recherche, mais son programme comprend également des investissements stratégiques dans des industries technologiques clés.

Au fil de ces mutations, l’économie numérisée de l’UE et une société de plus en plus ouverte et interconnectée ont fourni aux acteurs étrangers hostiles un large éventail de points d’attaque. L'infrastructure numérique – de la communication militaire aux émetteurs 5G, en passant par les machines à voter – permet aux acteurs hostiles d'accéder avec succès à une quantité croissante de données et de renseignements. Le nombre de points d’attaque est en augmentation avec l’internet des objets, avec les haut-parleurs Alexa, les lumières activées par le WiFi et les thermostats intelligents utilisés par les ministres européens et les conducteurs d’Uber. Les cybercriminels non étatiques utiliseront ces vulnérabilités, mais les États hostiles peuvent également les exploiter.

La vulnérabilité accrue de l’Europe aux attaques hybrides n’est pas un risque inhérent au progrès technologique et à la mondialisation: c’est une question de choix. L’Europe a adopté une approche de laisser-faire sur ces questions. Tant l’élite publique que l’élite politique européennes ont largement développé une vision du monde de Fukuyaman, en fin d’histoire, qui ne correspond pas à la dure réalité mondiale et régionale à laquelle l’Europe est confrontée. Les guerres en Ukraine et en Syrie ont légèrement entamé cette vision du monde, mais la plupart des Européens ne sont fondamentalement pas inquiétés par les dangers qui les entourent. Malgré des augmentations modestes ces dernières années, les dépenses globales de défense de l'Europe ne sont revenues qu'aux niveaux de 2008.

Tout cela se reflète dans la culture politique de l’Europe, qui reste celle qui cherche avant tout à être résolue par le dialogue plutôt que par la confrontation. En conséquence, face à un harcèlement géopolitique – par exemple par des menaces hybrides ou une action de renseignement hyper-agressive – le premier réflexe des gouvernements européens est que l’engagement du patient résoudra les problèmes. L'option d'une réponse forte est profondément inconfortable pour le public et les politiciens de la plupart des pays de l'UE.

Au fond, la diversité et l’ouverture de l’Europe ont pour corollaire le maintien d’un patchwork d’approches face aux menaces hybrides. Il existe d'énormes différences entre l'urgence, l'importance et les méthodes avec lesquelles les pays européens combattent ces menaces. Pour certains États, et même pour certains partis politiques, s'attaquer à ces menaces est une activité étatique à temps plein; pour d’autres, le terme «menaces hybrides» est un terme temporairement à la mode, colporté par des alarmistes géopolitiques. Ainsi, les ressources, les compétences et les choix politiques axés sur les menaces hybrides varient énormément à travers l’UE.

Le rôle de l’UE

Certains organes de l’UE ont été très actifs sur ces questions, mais ils n’ont toujours pas adopté d’approche globale. Ces dernières années, de nouvelles communications, lois, stratégies, groupes de travail, financements et groupes de travail des États membres ont vu le jour pour renforcer la sécurité et la résilience de l’UE. Par exemple, en 2017, l'UE a mis en place une boîte à outils pour la cyber diplomatie. L’agence européenne en charge de la cybersécurité, l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA), est sur le point de se voir confier un mandat renforcé et renforcé. S'adressant à l'ECFR, un haut responsable européen chargé de la cybersécurité a qualifié l'ENISA de «franchement, un groupe de réflexion».[2] Même avec la refonte, il restera une toute petite agence à tous points de vue: son effectif devrait passer de 84 à 125 personnes et son budget passer de 11 à 23 millions d’euros au cours des prochaines années.

Ce processus a été quelque peu réactif et manque toujours d'un leadership politique de haut niveau. Un haut diplomate d’un État membre a fait remarquer que: «La réaction du Conseil de l’UE et des États membres face aux menaces hybrides à Bruxelles a principalement été motivée par l’affaire Skripal. La Commission a beaucoup travaillé sur le cyber et l'union de la sécurité. le [European External Action Service] a fait beaucoup de bonnes choses sur le plan opérationnel – bons plans d’action, groupes de travail, travail conceptuel. Mais Mogherini ne veut pas toucher au sujet. Et il y a peu de sens du travail coordonné et stratégique en la matière. Et beaucoup pensent [it is] juste un autre irritant à l'ordre du jour des relations UE-Russie ".[3]

Un adhocisme croissant accompagne ce progrès institutionnel progressif – qui prend la forme de coalitions de personnes disposées à coopérer au cas par cas, au-delà des instances de l'Union européenne. Ces développements dénotent un manque d'ambition pour une réponse plus coordonnée au niveau de l'UE. C'est notamment le cas des attaques hybrides les plus menaçantes. Par exemple, les expulsions diplomatiques sur l'affaire Skripal ont eu lieu en dehors du cadre de l'UE. Il en a été de même pour l'attribution publique et les inculpations à l'encontre d'acteurs russes qui ont tenté de pirater l'Organisation pour l'interdiction des armes chimiques (OIAC). Lorsque cet incident est devenu public, des États non membres de l'UE, tels que la Nouvelle-Zélande, l'Australie, le Canada et les États-Unis, ont publié des déclarations favorables aux Pays-Bas, plus énergiques que celles d'une demi-douzaine d'États membres de l'UE. Et cela en dépit du fait que le siège de l'OIAC est situé sur le territoire de l'UE. Un haut responsable de l'UE a raconté des réunions insoutenables au cours desquelles certains États membres se sont opposés à d'autres lorsqu'ils tentent d'obtenir un soutien pour attribuer des attaques à des groupes de pirates informatiques soutenus par l'État. Malgré les innombrables preuves en matière de cyber criminalistique et d'évaluation du renseignement.[4]

Certains États membres de l'UE qui considèrent les menaces hybrides comme une priorité majeure ont nommé des ambassadeurs spéciaux ou créé des unités spécialisées au sein du gouvernement ou de leurs ministères des Affaires étrangères pour coordonner les réponses à ces menaces. Parmi eux figurent la Suède, la Finlande, la Pologne, la Lituanie et l'Espagne. Cette liste suggère une préoccupation particulière avec la Russie. L’Espagne est un pays isolé, mais comme l’a expliqué un diplomate européen, le référendum sur l’indépendance de 2017 en Catalogne a obligé l’Espagne à donner la priorité aux menaces hybrides.[5] Les plus grands pays de l'UE, la France et l'Allemagne, n'ont pas encore vraiment assimilé la notion de menace hybride, mais ils ont tous deux cherché des moyens de réagir. Des États tels que l'Autriche, la Hongrie et l'Italie ne semblent pas encore très concernés par les menaces hybrides.

Dans l’ensemble, malgré l’augmentation des activités de l’Union européenne et des États membres sur les questions informatiques, un manque de coordination et de leadership de la part des dirigeants ne permet pas à des attaquants hybrides de continuer à mener diverses opérations. Certains des concurrents extérieurs de l’UE craignent moins ses efforts. Le représentant spécial de Vladimir Poutine sur la sécurité de l’information a comparé la Russie à un cyber éléphant et l’UE à un petit chien qui aboie sans pertinence. La question qui se pose à l'Europe concerne donc le renforcement de sa capacité à résister aux attaques hybrides, tout en adoptant une politique étrangère qui ne soit pas simplement défensive, mais contribue en réalité à une réduction progressive des menaces qui pèsent sur elle.

Agences de renseignement et menaces hybrides

Les activités de renseignement sont au cœur des efforts de lutte contre les menaces hybrides: les agences de renseignement sont généralement les premières à tout faire, du suivi des cyberattaques à la recherche de fonds étrangers pour des forces anti-système violentes. D’autres forces d’enquête, telles que la police et les services de poursuite, comptent beaucoup sur elles. Cependant, une multitude d'acteurs sont impliqués dans le renseignement: l'armée, la police, les services de renseignement nationaux, les agences nationales de cybersécurité, les entreprises privées (qui ont également des obligations en matière de cybersécurité), les médias, l'OTAN, l'UE, Europol et l'ENISA.

Ce point chaud institutionnel se reflète dans une grande diversité de cultures de sécurité bureaucratiques nationales. Un responsable travaillant sur ce sujet décrit le défi de la manière suivante: «Les menaces hybrides viennent de l’extérieur de l’UE, mais vous devez y faire face par le biais d’institutions qui traitent de problèmes nationaux – police, organes de surveillance des médias, systèmes d’éducation, – chiens de garde de la corruption. "[6] Cependant, ce n’est pas seulement, ni même principalement, la prolifération d’agences et d’acteurs qui a créé les insuffisances de l’UE dans ce domaine. Un manque de leadership politique est également responsable. Le même responsable ajoute que: «le [agencies] n’ont pas la culture et souvent le désir de lutter contre les menaces extérieures. Surtout parce que certaines de ces menaces ne sont certainement pas bonnes, mais elles ne sont pas illégales: fausses nouvelles, théories du complot, essayer d'influencer les récits d'histoire ou de manipuler les questions d'identité et nourrir les guerres culturelles n'est pas illégal. Bien au contraire. Ils font souvent partie intégrante des pratiques politiques nationales. »Les agresseurs tirent parti de ce patchwork juridique en choisissant les juridictions où la réglementation est la plus faible pour mener leurs opérations dans d'autres pays.

Un manque fondamental de ressources est également un problème majeur. Il y a peu de domaines dans lesquels l'Europe dans son ensemble est aussi dépendante du soutien des États-Unis et où les disparités entre les nantis et les démunis au sein de l'UE sont aussi grandes que dans le renseignement. À l’heure actuelle, seuls le Royaume-Uni et la France disposent des cadres juridiques et des capacités nécessaires pour mener des opérations de renseignement et de contre-espionnage dans tous les domaines. Et il y a beaucoup de choses à cela:

Veille stratégique: prévoir ou anticiper les mouvements et les intérêts des dirigeants d’autres pays, ainsi que leurs préférences en matière de prise de décisions.
Renseignements opérationnels: détecter, identifier et surveiller les moyens opérationnels de l'ennemi (y compris les moyens diplomatiques, économiques, militaires et paramilitaires) et anticiper leurs mouvements, leurs ordres, leurs priorités opérationnelles et l'utilisation de moyens tactiques (tels que des troupes, de l'argent et la propagande) .
Intelligence des transmissions: intercepter les communications de l’ennemi avant de les déchiffrer et de les analyser pour obtenir un accès et une visibilité de ses processus de commandement et de contrôle.
Renseignements électroniques et renseignements correspondants sur d’autres émissions et signatures: collecte des empreintes d’émission (signatures) de systèmes d’armes, de capteurs, de plates-formes et de systèmes de communication de l’ennemi afin de détecter leur déploiement et leur activité, de déterminer leurs capacités et de trouver des moyens d’intercepter, de décrypter, de tromper , ou les vaincre.
Contre-espionnage: détecter, surveiller et contrecarrer les tentatives de l’ennemi de se rassembler des informations dans tous les domaines susmentionnés.

Après la fin de la guerre froide, les armées européennes se sont recentrées sur la guerre expéditionnaire et les menaces asymétriques. La plupart des services de renseignement ont suivi un processus d'adaptation similaire. Les groupes sous-étatiques hostiles, les réseaux terroristes et les individus radicalisés – plutôt que les acteurs étatiques hostiles – sont devenus la cible principale des services de renseignement. Si cela était nécessaire, les acteurs étatiques ont fait un retour en force ces dernières années.

À l'heure actuelle, la plupart des agences de renseignement européennes s'appuient sur l'intelligence humaine – des personnes ayant une connaissance personnelle des processus de décision étrangers – pour leur dire ce qui se passe dans les autres pays et anticiper les mouvements de ces pays. Ils n'ont aucune chance de valider – ou d'invalider – ces renseignements par le biais d'autres sources, en particulier de signaux et de renseignements électroniques. Cela signifie qu'ils ne savent pas si leur intelligence est exacte et, par conséquent, s'ils doivent agir en conséquence. En outre, les efforts de renseignement européens se limitent souvent au renseignement opérationnel dans les théâtres proches de l'Europe (tels que l'Afrique du Nord et les Balkans), où les troupes européennes et les programmes d'assistance étrangère sont menacés. Seuls quelques États européens sont capables de développer systématiquement des sources dans des pays tels que la Chine, l'Iran, la Russie, l'Arabie saoudite et la Turquie pour avoir une idée de ce que font leurs gouvernements et leurs bureaucraties. Pour la plupart des autres États, l’intelligence stratégique n’est guère plus qu’une conjecture.

Pourtant, même les services de renseignement les mieux équipés de l’UE ne sont pas égaux à ceux des États-Unis ou de la Chine. Ils comptent toujours sur la coopération avec les États-Unis pour protéger les intérêts de leurs pays. Pour certains pays européens, cette dépendance est particulièrement forte. En réalité, la vérité est que la plupart des États européens ne seraient pas en mesure d'empêcher les attaques terroristes sans les renseignements fournis par les agences américaines. La plupart des États européens ont effectivement sous-traité les renseignements à leur allié américain, ce qui leur permet de dire qu'ils ne se sont pas livrés à des activités que leurs citoyens pourraient ne pas aimer, mais dont ils pourraient néanmoins tirer profit.

Défis actuels de la politique de «menace hybride»

Malgré la création d’une série de stratégies de lutte contre les menaces hybrides, la réponse de l’Europe à la question reste généralement dans la phase de réflexion plutôt que d’action. Plusieurs débats politiques en cours témoignent de la divergence des points de vue des pays européens et de la réticence à décider de la manière de traiter les conséquences réglementaires et administratives de telles menaces. Ces débats portent notamment sur la manière de gérer l'ingérence russe dans les élections, sur la manière de réagir aux cyber-attaques russes et sur l'utilisation éventuelle des produits Kaspersky et Huawei.

Russie et ingérence électorale

L’Europe n’a pas une compréhension unifiée du niveau et de l’ampleur des tentatives russes d’immixtion dans les processus électoraux et les référendums européens. La plupart des Occidentaux supposent que la Russie a effectivement tenté d'influencer certaines élections. À l'heure actuelle, la plupart des citoyens européens et américains en savent beaucoup plus sur la portée exacte, les techniques et même les opérateurs qui ont tenté d'influencer l'élection présidentielle américaine de 2016 que sur toute ingérence de la Russie dans les élections et les référendums européens. Aux États-Unis, l’enquête Mueller a permis de publier des preuves des efforts de la Russie pour influencer l’élection présidentielle. Jusqu'à présent, 25 citoyens russes directement impliqués ont été nommés. Leurs mises en accusation donnent des détails précis et crédibles sur les noms, les procédures et les flux monétaires. Même la Russie ne semble plus contester ces activités. En ce sens, les États-Unis ont fait plus de progrès que l'Europe en ce qui concerne la nature exacte et la portée de l'ingérence de la Russie. Ceci en dépit du fait que, selon toute vraisemblance, les Néerlandais ont informé les États-Unis de la cyber-intrusion russe dans l'élection présidentielle de bonne heure.

En Europe, si l’on parle beaucoup de l’ingérence de la Russie dans les élections européennes, le manque d’enquêtes appropriées sur ces activités signifie également qu’il existe un scepticisme considérable quant à la réalité et à l’ampleur de cette ingérence. Des couches de l'opinion publique et des élites politiques européennes voient les tentatives russes d'influencer les élections partout. Une grande partie de la population et des élites politiques ne les voient nulle part. La discussion des deux côtés est souvent spéculative.

L'activité des organes de presse soutenus par l'État russe, tels que RT, suggère que les organismes liés au gouvernement russe jouent au moins un rôle dans la formation de l'opinion nationale européenne. RT semble soutenir tout ce qui déstabilise la politique européenne à un moment donné: référendums en Écosse et en Catalogne, manifestations gilets jaunes en France et activités des partis populistes à travers le continent. Ceci est tout à fait en vue.

Dans une récente analyse de 24 millions de tweets liés au Brexit, la société de cybersécurité F-Secure a conclu à des efforts systématiques, souvent automatisés, pour renforcer les groupes étrangers favorables aux congés. De nombreux comptes Twitter pro-Brexit ont également activement soutenu les manifestations gilets jaunes en France. Dans des pays tels que la Géorgie, la Pologne, la Roumanie et l'Ukraine – chacun ayant un consensus politique anti-russe raisonnablement fort – les opérations d'information russes ont principalement porté sur la promotion du sentiment anti-UE et anti-OTAN et du "neutralisme", ou de l'équidistance entre La Russie et l'alliance occidentale.

Cependant, il est peu probable que la Russie soit impliquée dans toutes les campagnes de désinformation menées en Europe. Dans certaines de ces campagnes, les activités de désinformation menées par la Russie ont été absentes ou modestes, ou ont pris de l'ampleur par rapport à la manipulation des médias par les partis politiques locaux. Par exemple, lorsque Facebook a créé 168 comptes en essayant d'influencer les élections en Moldavie, la plupart des comptes étaient locaux, pas russes. Le référendum macédonien tenu en septembre 2018 a également attiré des prétentions d'ingérence de la Russie. Mais aucun des nombreux acteurs politiques que l'ECFR a interrogés à ce sujet lors d'une visite à Skopje pendant la campagne électorale – du Premier ministre aux responsables des partis politiques et aux sondeurs – n'avait assisté à une opération russe massive pour faire basculer le vote. Et Donald Trump, les Brexiteers et l'extrême droite française ont eu beaucoup plus de succès que les trolls de RT ou de Russie dans la diffusion de fausses nouvelles et de théories du complot.

Les services répressifs et les parlements des pays européens ont à peine commencé à entreprendre des tentatives systématiques et détaillées pour dissocier le mythe de la réalité des tentatives russes d’influencer les élections et les référendums européens. Cela permet de développer la méfiance intra-européenne. Même les États ayant des points de vue critiques similaires sur la Russie ne se font pas entièrement confiance sur cette question, soulignant les difficultés à forger une compréhension unifiée de la menace. Par exemple, un diplomate nordique interrogé dans le cadre de cet article était convaincu que le parti conservateur du Royaume-Uni avait délibérément bloqué une enquête approfondie sur le rôle joué par la Russie dans le Brexit, parce que cela aurait été embarrassant – en tant que champion du Brexit. S'ils veulent élaborer des politiques renforçant leur souveraineté, les pays européens doivent acquérir une compréhension commune cohérente de la menace que l'ingérence de la Russie représente pour leur politique intérieure.

Renseignement russe

L’ingérence de la Russie dans les élections européennes est avant tout une question de désinformation, qui a déclenché un débat controversé sur les normes des médias et la responsabilité politique des entreprises du Web, Facebook et Twitter avant tout. Mais la question de savoir comment traiter les agents de renseignement russes est encore plus explosive pour la cohésion européenne. Par exemple, après l'attaque de Skripal, l'Autriche, Chypre, la Grèce, la Hongrie, la Slovaquie et la Slovénie, États membres de l'UE, n'ont pas expulsé les diplomates russes. Cela a conduit à une discussion sur la solidarité entre les États membres de l'UE tels que le Royaume-Uni, qui avait assisté à une attaque chimique sur son sol et parrainée par la Russie, souhaitait envoyer un message aussi fort que possible. L’explication du gouvernement autrichien quant à sa réticence à expulser les diplomates – qu’il ne devrait pas prendre parti, mais servir de «pont» entre l’est et l’ouest – irritait encore les autres gouvernements européens en suggérant une équivalence entre un agresseur extérieur et le membre de l’UE été ciblé.

Les activités des services de renseignement russes apparaissent de plus en plus fréquemment dans les débats sur la sécurité publique. Dans certains cas, les activités connues des agents russes impliquent l’espionnage classique. Dans d’autres, leurs activités suggèrent des objectifs subversifs beaucoup plus robustes: la mise en place de forces anti-système, l’achat et la préparation d’infrastructures pour de futures incursions militaires, la formation de groupes de résistance paramilitaires et l’assassinat d’ennemis présumés. Ces actions sont des actions secrètes de premier plan. On peut supposer que d'autres actions constituant la base de ce type d'activités – telles que la reconnaissance stratégique, la cyber-pénétration et l'espionnage, la fouille de données, les agents de placement en position de force et la reconnaissance des infrastructures critiques – ont également progressé. L’Europe a un bilan mitigé de perturbation de ces préparatifs.

Alors que les États membres de l'UE situés sur le flanc oriental ont adopté des lois très strictes en matière de contre-espionnage et investi des ressources considérables dans la surveillance des agents russes, les autres États sont plus réticents à le faire. La France dispose du cadre juridique pour une telle action, mais la lutte contre le terrorisme constitue sa première priorité. L’Allemagne et l’Autriche – deux pays qui étaient sous la surveillance et l’occupation des Alliés après 1945 – ont des lois relativement faibles et leurs décideurs maintiennent une mentalité de «non-passeur». Dans le passé, la coopération bilatérale avec les services américains a permis de remédier à ces déséquilibres. Héritage de l’après-guerre, les services américains et britanniques ont le droit de s’engager dans des activités de contre-espionnage en Allemagne. Et Berlin, qui a des problèmes historiques avec le contre-espionnage, a été heureux d'externaliser ce travail politiquement toxique. Ce faisant, Washington – et dans une moindre mesure Londres – est devenu un contrepoids externe aux affaires intra-européennes. Et tandis que l'administration Trump et son personnel parfois erratique ont considérablement miné la confiance dans le gouvernement américain, la communauté du renseignement américaine est restée beaucoup plus stable et capable de préserver des contacts de travail dans toute l'Europe. Mais si les relations avec Washington se détériorent davantage, il n’y aura pas de politique ou d’acteur politique pouvant remplacer les États-Unis.

Kaspersky et Huawei

Que doivent faire les ministères européens de la Défense et des Affaires étrangères, les services de renseignement et les géants des télécommunications à propos des programmes antivirus de Kaspersky et des équipements de télécommunication de Huawei? De telles entreprises sont-elles un vecteur potentiel pour la collecte de renseignements et de données par des puissances étrangères? Peuvent-ils détenir des infrastructures critiques dans l'otage de l'UE en cas de crise majeure entre l'Europe et la Russie, ou entre l'Europe et la Chine? Ces deux sociétés se trouvent actuellement dans l'œil d'un orage politique, mais des controverses similaires impliquant probablement d'autres sociétés de pays tiers sont également à prévoir. Ceux-ci pourraient inclure ZTE, Xiaomi, Lenovo, des centres de données autour du lac Baikal ou même des services de taxi de style Uber tels que Yandex Taxi.

Le Parlement européen a déjà distingué Kaspersky et a appelé à l'interdiction des cyber-produits malveillants. Le Royaume-Uni, la Lituanie et les Pays-Bas ont suivi les États-Unis en interdisant le logiciel Kaspersky aux agences gouvernementales. Les autorités lituaniennes ont été prévenues contre l'utilisation de Yandex Taxi, de peur de transférer des données à caractère personnel, y compris des données de localisation, à des structures étatiques russes. Cependant, d'autres ne sont pas d'accord: la Belgique, l'Allemagne et Interpol ont présenté un programme de lutte antivirus à Kaspersky.

Même au sein des pays, les approches peuvent différer. Il y a plusieurs années, Kaspersky a remporté un appel d'offres pour le ministère français de la Défense. Aujourd'hui, le ministère se retire des produits antivirus de Kaspersky pour les remplacer progressivement par des logiciels antivirus de sociétés britanniques et japonaises. Dans le même temps, le responsable de l’Agence française de la cybersécurité semble plus optimiste à propos de Kaspersky. Selon lui, "Kaspersky est clairement au centre d'un conflit opposant le monde anglo-saxon à la Russie".

Les programmes anti-virus peuvent au moins être utilisés dans des conditions contrôlées ou facilement remplacés sur un marché concurrentiel. Les États sont en désaccord sur le point de savoir si les équipements Huawei pourraient être utilisés pour espionner ou perturber des secteurs de télécommunications entiers. Certains, comme la France, sont sceptiques envers Huawei depuis des années, tandis que d'autres, comme le Royaume-Uni, se sont montrés plus accueillants.

La participation de Huawei au déploiement des réseaux de téléphonie mobile 5G est devenue une source de tension politique et une source de tensions diplomatiques et de querelles politiques entre les États-Unis et certains pays européens, au sein de gouvernements tels que ceux d'Italie et du Royaume-Uni, ainsi qu'entre des entreprises du secteur privé et des gouvernements. . L'histoire de Huawei présente de nouveaux rebondissements chaque semaine en Europe.

Un autre problème est que, même si les institutions européennes et certains gouvernements européens étaient prêts à engager une diplomatie plus énergique avec la Chine sur le cyberespionnage, de nombreuses entreprises, sinon la plupart, touchées, et certains autres pays ne veulent même pas en parler, seul agir contre elle. Cela est dû à la peur des représailles de la part de la Chine et à une éventuelle perte d’accès aux marchés chinois.

La question de la souveraineté européenne en matière de logiciels et de matériel ne se limite pas aux questions concernant la Russie et la Chine. Par exemple, prenons le cas de Palantir, une société américaine de logiciels largement utilisée par les organismes chargés de l'application de la loi et les services de renseignement pour l'analyse de données volumineuses. Les députés français ont posé des questions sur Palantir. L'un d'eux a posé la question suivante au chef de l'agence française de cybersécurité: «Le logiciel de Palantir, une société liée à la CIA, est utilisé par la direction générale de la sécurité intérieure depuis 2016 pour analyser des milliards d'unités de données en ligne. Est-il techniquement possible de se déconnecter de Palantir? Serait-il possible de le remplacer?

The agency director responded: “I confess I do not understand why we are not capable of creating a European Palantir. I think this is achievable. If we give up analysing data ourselves, we will be condemned to be data vassals.”

As with the question around Russian interference in elections, the use of Kaspersky and Huawei, or even Palantir, demonstrates that Europe has not even begun to agree on what the problem is. Hundreds of technical experts have been looking into these companies’ performance, and they have reached no consensus. And, were a significant number of EU member states to agree to prevent these companies from operating altogether, it would remain unclear how they should go about this. A failure to resolve these issues could put at risk cooperation and exchanges between intelligence services or military services if they did not trust each other’s anti-virus software and telecommunications gear.

Cyber attacks

Cyber threats have increasingly moved beyond financial theft, cyber criminality, and intelligence collection into much more aggressive actions designed to shape national debates, referendums, and elections in European countries. According to Europol, a growing share of these attacks are the work of state-supported hackers, rather than just criminal cyber syndicates or bored teenage hackers working from their bedrooms. And there continues to be a lack of preparedness for this on the part of EU and member state institutions. ENISA states that: “Should a crisis arise from a large-scale cyber incident, Member States would lack a harmonised framework to effectively respond to the challenges posed by this incident.”

Cyber attacks have also taken a political turn, thereby demonstrating their hybrid potential. Unfriendly states have done this in several ways, from releasing hacked information to seeking to discredit and intimidate political actors, to using fake or automated accounts. Disinformation, rumours, and manipulation have always existed in politics, and have always been driven by both domestic and external players. Now, they can reach directly, through social media, into a much wider spectrum of society. This is especially the case because of the current political turbulence in Europe and the lack of agreed-upon, Europe-wide safeguards.

France and fake news

Fears of combined cyber and information attacks are driving some countries to patch up their electoral practices. Anti-fake news campaigns, laws, and other efforts are under way in several EU countries. France is a relevant case in point. “MacronLeaks” was an attempt to influence the French presidential election in 2017 by hacking and dumping information from Emmanuel Macron’s campaign headquarters. This attack was attributed to Russia. The attempt largely failed not just to influence the campaign, but to even get traction in the media and the wider public. One key reason that it failed was because there was no well-oiled transmission belt connecting the darker corners of the internet, where the hacked information was posted, to the wider public. No major French media outlets reported details from the dump, and whoever wanted to spread disinformation had no network of French Twitter or Facebook followers through which to do so. Since 2017, France has adopted an anti-fake news approach, but the problem is now that the transmission belt for similar attacks in the future is in place in the form of the popular, and reasonably ‘nativised’, RT France, which launched in early 2018. Should an operation such as MacronLeaks be conducted in 2019, it would probably be more successful than the effort two years ago. In 2017 MacronLeaks was played on a tiny speaker for a tiny audience; in 2019 it would use a powerful surround-sound system of television, websites, and social media.

EU member states currently pursue one of what might be termed ‘two and a half’ approaches to countering these dangers.

The ‘half’ approach involves maintaining the status quo. This has evolved from a laissez-faire response to soul-searching on what to do about hybrid threats. Most EU countries are still at this stage. Many have identified hybrid threats as a priority and, as mentioned above, some have appointed special ambassadors as a result. But these countries are still very much in the search phase on specific policy issues such as how to respond to cyber attacks and how to handle RT.

When the search phase draws to an end, it usually results in countries selecting one of two types of approach. One is to pursue a more or less formal ‘cyber dialogues’ with external powers, which could be official-to-official or minister-to-minister. Another is to start pushing back through public attribution, by ‘naming and shaming’, and even contemplating indictments, sanctions, or cyber counter-attacks (so-called “hack backs”).

Options for the EU

Dialogue

Talking to those who launch hybrid operations is an option perfectly in tune with the European predilection for dialogue. The philosophy that guides this is that a good talk is always better than a good fight. And it is the right approach when it works. But it often does not work, such as in the US-China cyber dialogue initiated by Barack Obama in 2015, which resulted in an agreement to hack each other less and, seemingly, only a short-lived lull in aggressive cyber behaviour.

Some states have taken this road. For instance, France has launched cyber dialogues with Russia. In late 2018 Spain and Portugal also launched their own bilateral cyber dialogues with Russia. Moscow has allegedly offered to conduct such a dialogue with London as well. The aim of these efforts is to persuade the originator of the hybrid threats to cease acting in a hostile manner, including by agreeing to an implicit code of conduct or even a non-aggression pact. Such dialogue could result in agreements not to hack each other’s critical infrastructure or election infrastructure. Cyber dialogues have their limits, though: it is hard to believe they would ever cover hacking for cyber intelligence collection, given the sensitivity of this area.

For a country engaged in such a dialogue, what can it offer a state such as Russia? For those with more or less significant offensive cyber capabilities, such as France, an exchange of mutual favours in the cyber domain might be feasible – as was the case with the US-China agreement. But, because most EU member states have only meagre cyber capabilities, they are unable to offer many cyber concessions to trade with a country such as Russia. Thus, the mutual exchange of favours can only become meaningful if it includes mutual concessions from other policy domains, and not just cyber. Witness, for example, the following exchange between the Russian foreign minister and his Spanish counterpart in November 2018, a year after the Spanish foreign and defence ministries openly railed against hostile online activities designed to fuel the independence movement in Catalonia:

Sergey Lavrov: I spoke with the minister about this today. He said that some Russian media go beyond their journalistic mission and are involved in unacceptable interference in domestic electoral processes in other countries. I told the minister, as I am telling you now, that we prefer to discuss such issues professionally rather than with a microphone. We do not want our relations with Spain, our good friend, to go awry. I reminded my colleague that we have repeatedly suggested to our European and US partners establishing bilateral working mechanisms on cybersecurity issues. We stand for discussing emerging issues through dialogue. It seemed to me that our Spanish partners are interested in the idea of establishing a working group on cooperation in ensuring cybersecurity.

Josep Borrell: We never said it was the government of Russia, but it is true that [the false news] came from Russian media.

Borrell thanked Russia and Putin for indicating that they: “will always support the sovereignty and territorial integrity of Spain at a time when pro-independence groups have been trying to proclaim the independent republic of Catalonia.” Three days after this exchange, the Spanish port of Ceuta, in north Africa, was reopened to Russian naval vessels on their way to Syria.

Such dialogues may form part of Russia’s tactics to either block organised responses to its hostile operations or to drive wedges between European states. Russia has long sought to divide the EU on policy issues such as energy, visas, and foreign policy. Now, it applies the same approach to the cyber domain. Dialogues can thus serve the purpose of enabling endless, or at least excruciatingly long, rounds of cyber talks that do not force Russia to change its cyber behaviour. Alternatively, such dialogues can also lead to genuine cyber détentes for some EU member states, but not others, leaving plans for a pan-EU response or strategy in tatters. The launch of cyber dialogues with Spain and Portugal happened just around the time when tensions between Russia and the UK and the Netherlands reached a peak over the Skripal affair and Russian attempts to hack into the Hague-based Organisation for the Prohibition of Chemical Weapons.

Pushback

Where polite diplomacy fails, states have adopted more assertive ways to push back against hybrid and cyber threats. In these states’ view, the laissez-faire approach to attribution and the lack of pushback against aggressive cyber tactics has turned the cyber field into a free-for-all for rapacious cyber entrepreneurs, one in which the costs of aggressive misbehaviour are virtually zero.[7]

France is an interesting case of a state that started a dialogue on cybersecurity issues with Russia in mid-2018, but has since publicly attributed several operations to Russia. One French diplomat told ECFR that: “aggressive public attribution with Russia will not work, and is not in the style of French-Russian relations. We tell them what we know with a firm voice, but behind closed doors.”[8] But such patience is periodically punctuated by public attribution at the highest political level. Emmanuel Macron has accused RT of acting as a state-backed agent of influence, and the French defence minister has pointed to Russian state-supported hacker group Turla as being a major and constant source of cyber attacks against the defence ministry.

A key reason to publicly attribute attacks is not just to persuade foreign actors to back down, but also to shore up support for government action among the wider public and allied countries. In this, attribution is also an exercise in building greater resilience: preparing and educating the public and parliamentarians about what has really happened, drawing attention to the matter, and building support for possible diplomatic or sanctions responses. In the Skripal case, the UK responded with a vigorous campaign that laid the blame firmly at Russia’s door and that involved sharing intelligence with partners across Europe. Such tactics met the goal of ensuring the UK did not stand alone in a major international incident, at a time when its relations with the rest of Europe were strained over Brexit.

Furthermore, by adopting an aggressive name-and-shame approach, the UK forced Russia into a defensive mode in which it made several mistakes that all but confirmed its involvement. When the UK accused two alleged Russian intelligence officers of the poisoning, the two individuals went on Russian television to deny their involvement. But they did so with such ineptitude and lack of plausibility that the British version of events suddenly looked much more persuasive – even to the staunchest doubters. This then sparked a search for the real aliases of the two Russian operatives, leading to the exposure of a whole network of Russian operatives – up to 305 – by Bellingcat, a network of citizen activists who cross-referenced a car registration plate with a GRU address. So what started as a name-and-shame exercise by the UK ended up in a major diplomatic and intelligence debacle for Russia. Attribution also helped unify the European response, which resulted in the more or less simultaneous expulsion of Russian diplomats by 19 EU member states, and ten non-EU states.

The pitfalls of attribution

Attribution of attacks in the cyber domain is notoriously difficult, though not impossible. Several high-profile cases have helped reduce public trust in professions of certainty based on intelligence, such as that preceding the military intervention in Iraq on the grounds that it had weapons of mass destruction. Attribution can rely on cyber forensics, but it has often relied more on intelligence sources, which can be harder to deploy publicly to change opinion and win wider support. Providing more detail may help adversaries close their security loopholes. For example, just three weeks after US intelligence services issued a report on Russian cyber activities around the 2016 presidential election, the Russian intelligence services arrested one head of department and his deputy from the FSB Cyber Centre for Information Security for being CIA moles. In such circumstances, Western intelligence services are often reluctant to engage in public attribution that can devalue or endanger their sources.

Private companies can also be reluctant to publicly attribute cyber attacks to foreign states. It was not always this way: companies used to be happy to blame cyber attacks on foreign state-backed actors as they looked less inept if their cyber defences had failed in the face of supposed Russian or Chinese state-backed hackers rather than criminal cyber groups or teenage amateurs. Mais cela change. Insurance companies now hold that a hack supported by a foreign state is cyber warfare and, therefore, refuse to provide compensation. This happened in the fallout from NotPetya, the world’s costliest virus attack, which started in Ukraine but then affected dozens of companies around the world. The UK government accused Russia of attacking Ukraine’s digital infrastructure with NotPetya. But when the virus spread and one of the affected companies – the maker of Cadbury chocolate – made an insurance claim for the attacks, its Swiss insurer refused to provide compensation, invoking the UK government’s attribution of the attack to Russia as proof that NotPetya was an act of cyber warfare not covered by its insurance.

Beyond naming and shaming, states have started to make greater use of indictments, counter-offensive cyber strategies, and even hack backs. Their goal is to change the calculations of foreign state-backed cyber actors by starting to impose costs – on the cyber actors themselves and the states supporting them. The US pioneered this approach, which has been increasingly adopted by the UK, the Netherlands, and, on a smaller scale, France. All three countries have changed their cyber doctrines to move from an almost exclusive focus on cyber defence and cyber intelligence collection towards the possibility of counter-offensive cyber actions. What drives this greater assertiveness is an understanding that toothless cyber diplomacy is not enough to combat the state-sponsored cyber threats to Europe.

Conclusion and recommendations

Dealing with hybrid threats involves action on several fronts. The first is the political front. The second is the digital home front. The third is the intelligence front: setting new goals and standards for intelligence services, and improving the coordinated approach within Europe. And, finally, EU member states and the EU itself can take steps on the diplomatic front to deal with foreign powers that conduct hybrid operations against them.

The political front

The European conversation on hybrid threats is polarised between political actors that see Russian interference in every European election and those that are completely dismissive of such fears. Europe would benefit if accusations of foreign interference were better supported with facts and details – such as those the Mueller inquiry provided in the US. Despite a plethora of journalistic investigations, and periodic statements from politicians, European legislative and judicial bodies have released few details about their assessment of the situation. This certainly does not help the EU arrive at a more united understanding of the scope of threats it faces.

Key instruments for creating a more unified awareness across Europe lie in the hands of national elites. These include more systematic use of parliamentary or UK-style public inquiries (such as the Chilcot and Leveson inquiries) and more systematic law enforcement work to pursue those who broke electoral law by attempting to influence votes through digital or financial activities.

The digital home front

On issues such as election interference, one way to hedge against the vagaries of the digital age is to return to analogue methods. The Netherlands reverted to paper ballots and hand counting in elections in 2017 as insurance against cyber tampering with voting machines and digital infrastructure. On some occasions, internet giants have chosen not to run political adverts at all – Facebook took this course during the recent Nigerian election. And, after Canada introduced strict requirements on the transparency of electoral adverts, Google decided not to run these. This is not a long-term solution, but it could be a temporary one until governments and these companies flesh out transparency rules governing campaign ads.

Dealing with cyber threats presupposes investment in the EU’s capacities to deal with such issues. This requires several types of action:

Transform ENISA into a well-staffed and well-financed cybersecurity institution in which multiple functions are centralised: computer emergency response teams (CERTs), cyber forensic teams, and legislative teams that drive up cyber hygiene standards across the EU. 
Within or outside ENISA, it is in the EU’s interest to acquire a sovereign, pan-European capacity to investigate the sources of major cyber attacks directed at sensitive state institutions or critical infrastructure. This means beefing up European capacities for both cyber forensics, but also focusing and pooling together intelligence collection on cyber issues. Six EU member states have been leading the EU effort to build an EU Cyber Rapid Response Force that would help member states tackle serious cyber attacks. But once a crisis has been resolved, the EU also needs the capacity to conduct systematic, sophisticated, and post-factum analysis of the potential sources of cyber attacks. This would improve future protection and create the basis for subsequent diplomatic responses against suspected perpetrators (see below).
EU member states should jointly invest in offensive cyber capabilities within PESCO. Lead nations such as France or the UK (if it stays affiliated with EU defence cooperation after Brexit) could provide the core capabilities that other states can build on. This would also avoid duplication of basic capabilities in every national cyber agency at the expense of more sophisticated cyber weapons, which can only be jointly developed. This is highly controversial for most EU member states. But key European states – and global or regional powers such as the US, Russia, China, and Israel – are already employing sophisticated cyber weapons. Even states that are sceptical of the ethical legitimacy of this will be affected by the employment of offensive cyber weapons by third states. And, sooner or later, they will want to benefit from the deterrent effect of European cyber weapons (and the threat to use them). Still, it remains to be seen whether such policies can be developed with all European states on board or whether it will be left to the most capable EU member states to spearhead the process.
All European countries should improve personal cyber hygiene standards, both among the general public and in government. For example, European delegations consisting of diplomats from different member states behave in different ways when visiting state institutions in foreign countries that are perceived as aggressive in cyber space and electronic intelligence collections. Some European foreign ministries make their diplomats keep their mobile phones in Faraday cage bags when entering public buildings, while others do not. Indeed, many diplomats do not know what Faraday cages are. So, even a strong push to coordinate and spread core cyber hygiene standards for European diplomats, militaries, parliamentarians, and other officials would already constitute a step forward. The undertaking could include policies on: Faraday cages for European delegations travelling abroad; bans on the use of manufacturers’ passwords in the public sector; and compulsory use of minimally safe passwords (checked against databases of compromised or leaked passwords).

The intelligence front

A European Investigative Service and a general prosecutor that works independently from member states would be best suited to tackling interference in domestic affairs and the subversion of state institutions by foreign intelligence services, as this would cut short attempts to suppress investigations for political reasons. That said, there is little chance that the EU will do this.

Any new European capacity would have to come on top of existing national capacities, to amplify and reinforce them. This will not make up for intelligence cooperation with the US in the short or even medium term. But it would certainly enhance European capabilities. The EU and its member states should consider the following actions:

Expand Europol’s remit to include counter-intelligence: Europol has long supported European countries’ fight against organised crime, money laundering, and other transnational criminal activities. It has come across foreign intelligence operations in the past, some of which intersect with organised crime. Europol members should now create counter-intelligence bureaus, analytical cells, and data exchange formats to tackle cross-border activities. This would be particularly beneficial for small states fighting against foreign intelligence services’ activities.
Set common legal standards on subversion and hostile intelligence services: the legality of some intelligence activities varies between European countries. Counter-intelligence will not work without clear, legally binding definitions of what constitutes espionage, subversion, conspiracy, and hostile influence operations. Common standards would also facilitate cross-border cooperation between authorities, particularly in the indictment of suspects.
Tighten standards for financial supervision and investment screening of foreign state-affiliated actors: Like organised crime, foreign intelligence operations require logistical infrastructure such as illegal residences; anonymous bank accounts or opaque financial schemes to funnel money to sources; fake companies and information networks; and fake news outlets to use for agitation. Greater transparency on real estate and corporate ownership would facilitate the fight against organised crime as well.
Establish a centre of excellence on subversion and counter-intelligence: The NATO Cooperative Cyber Defence Centre of Excellence does a good job of analysing threats and compiling national situation reports. The constant exchange of information between various branches of government has increased member state bureaucracies’ knowledge and understanding of this matter. The same approach would be helpful for counter-intelligence.
Introduce common procurement of strategic intelligence, surveillance, and reconnaissance platforms: On hybrid threats, domestic counter-intelligence is often the focus of policy discussions. But in an escalating confrontation, the capacity to predict adversaries’ military moves is pivotal. Europe needs to acquire airborne and shipborne strategic intelligence platforms. It currently lacks electronic- and signals-intelligence aircraft with long endurance and corresponding ground-based surveillance stations, particularly in the Black Sea. It also lacks stealthy autonomous aerial vehicles to collect intelligence in highly contested airspaces, such as Syria or Crimea.

The diplomatic front

European cyber diplomacy needs to become much more ambitious in developing a strong diplomatic infrastructure that reduces hybrid, cyber, and intelligence risks to the EU. It needs to do so jointly with potential allies. This infrastructure would need three layers: working with existing allies, fostering new cyber alliances, and developing assertive dialogues with states that are testing EU countries’ defences with their hybrid tools.

Working with allies

The EU will never be entirely sovereign in the defence sphere without a nuclear deterrent. But there is no prospect of this unless France extends its nuclear protection to the entire EU and all other EU states accept it.

Even in other spheres, Europe is a long way from establishing a self-sufficient capacity to push back against hybrid, cyber, and intelligence threats. And even if it attains self-sufficiency, the EU’s sovereign action will only become stronger if it can sustain strong allied responses to these risks coordinated with the post-Brexit UK, the US, Canada, and NATO. So, whether the EU has its own capacities to combat such threats or not, the first port of call will still be its closest allies in NATO – where a clear division of labour, or joint action with NATO, is likely to be the rule of thumb.

For NATO, the first task is deterrence (including nuclear deterrence) and defence. On hybrid threats, the picture is less clear. Hybrid operations are often a prelude to more intense pressure or even aggression. They are intended to erode the opponent’s will or capacity to resist. The EU will remain the prime legal arbiter countering most hybrid threats to Europe. This is due to the EU’s common space on security and justice, the close cooperation between its member states on homeland affairs, and the EU’s legal authority over the common market (which is important on energy issues, fighting financial crime and illegal financial transactions, and border security) and its evolving competences in the digital space.

However, the EU should aim to closely coordinate its own procedures and policies with those of NATO. While Turkey blocks formal EU-NATO coordination, it is possible to circumvent this: EU member states can push for the same agenda and programmes within both organisations. This is particularly the case in planning and exercises for: NATO troops reinforcing local police detachments in frontline states in response to hybrid threats; NATO support capabilities (such as air transport, cyber troops, engineers); and emergency situations in Europe.

Finally, military and civilian intelligence sharing within NATO is important to Europe’s overall preparedness for all sorts of threats – ranging from hybrid threats to traditional military threats. Exchange of experts and officials between Europe’s inward-looking institutions (such as Europol and the European commissioner for justice and home affairs) and NATO’s outward-looking assets and experts could improve their situation awareness. Here, too, member states need to circumvent the diplomatic impasse between Turkey and Cyprus by creating exchange forums on their own initiative.

Fostering new cyber alliances

The EU should expand its partnerships to combat hybrid and cyber threats in conjunction with friendly governments – in countries ranging from those in the western Balkans to Ukraine and New Zealand.

Friendly cyber partnerships can have multiple aims: capacity-building; providing assistance in establishing national cybersecurity strategies; addressing cyber crime; instituting cybersecurity standards; protecting critical infrastructure; and helping defend electoral processes from interference.

To a degree, the EU should conduct lawfare against its cyber adversaries. It is in EU’s interest to become one of the driving forces of a global alliance promoting a crackdown on aggressive state-sponsored cyber behaviour through legal means. State-to-state dispute resolution is always difficult, not least in the cyber domain. Various models have been discussed in this respect. Some legal scholars have argued that state-sponsored cyber attacks fall well within the jurisdictional scope of the International Court of Justice, as they constitute potential violations of state sovereignty. Another form of legal and institutional pushback is to seek to create a World Trade Organisation-style dispute settlement mechanism for inter-state cyber affairs, in which an international body would have investigatory and adjudicatory powers. The EU should forge a global alliance of states that push for more assertive legal mechanisms to combat cyber threats through international law and international legal bodies.

Hard cyber talks

European efforts to forge global cyber partnerships should be matched by cyber dialogues with problematic cyber players such as Russia, China, North Korea, and Iran. One dictum of conflict resolution is that peace deals arise during mutually painful stalemates.[9] In the cyber domain, there is currently no stalemate: the situation is painful only for EU states. The nuclear détente in the 1970s was possible because each side was armed to the teeth and competition between them was costly. So, both had an incentive to slow things down. Today, most of the EU is a punch bag for hybrid and cyber operations.

Europe should pursue a ‘dual track’ approach of confrontation followed by dialogue with unfriendly cyber powers. EU member states are currently split – some prefer dialogue on cyber and hybrid issues, while others have started to opt for confrontation because dialogue seems to be failing. To be more efficient, and to keep the EU united, Europeans will need to combine both approaches. Europe should actively work towards a series of cyber détentes by starting to be more confrontational about hostile behaviour directed at it.

A more adversarial dialogue will involve attribution behind closed doors, as well as periodic public attribution and even indictments of attackers if things do not improve. Hard-nosed trading of mutual concessions would supplement this approach. It could include mutually agreed red lines for cyber attacks: penalising attacks on critical infrastructure, including electoral infrastructure, but also tacitly accepting that some forms of hostile cyber activities will probably continue.

One can also look to gain leverage over the cyber field by conditioning free trade, investment screening, and development assistance on ‘polite enough’ cyber behaviour. Cooperation on combating cyber threats should become part of major EU partnership agreements.

Ultimately, to become more capable of dealing with hybrid threats on its own – to become more sovereign – the EU will have to start acting more like the US. This will involve investigating hybrid activities directed against European countries in much greater detail, and transparency about the findings of these investigations. European countries also need to move more quickly from the ‘soul-searching’ and assessment stage to fully acknowledgement of the scale of the problem and the adoption of a more robust form of engagement. This will involve a combination of dialogue with friends and adversaries alike, and engaging pushback such as public attribution. Without these measures, it is unlikely that Europe will attain any true degree of sovereignty in a world in which countries are increasingly liable to incorporate hybrid threats into their armouries.

Acknowledgements

ECFR would like to thank the officials who have shared their thoughts and analysis, including those from the Czech Republic, Estonia, France, Germany, Latvia, Lithuania, the Netherlands, Poland, Spain, Sweden, the United Kingdom, the European Commission, and the European External Action Service. Due to the sensitive nature of the topic, all of these officials prefer to remain anonymous. Thank also go to Sven Herpig, Manuel Lafont Rapnouil, Tara Varma, Sico van der Meer, Thomas Reinholdt, and the participants in an ECFR brainstorming session on cyber diplomacy held in Madrid in March 2019 for their feedback on the ideas expressed in the paper or on the paper itself. The authors would like to thank Marta Pellón Brussosa for her assistance in conducting research for this paper. Responsibility for the paper rests solely with its authors.

[1] Telephone interview, 7 February 2019.

[2] Interview with EU official, Brussels, 12 March 2019.

[3] Telephone interview with EU member state diplomat dealing with hybrid threats, 25 January 2019.

[4] Interview with EU official, Brussels, 12 March 2019.

[5] Telephone interview with an EU member state diplomat, 11 March 2019.

[6] Telephone interview with EU member state diplomat, 11 March 2019.

[7] Member state diplomat, remarks at ECFR EU-Russia Strategy Group, Madrid, 22 March 2019, under the Chatham House rule.

[8] Interview with French foreign ministry official, November 2018.

[9] Jonathan Powell, Talking to Terrorists: How to End Armed Conflicts, Vintage, London, 2015.

Share this publication

×

More on: European Power, European Sovereignty

22724

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *