Avril 2007, une série de cyberattaques visa les sites web d’organisations estoniennes, tels que le Parlement estonien, les banques, les ministères, les journaux et diffuseurs. Cette grave cybermenace influença à n’en pas douter l’Union européenne, pour l’édiction de la directive du 8 décembre 2008 relative au recensement et à la désignation des infrastructures critiques européennes (1). Se limitant néanmoins aux secteurs de l’énergie et des transports, elle n’apporta aucune action concrète. Elle se contenta tout au mieux d’appeler les Etats-membres à identifier les infrastructures critiques concernées et prévoir des mesures de sécurité, sans entrer véritablement dans le détail des mesures nécessaires.
Et ce qui devait arriver arriva, une attaque informatique visa le marché européen du carbone en janvier 2011 : la Commission européenne suspendit les transactions sur cette plateforme permettant d’acheter et de revendre des quotas d’émission de carbone, pour ne redevenir complètement opérationnelle que trois mois plus tard.
Les différentes cybermenaces
Parler de cybermenace est un fait, mais quels sont les types d’attaques répertoriés ? Elles peuvent être variées et répertoriées selon trois modes principaux (2) :
- la « guerre pour l’information » ou cyberespionnage, visant à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées ;
- la « guerre contre l’information » ou sabotage, qui s’attaque à l’intégrité de systèmes informatiques pour en perturber ou en interrompre le fonctionnement (avec les attaques par déni de service) ;
- la propagande de désinformation ou d’action politique (Covid 19, conflit russo-ukrainien, conflit entre Israël et le Hamas).
La déstabilisation par déni de service (ou Denial of Service attack, DOS) consiste plus précisément en l’envoi massif de données pour perturber l’accès aux pages Web, comme en Estonie ou au sein de l’Union européenne en 2011. Le Japon fut de même l’objet de près de 450 millions de cyberattaques visant les Jeux Olympiques et Paralympiques de Tokyo (un nombre d’attaques 2,5 fois plus élevé que lors des Jeux Olympiques de Londres en 2012).
Il ne faut pas oublier non plus la cybercriminalité qui, de l’aveu du général Marc Boget (3), aurait représenté 6 000 à 7 000 milliards de dollars en 2020 à travers le monde, avec une attaque par rançon-logiciel toutes les 11 secondes. Ce coût de la cybercriminalité est dix fois plus élevé qu’en 2018, le Center for Strategic and International Studies (CSIS) et la société McAfee l’ayant évalué cette année-là à 600 milliards de dollars (4).
Malgré l’adoption de nombreux documents ou plans d’action, l’Union européenne ne semblait pas encore avoir pris la mesure de l’importance des enjeux liés à la sécurité des systèmes d’information en 2012. Trois lacunes avaient alors été constatées : un véritable manque de stratégie globale du cyberespace à l’échelle européenne ; une dispersion des acteurs avec une concurrence entre les différentes directions générales pour le pilotage des enjeux de cybersécurité au sein de l’Union ; enfin, un manque d’efficacité.
Il apparaissait dès lors évident en 2012 que, « malgré l’adoption d’un grand nombre de textes, l’action concrète de l’Union européenne dans ce domaine est restée jusqu’à présent relativement limitée », soulignant à cette époque-là une implication encore insuffisante de l’Union européenne en la matière (5).
La question de la législation
Mais était-ce réellement la stratégie de l’Union européenne de légiférer en la matière ? Pour rappel, l’Europe s’est d’abord construite sur une ambition économique. Instaurée comme Communauté européenne du charbon et de l’acier (CECA) devenue Communauté européenne (CE) puis Union européenne (UE), rien ne laissait présager un tel axe de régulation, qui fut certes pris en compte lentement mais progressivement. Ce lien entre le numérique et la Communauté concerna principalement le soutien au Marché unique et la défense du citoyen-consommateur, par exemple avec le règlement « eIDAS » du 23 juillet 2014 (6).
Puis cette protection de l’économie dans le domaine numérique fut étoffée d’instruments juridiques nécessaires à une régulation du cyber dans l’espace économique européen (7), même si le consensus entre Etats membres a été (et reste encore) défaillant. En d’autres termes, cette absence de consensus se traduit malheureusement par une « incapacité durable de l’Union à lutter contre les pratiques prédatrices de certains Etats membres qui profitent de la compétence nationale qui est la leur pour développer des ‘fiscalités accommodantes’ (avantages fiscaux accordés par certains Etats aux GAFAM) » (8).
En tout état de cause, l’ébauche de régulation du cyber par l’Union peut être considérée comme tardive, même si quelques instruments existaient auparavant. Mais au-delà de la pure régulation juridique qui ne doit pas être l’œuvre d’un travail purement descriptif, il n’est pas inintéressant de se demander si cette régulation ainsi évoquée tient lieu de stratégie de la part de l’Union européenne, d’une stratégie voulue et consensuelle, ou si elle n’est pas freinée en raison des potentielles réticences des Etats membres, quitte à ce que le souhait d’une harmonisation dans la régulation de la cybermenace ne laisse pas la place à une « balkanisation » des structures dédiées à la lutte contre les cybermenaces, au détriment d’une coopération efficace.
La cybersécurité : une stratégie de régulation qui a tâtonné
Il fallut attendre 2013 pour que la cybersécurité soit appréhendée comme une priorité stratégique au sein de l’Union européenne. Cette stratégie dénommée « Un cyberespace ouvert, sûr et sécurisé » reposait sur cinq priorités : 1° Parvenir à la cyber-résilience ; 2° Faire reculer la cybercriminalité ; 3° Développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC) ; 4° Développer les ressources industrielles et technologiques en matière de cybersécurité ; 5° Instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’Union.
Le point nodal de la stratégie de 2013 consistait à bâtir un lien fort entre le renforcement de la cybersécurité et le développement de ressources industrielles et technologiques propres à ce secteur.
La même année, la directive du 12 août 2013 relative aux attaques contre les systèmes d’information (9) eut quant à elle pour objectif de rapprocher le droit pénal des États membres dans le domaine des cyberattaques en fixant des règles minimales relatives à la définition des infractions pénales et les sanctions applicables, et de renforcer la coopération entre les autorités compétentes. A savoir la police et les services spécialisés chargés de l’application de la loi dans les États membres, ainsi que les agences et organes spécialisés compétents de l’Union (Eurojust, Europol et son Centre européen de lutte contre la cybercriminalité), sans oublier l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA).
Surtout, la directive du 6 juillet 2016 sur la sécurité des réseaux et des systèmes d’information (10) (dite SRI) – ou directive Network and Information System (NIS) – fut la première législation européenne sur la cybersécurité, ayant pour finalité de garantir un niveau de sécurité des réseaux et des systèmes d’information uniformément élevé dans l’ensemble de l’Union, au travers de quatre axes :
- le renforcement des capacités nationales, avec l’obligation pour chaque État membre de se doter d’une stratégie nationale de cybersécurité, et la mise en place des « Computer Security Incident Response Team » (CSIRT) pour chaque secteur essentiel de l’économie et de la vie en société (11) ;
- l’établissement d’un cadre de coopération volontaire entre les États membres et l’Union, avec la création d’un groupe de coopération (dimension politique de la cybersécurité) et d’un réseau européen des CSIRT (dimension technique) ;
- le renforcement pour chaque État membre de la sécurité informatique de ses opérateurs de services essentiels (OSE) ;
- l’instauration de règles européennes communes concernant la cybersécurité de trois types de fournisseurs de services numériques (FSE) : acteurs de l’informatique en nuage, moteurs de recherche et places de marché en ligne.
Dans la pratique, le groupe de coopération de la directive SRI, créé pour permettre d’harmoniser la mise en œuvre de la directive, s’avère être un carrefour de coopération très précieux en réunissant les autorités nationales référentes, l’ENISA et la Commission européenne. Ce groupe de coopération a su devenir un forum efficace pour fournir des orientations au réseau des CSIRT européens (réunissant les CSIRT nationaux), et le CERT-EU (organe équivalent de l’Union européenne).
Un bilan mitigé
Pour autant, un premier bilan mitigé de l’application par les États membres de la directive SRI fut rendu dans un rapport de la Commission du 28 octobre 2018 (pour la période de septembre 2018 à novembre 2019). Même si sa mise en œuvre de cette directive fut synonyme de progrès significatifs « elle ne constitue qu’une première étape dans la construction d’une véritable ossature de cybersécurité européenne [et] agit en outre comme le révélateur de faiblesses intrinsèques à certains États membres » (12).
Conformément à sa clause de révision, la directive SRI fut améliorée et substituée par la directive SRI 2 du 14 décembre 2022 (13), promouvant notamment des objectifs de coopération renforcée entre les États membres. Des obligations spécifiques ont par exemple été instituées pour les centres de réponse aux incidents de sécurité informatiques (CSIRT – CERT en France), comme la participation à des réseaux de coopération nationale, ou encore l’obligation d’être un point de contact pour que les entités communiquent sur leurs vulnérabilités.
De plus, un nouveau réseau a été mis en place, en sus du réseau national des CSIRT, du réseau européen et du groupe de coopération. Dénommé réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONE), il a pour tâche : de renforcer le niveau de préparation à la gestion des incidents de cybersécurité majeurs et des crises ; de développer une connaissance situationnelle partagée de ces incidents ; d’évaluer leurs conséquences et de proposer des mesures correctrices ; de coordonner la gestion des incidents et la prise de décision au niveau politique ; enfin, d’examiner le plan de réaction des États membres lorsque ceux-ci en font la demande.
L’ENISA, ou la coopération structurelle renforcée de la cybersécurité
Créée en 2004 (14) et installée à Héraklion (Crète) puis à Bruxelles (15), la European Union Agency for Network and Information Security (ENISA) est une agence de l’Union européenne chargée de la sécurité des réseaux et de l’information qui assiste les pouvoirs publics dans l’identification des enjeux de cybersécurité et propose des solutions techniques pour lutter contre les cybermenaces.
Elle s’est ainsi vue confier des missions diverses, appréhendées en trois domaines : 1° en tant qu’agence d’expertise technique, le conseil et l’assistance de la Commission européenne et des États membres en matière de sécurité des systèmes d’information ; 2° le soutien des Etats membres et des institutions européennes dans le développement de capacités de réponse aux cybermenaces ; 3° la promotion de la coopération entre les Etats membres, notamment par des exercices communs.
Elle publia par exemple des rapports pour le moins pertinents, comprenant des recommandations concrètes, que ce soit sur les systèmes de contrôle industriels et les SCADA (16) ou la cybersécurité maritime, sans oublier, l’exercice européen de crise « Cyber Europe 2010 » dans le cadre du groupe de travail sur les exercices piloté par l’ENISA.
Le rôle de l’ENISA
L’ENISA a vu son mandat renforcé, étant un point de référence pour l’ensemble de l’Union, notamment en aidant activement les États membres et les institutions, organes et organismes de l’Union. La directive SRI du 6 juillet 2016 lui confia d’ailleurs des missions importantes à cet effet : assurer le secrétariat du réseau des CSIRT pour obtenir une coopération rapide et effective au niveau opérationnel entre États membres (en cas d’incidents de cybersécurité spécifiques), et pour échanger des informations sur les risques ; assister le groupe de coopération de la directive SRI, les États membres et la Commission en fournissant expertise et conseils.
Le règlement du 7 juin 2019 relatif à l’ENISA (ou Cybersecurity Act) (17) eut quant à lui pour finalité de regrouper deux objets distincts. En premier lieu, les objectifs, les tâches et le statut de l’ENISA furent redéfinis en prévoyant des dispositions précises sur ses missions, son fonctionnement, sa composition, et son personnel. En second lieu, ce règlement donna un cadre à la mise en place des schémas européens de certification de cybersécurité, pour garantir la cybersécurité des produits de technologies d’information et de communication (TIC), services TIC et processus TIC au sein de l’Union.
Elément essentiel, le règlement a prévu une coopération opérationnelle efficiente au sein de l’Union (article 7). En ce sens, l’ENISA apporte son soutien à la coopération opérationnelle entre les États membres, les institutions européennes et les parties prenantes ; soutient aussi activement le partage d’informations et la coopération entre les membres de ce réseau.
Dans la continuité de cette stratégie de sécurité des réseaux et de l’information, a été instaurée une équipe d’intervention d’urgence a été instaurée afin de protéger les institutions européennes contre les cyberattaques. Comme les autres CSIRT publics et privés, le CERT-UE a vocation à répondre de manière efficace à des incidents de sécurité informatique et aux cybermenaces (24 heures sur 24 et 7 jours sur 7).
Au-delà des missions traditionnelles incombant à tout CSIRT, le CERT-UE est un centre d’intervention d’urgence qui « vise à construire et compléter les capacités existantes des institutions, organes et agences de l’Union et à encourager l’émergence d’une culture de la confiance au sein de cet environnement protégé » (18).
Certes, il faudra convenir que cette coopération sur le plan opérationnel ne constitue pas véritablement un ensemble de missions opérationnelles, mais plutôt une synergie avec les institutions européennes.
De nouvelles dispositions
Cette disposition prévoit également une coopération structurée avec le Centre européen de lutte contre la cybercriminalité (EC3) créé en 2013. Composante d’Europol, il a pour ambition d’apporter une réponse institutionnelle à la forte progression de la cybermenace en renforçant la répression de la cybercriminalité dans l’Union. La coopération est ici observée en rassemblant auprès des pays l’information et l’expertise, en soutenant les enquêtes pénales menées par les États membres, en promouvant des solutions, et enfin en sensibilisant aux enjeux de cybersécurité à l’échelle de l’Union.
Face aux risques de morcellement national et à la sensibilité des questions de souveraineté que soulève l’enjeu de cybersécurité, le Cybersecurity Act du 7 juin 2019 apporte enfin une pièce majeure à l’édification d’une architecture solide. Consacrant une véritable autonomie stratégique de l’Union pour la cybersécurité, il fait de l’ENISA la pierre angulaire de la cybersécurité européenne. Avec ce règlement, elle est en effet devenue l’Agence de l’Union européenne pour la cybersécurité.
Pour autant et ce qu’il ne faut pas perdre de vue, cette Agence « ne doit, ni ne peut, se substituer aux agences nationales qui sont les premières à devoir assurer les missions de détection, de diagnostic et de réponse aux crises en matière de cybersécurité. […] Elle peut en revanche devenir le point de référence auprès des institutions de l’Union et des États membres, et favoriser l’émergence d’une véritable plateforme de la cybersécurité européenne, susceptible de contribuer à la robustesse des systèmes de défense nationaux en favorisant les collaborations multilatérales » (19).
C’est peut-être aussi la raison pour laquelle des Etats membres ont refusé d’attribuer des pouvoirs d’enquête à l’ENISA, et a fortiori de lui donner un rôle plus opérationnel, craignant que l’ENISA ne se substitue aux capacités opérationnelles des États membres, alors même que ces derniers disposent de capacités techniques et opérationnelles suffisantes.
En France, le Sénat s’est ainsi opposé dans sa résolution du 6 décembre 2017 à ce que l’ENISA dispose de pouvoirs d’enquête, rappelant que cette attribution ne respectait pas le principe de subsidiarité. Il estima que « la coopération européenne dans la cybersécurité devait continuer à se faire sur la base de la participation des États membres et de la transmission volontaire d’informations sensibles, voire relevant de la sécurité nationale » (20).
L’Union européenne en quête d’une coopération effective dans la cyberdéfense
Il aurait pu sembler que l’Union européenne était bien armée pour se défendre contre n’importe quel type d’attaque. L’article 42 § 7 du traité sur l’Union européenne ne prévoit-il pas une clause d’assistance mutuelle, au cas où un État membre serait l’objet d’une agression armée sur son territoire. Les autres États membres lui devraient alors aide et assistance par tous les moyens en leur pouvoir, (conformément à l’article 51 de la charte des Nations unies).
Néanmoins, cette clause d’assistance mutuelle n’a pour le moment été activée qu’une seule fois, quand la France formula une demande d’aide et d’assistance auprès des Etats membres à la suite des attentats du 13 novembre 2015. Légitimement appliquée pour la lutte contre le terrorisme, rien ne semble penser que ce mécanisme puisse en revanche être appliqué pour les cybermenaces, à l’instar d’ailleurs des autres mécanismes internationaux d’assistance mutuelle (articles 51 de la Charte des Nations unies ; article 5 du Traité de l’Atlantique Nord) qui n’ont pas non plus été activés à ce propos. Quoi qu’il en soit, et même si ces propos datent de 2012, « il n’existe aucun consensus entre les vingt-sept Etats membres de l’Union européenne sur la mise en œuvre de la « clause de défense mutuelle » contenue dans le traité de Lisbonne, en cas d’attaque informatique majeure contre un Etat membre » (21). Propos qui ne semblent malheureusement pas encore avoir été l’objet d’une réflexion approfondie.
C’est d’ailleurs dans le cadre de la coopération structurée permanente (CSP) lancée le 11 décembre 2017 entre 25 États membres (22), que deux projets liés à la cyberdéfense virent le jour :
- celui d’équipes d’intervention rapide en cas d’incident informatiques et assistance mutuelle dans le domaine de la cybersécurité (Cyber Rapid Response Teams and Mutual Assistance in Cyber Security), pour intégrer l’expertise des États membres dans le domaine de la cyberdéfense. Des équipes d’intervention rapide (Cyber Rapid Response Teams – CRRTs) constituées permettent aux États membres de s’entraider et de répondre collectivement aux incidents cyber ; de porter assistance tant aux États membres, qu’aux institutions européennes ou à des pays partenaires.
- ainsi que la création d’une plateforme de partage d’informations en matière de réaction aux menaces et incidents informatiques (Cyber Threats and Incident Response Information Sharing Platform), dans l’idée de renforcer les capacités de cyberdéfense des États participants en favorisant le partage du renseignement sur les cybermenaces.
Bien que ces deux projets soient ambitieux, des interrogations sont toujours présentes eu égard à leur portée réelle, dans la mesure où « le déploiement des CRRTs notamment se heurtera probablement, de manière concrète, à la réticence de certains États à voir des équipes pour partie composées de non-nationaux intervenir sur leurs réseaux » (23).
Liée encore une fois à la potentielle réticence des Etats, une dernière difficulté tient au fait que les décisions et recommandations du Conseil prises dans le cadre de la coopération structurée permanente le sont à l’unanimité des 25 États membres participants, ce qui pourrait singulièrement compliquer la mise en œuvre de celle-ci… N’oublions pas malheureusement la difficulté qu’ont les Etats membres à poursuivre des ambitions communes et faire consensus, comme le prouvent de nombreux exemples (Brexit, Europe de la défense, ou position de certains États dans le cadre du conflit russo-ukrainien).
Conclusion
Il était déjà fait état de la lenteur de la mise en place du dispositif de lutte contre les cybermenaces dans le Livre blanc sur la défense et la sécurité nationale de 2013. Se posait alors la question de savoir comment conjuguer une telle action d’urgence avec une stratégie politique de plus long terme visant à asseoir l’autorité d’un État, seul garant légitime et durable de la protection des populations. Si les rédacteurs du Livre blanc dressèrent un constat sans appel, il semblait difficile que ce constat soit toujours valable dix années plus tard. Effectivement, « la réponse à ces questions émerge trop lentement dans les crises où ces principes sont testés. Le consensus international qui pourrait accompagner et canaliser les évolutions nécessaires reste insuffisant, alors que des situations inédites transforment rapidement le paysage stratégique » (24).
Un consensus difficile en somme, d’autant plus quand l’on connait les potentielles capacités techniques de certains Etats membres, à l’image de la France qui dispose de divers services ayant pour partie ou totalement la cyberdéfense comme domaine de compétence : Agence nationale de la sécurité des systèmes d’information (ANSSI) ; Commandement de la cyberdéfense (COMCYBER) ; Direction générale de la sécurité extérieure (DGSE) ; Direction du renseignement et de la sécurité de la défense (DRSD) ; Direction du renseignement militaire (DRM) ; Direction générale de la sécurité intérieure (DGSI) ; Direction nationale du renseignement et des enquêtes douanières (DNRED) ; Tracfin ; Office anticybercriminalité (OFAC) ; ou encore Commandement de la Gendarmerie dans le cyberespace (COMCyberGEND).
En tout état de cause, la coopération renforcée entre Etat est plus que bienvenue. Une action efficace dans la lutte contre les cybermenaces étant intrinsèquement liée à la décision politique de chaque Etat membre pour y faire face.
Finalement, et sans être grand clerc en la matière, « la solution au problème de l’expansion digitale ne se trouve pas dans un surcroît de digitalisation mais dans la recherche d’un arbitrage en surplomb, c’est-à-dire dans la réintroduction de la politique, d’une force organisée et d’institutions » (25).
1. Dir. 2008/114/CE du Conseil du 8 déc. 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.2. Cette distinction a été faite par Roger ROMANI, in Rapport d’information sur la cyberdéfense, Sénat, n°449, 8 juill. 2008, p. 12
3. Directeur de la stratégie numérique et technologique de la Gendarmerie Nationale.
4. Éric BOTHOREL, Rapport d’information sur l’avenir de la cybersécurité européenne, Assemblée nationale, n°2415, 14 nov. 2019, p. 13.
5. Jean-Marie BOCKEL, Rapport d’information sur la cyberdéfense, Sénat, n°681, 18 juillet 2012, p. 62.
6. Règ. (UE) (UE) n°910/2014 du Parlement et du Conseil du 23 juill. 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
7. Pour exemple : Règ. d’exécution (UE) 2018/151 de la Commission du 30 janv. 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
8. Didier DANET, Conflits, hors-série, juin-juill. 2022, p. 47.
9. Dir. 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil
10. Dir. (UE) 2016/1148 du Parlement européen et du Conseil du 6 juill. 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
11. Équipe d’intervention en cas d’incident informatique. Le terme est privilégié en Europe car le terme de « Computer Emergency Response Team » (CERT) provient des États-Unis.
12. Éric BOTHOREL, op. cit., 14 nov. 2019, p. 34.
13. Dir. (UE) 2022/2555 du Parlement européen et du Conseil du 14 déc. 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la dir. (UE) 2018/1972, et abrogeant la dir. (UE) 2016/1148 (directive SRI 2)
14. Règ. (CE) n°460/2004 du 10 mars 2004
15. Si l’ENISA s’était vu confier un nouveau mandat en 2013 (Règ. (UE) n°526/2013 du 21 mai 2013) pour une période de sept ans, jusqu’en 2020, la Commission a ensuite adopté la décision relative à l’établissement du bureau de l’Agence de l’Union européenne pour la cybersécurité (ENISA) à Bruxelles.
16. Supervisory Control and Data Acquisition ou Système de contrôle et d’acquisition de données.
17. Règ. (UE) 2019/881 du Parlement et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications et abrogeant le règlement (UE) n°526/2013.
18. Éric BOTHOREL, op. cit., 14 nov. 2019, p. 24.
19. Ibid., p. 39.
20. Résolution européenne portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement relatif à l’ENISA, Sénat, n°25.
21. Jean-Marie BOCKEL, op. cit., 18 juill. 2012, p. 64.
22. TUE, art. 46.
23. Bastien LACHAUD et Alexandra VALETTA-ARDISSON, Rapport d’information sur la cyberdéfense, Assemblée nationale, n°1141, 4 juill. 2018, p. 27.
24. Livre blanc sur la défense et la sécurité nationale, La documentation française, Paris, 2013, p. 32.
25. Antoine GARAPON et Jean LASSÈGUE, Justice digitale, Presses universitaires de France, Paris, 2018, p. 334.