3. Une implication encore insuffisante de l'Union européenne
L'Union européenne a un rôle important à jouer en matière de protection des systèmes d'information car une grande partie des normes relatives à ce domaine relèvent de ses compétences.
Par ailleurs, l'Union européenne a elle-même été la cible de plusieurs attaques informatiques ces dernières années, à l'image de l'attaque informatique de janvier 2011 visant le marché européen du carbone, où les entreprises peuvent échanger leurs certificats de quotas d'émission de CO2, qui n'est redevenu complètement opérationnel que trois mois plus tard.
Toutefois, malgré l'adoption d'un grand nombre de textes, l'action concrète de l'Union européenne dans ce domaine est restée jusqu'à présent relativement limitée.
Ces dernières années, les instances européennes ont adopté de nombreux documents d'orientations ou de programmes intéressant directement ou indirectement la sécurité des systèmes d'information.
Pour la période récente, on peut notamment mentionner :
- la stratégie dite « i2010 » (« Une société de l'information pour la croissance et l'emploi ») exposée dans une communication de la Commission européenne du 1 er juin 2005, et qui confirme l'importance de la sécurité des réseaux ;
- la communication de la Commission du 31 mai 2006, intitulée « Une stratégie pour une société de l'information sûre - dialogue, partenariat et responsabilisation », qui contient notamment une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et de l'information mais qui ne propose aucune action concrète ;
- la communication de la Commission de mars 2009 relative à la « protection des infrastructures d'information critiques » qui fixe des objectifs prioritaires dans le domaine de la sécurité des systèmes d'information et qui a débouché sur un plan d'action, adopté en avril 2009, comprenant cinq axes. Parmi les différentes mesures envisagées, la Commission européenne se donne notamment pour objectif le développement par chaque Etat membre d'un CERT opérationnel, l'organisation d'exercices de gestion de crise cyber aux niveaux national et européen ou encore la création d'un forum d'échange public-privé européen, etc. Ce plan d'action a été approuvé par le Conseil en décembre 2009 ;
- la communication de la Commission de mai 2010 intitulée « Une stratégie numérique pour l'Europe », qui aborde l'ensemble des enjeux liés au développement de la société de l'information en Europe. Cette communication souligne à nouveau la nécessité d'une mise en oeuvre rapide et efficace du plan d'action de l'Union européenne pour la protection des infrastructures d'information critiques ;
- une nouvelle communication de la Commission européenne relative à « la protection des infrastructures d'information critiques » de mars 2011, qui reprend et développe les cinq axes de la communication de mars 2009 et introduit de nouvelles propositions, telles que le développement d'un plan européen de continuité en cas de crise cyber et la création d'un groupe de travail commun Union européenne-Etats-Unis sur la cybersécurité et la cybercriminalité. Cette communication a fait l'objet de conclusions du Conseil en mai 2011, qui soulignent notamment l'importance stratégique de l'industrie européenne des télécommunications et de l'industrie de la sécurité des réseaux et de l'information en vue de la protection durable des infrastructures d'information critiques européennes.
On peut toutefois observer que ces documents fixent des objectifs très généraux, mais ne paraissent pas encore en mesure de se traduire rapidement par des initiatives concrètes.
Il faut également souligner que des initiatives ont été prises au niveau européen en matière de lutte contre la cybercriminalité, avec par exemple l'adoption, le 24 février 2005, d'une décision-cadre relative aux attaques visant les systèmes d'information.
De même, une directive a été adoptée le 8 décembre 2008 relative à la protection des infrastructures critiques européennes, mais ce texte, qui se limite aux secteurs de l'énergie et des transports, se contente d'appeler les Etats-membres à identifier les infrastructures critiques concernées et à prévoir des mesures en matière de sécurité, sans entrer véritablement dans le détail des mesures nécessaires.
Par ailleurs, la cyberdéfense est également un thème de travail récent de la politique de sécurité et de défense commune, notamment au sein de l'Agence européenne de défense, qui a constitué une « Project Team » sur ce sujet. Toutefois, les travaux de l'Union européenne dans ce domaine sont encore très embryonnaires et n'ont pas encore débouché sur des réalisations concrètes.
Ainsi, à l'image de l'OTAN, il n'existe aucun consensus entre les vingt-sept Etats membres de l'Union européenne sur la mise en oeuvre de la « clause de défense mutuelle » contenue dans le traité de Lisbonne, en cas d'attaque informatique majeure contre un Etat membre.
De manière générale, malgré l'adoption de nombreux documents ou plans d'action, l'Union européenne, et la Commission européenne en particulier, ne semblent pas encore avoir pris la mesure de l'importance des enjeux liés à la sécurité des systèmes d'information, comme d'ailleurs de nombreux pays européens.
On peut mentionner trois principales lacunes.
Tout d'abord, l'absence de véritable stratégie globale du cyberespace à l'échelle européenne .
Actuellement, les discussions au niveau européen se concentrent sur l'élaboration d'une nouvelle « stratégie européenne de sécurité de l'Internet », et plus récemment d'une « stratégie européenne de cybersécurité », qui devrait prendre la forme d'une communication de la Commission européenne dont la publication devrait intervenir en septembre 2012.
Centrée sur l'enjeu de la sécurité de l'Internet, considéré comme la première des infrastructures critiques civiles en Europe, mais également sur la lutte contre la cybercriminalité et la coopération internationale, cette stratégie s'inscrit dans la continuité des travaux menés ces dernières années au sein de l'Union européenne en matière de sécurité des réseaux et de l'information. Cependant, la sécurité de l'Internet ne constitue qu'un des éléments de la réponse européenne aux défis et enjeux du cyberespace.
Ensuite, une dispersion des acteurs .
Ainsi, au sein de la Commission européenne, on assiste à une concurrence entre les différentes directions générales pour le pilotage des enjeux autour de la cybersécurité au niveau de l'Union européenne. Si la direction générale de la Société de l'information et des médias est principalement chargée de la mise en oeuvre de la stratégie numérique pour l'Europe, d'autres directions générales, à l'image de la direction générale « Affaires intérieures » pour le volet relatif à la lutte contre la cybercriminalité ou encore la direction générale « marché intérieur » pour les aspects relatifs aux règles du marché intérieur, interviennent également dans ce domaine.
Par ailleurs, on peut déplorer une insuffisante coordination entre les aspects qui concernent des matières communautaires et qui relèvent de la Commission européenne et ceux qui touchent à des matières intergouvernementales, à l'image de la politique étrangère ou de la politique de sécurité et de défense commune, qui relèvent du Haut représentant pour l'action extérieure et du service européen pour l'action extérieure.
Enfin, on constate un manque d'efficacité .
Ainsi, à l'image de l'OTAN, l'Union européenne ne paraît pas encore en mesure d'assurer la protection de l'ensemble de ses propres réseaux et systèmes d'information.
L'Union européenne s'est certes dotée, le 10 juin 2011, d'un CERT (« Computer Emergency Response Team ») européen, chargé de prévenir et de répondre aux attaques informatiques visant les réseaux ou systèmes des institutions européennes, des agences ou des autres organes qui lui sont rattachés.
Mais cette structure, qui ne compte que dix agents, n'en est encore qu'au stade de la préfiguration et est encore très loin d'assurer une protection de l'ensemble des réseaux et systèmes de l'Union européenne.
Par ailleurs, la coordination et l'efficacité des différents outils, mécanismes et politiques, à la fois réglementaires et incitatifs, mis en place à l'échelle européenne pour encourager la prise en compte par les Etats membres des enjeux liés à la protection des systèmes d'information mériteraient d'être notablement renforcés.
Ainsi, l'Union européenne dispose d'un instrument spécialisé à travers l'Agence européenne chargée de la sécurité des réseaux et de l'information, l' ENISA ( European Network and Information Security Agency ), qui a été créée en 2004 avec un mandat initial d'une durée de cinq ans.
Installée à Heraklion, en Crète, l'ENISA s'est vue assigner des missions très vastes, que l'on peut regrouper en trois catégories :
- conseiller et assister, en tant qu'agence d'expertise technique, la Commission européenne et les États membres en matière de sécurité des systèmes d'information, notamment au travers de « guides de bonnes pratiques » ;
- soutenir les Etats membres et les institutions européennes dans le développement de capacités pour répondre aux menaces pesant sur la sécurité des systèmes d'information ;
- encourager la coopération entre les Etats membres, notamment par des exercices communs.
Cette agence européenne n'a donc pas de compétences opérationnelles mais plutôt une mission de conseil et de recommandation. Elle dispose d'environ 60 agents et d'un budget de 8,5 millions d'euros en 2012.
L'ENISA a fait l'objet d'une évaluation externe demandée par la Commission qui en a publié le résultat en juin 2007. Le groupe d'experts externe a conclu que les activités de l'ENISA paraissaient « insuffisantes pour atteindre le niveau élevé d'impact et de valeur ajouté espéré » et que sa visibilité était en dessous des attentes. L'évaluation recense divers handicaps liés à son organisation, aux ambiguïtés du mandat originel, à sa localisation éloignée, à l'effectif et à la rotation importante du personnel, aux relations difficiles entre le conseil d'administration et la direction de l'agence. Elle souligne un risque d'affaiblissement rapide et de perte de réputation si l'efficacité n'était pas améliorée.
Le Livre blanc sur la défense et la sécurité nationale de 2008 a souligné également que « l'efficacité de l'agence européenne ENISA devra être très notablement accrue », notamment pour permettre à la Commission européenne de mettre en place un volet « sécurité des systèmes d'information » dans toutes les réalisations des institutions européennes.
On peut toutefois souligner que, ces derniers mois, l'agence a publié des rapports intéressants avec des recommandations concrètes, par exemple sur les systèmes de contrôle industriels et les SCADA ou encore la cybersécurité maritime. En outre, dans le cadre du groupe de travail sur les exercices piloté par l'ENISA, un premier exercice européen de crise cyber, intitulé « Cyber Europe 2010 », a été organisé en 2010.
Le mandat de l'ENISA a été prolongé jusqu'en septembre 2013 et une proposition de règlement visant à modifier et à étendre le mandat de cette agence est actuellement en discussion au niveau européen.
On peut également relever l'adoption, en novembre 2009 , de la directive cadre du « Paquet Télécom » modifiant la régulation des communications électroniques en Europe 43 ( * ) .
Cette directive contient une disposition (article 13 bis) contraignant les opérateurs de télécommunications à notifier aux autorités nationales compétentes toute atteinte à la sécurité ou perte d'intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Elle introduit également l'obligation de mise en oeuvre de mesures de sécurité minimales par les opérateurs, les autorités nationales étant chargées de s'assurer que les opérateurs respectent ces obligations.
Cette directive cadre a été transposée en France par le biais de l'ordonnance du 24 août 2011, qui a modifié la loi du 6 janvier 1978 dite « informatique et libertés », en prévoyant notamment l'obligation pour les opérateurs de télécommunications de notifier à la CNIL toute faille de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
En définitive, il semble indispensable que l'Union européenne s'implique plus activement sur les questions liés à la protection des systèmes d'information.
* 43 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009