L’avenir de la directive sur la cybersécurité est incertain

cyber time bomb.jpg

ÉDITION SPÉCIALE / Les tentatives de l’UE d’introduction de nouvelles règles globales en matière de cybersécurité risquent d’échouer au Parlement européen. Des administrateurs principaux doutent en effet que le paquet soit adopté avant l’expiration du mandat de la législature, a cru comprendre EURACTIV.

 

Outre une stratégie générale en matière de cybersécurité, la Commission européenne a proposé le mois dernier une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

 

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

 

La directive laisse également penser que les exploitants du marché seront responsables, qu'ils effectuent l'entretien de leur réseau en interne ou en externe.

 

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

 

Stratégie du Parlement

 

La directive de l'UE s'appliquera également à des entreprises clés de l'Internet, dont les services de paiement, les réseaux sociaux, les moteurs de recherche, les services du nuage, les fournisseurs d'application, les plateformes de commerce électronique, les plateformes de partage de vidéos et les fournisseurs de services de téléphonie sur IP.

 

La Commission a envoyé la proposition au Parlement, où elle sera transmise aux commissions susceptibles de jouer un rôle clé dans le débat.

 

Il s'agit des commissions des libertés civiles, justice et affaires intérieures ; de l'industrie, de la recherche et de l'énergie ; du marché intérieur et de la protection des consommateurs et des affaires juridiques.

 

Il reste encore à déterminer quelle commission mènera la procédure et à nommer les rapporteurs et rapporteurs fictifs, c'est-à-dire les eurodéputés responsables du contenu des rapports de commission.

 

Le mandat du Parlement actuel expire l'année prochaine. En raison des élections prévues en mai 2014, les eurodéputés n'examineront probablement plus les questions législatives plusieurs semaines avant les élections, car ils prépareront leur campagne.

 

Des sources parlementaires ont déclaré à EURACTIV que le Parlement avait déjà prévenu la Commission qu'il ne serait plus en mesure d'organiser le débat sur les nouvelles mesures législatives proposées par l'exécutif européen après le mois d'avril de cette année.

 

Document compliqué et controversé

 

La directive sur la cybersécurité se trouve donc dans une situation précaire, car elle est compliquée et nécessite un examen approfondi des différents groupes politiques.

 

Un élément clé sera de savoir dans quelle mesure le secteur privé sera contraint de signaler officiellement lorsqu’il a été victime d'une cyberattaque, conformément aux nouvelles règles.

 

Cet élément marque une différence évidente entre les niveaux de vigilance en matière de cybersécurité que l'UE et les États-Unis comptent mettre en place. Les États-Unis adopteront vraisemblablement une approche beaucoup plus volontaire par rapport à ces notifications.

 

« Le Parlement européen examinera en profondeur la proposition de la Commission et nous détaillerons soigneusement l'incidence de la directive. La garantie de la sécurité de nos citoyens ainsi que la protection des parties prenantes et des consommateurs seront au coeur des discussions des prochains mois », a déclaré l'eurodéputé allemand Christian Ehler (Parti populaire européen), membre de la commission de l'industrie, de la recherche et de l'énergie.

 

Course contre la montre

 

Deux administrateurs principaux au Parlement ont mis en doute, sous couvert de l'anonymat, la capacité du législateur européen à conclure les délibérations avant la fin de son mandat l'année prochaine.

 

« C'est complexe et la question de savoir qui endossera le rôle prépondérant ne sera pas du tout aisée », a déclaré l'un des administrateurs.

 

Même si le Parlement travaille à pleine vitesse, les négociations avec le Conseil et la Commission seront probablement « extrêmement difficiles », a indiqué un autre administrateur.

 

« Le mandat de la Commission expire également et l’ambiance sera moins positive en raison des pressions politiques entre l'exécutif européen et le Parlement », a-t-il ajouté.

 

Si le Parlement n'adopte pas la législation, une nouvelle proposition serait nécessaire, car « le prochain Parlement élu peut examiner une législation seulement si elle atteint un stade avancé de négociations », a déclaré un administrateur.

 

L'Europe accuserait alors un retard considérable dans l'adoption de mesures harmonisées en matière de cybersécurité.

 

« Digital Europe accueille favorablement les aspects du projet de directive sur la sécurité des réseaux et de l'information (SRI) qui vise à renforcer les agences du secteur public et à améliorer la coordination paneuropéenne. Ces aspects comprennent le renforcement des réseaux d'équipes d'intervention en cas d'urgence informatique (CERT), la mise en place d'un réseau de coopération entre les autorités nationales compétentes et l'obligation pour les autres États membres d'adopter des stratégies informatiques nationales, s'ils ne l'ont pas encore fait. Nous accueillons favorablement la précision selon laquelle les mesures qui suivent les dispositions de la directive devraient éviter toute obligation spécifique de conception, de développement ou de production d'une manière particulière. Nous soutenons également les efforts de la Commission européenne qui visent à se concentrer sur le genre d'incidents, signalés dans le cadre du mécanisme de rapports, liés aux services de base des infrastructures critiques et non aux services connexes [...] », peut-on lire dans un communiqué de l'association.

 

« Nous sommes cependant aussi conscients que c'est la première fois que l'Europe introduit une législation dans ce domaine. Il s'agit d'un recul par rapport au partage volontaire et bidirectionnel d'informations entre les secteurs privé et public et d'un pas vers des obligations et des rapports [...] unidirectionnels. En tant que tels, nous voulons être certains que les protections appropriées soient mises en place et que toute disposition adoptée ne soit pas seulement proportionnelle en termes de secteurs ciblés, mais reflète aussi la nature internationale de la cybersécurité et évite d’entraver l'innovation dans la sécurité », conclut le communiqué de Digital Europe.

 

« J'aimerais souligner le fait que la cybersécurité doit aller au-delà de la simple lutte contre les délits numériques. Les conséquences des perturbations et des incidents d'ordre technique ou des catastrophes naturelles pourraient être les mêmes pour nos citoyens et notre société », a déclaré l'eurodéputé bulgare Ivalio Kalfin (Socialistes et Démocrates).

 

« Des dispositions plus claires sur la coordination, sur les exigences de résistance minimum dans les États membres et sur les mesures pertinentes pour une coopération basée sur la confiance entre les autorités compétentes et les parties prenantes seraient également bénéfiques », a ajouté M. Kalfin, membre de la commission parlementaire de l'industrie, de la recherche et de l'énergie.

 

Craig Mundie, le conseiller spécial du PDG de Microsoft, Steve Ballmer, a estimé le 30 janvier, lors d'un événement sur la cybersécurité dans le monde, que la cybercriminalité était responsable de la perte de 300 milliards à mille milliards de dollars (230,6 milliards à 768,5 milliards d'euros) par an pour l'économie traditionnelle.

 

« Ces pertes minimisent particulièrement les risques liés à la cybersécurité aujourd'hui, car les meilleurs systèmes de sécurité nationale dépendent en fin de compte de la sécurité économique », a-t-il déclaré lors de cet événement organisé par European Security Round Table (ESRT) et le ministère estonien de la défense, à l'ordre du jour officiel de la présidence irlandaise.

 

« Nous constatons à l'heure actuelle un degré d'espionnage industriel d’une ampleur jamais enregistrée auparavant. Cette situation se transforme en avantage pour un certain nombre de pays et en un grand inconvénient à long terme pour la stabilité économique des autres », selon M. Mundie.

 

« Nous accueillons favorablement la stratégie sur la cybersécurité proposée par la Commission européenne. Elle réaffirme notre conviction selon laquelle la coopération internationale est indispensable en vue d'atteindre une cybersécurité à l'intérieur et au-delà des frontières de l'UE », a déclaré une porte-parole de l'entreprise de haute technologie Huawei.

 

« Huawei estime qu'il s'agit d'une décision importante qui survient à un moment décisif pour les secteurs public et privé. Nous encourageons donc le Parlement et le Conseil à trouver un accord avant la fin du mandat de la Commission actuelle afin de garantir l'adoption rapide de la directive », a-t-elle ajouté.

 

« En outre, si […] la stratégie acquiert force de loi, nous exhorterons les législateurs des États membres à adopter une approche simplifiée et coordonnée. Les entreprises internationales pourraient autrement être confrontées à 28 cadres réglementaires différents, ce qui compliquerait les efforts de création d'un environnement cybernétique sûr, ouvert et transparent en Europe et ailleurs. »

p;Deux administrateurs principaux au Parlement ont mis en doute, sous couvert de l'anonymat, la capacité du législateur européen à conclure les délibérations avant la fin de son mandat l'année prochaine.

 

 

« C'est complexe et la question de savoir qui endossera le rôle prépondérant ne sera pas du tout aisée », a déclaré l'un des administrateurs.

 

Même si le Parlement travaille à pleine vitesse, les négociations avec le Conseil et la Commission seront probablement « extrêmement difficiles », a indiqué un autre administrateur.

 

« Le mandat de la Commission expire également et l’ambiance sera moins positive en raison des pressions politiques entre l'exécutif européen et le Parlement », a-t-il ajouté.

 

Si le Parlement n'adopte pas la législation, une nouvelle proposition serait nécessaire, car « le prochain Parlement élu peut examiner une législation seulement si elle atteint un stade avancé de négociations », a déclaré un administrateur.

 

L'Europe accuserait alors un retard considérable dans l'adoption de mesures harmonisées en matière de cybersécurité.

 

La plupart des incidents de cybersécurité ne sont souvent pas signalés ou détectés, même s'ils peuvent concerner des millions de citoyens et d'entreprises, selon l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Les cyberattaques peuvent provoquer des pertes de millions d'euros, voire la faillite.

 

Selon les chiffres du cabinet de la commissaire en charge des affaires intérieures, Cecilia Malmström, 95 % des entreprises sont « conscientes » des cyberattaques dirigées contre leurs entreprises. Quelque 76 % des PME ont été confrontées à des intrusions en 2012.

 

La Commission indique également que les craintes de cybercriminalité influencent le comportement des consommateurs : 3 personnes sur 4 déclarent qu'elles « risquent de plus en plus d'être attaquées » et 1 personne sur 10 a déjà été victime d'une fraude en ligne.

 

  • Avant avril 2013 : le Parlement commence à examiner la nouvelle directive sur la cybersécurité
  • Mai 2014 : élections du Parlement européen

Subscribe to our newsletters

Subscribe
CONTRIBUER