Une stratégie européenne pour un monde connecté
La cybersécurité joue un rôle de plus en plus significatif dans notre monde interconnecté. Il est donc dans l’ordre des choses que cette question soit enfin au centre des préoccupations du commerce européen. Les attaques informatiques contre des institutions publiques ou des entreprises, par exemple des fournisseurs d’énergie ou d’eau, contre des infrastructures comme les entreprises de transport ou les institutions financières, peuvent profondément perturber le fonctionnement de nos sociétés. Au XXIe siècle, il est indispensable de renforcer notre capacité à résister efficacement à ces menaces et de sécuriser tous les domaines de la vie publique contre des attaques informatiques. Ces efforts ne peuvent cependant pas s’arrêter aux frontières nationales, alors que les échanges numériques les dépassent. La proposition actuelle de la Commission est le début d’un débat et non pas sa conclusion.
La cybercriminalité est un danger pour l’ordre public
L’exemple suivant démontre que les forces criminelles représentent un danger pour les citoyens, mais aussi pour les institutions étatiques et même pour l’État en lui-même :
Le 28 avril 2007, la Zyklon Security Team a mis à disposition un logiciel qui contenait un outil pour mener les attaques par DDoS (Distributed Denial of Service, déni de service distribué). Le lien avait en complément la phrase « Special for attacking fuc*ing Estonian sites » (spécialement pour attaquer ces p*****s de sites estoniens). La Zyklon Security Team rassemblait des hackers russes, qui cherchaient manifestement à « punir » les autorités estoniennes, qui avaient la veille éloigné un monument aux morts datant de l’occupation soviétique. Cette mise à disposition du logiciel malveillant, accompagné de l’appel à peine dissimulé à attaquer des sites estoniens, a conduit à une vague sans précédent d’attaques informatiques, toutes concentrées sur les sites officiels estoniens. Ce qui a suivi en Estonie montre clairement les conséquences graves d’une attaque ciblée sur les systèmes d’information d’un État et de ses institutions, y compris des dommages collatéraux pour la société. [1]
Six ans plus tard, le crime organisé et quelques États ont massivement augmenté leur capacité de nuisance pour profiter de la vulnérabilité des systèmes informatiques. La découverte de virus tels « Stuxnet », « Flame » ou « Red October » donne une petite idée du niveau potentiel des menaces à l’affût dans le cyberespace.
La nouvelle stratégie de l’UE est tardive
Il était donc grand temps que la Commission se saisisse de ce thème. Neelie Kroes, vice-présidente de la Commission européenne, Cecilia Malmström, commissaire européenne aux Affaires Intérieures et Catherine Ashton, Haute Représentante de l’Union pour les affaires étrangères et la politique de sécurité, ont maintenant publié une stratégie commune pour la cybersécurité de l’Union, avec des avancées. Il s’agit désormais de la mettre en œuvre rapidement et sur l’ensemble du territoire de l’UE.
Les cinq points centraux de la stratégie de la Commission sont :
- le renforcement des capacités défensives des cyberstructures ;
- une réduction drastique de la cybercriminalité ;
- le développement de compétences dans le domaine de la cyberdéfense et de ressources dans le cadre de la politique européenne de sécurité et de défense ;
- la mise en place de savoirs-faires industriel et technologique dans le domaine de la cybersécurité ;
- une approche cohérente pour le cyberespace de l’Union européenne et la diffusion des valeurs fondamentales de l’UE.
La stratégie doit être mise en œuvre par des Équipes d’intervention d’urgence informatique (CERT, Computer Emergency Response Teams), que les États membres devraient mettre en place quand il n’y en a pas encore, pour identifier les menaces numériques par la coopération, les analyser et enfin s’en protéger. Par ailleurs, les États membres devront mettre en place des agences nationales de sécurité des réseaux et de l’information (NIS – Network and Information Security), qui développeront une stratégie commune et coopéreront ensemble. Les États membres seront épaulés dans cette tâche par l’Union, notamment de la part de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), avec des transferts d’informations et de compétences.
Le secteur privé et les organisations internationales doivent être intégrés
Il est aussi important d’intégrer étroitement le secteur privé. C’est un partenaire indispensable, par exemple par l’utilisation de leurs compétences informatiques gagnées lors d’incidents de sécurité. Les entreprises sont fortement intéressées par la cybersécurité, une « obligation d’information » devrait cependant répondre à des exigences fortes.
D’après le document de la Commission, un « partenariat public-privé européen efficace pour la sécurité des systèmes d’information » serait un instrument adapté, qu’il conviendrait de construire. L’Union Européenne poursuivrait également la pratique débutée en 2010 de cyber-exercices pour les États membres et le secteur privé.
La stratégie insiste particulièrement sur la nécessité d’une coopération de l’Union européenne et de ses États avec les organisations internationales appropriées, comme l’OTAN, l’OSCE ou l’Agence européenne de défense (AED). Par ces coopérations, par l’utilisation de technologies améliorées et avec une meilleure compréhension des attaques, la défense du cyberespace sera plus réussie.
Poursuites judiciaires sur Internet : Le Centre européen de lutte contre la cybercriminalité
Les activités criminelles sur Internet peuvent certes être réduites par une conscience plus large des problèmes, mais celle-ci ne les empêche pas complètement. C’est pourquoi les enquêtes sur ce type d’activités doivent être améliorées. L’Union Européenne a ainsi récemment ouvert le Centre européen de lutte contre la cybercriminalité (EC3) à La Haye. Il aidera les enquêteurs nationaux à développer leurs compétences dans la lutte contre le crime en ligne et permettra la coopération entre les autorités.
Dans tous ses efforts pour augmenter la sécurité sur Internet, la Commission européenne montre bien que cela ne peut se réaliser que dans le respect des valeurs et des droits fondamentaux de l’Union. Dans ce cadre, elle insiste sur le fait qu’elle ne veut pas utiliser des outils de surveillance générale ou de censure. Au contraire, la Commission va renforcer les procédés de cryptage et allouer l’importance nécessaire au « dual use », c’est-à-dire l’utilisation de biens et de technologies pour des buts différents.
Par son approche décentralisée et interdisciplinaire dans le domaine de la cybercriminalité, l’Union européenne militera pour le maintien d’un Internet libre, ouvert et sûr. Plus de sécurité. Mais aussi plus de liberté.
Série « Donnons une voix au Parlement européen » :
- Partie 1 : Jutta Steinruck, eurodéputée (S&D) : Pour une lutte efficace contre la pauvreté en Europe !
- Partie 2 : Lothar Bisky, député européen (Gauche unitaire européenne) : Sombres perspectives pour les programmes européens de mobilité
- Partie 3 : Alexander Alvaro, eurodéputé (ALDE ) : Cybersécurité : La stratégie de l’UE est en retard
1. Le 4 mars 2013 à 18:57, par Patrick Roccia
En réponse à : Cybersécurité : La stratégie de l’UE est en retard
Bonjour,
Je suis adhérent du Mouvement Européen - France. Je viens de lire votre analyse sur la stratégie de cybersécurité de l’UE. J’ai plusieurs remarques, chacune pouvant donner lieu à approfondissement spécifique.
Premier point : vous évoquez l’incident en Estonie en 2007. Il s’agit en l’occurrence d’un pur déni de services, mais qui pouvait conduire à une paralysie économique et sociale, et en corollaire porter atteinte à la sécurité publique. A mes yeux, il s’agit d’une question de sûreté de fonctionnement qui requiert une attention toute particulière, mais ce n’est pas une question de sécurité (il n’y a eu aucune atteinte aux données). La stratégie européenne fait l’impasse sur ce point capital. Or c’est celui qui menace le plus les citoyens.
Deuxième point : vous évoquez la participation des entreprises privées. Attention cependant à ne pas mélanger les genres. Que les entreprises privées aient une expérience en sécurité informatique est possible. Mais la stratégie est une politique publique qui s’applique à tous, administration, entreprises, particuliers. Le secteur privé peut avoir un rôle de conseil, mais en aucun cas, il ne peut être partie prenante des choix stratégiques. Le citoyen européen que je suis sera attentif à ne pas confondre action publique et business.
Troisième point : vous évoquez le retard stratégique de l’UE. Je suis beaucoup moins pessimiste que vous sur ce point. La plupart des états ont déjà des structures, du fait notamment de leur intégration dans l’OTAN. Le SGA du Conseil a déjà une organisation en place. Maintenant, qu’il faille coordonner les efforts, dans le domaine privé, j’en conviens. Mais on ne part pas de loin, ni de rien.
Dernier point : vous évoquez l’internet libre et plus de sécurité. J’ose espérer que vous réalisez que ces deux propositions sont littéralement antinomiques. D’ailleurs, par exemple, on durcit les règles de sécurité routière justement pour permettre à tous les conducteurs de circuler en toute sécurité sur la route.
Je reste à votre disposition pour évoquer ces différents points.
Bien cordialement.
Patrick Roccia
Suivre les commentaires :
|
