Messages les plus consultés

lundi 4 mars 2013

Cybersécurité : le développement d’une politique européenne de la sécurité des réseaux et des systèmes d’information

Les cyberattaques sont régulièrement au cœur de l’actualité des TIC. En effet, bien que les problèmes de fraude informatique et sur internet ne soient pas nouveaux, les moyens utilisés ne cessent d’évoluer et les conséquences de s’aggraver. (1) Ces cyberattaques se manifestent de diverses manières, telles que spam, phishing, virus informatiques, attaques de réseaux, cyberespionnage, et à des fins non seulement financières mais également économiques et politiques.

Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures  différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)

Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.

Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.


1. Les mesures proposées par la Commission européenne en matière de cybersécurité

La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.

A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
    - lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
    - renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
    - promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
    - développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.

Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.

En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.


2. Les objectifs à atteindre par les États membres

Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :

    2.1  La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.

    2.2  L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.

    2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.


En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.


Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données. 


A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.


3. Les obligations incombant aux entreprises et aux administrations publiques

La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.

    3.1  Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :

    - investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;

    - sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;

    - promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.

    3.2  Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.

Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.

En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.

Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.

Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.

Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.


Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique. 


                                               * * * * * * * * * * * *

(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende
.” (loi codifiée aux articles 323-1 et suivants du code pénal)

(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.

(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.

(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2013