Allez au contenu, Allez à la navigation

Recherche Recherche avancée

Cybersécurité : renforcer la stratégie européenne naissante

Partager cet article :
  • sur Facebook
  • sur Twitter
  • sur Google Plus
  • sur LinkedIn

Jean-Marie Bockel revient sur les enjeux de la nouvelle stratégie européenne en termes de cybersécurité et sur les apports qu’il souhaite y faire, avec sa proposition de résolution , co-signée avec le sénateur Jacques Berthou.

 

 

 

 

 

Dans son rapport présenté devant la commission des affaires étrangères et de la défense du Sénat en juillet dernier, le sénateur Jean-Marie Bockel (UDI-UC – Haut-Rhin) consacrait une partie de ses propositions au rôle que devait jouer l'Union européenne dans ce domaine, la plupart des normes applicables aux opérateurs de télécommunication relevant de sa compétence.

En février dernier, la Commission européenne et Catherine Ashton,  Haute Représentante de l’Union pour les affaires étrangères et la politique de sécurité, proposaient une communication conjointe proposant une stratégie européenne de cybersécurité (PDF).

La commission des affaires étrangères, de la défense et des forces armées du Sénat a souhaité s'en saisir afin de faire connaître au gouvernement sa position sur le sujet, de même que sur la proposition de directive de la Commission européenne, présentée le même jour, et qui porte sur des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union européenne.

Ces deux textes européens ont fait l’objet d’une communication de Jean-Marie Bockel et du sénateur Jacques Berthou (app Soc – Ain), co-rapporteur devant la commission des Affaires étrangères et de la défense du Sénat lors d’une réunion le 27 mars dernier. Suite à cette communication, une proposition de résolution européenne a été déposée puis présentée à la presse, mercredi 9 avril.

 

1°) Que pensez-vous de la nouvelle stratégie et de la nouvelle directive de l’Union européenne ? En quoi ces documents peuvent-ils changer/accélérer les choses ?

 

D’une manière générale, on peut saluer cette stratégie européenne, qui témoigne d’une véritable prise de conscience de la part des institutions européennes de l’importance des enjeux de cybersécurité.

Je pense notamment à l’accent mis sur la lutte contre la cybercriminalité, sur la cyberésilience et la cyberdéfense, sur les aspects industriels, sur la recherche, la formation et la sensibilisation ou encore concernant le rôle international de l’Union européenne.

Dans notre proposition de résolution, nous recommandons donc d’approuver les orientations générales de cette stratégie et d’appeler les institutions européennes et les Etats membres à une mise en œuvre rapide de ces priorités.

Nous portons également un regard très positif sur la proposition de directive sur la sécurité des réseaux et des systèmes d’information.

Il en va en particulier de l’obligation, pour les Etats membres de l’Union, de se doter de structures chargées de la cybersécurité et d’une stratégie nationale dans ce domaine.

Face à la multiplication des attaques informatiques ces dernières années, la plupart des grands Etats membres se sont dotés de tels instruments. Ainsi, dans le cas de la France, grâce à l’impulsion donnée par le précédent Livre blanc sur la défense et la sécurité nationale de 2008, une agence nationale de la sécurité des systèmes d’information (l’ANSSI) a été créée en 2009 et notre pays s’est doté d’une stratégie nationale dans ce domaine en 2011.

Cependant, tous les autres pays membres de l’Union européenne ne disposent pas encore de tels organismes ce qui illustre le fait que, pour ces pays, la cybersécurité n’est pas encore considérée comme une priorité.

De ce point de vue, la stratégie européenne et la proposition de directive constitueront donc un progrès et permettront d’accélérer la prise de conscience des enjeux liés à la cyberdéfense au niveau européen.

 

2°) Quelles sont les mesures concrètes que vous soutenez particulièrement ?

La proposition de directive sur la sécurité des réseaux et des systèmes d’information comporte trois volets.

  • Le premier volet porte sur le renforcement des capacités nationales des Etats membres en matière de cybersécurité.

    La proposition de directive impose l’obligation, pour tous les Etats membres, de se doter d’une autorité nationale de cybersécurité, d’élaborer une stratégie nationale en la matière et de disposer d’une structure opérationnelle d’assistance au traitement d’incidents informatiques.

    Il s’agit là d’un aspect essentiel et qui représentera un progrès car de nombreux Etats membres ne sont pas encore suffisamment sensibilisés à la menace représentée par les attaques contre les systèmes d’information et de communication.
  • Le deuxième volet porte sur l’instauration de l’obligation, pour plusieurs secteurs d’importance critique, de notifier les incidents informatiques significatifs à l’autorité nationale de cybersécurité.
     
  • Le troisième volet concerne le renforcement de la coordination européenne en matière de réponse aux incidents, avec notamment la création d’un réseau européen des autorités nationales de cybersécurité et l’obligation pour ces autorités d’alerter le réseau en cas d’incidents informatiques majeurs.

L’une des principales avancées, qui figurait d'ailleurs dans mon rapport, est selon moi la création d’une obligation de déclaration des incidents informatiques significatifs à l’autorité nationale compétente, qui serait applicable aux administrations publiques et aux opérateurs critiques, tels que les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l’énergie et les transports.

En effet, la plupart du temps, les entreprises sont réticentes à faire part à l’Etat des attaques informatiques dont elles ont fait l’objet, par crainte que cela nuise à leur image, voire même que cela n’entraine une diminution du cours de leur action en bourse. Or, comment l’Etat pourrait-il aider ces entreprises à mieux protéger leurs systèmes et leurs secrets, s’il n’est même pas informé des attaques informatiques dont elles font l’objet ?

L’obligation de déclaration, sous peine de sanctions, mais avec une garantie de confidentialité, constitue donc pour moi une avancée importante, y compris pour notre pays.

On peut également se féliciter d’autres dispositions, comme celles de prévoir que les autorités nationales auront le pouvoir de donner des instructions contraignantes aux administrations publiques et aux opérateurs d’importance vitale ou le pouvoir de demander la réalisation d’un audit sur la sécurité de leurs réseaux et systèmes.

Qui peut sérieusement contester l’importance de mieux protéger les réseaux et systèmes d’information de secteurs d’importance stratégique, dont la perturbation pourrait avoir de graves conséquences et conduire à une paralysie générale du fonctionnement de notre pays ?

On pense par exemple à la distribution de l’électricité, aux transports ou encore aux banques.

Cette proposition de directive soulève cependant deux réserves :

  • La première réserve porte sur la définition des modalités d’application de ces mesures, qui serait confiée à la Commission européenne, par exemple en ce qui concerne la définition des circonstances dans lesquelles s’appliquerait l’obligation de notifier les incidents ou la liste des opérateurs d’importance vitale concernés.

    Il me semble qu’il serait plus légitime, tant pour des raisons tenant à la souveraineté nationale, que d’efficacité, que les modalités d’application soient confiées aux Etats membres, qui en définitive, sont les premiers responsables en matière de cybersécurité et sont mieux placés pour prendre les mesures appropriées.
     
  • La seconde réserve est plus fondamentale. Elle concerne l’obligation de notifier systématiquement les incidents informatiques, non seulement à l’autorité nationale, mais aussi à la Commission européenne et à l’ensemble des autres pays de l’Union européenne. Outre sa lourdeur bureaucratique, une telle mesure paraît susceptible de soulever des difficultés au regard de la sécurité nationale, notamment dans le cas d’attaques informatiques à des fins d’espionnage.

    Dans notre proposition de résolution européenne, nous recommandons donc au gouvernement d’œuvrer au sein du Conseil en vue d’une adoption rapide de cette directive, tout en tenant compte de ces deux réserves dans les négociations avec nos partenaires européens.

 

3°) Cette nouvelle stratégie européenne et ces textes juridiques vous semblent-ils suffisants ou l’UE doit-elle être plus ambitieuse sur certains points ?

 

La proposition de directive prévoit plusieurs mesures pour renforcer la protection et la défense des systèmes d’information des administrations et des secteurs d’importance vitale, comme l’énergie, les transports ou la santé.

On pourrait aller encore un peu plus loin et prévoir notamment l’obligation pour les opérateurs d’importance vitale de disposer d’une cartographie à jour de leur système d’information et de mettre en place des outils de détection d’incidents et d’attaques informatiques.  En effet, l’expérience des attaques informatiques traitées par l’ANSSI montre que la plupart des administrations ou des opérateurs d’importance vitale ayant été victimes d’attaques informatiques à des fins d’espionnage ignoraient le plus souvent les attaques dont ils faisaient l’objet, parfois depuis plusieurs mois, voire des années. En outre, ils ignoraient le plus souvent où étaient situés leurs propres ordinateurs, ce qui avait pour effet de retarder l’assainissement de leurs réseaux.

Ainsi, nous recommandons d’inclure ces différents aspects dans le texte de la directive européenne.

Par ailleurs, l'Europe devrait être plus ambitieuse sur les aspects industriels, qui revêtent une importance majeure.

Afin de garantir la souveraineté des opérations stratégiques ou la sécurité de nos infrastructures vitales, il est en effet crucial de s’assurer de la maîtrise de certaines technologies fondamentales dans des domaines comme la cryptologie, l’architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Garder cette maîtrise, c’est protéger nos entreprises et nos emplois, notamment face au risque d’espionnage informatique.

Face à la concurrence américaine aujourd’hui, et demain chinoise, russe et indienne, il est indispensable pour notre pays et pour l’Europe de conserver une autonomie stratégique dans ce domaine. On pense notamment au domaine sensible des "routeurs de cœur de réseaux".

On ne doit pas négliger non plus les enjeux économiques et en matière d’emplois dans ce secteur en forte croissance, qui participe à la compétitivité d’un pays.

Dans mon rapport, je plaidais donc pour une politique industrielle volontariste, à l’échelle nationale et européenne, afin de soutenir le tissu industriel des entreprises françaises et européennes, notamment des PME, proposant des produits ou des services importants pour la sécurité informatique et plus largement du secteur de l’information et des télécommunications.

Selon la Commission européenne, l’Europe devrait avoir l’ambition de parvenir à une souveraineté numérique, ce qui veut dire retrouver la maîtrise de certains composants ou équipements.

La Commission européenne envisage notamment l’élaboration de normes dans ce domaine, un système de certification, des financements par le biais de programmes européens des efforts de recherche et développement, mais aussi la prise en compte de la sécurité informatique dans les marchés publics ou encore dans les primes d’assurances.

Mais encore, l’Union européenne pourrait s’impliquer sur de nombreux autres aspects de la cybersécurité. Outre les aspects industriels, il y a aussi tout ce qui relève de la lutte contre la cybercriminalité, à l’image de la pédopornographie sur Internet ou la fraude bancaire, qui sont en plein essor, puisque la cybercriminalité ferait plus d’un million de victimes chaque jour dans le monde, d’après la Commission européenne.

Je pense également à la prise en compte de la cybersécurité dans les relations extérieures de l’Union européenne, qui mériterait d’être renforcée, notamment dans les relations commerciales de l’Union européenne avec de grands partenaires, comme la Chine ou la Russie.

Il est urgent d’agir car sinon cela risque d’être trop tard.

 

En savoir plus :       

 

Mise en ligne : 12/04/2013