source itespresso.fr
21/05/2013 Nelly MOUSSU
Le colloque sur « Les perspectives en matière de cyberdéfense après le Livre blanc » du 16 mai a notamment abordé la coopération européenne. La stratégie et la directive européenne en matière de cybersécurité, publiés en février dernier, pourraient être une avancée majeure pour la sécurité des systèmes d’information.
La Commission européenne et le Service européen pour l’action extérieure (SEAE) ont publié, en février dernier, une stratégie en matière de cybersécurité intitulée « un cyberespace ouvert, sûr et sécurisé ». Dans le même temps, le Parlement européen et le Conseil de l’Europe ont publié une proposition de directive concernant des mesures pour renforcer la sécurité des réseaux et de l'information dans l'Union européenne (UE). Le colloque sur « Les perspectives en matière de cyberdéfense après le Livre blanc » du 16 mai a notamment abordé la coopération européenne dans ce domaine.
Jusqu’à présent, les actions entreprises par l’Union européenne ne semblaient pas suffisantes. Du côté des États membres, beaucoup ne disposaient pas de moyens pour protéger leurs systèmes d’information. Quant au secteur public, il paraissait trop peu impliqué. Saisissant le sujet à bras le corps, des membres des institutions européennes ont défini des recommandations pour améliorer le niveau de sécurité informatique au sein de l’UE. « Même si la cyberdéfense doit demeurer une compétence première des États, car elle touche à la souveraineté nationale, il me semble indispensable, s’agissant d’une menace qui s’affranchit des frontières, de renforcer la coopération européenne », souligne le sénateur Jean-Marie Bockel, auteur d’un rapport d’information sur la cyberdéfense.
Plus de moyens et de coopération entre États
La stratégie européenne de cybersécurité liste des recommandations dont les objectifs sont multiples : développer une politique européenne de cyberdéfense, renforcer les moyens de prévention et d’opposition aux attaques, développer les ressources industrielles et technologiques en matière de cybersécurité, faire reculer la cybercriminalité, etc. Afin d’aider les États membres à mettre en œuvre ces recommandations, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) pourra les conseiller et diffuser les bonnes pratiques existants déjà dans certains pays. La proposition de directive fixe quant à elle des obligations pour les États membres. Par exemple, elle leur imposerait de se doter d’une autorité nationale de cybersécurité, d’élaborer une stratégie nationale en la matière, de disposer d’une structure opérationnelle d’assistance en cas d’incidents informatiques.
Au cœur de ces documents se trouve l’idée d’une coopération renforcée entre États membres pour diffuser des alertes sur les incidents informatiques et y répondre, notamment grâce à la création d’un réseau européen des autorités nationales de cybersécurité. A la demande d’un État ou sur sa propre initiative, la Commission européenne pourrait ainsi demander aux membres de l’UE de fournir des informations sur un risque ou un incident. Après une alerte, les autorités compétentes pourraient décider d’une intervention coordonnées, conformément au plan de coopération de l’Union en matière de sécurité des réseaux et de l’information.
Miser sur les industriels
La stratégie invite les entreprises à s’engager plus fortement dans la cybersécurité en adoptant une véritable stratégie afin de se protéger des cyberattaques. Pour le sénateur Bockel, « l’une des principales avancées de la directive tient à la création d’une obligation de déclaration des incidents informatiques significatifs à l’autorité nationale compétente, qui serait applicable aux administrations publiques et aux opérateurs critiques, tels que les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l’énergie et les transports ».
La stratégie préconise également de développer le secteur de l’industrie « cyber ». « Afin de garantir la souveraineté des opérations stratégiques ou la sécurité de nos infrastructures vitales, il est crucial de s’assurer de la maîtrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, l’architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection », détaille le sénateur.
« La proposition de stratégie affirme l’importance de soutenir le développement d’une industrie européenne pérenne en matière de cybersécurité et de technologies de l’information et de la communication afin d’éviter toute dépendance critique de l’Europe en la matière, notamment via un soutien à l’innovation (R&D) », ajoute Jean-Baptiste Demaison, chargé des affaires européennes à l’Agence nationale de sécurité des systèmes d’information (ANSSI).
Un enjeu pour les États et plus particulièrement pour le secteur de la défense : « Les militaires doivent être interopérables entre alliés, et cette interopérabilité s'appuie fortement sur les systèmes d'information et de communication, souligne le lieutenant-colonel Patrice Tromparent de la Délégation des Affaires Stratégiques, nous sommes dépendants de l’industrie, c’est pourquoi il faut soutenir la création d’une base industrielle de technologie et de défense européenne spécialisée dans la cybersécurité. » Et pour éviter les doublons, la stratégie européenne invite notamment l’Agence européenne de Défense à promouvoir le développement cohérent de capacités et technologies cyberdéfense entre les Etats membres. Pour Jean-Baptiste Demaison, ces documents « identifient le cadre de financement de la R&D "Horizon 2020" comme levier de soutien principal à l’innovation en matière de cybersécurité et de technologies de l’information et de la communication (TIC) en Europe. Mais au-delà du soutien à la R&D, devrait s’ajouter un soutien au développement et à la promotion de standards européens, en assurant notamment une meilleure coordination des travaux de normalisation en matière de cybersécurité au niveau européen. L'UE devrait également encourager l'industrie européenne à identifier les défis technologiques stratégiques de demain et à soutenir cette dernière afin qu'elle puisse y répondre. L'UE pourrait notamment œuvrer en faveur de l'émergence d'offres européennes d'infrastructures et de services Cloud de confiance en Europe, via un soutien à la R&D et au développement de normes européennes d'interopérabilité, de sécurité, etc. »
Et maintenant ?
Dans les mois qui viennent, le Parlement et le Conseil européen voteront pour décider de l’adoption ou non de la stratégie européenne de cybersécurité et de la proposition de directive. Ce dernier document est le seul qui obligerait les états membres à adapter leur législation. « Sans anticiper les discussions formelles qui se tiendront au Conseil de l’UE, il est possible d’indiquer à titre préliminaire qu’une législation européenne en matière de cybersécurité ne devrait en aucun cas prescrire un mode d’organisation spécifique du dispositif national de cybersécurité mais s’attacher davantage à décrire des « fonctions » communes minimales. Une telle législation devrait également tenir pleinement compte de la diversité existant entre les Etats membres de l’UE en matière de développement des capacités nationales de cybersécurité, et éviter toute harmonisation forcée au risque d’un résultat contreproductif » prévient Jean-Baptiste Demaison.
En France, la commission des Affaires étrangères et de la défense du Sénat a déjà adopté une proposition de résolution afin de faire connaître au gouvernement sa position sur ces deux textes. « Nous recommandons d’en approuver les orientations générales et d’appeler les institutions européennes et les Etats membres à une mise en œuvre rapide de ces priorités, insiste le sénateur Bockel. Ces documents constitueront un progrès et permettront d’accélérer la prise de conscience des enjeux liés à la cyberdéfense au niveau européen. »
commenter cet article …
/fdata%2F4220908%2Favatar-blog-1207340840-tmpphpbvDubc.jpeg){kind=avatar}
