La sécurité en ligne n'est pas garantie, dans la mesure où des hackers et des pirates de la toile continuent à surpasser les ingénieurs en informatique. Même s'il existe plusieurs manières de renforcer la sécurité, notamment en utilisant des sauvegardes de disque dur et de serveur, des contrôles de sécurité à distance, le filtrage et le cryptage, l'ampleur des attaques et leurs dangers est de plus en plus considérable et politisée. 

Overview

La cyberattaque la plus spectaculaire dans l'Union européenne jusqu'à ce jour a eu lieu en Estonie en 2007. Elle a mené à la fermeture temporaire des banques, des ministères, des journaux et des chaînes de diffusion du pays.

En 2011, lors d'une attaque de plus petite envergure, plus de 150 des 170 000 ordinateurs du ministère français des finances ont été piratés pour des documents liés à la réunion du G20 qui devait avoir lieu en France.

En mars 2011, des cyberterroristes ont eu accès aux courriels du service pour l’action extérieure de la Commission européenne et au système d'échange de quotas d'émission. Une autre attaque visant des fonctionnaires du Conseil européen proches du président Herman Van Rompuy est survenue en juillet 2012. Le nombre total d'attaques sur Internet a augmenté jusqu'à 36 % en 2011.

La Commission européenne a déclaré que la cybersécurité est une « guerre d'usure » plutôt qu'une bataille ponctuelle.

Outre le renforcement de ses propres systèmes de sécurité, l'exécutif européen a décidé d'ouvrir un centre consacré à la cybercriminalité à partir de 2013. Dans le même temps, l'Europe cherche toujours de nouvelles pistes pour une collaboration internationale sur le sujet étant donné que les cyberterroristes se cachent parfois dans des pays où la législation est la plus laxiste.

Issues

En matière de cybercriminalité, la menace ne fait que croître. Dans la récente évaluation de la menace que représente la criminalité organisée (OCTA) publiée par Europol, l'Internet est considéré comme un outil du crime organisé : « Un nouveau paysage criminel se dessine et est de plus en plus caractérisé par des groupes très mobiles et flexibles qui opèrent dans plusieurs juridictions et secteurs criminels et dont les actes sont facilités, notamment, par l'utilisation illicite de l'Internet. »  

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a demandé aux décideurs politiques d'avoir une vue d'ensemble et de traiter les attaques à l'encontre des ordinateurs et des infrastructures de la même manière. L'agence argue qu'il n'est pas judicieux d'opérer une distinction entre la protection des infrastructures et le matériel informatique qui est utilisé pour la gestion de ces mêmes infrastructures.

La première réponse notable de l'UE face à la cybercriminalité est la création d'un réseau d'équipes d'intervention en cas d'urgence informatique (CERT) dans chaque pays. Plus de 100 CERT existaient en Europe. Ces équipes sont désormais renforcées et la Commission européenne dirige la sienne.

L'ENISA continuera d'encourager la création d'autres CERT. Des efforts supplémentaires sont fournis afin de créer des réseaux reliant les secteurs public et privé, un élément crucial de la stratégie de la Commission sur la cybersécurité qui devrait bientôt être publiée.

L'Union européenne prévoit de créer un centre spécialisé dans la cybercriminalité début 2013, dans le but de lutter contre les opérations en ligne des groupes du crime organisé. Ce centre tentera de combattre aussi bien la fraude sur Internet que l'exploitation sexuelle des enfants sur la toile.

Ce centre sera établi au coeur de l'Office européen de police, Europol, à La Haye. Europol s'occupe déjà des crimes informatiques, mais ce nouveau centre devrait permettre d'intensifier la lutte contre la cybercriminalité grâce à 55 employés à temps plein et un budget annuel de 3,6 milliards d'euros.

Des obstacles majeurs menacent toutefois de compliquer le fonctionnement de ce nouveau centre : la difficulté de collecter des informations dans des régions aux juridictions différentes et la réticence probable du secteur privé.

Protection des infrastructures d'information critiques

La politique actuelle de l'UE en matière de sécurité en ligne, la protection des infrastructures d'information critiques (PIIC), se fonde sur cinq piliers : la préparation et la prévention, la détection et la réaction, l'atténuation et la récupération, la coopération internationale et les critères concernant les infrastructures critiques européennes dans le secteur des TIC. Ce plan d'action indique les tâches à accomplir, au titre de chacun de ces axes, par la Commission, les États membres et/ou les entreprises, avec le soutien de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

En septembre 2010, la Commission européenne a présenté une proposition sur la manière de gérer les attaques perpétrées à l'encontre des systèmes d'information. L'exécutif européen a décidé d'agir, dans la mesure où il reconnaît que le foisonnement de logiciels malveillants créant des « botnets », des réseaux d'ordinateurs infectés qui peuvent être contrôlés à distance pour mener des attaques coordonnées à grande échelle.

Le 31 mars 2011, l'UE a adopté son plan d'action PIIC, mais il reste encore beaucoup de progrès à accomplir. C'est l'une des raisons pour lesquelles une nouvelle stratégie est en cours. La Commission souhaite moderniser l'ENISA afin de réduire les délais de réaction en cas de cyberattaque. Ce plan a également pour objectif la conclusion d'accords internationaux portant sur la cybersécurité.

Le groupe de travail UE-USA sur la cybersécurité et la cybercriminalité, mis sur pied lors du sommet UE-USA de novembre 2010, représente un grand pas dans cette direction.

Initiatives politiques : protection du nuage et des données

En septembre, la Commission européenne a publié sa nouvelle stratégie sur le cloud computing qui vise à mettre en avant ces services comme moteur de la croissance économique.

La Commission a tenté de dissiper les inquiétudes des utilisateurs qui craignent que leurs données ne soient pas en sécurité une fois stockées dans un autre pays. Elle a laissé entendre que les utilisateurs pourraient s'assurer que leurs contrats de cloud computing précisaient l'emplacement physique des données.

L'UE cofinance le système TClouds mis au point par IBM qui consiste en un ensemble de plateformes d'essai pour de nouveaux mécanismes de sécurité qui permettent de vérifier à distance le niveau de sécurité et d'adaptation de l'infrastructure en nuage. Ces mécanismes impliquent notamment une sauvegarde « de nuage en nuage » permettant de conserver les données à différents endroits.

La proposition d'une directive européenne relative à la protection des données, actuellement au coeur des débats au Parlement, exige que l'information soit stockée dans l'Espace économique européen ou dans un pays qui dispose de lois équivalentes sur la vie privée.

La Commission a affirmé qu'elle travaillerait avec l'OMC et l'OCDE pour établir des objectifs internationaux communs en matière de stockage de données hors site.

Dans le même temps, la stratégie européenne de cybersécurité devrait être présentée en décembre 2012 par Neelie Kroes (stratégie numérique), Cecilia Malmström (affaires intérieures) et Catherine Ashton (affaires étrangères). Son but est de fournir une vision complète de la cybersécurité et d'aborder les dimensions européenne et internationale.

La stratégie se concentra sur la nécessité d'améliorer la résistance globale du réseau et des systèmes d'information en stimulant la compétitivité du secteur européen des TIC ainsi que la demande des utilisateurs de fonctionnalités de sécurité des produits et services des TIC.

Ces initiatives seront complétées par d'autres destinées à l'élaboration d'une politique européenne externe sur la cybersécurité.

Neelie Kroes a indiqué que cette stratégie aurait un double rôle. D’une part, elle obligera les États membres de l'UE à être équipés de manière adéquate et à coopérer entre eux.

D’autre part, elle permettra d’étendre à de nouveaux secteurs les obligations d'adopter des mesures de gestion des risques et de signaler les incidents importants aux autorités compétentes. Ces obligations ne s'appliquent actuellement qu’au secteur des télécommunications dans l'UE, mais concernera ensuite d’autres secteurs tels que les banques, l'énergie, les transports, la santé, les administrations publiques.

Cette stratégie prévoit également un dialogue bilatéral avec des partenaires commerciaux clés, dont les États-Unis et le Japon, et lors de forums multilatéraux tels que l'OCDE, l'OSCE, l'ONU et l'UIT, en vue d'établir des normes internationales.

La cybersécurité pour protéger le commerce

Tout dialogue international sera opportun étant donné que la stratégie de cybersécurité de l'UE sera publiée sur fond d'escalade des tensions en matière de cyberattaques et de leur utilisation éventuelle en tant que trompe l’œil pour l’introduction de mesures de protection du commerce.

Selon un rapport de la commission du renseignement de la Chambre américaine des représentants (8 octobre), le panel contrôlé par les républicains a recommandé d'éviter les échanges commerciaux avec deux entreprises chinoises à la pointe de la technologie, Huawei et ZTE, de crainte qu'elles ne menacent la sécurité nationale.

Ce rapport n'apporte aucune preuve pour soutenir cette déclaration et a provoqué des frictions en Europe où des pays comme le Royaume-Uni font appel à des fournisseurs chinois et où des spécialistes en matière de sécurité collaborent avec eux sur des projets d'infrastructures à haut débit.

Vinton Cerf, l'un des pionniers de l'Internet qui travaille aujourd'hui comme « évangéliste de la toile » chez Google, est du même avis. Dans un entretien accordé à EurActiv plus tôt cette année, il a mis en garde contre les mesures de protection commerciale qui se cachent derrière des arguments de « sécurité nationale ». Il s'agissait de « tentatives visant à établir des règles d'opération qui deviendraient des barrières commerciales », a déclaré M. Cerf.

La Commission européenne a voulu clairement se distancer des craintes américaines de cyberattaques contrôlées par la Chine. Par exemple, les médias américains ont imputé à la Chine les tentatives de pénétration des systèmes informatiques des institutions, alors que des fonctionnaires de l'UE ont souligné que, même si les attaques semblaient venir d'Asie, elles pourraient tout aussi bien provenir d'autres juridictions ou gouvernements.

Dans le même temps, des entreprises telles qu'Huawei ont demandé des normes et un dialogue à l’échelle internationale afin de dépassionner le débat.

« La cybersécurité n'est pas le problème d'un seul pays ou d'une entreprise particulière. Toutes les parties prenantes (gouvernements et entreprises) doivent reconnaître que la cybersécurité est un problème mondial qui nécessite des approches fondées sur les risques, de meilleures pratiques et une coopération internationale afin d’affronter ce défi », peut-on lire dans un livre blanc récemment publié par l'entreprise à ce sujet.

Réseaux sociaux et smartphones

Les possibilités sont devenues infinies pour les hackers étant donné que les smartphones sont de plus en plus utilisés et sont plus souvent la cible de pirates informatiques, selon un rapport de l'ENISA.

Les vendeurs de smartphones et les développeurs d'applications doivent redoubler d'attention pour éviter que des logiciels malveillants (ou « malware ») ne puissent s'introduire dans les appareils et voler les données des utilisateurs, peut-on encore lire dans ce rapport. En 2011, un malware qui avait pris la forme d'une application Android populaire a infecté des milliers de téléphones.

La sécurité des smartphones est une question qu'il faut aborder de toute urgence, et ce pour plusieurs raisons. Il s'agit d'un marché en pleine croissance et les utilisateurs sont bien souvent des professionnels. De plus en plus d'applications sont en outre créées par des entreprises telles qu'Amazon, CISCO, Microsoft et Nokia qui visent différents systèmes d'exploitation. Les consommateurs et les développeurs sont extrêmement inquiets du fait que certains préfèrent choisir certaines applications plus fonctionnelles aux dépens des mesures essentielles de sécurité, a expliqué l'ENISA. L'agence a d'ailleurs proposé des étapes pour améliorer la protection des smartphones.

Le secteur lui-même doit en réalité faire face aux véritables menaces pour la cybersécurité et la vie privée, ont reconnu les PDG des géants des télécommunications plus tôt cette année lors du Mobile World Congress à Barcelone. Ils ont admis que les dangers augmentaient étant donné que le cloud computing poussait la technologie dans une phase hyperconnectée.

Positions

Neelie Kroes, la commissaire européenne en charge de la stratégie numérique, a souligné que la cybersécurité était une responsabilité partagée entre les acteurs publics et privés.

Les réseaux et infrastructures appartiennent principalement au domaine privé, mais seuls 26% des entreprises dans l'UE ont officiellement défini une politique de sécurité dans le domaine des TIC accompagnée d’un projet de révision régulière, a-t-elle indiqué.

« Je comprends que les entreprises ne partagent pas d'informations parce qu'elles craignent pour leur réputation et leur responsabilité », a déclaré Mme Kroes lors d'un discours prononcé en novembre 2012. Elle a ajouté qu'il ne devrait pas exister « de maillons faibles dans l'UE ».

Mme Kroes a annoncé que la Commission envisageait d'étendre à de nouveaux domaines du secteur des télécommunications l'obligation d'adopter des mesures de gestion des risques et de signaler les incidents importants aux autorités. Elle a cité les secteurs suivants : « les services Internet, les banques, l'énergie, le transport, la santé, les administrations publiques. »

Cecilia Malmström, la commissaire européenne en charge des affaires intérieures, a sommé les États membres de l'UE et les autorités judiciaires nationales de coopérer en matière de cybercriminalité : « Nous ne pouvons permettre aux criminels informatiques de perturber notre vie numérique. Un Centre européen de lutte contre la cybercriminalité, situé dans les locaux d'Europol, se placera au cœur de la coopération dans la défense d'un Internet à la fois libre, ouvert et sûr. »

Ren Zhengfei, le fondateur et PDG du géant chinois des télécommunications Huawei, a déclaré que l'augmentation des flux de données transfrontaliers présentait de nouveaux défis pour le secteur et les décideurs politiques.

« Dans la mesure où les flux de données augmentent beaucoup plus rapidement que la technologie de prévention n'évolue, tout le secteur est confronté à des défis en matière de sécurité de l'information. La cybersécurité est un problème commun auquel tout le secteur doit faire face. Nous devons collaborer pour l'aborder de manière proactive », a-t-il ajouté. « Nous devons utiliser les informations [pour qu'elles] profitent à l'humanité et adopter une attitude positive envers les flux de données, et non simplement regarder les maux ou les complexités qu'ils créent », a-t-il expliqué.

Rob Wainwright, directeur d'Europol, a déclaré : « L'établissement d'un centre européen de lutte contre la cybercriminalité sera un grand pas en avant dans ce combat que mène l'UE.  Je suis heureux que la Commission ait proposé qu'il soit créé au sein d'Europol.  Les groupes du crime organisé, les groupes terroristes et les autres criminels sont à la pointe lorsqu'il s'agit d'exploiter les opportunités offertes par les nouvelles technologies et il est temps que les autorités progressent dans ce domaine. Le centre européen de lutte contre la cybercriminalité fournira aux gouvernements, aux entreprises et aux citoyens des outils pour lutter contre la cybercriminalité. »

Monika Hohlmeier (Parti populaire européen), rapporteuse du Parlement européen sur la directive relative aux attaques contre les systèmes d'informations, a expliqué : « Les efforts de collaboration dans la lutte contre la cybercriminalité doivent être renforcés, que ce soit entre les différentes autorités, ou entre les entreprises et les organismes publics.J'espère que le nouveau centre européen pour la cybercriminalité à Europol pourra permettre de prévenir et de lutter contre les crimes en ligne dans l'UE. »

« La population ne réalise pas vraiment l'ampleur que peut prendre la cybercriminalité », a expliqué Adam Palmer, conseiller en cybersécurité chez Norton.  « La cybercriminalité est bien plus répandue que les gens ne le pensent.  Au cours des 12 derniers mois, selon un sondage, trois fois plus d'adultes ont été victimes de crimes en ligne en comparaison aux crimes en dehors du monde virtuel. Par contre, moins d'un tiers des répondants pensent avoir plus de chances d'être victimes d'un cybercrime plutôt que d'un crime dans le monde réel l'année prochaine. Bien que 89 % des répondants soient d'accord sur la nécessité d'en faire davantage pour renvoyer les cybercriminels devant la justice, la lutte contre la cybercriminalité reste une responsabilité partagée. Nous devons tous nous montrer plus vigilants et investir dans notre sécurité sur Internet. »

« Les réglementations internationales révisées sur les télécommunications devraient prendre en compte les défis posés par la nouvelle économie de l'Internet et les principes selon lesquels une compensation juste devrait être perçue pour le trafic et les recettes des opérateurs ne devraient pas être déconnectées des investissements devenus nécessaires en raison de la croissance rapide du trafic Internet », a déclaré Luigi Gambardella, le président d'ETNO, une organisation qui représente les plus grands réseaux et fournisseurs de services de e-communication en Europe.

« Ces réglementations devraient être suffisamment flexibles pour encourager la croissance et le développement durable du marché des télécommunications, tout en respectant les principes qui ont mené au succès de l'Internet : le leadership du secteur privé, une gouvernance indépendante multipartite et des accords commerciaux », a-t-il ajouté.

« Pour élaborer une politique relative à l'Internet, il faut connaître les parties concernées, à savoir la société civile, les gouvernements et le secteur. Une approche impliquant toutes les parties prenantes doit donc être adoptée. Ce n'est pas le cas dans les négociations de l'UIT », a déclaré Vint Cerf, l'un des « pères de l'Internet » qui travaille comme « évangéliste de la toile » chez Google.

« Une réglementation statique pourrait menacer la croissance, l'économie et l'innovation de l'Internet », a affirmé Sally Wentworth de l'Internet Society, une ONG qui milite en faveur d'un Internet ouvert.

Mme Wentworth a expliqué la raison des craintes liées aux négociations de Dubaï :  « Seuls les gouvernements peuvent négocier. Si vous voulez être impliqué, la première chose à faire, c'est de demander à votre gouvernement de se livrer à une procédure ouverte et participative de consultation en amont des négociations. »

John Suffolk, responsable de la cybersécurité chez Huawei, a déclaré à EurActiv : « Il est possible que les cyberattaques soient utilisées pour lever des barrières commerciales. Je pense que chacun d'entre nous devrait se montrer très prudent à cet égard. J'ai fait part de mon avis au gouvernement et au secteur privé, c'est mon opinion personnelle, je pense que nous empruntons un chemin dangereux. »

« Par essence, la cybercriminalité n'a pas de frontières. Cela rend les enquêtes criminelles plus complexes pour les forces de l'ordre. Pour lutter efficacement contre la cybercriminalité, des clauses transfrontalières adéquates sont nécessaires. La coopération internationale et l'assistance mutuelle dans le cadre de l'application du droit européen, ainsi qu'entre l'UE et les pays tiers, doivent également être renforcées »,a déclaré Rob Wainwright, le directeur d'Europol.

« La toile est l'un des éléments les plus sensibles en termes de sécurité dans notre infrastructure de l'information, c'est une cible de plus en plus lucrative pour les hackers », a commenté le professeur Udo Helmbrecht, le directeur exécutif de l'ENISA.

« La vérité, c'est que la cybersécurité est un domaine très complexe et représente un défi grandissant en raison de l'évolution rapide de la technologie, notamment en ce qui concerne le cloud computing », a affirmé Katherine McGuire, la vice-présidente en charge des relations gouvernementales pour la Business Software Alliance.

Mme McGuire a souligné : « Il faut un travail continu et de l'innovation pour sécuriser notre cyberespace en pleine évolution et contrecarrer les attaques des cybercriminels. C'est la raison pour laquelle nous avons besoin que toutes les parties impliquées s'engagent dans ce sens ».

Christopher Painter, le coordinateur en charge des questions virtuelles pour le Département d'État américain, a déclaré que les États-Unis étaient confrontés à différentes menaces virtuelles de la part de « hackers indépendants, de militants, voire d'États rivaux ». « Ce problème touche le gouvernement, l'économie et le domaine militaire », a expliqué M. Painter à Reuters.

« Très peu de cybercrimes ont la capacité d'entraîner une secousse à l'échelle mondiale. Les gouvernements doivent toutefois se préparer pour pouvoir résister et se remettre d'un large éventail d'évènements liés à l'Internet, qu'ils soient accidentels ou délibérés. Il existe des risques significatifs et croissants de problèmes ciblés suite à la compromission de la sécurité d'ordinateurs ou de services de télécommunications. En outre, un Internet sécurisé et des installations informatiques sûres sont essentiels pour se remettre de la plupart des autres catastrophes à grande échelle », ont affirmé Peter Sommer de la London School of Economics et Ian Brown de l'Oxford Internet Institute dans un rapport rédigé pour l'OCDE.

« Au cours des dix dernières années, la fréquence et la sophistication des intrusions dans les réseaux militaires américains ont augmenté de façon exponentielle. Chaque jour, les réseaux militaires et civiles américaines sont examinés des milliers de fois et scannés des millions de fois », a déclaré William Lynn, le sous-secrétaire américain à la défense, expliquant l'importance de la sécurité aux décideurs de l'UE.

« Certains de nos adversaires se sont procuré des milliers de fichiers issus des réseaux américains, des alliés des États-Unis et de nos partenaires industriels. Il s'agit notamment de plans d'armes, de plans opérationnels et d'informations de surveillance », a-t-il ajouté.

Todd M. Keil, le secrétaire d'État assistant pour la protection des infrastructures aux États unis, a fait remarquer dans un récent discours qu'« une approche de la sécurité des infrastructures sensibles qui serait uniquement fondée sur la protection était insuffisante pour convenablement gérer les risques potentiels ».

« La protection des données à caractère personnel est un droit fondamental », a affirmé Viviane Reding, la commissaire européenne à la justice, dans un communiqué. « Pour garantir ce droit, nous avons besoin de règles claires et cohérentes en matière de protection des données. Nous devons également adapter nos législations pour qu'elles restent en phase avec les défis qu'impliquent les nouvelles technologies et la mondialisation. La Commission présentera l'année prochaine une proposition de législation visant à renforcer les droits des particuliers tout en supprimant les formalités administratives afin de garantir la libre circulation des données dans le marché unique de l'Union », a-t-elle poursuivi. Concernant les risques de violations des données à caractère personnel, Arvind Narayanan et Vitaly Shmatikov de l'université du Texas ont expliqué : « Les risques pour la vie privée de publier des microdonnées sont bien connus. Même si les identifiants, comme le nom et les numéros de sécurité sociale, ont été effacés, un hacker peut utiliser des informations de base et mettre en relations différentes bases de données pour retrouver l'identité d'un individu et ses données ».

S'agissant des difficultés inhérentes à la protection des données, Marc Mueller du Bureau fédéral allemand pour la sécurité de l'information, le BSI, a affirmé:  « Il existe un grand nombre de receveurs et d'expéditeurs d'informations dans certains secteurs. C'est d'autant plus le cas sur le marché privé, lorsque les adresses et les responsabilités sont modifiées en raison du changement de personnel ou d'autres changements d'organisation interne. Parfois, de nouvelles entreprises sont créées alors que d'autres disparaissent en une nuit, uniquement à cause du changement d'actionnaires. Garantir la disponibilité de toutes les parties impliquées en cas de situation de crise est extrêmement difficile, a-t-il ajouté.

L'ONG Europe versus Facebook a publié un communiqué de presse demandant aux citoyens de réclamer leurs données aux mains de Facebook : « Chaque citoyen dans l'UE a le droit de recevoir une copie complète de toutes les données personnelles détenues par une entreprise à leur sujet (« demande d'accès »). Trois étudiants de Vienne en Autriche l'ont fait récemment et ont reçu un CD comportant un PDF de 780 , 1 142 et 1 222 pages. Dans ces données, on pouvait trouver des informations sensibles, telles que les convictions politiques et les croyances religieuses de l'utilisateur ».

« L'achèvement de la chaîne de confiance du DNSSEC (Domain Name System Security Extension) implique que chaque personne visitant un site Internet utilisant un nom de domaine .eu puisse être certain de sa légitimité, dans la mesure où aujourd'hui, les réponses envoyées par le serveur peuvent être remontées jusqu'à la zone racine », a déclaré Marc Van Wesemael, le directeur général d'EURid, le registre du domaine .eu.

« En tant que tel, .eu fait partie des premiers domaines de haut niveau à disposer d'un support DNSSEC total, ce qui respecte notre objectif d'être au premier plan en matière d'application des mesures de sécurité sur la toile grâce à des normes éprouvées.  EURid encourage les détenteurs de noms de domaine .eu, via leur bureau d'enregistrement, à appliquer le protocole du DNSSEC, en ajoutant donc des signatures numériques à tous les niveaux de la chaîne », a-t-il ajouté.

Timeline

  • 30 mars 2009 : la Commission adopte une communication sur la Protection des infrastructures d'information critiques
  • Mai 2010 :  l'UE adopte une stratégie numérique qui définit la sécurité comme un prérequis pour l'adoption des TIC
  • Sept. 2010 : la Commission adopte une proposition de directive relative aux attaques visant les systèmes d'information
  • Sept. 2010 : la Commission propose de renforcer l'ENIS
  • Nov. 2010 : création du groupe de travail UE-USA sur la cybersécurité et la cybercriminalité
  • Mars 2011 : la Commission publie une communication sur la protection des infrastructures d'information critiques intitulée « Réalisations et prochaines étapes: vers une cybersécurité mondiale »
  • 3 nov. 2011 : exercice commun d'incidents cybernétiques entre l'UE et les États-Unis
  • Jan. 2012 : la Commission publie une mise à jour de la directive relative à la protection des données
  • Déc. 2012 : l'exécutif européen devrait publier un document de stratégie sur la cybercriminalité
  • 2013 : l'ENISA entame la création d'un système européen de partage d'informations et d'alerte (SEPIA)