EurActiv.fr

Actualités & débats européens dans votre langue

22/01/2017

L’UE pressée de réagir à l’urgence de la cybersécurité

Société de l'information

L’UE pressée de réagir à l’urgence de la cybersécurité

Internet, en Europe, c'est le Far West.

[Azwari Nugraha/Flickr]

Les propositions de législation européenne sur la cybersécurité sont bloquées par les désaccords entre les États membres. Les spécialistes avertissent que la menace est de plus en plus sérieuse, comme l’a illustré l’attaque de TV5 monde la semaine passée.

Le temps presse pour l’UE sur le front de la cybersécurité. La présidence lettone du Conseil européen souhaite que les négociations sur la directive sur la sécurité des réseaux et de l’information (SRI) commencent dès le 30 avril, mais ne peut rien entamer sans le feu vert des États membres.

La directive proposée obligerait certaines entreprises, dont l’importance en termes d’infrastructure est cruciale, à déclarer les cyberattaques dont elles sont l’objet. À l’heure actuelle, le spectre des entreprises concernées par cette mesure fait débat. Jusqu’à quel point cette directive pourra-t-elle s’appliquer aux géants américains comme Google ou Facebook ?

Discussion sur la portée de la directive

Un diplomate européen a expliqué à EurActiv que l’Irlande, la Suède et le Royaume-Uni tentent de minimiser l’impact de la directive sur les entreprises américaines. Ces pays abritent en effet les sièges de Facebook, Apple et Google, entre autres. A l’inverse, la France, l’Allemagne et l’Espagne font partie des pays en faveur d’une application non-restreinte de la mesure.

La Lettonie espère toutefois que les États parviendront à un compromis avant la fin de sa présidence et a choisi, de manière un peu inhabituelle, d’entamer un trilogue entre le Conseil de l’UE, le Parlement et la Commission le 30 avril. Aucune date n’a encore été fixée pour l’ouverture d’autres trilogues, ce qui montre bien à quel point Riga est désireuse de faire avancer le dossier de la cybersécurité.

La lenteur du processus est mise en évidence par les avertissements de plus en plus pressants de représentants européens qui assurent que l’UE n’est pas assez préparée à faire face aux attaques virtuelles.

Udo Helmbrecht, directeur général de l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), a récemment mis les eurodéputés en garde contre le risque lié au manque de réglementation, à ce « Far West » virtuel.

« Internet, aujourd’hui, c’est le ‘Far West’. Tout le monde peut faire ce qu’il veut. Il n’existe pas de contrôle, pas de réglementation », a-t-il expliqué lors d’un échange d’opinion avec les eurodéputés de la sous-commission sur la sécurité et la défense le 16 mars. « Pourquoi ? Parce qu’il n’y a pas de structure de gouvernance. »

Les États membres cachent trop bien leur jeu

Le rôle de l’ENISA est d’aider l’UE et les États à se préparer et à renforcer leurs défenses afin de prévenir et éventuellement à détecter le piratage de leurs structures.

Peter Round, directeur des capacités, de l’armement et de la technologie, Agence européenne de défense, a quant à lui mentionné les problèmes de confiance entre les États, qui dissimuleraient les détails de l’évolution de leurs capacités offensives en la matière, selon lui.

« L’un des problèmes de la cybersécurité, c’est qu’il s’agit d’une certaine manière de la nouvelle poudre à canon. Quand un État membre acquiert une aptitude, il ne veut pas la partager, surtout au début, […] parce qu’il l’envisage comme une capacité souveraine et nationale », explique-t-il.

Une menace de plus en plus pressante

En France, la cybersécurité s’est à nouveau retrouvée sous les feux des projecteurs la semaine dernière, quand les chaînes de télévision et réseaux sociaux de TV5 Monde ont été piratés et manipulé pendant huit heures par des militants se revendiquant de l’État islamique.

Le gouvernement a appelé les médias à la « vigilance » jeudi après la cyberattaque jihadiste, et les ministres de la Culture et de l’Intérieur, Fleur Pellerin et Bernard Cazeneuve, ont exhorté les entreprises du secteur à « rehausser leur niveau de précaution ». Une enquête a été ouverte.

Le 12 avril, le groupe de médias belge Rossel a également été victime d’une attaque de grande ampleur, qui avait failli menacer l’impression du quotidien Le Soir, et empêché tout accès au site internet du Soir et de La Voix du Nord notamment pendant plusieurs heures.

Un projet de loi sur le renseignement, rédigé dans la foulée des attentats contre Charlie Hebdo, est actuellement débattu au parlement français. Comme nombre de mesures concernant la sécurité, la proposition de loi soulève des questions liées à la vie privée. Ce projet est donc controversé et a été qualifié par ses détracteurs de dangereux et liberticide.

>> Lire : La France appelle les médias à la vigilance après l’attaque sur TV5 Monde

Frans Timmermans avait réagi à l’attaque dont TV5 Monde a été victime sur sa page Facebook. Le vice-président de la Commission regrettait une « attaque contre la liberté d’informer, une liberté au cœur de notre démocratie et essentielle pour l’état de droit » et exhortait l’UE à prendre des mesures concrètes : « il est évident que ces terroristes ont des instruments numériques modernes, donc nous devrons continuer à renforcer notre cyber-sécurité en étroite coopération avec tous les États membres et autres alliés ».

Contexte

Une stratégie européenne pour la cybersécurité a été présentée par la Commission en 2013. Elle couvrait les aspects cybersécuritaires du marché intérieur, de la justice et des affaires intérieures et des affaires étrangères.

La Commission européenne a ensuite proposé une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

>> Lire : L’avenir de la directive sur la cybersécurité est incertain

La directive laisse également penser que les exploitants du marché seront responsables de leur réseau, que son entretien soit réalisé en interne ou en externe.

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

Selon la directive, tous les États membres devraient adopter des stratégies de sécurité des réseaux et de l'information et mettre sur pied des équipes pour répondre aux incidents éventuels. Des réseaux de coopération seraient mis en place au niveau européen.

Prochaines étapes

  • 30 avril 2015 : La présidence lettone de l'UE prévoit de commencer les discussions du trilogue sur la directive SRI entre le Conseil, le Parlement et le Commission.

Plus d'information