En écho à la tenue du Forum International sur la Cybercriminalité et en liaison avec la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, la Commission européenne a publié une stratégie en matière de cybersécurité ainsi qu'une proposition de directive concernant la sécurité des réseaux et de l'information.
Que dit la stratégie ?
La stratégie de cybersécurité «Un cyberespace ouvert, sûr et sécurisé», expose la vision globale de l'Union européenne en ce qui concerne les meilleurs moyens de prévenir les perturbations et attaques visant le cyberespace et de s'y opposer. Elle vise à promouvoir les valeurs européennes que sont la liberté et la démocratie et à faire en sorte que l'économie numérique puisse se développer en toute sécurité. Des mesures spécifiques sont prévues pour accroître la résilience des systèmes informatiques, faire reculer la cybercriminalité et renforcer la politique internationale de l'UE en matière de cybersécurité et de cyberdéfense.
La vision de l'UE en matière de cybersécurité s'articule autour de cinq priorités:
- parvenir à la cyber-résilience,
- faire reculer considérablement la cybercriminalité,
- développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC),
- développer les ressources industrielles et technologiques en matière de cybersécurité,
- instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l'UE.
Et la directive ?
La proposition de directive sur la sécurité des réseaux et de l'information obligerait tous les États membres, les facilitateurs de services internet clés et les opérateurs d'infrastructures critiques telles que les plateformes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l'énergie, des transports, des services bancaires et des soins de santé à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE. La proposition de directive prévoit notamment les mesures suivantes:
- les États membres doivent adopter une stratégie de sécurité des réseaux et de l'information et désigner des autorités nationales compétentes en la matière, qui disposeront de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de sécurité des réseaux et de l'information et intervenir en cas de nécessité,
- un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d'alerte rapide sur les risques et incidents au moyen d'une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs,
- les opérateurs d'infrastructures critiques de secteurs tels que les services financiers, les transports, l'énergie et la santé, les facilitateurs de services internet clés (notamment les magasins d'applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs touchant leurs services essentiels.
Quel est l’environnement de la stratégie ?
La Communauté européenne a créé, en 2004, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), afin d'assurer un niveau élevé et efficace de sécurité des réseaux et de l'information dans l'UE et de favoriser l'émergence d'une culture dans ce domaine. Une proposition de la Commission relative à la modernisation de l'ENISA a été adoptée le 30 septembre 2010 et est actuellement examinée par le Conseil et le Parlement européen. Le nouveau cadre pour les infrastructures de communications électroniques, en vigueur depuis novembre 2009, impose des obligations en matière de sécurité aux fournisseurs de communications électroniques. Ces obligations devaient être transposées dans les législations nationales avant mai 2011.
Le programme européen de protection des infrastructures critiques (EPCIP), qui s'inscrit dans le cadre de la directive 2008/114/CE concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection, expose l'approche globale pour la protection générale des infrastructures critiques dans l'UE. Les objectifs de l'EPCIP sont parfaitement compatibles avec la présente proposition et la directive proposée devrait s'appliquer sans préjudice des dispositions de la directive 2008/114. L'EPCIP n'oblige pas les opérateurs à signaler les atteintes significatives à la sécurité et n'instaure pas de mécanisme de coopération et d'intervention des États membres en cas d'incident.
Les colégislateurs examinent actuellement la proposition de directive, soumise par la Commission, relative aux attaques visant les systèmes d'information, qui vise à harmoniser la pénalisation de certains actes. Elle ne couvre que la pénalisation d'actes précis mais n'aborde pas la prévention des risques et incidents de sécurité des réseaux et de l'information, l'intervention en cas d'incidents de sécurité des réseaux et de l'information ni l'atténuation de leurs conséquences. La directive proposée devrait s'appliquer sans préjudice des dispositions de la directive relative aux attaques visant les systèmes d'information.
Le 28 mars 2012, la Commission a adopté une communication relative à l'établissement d'un Centre européen de lutte contre la cybercriminalité (à lire sur securiteinterieure.fr : Présentation du futur centre européen de lutte contre la cybercriminalité (EC3) prévu pour 2013). Ce Centre, créé le 11 janvier 2013, fait partie d'Europol et sert de point focal dans la lutte contre la cybercriminalité au sein de l'UE. Il aura pour mission de mettre en commun le savoir-faire en matière de cybercriminalité au niveau européen pour aider les États membres à se doter de moyens, de contribuer aux enquêtes cybercriminelles des États membres et de permettre, en étroite collaboration avec Eurojust, aux enquêteurs européens sur la cybercriminalité, relevant de la justice comme des services de répression, de s'exprimer d'une seule voix. Les institutions, agences et organismes de l'Union ont créé leur propre équipe d'intervention en cas d'urgence informatique (CERT-EU).
- proposition de directive sur la sécurité des réseaux de l'information
- stratégie sur la sécurité des réseaux de l'information
- page de la Commission dédiée (Digital Agenda for Europe)
- communiqué de presse de la Commission
- document sur l'évaluation d'impact
- mémo de la Commission
Et pour aller plus loin :
- Site du Forum International sur la Cybercriminalité
- Numéro spécial de la Revue de la Gendarmerie nationale (gratuit)
A lire sur securiteinterieure.fr pour aller encore plus loin :
retour au sommaire de securiteinterieure.fr
securiteinterieure.fr
LE site de référence sur la sécurité intérieure
securiteinterieure.fr
LE site de référence sur la sécurité intérieure
page principale :
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.