Le 7 février 2013, la Commission a rendu publique la proposition de directive du Parlement européen et du Conseil "concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union". Ce texte a pour objet de lutter contre les attaques informatiques dont sont victimes les citoyens et les entreprises européennes. Il s'accompagne d'une initiative plus concrète avec l'inauguration, en janvier 2013, du Centre européen de lutte contre la cybercriminalité, rattaché à Europol, l'Office européen de police.
Alors que des millions d'Européens effectuent des opérations bancaires ou des achats par internet, ou encore utilisent les réseaux sociaux pour échanger des informations relatives à leur vie privée, la sécurité des réseaux et de l'information (SRI) devient un enjeu européen global. Les approches volontaristes, reposant sur des protections techniques ou des règles de bonne conduite, ont rapidement montré leurs limites, et l'Union européenne apparait dans ce domaine comme un univers fragmenté. Or nul n'ignore que les systèmes d'information numériques n'ont pas de frontières, et que les faiblesses de sécurité observées dans un Etat membre ont immédiatement des conséquences dans les autres.
Une approche juridique globale
C'est la raison pour laquelle l'Union européenne envisage enfin une approche juridique globale de cette question, afin d'imposer un standard de protection commun à l'ensemble des Etats concernés. Cette proposition de directive constitue le point d'aboutissement d'un processus engagé dès 2001, avec une communication sur la "Sécurité des réseaux et de l'information : proposition pour une approche politique européenne". D'autres ont suivi, dans le but de soutenir les efforts déployés par les Etats dans ce domaine. De manière plus précise, une résolution du Conseil adoptée le 18 décembre 2009 a engagé un plan d'action visant à développer une approche européenne concertée en matière de sécurité des réseaux informatiques et la proposition de directive s'inscrit évidemment dans ce plan d'action.
On peut évidemment s'interroger sur les causes de cette lenteur dans la mise en oeuvre d'un standard communautaire de cybersécurité. Il ne fait guère de doute que de puissants lobbies freinent considérablement ce mouvement. D'un côté, les entreprises actives sur internet n'ont guère envie de se voir soumises à des contraintes, de l'autre certaines organisations, et plus spécialement l'OTAN, considèrent que la cybersécurité n'est qu'un élément de la cyberdéfense.
On peut évidemment s'interroger sur les causes de cette lenteur dans la mise en oeuvre d'un standard communautaire de cybersécurité. Il ne fait guère de doute que de puissants lobbies freinent considérablement ce mouvement. D'un côté, les entreprises actives sur internet n'ont guère envie de se voir soumises à des contraintes, de l'autre certaines organisations, et plus spécialement l'OTAN, considèrent que la cybersécurité n'est qu'un élément de la cyberdéfense.
Sur le fond, la proposition énonce un certain nombre de principes destinés à devenir le socle du droit applicable en matière de sécurité des SRI.
2001 l'Odyssée de l'Espace. Stanley Kubrick. 1968
Keir Dullea
Le socle du droit de la sécurité des réseaux d'information
Le premier principe posée par la proposition de directive exige des Etats membres qu'ils créent, au niveau national, des autorités compétentes en matière de sécurité des réseaux informatiques. Elles doivent être dotées de moyens suffisants pour prévenir et gérer les risques de sécurité, en cas de nécessité. Observons que la France a créé, dès 2009, l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), qui pourra assurer la mise en oeuvre de la future directive.
Le second principe impose aux autorités compétentes des Etats de coopérer au sein d'un réseau européen. La sécurité des systèmes doit ainsi reposer sur l'échange d'informations et sur une action concertée en cas d'incidents.
Enfin, le troisième principe s'inspire de la directive "cadre" sur les communications électroniques. Il vise à inciter les entreprises et les organisations concernées à évaluer les risques qu'elles courent et à adopter des mesures appropriées pour garantir la sécurité des réseaux. La proposition de directive devrait ainsi les contraindre signaler aux autorités compétentes tout incident intervenu dans ce domaine, de manière à permettre de développer des réactions concertées au sein de l'Union.
Le second principe impose aux autorités compétentes des Etats de coopérer au sein d'un réseau européen. La sécurité des systèmes doit ainsi reposer sur l'échange d'informations et sur une action concertée en cas d'incidents.
Enfin, le troisième principe s'inspire de la directive "cadre" sur les communications électroniques. Il vise à inciter les entreprises et les organisations concernées à évaluer les risques qu'elles courent et à adopter des mesures appropriées pour garantir la sécurité des réseaux. La proposition de directive devrait ainsi les contraindre signaler aux autorités compétentes tout incident intervenu dans ce domaine, de manière à permettre de développer des réactions concertées au sein de l'Union.
Une fois la directive adoptée, les Etats membres devront l'intégrer dans leur système juridique, et prévoir les sanctions applicables en cas de manquement aux obligations désormais imposées sur le fondement de cette directive.
Une proposition de directive, à long terme
On ne peut que se féliciter de cette avancée, mais le processus est encore au stade des déclarations de principe. La directive ne devrait pas voir le jour avant 2016, délai qui révèle les difficultés d'élaboration d'un texte qui suppose de larges investissements financiers. On évalue généralement le coût d'adaptation d'un réseau aux exigences de la coopération entre Etats (alerte précoce, système de notification immédiate à l'autorité compétente) à 1 250 000 € et celui d'une plateforme d'échanges d'informations à 400 000 €. Ces coûts devront donc, à un moment ou à autre, être pris en charge par l'Union et par les Etats membres, s'ils le veulent bien.
Aucun commentaire:
Enregistrer un commentaire