Les eurodéputés réclament un plan d’action pour la cybersécurité

Les eurodéputés font pression sur la Commission européenne pour qu’elle propose de nouvelles règles contre la cybercriminalité et aborde des thématiques comme le piratage, le cryptage, le partage d’information entre États membres.

Les États membres devraient échanger leurs « meilleures pratiques » sur le contournement du cryptage et investir davantage pour protéger les infrastructures essentielles comme les réseaux énergétiques et de transport des cyberattaques, selon un rapport adopté le 11 juillet par la commission libertés civiles du Parlement européen (LIBE).

Le rapport n’est pas juridiquement contraignant, mais souligne le point de vue des eurodéputés sur le sujet controversé de la cybersécurité qui fera partie des propositions de la Commission cet automne. Au total, 54 eurodéputés ont voté pour, 4 ont voté contre et 2 se sont abstenus.

Elissavet Vozemberg-Vrionidi, eurodéputée grecque issue du parti Nouvelle Démocratie (PPE), et auteure du rapport, a déclaré avant le vote qu’il enverrait un « message politique très important ». « Internet va plus vite que la loi donc nous devons essayer de devancer les criminels », a-t-elle déclaré à Euractiv.

Cyberattaques WannaCry

Son rapport propose des mesures sur la manière dont l’UE et les gouvernements nationaux devraient réagir à des cyberattaques majeures déstabilisant les sociétés, comme l’attaque WannaCry par exemple qui a touché les hôpitaux, les lignes ferroviaires et les réseaux Internet à travers l’Europe. Il inclut aussi des lignes directrices sur la manière dont les sociétés privées pourraient prévenir les crimes ciblant les objets connectés.

« La frontière entre le cybercrime, le cyberespionnage, la cyberguerre, le cybersabotage, et le cyberterrorisme est de plus en plus floue », indique le rapport.

L’agence de cybersécurité européenne se renforce

L’ENISA, l’agence européenne de cybersécurité, s’apprête à recevoir un nouveau mandat. Face à l’augmentation des piratages liés aux objets connectés, le directeur de l’agence a demandé une hausse de budget.

La Commission européenne publiera une nouvelle stratégie sur la cybersécurité en septembre. Selon les responsables européens, celle-ci est nécessaire, car l’Internet des objets, le nom donné aux objets connectés, a rapidement pris de l’ampleur depuis la dernière stratégie de l’exécutif sur la cybersécurité en 2013.

D’autres annonces prévues pour septembre comprennent un nouveau cadre légal et budget pour l’ENISA, l’Agence de l’UE chargée de la sécurité des réseaux et de l’information basée à Athènes, ainsi qu’un système d’étiquetage européen qui classe les appareils à fonction de leur résistance aux cyberattaques. Tous ces projets sont étayés par une ambition ultime d’harmoniser la réponse des pays européens aux menaces à la cybersécurité.

Failles sécuritaires

L’année dernière, l’UE a adopté sa première loi sur la cybersécurité, et sur la sécurité des réseaux et de l’information. Les opérateurs d’infrastructure doivent depuis cette loi rapporter les cyberattaques aux autorités et demander aux autorités de régulation nationales de partager leurs informations sur les menaces. Les responsables européens estiment toutefois que la directive doit être renforcée avec d’autres mesures sur la cybersécurité.

Le rapport d’Elissavet Vozemberg-Vrionidi appelle les entreprises à informer les autorités lorsqu’elles sont victimes de cyberattaques, et à réparer les failles sécuritaires. L’eurodéputée recommande également un label de confiance pour les appareils connectés. Le vice-président de la Commission, Andrus Ansip avait annoncé ce projet de label en mai, mais n’avait pas spécifié s’il s’agirait d’un système de certification volontaire ou légalement contraignant. Pour l’eurodéputée, il devrait s’agir d’une mesure volontaire.

Le rapport du Parlement établit certaines lignes directrices sur la manière dont les États membres devraient réagir aux failles sur la cybersécurité et demande aux gouvernements nationaux de créer des règles sur leurs propres offensives. « Le piratage légal doit rester une mesure de dernier recours », estime le rapport.

Accès transfrontalier des données

Une approche légale paneuropéenne est « une question de priorité ». La loi européenne devrait permettre à la police d’accéder aux preuves électroniques ou aux données des entreprises de la Tech, même si elles sont stockées dans un État membre différent de là où a lieu l’enquête. Le mois dernier, la Commission a annoncé qu’elle était en train de rédiger une proposition législative sur l’accès transfrontalier des données.

La résolution d’Elissavet Vozemberg-Vrionidi demande aussi aux gouvernements nationaux de partager tous leurs projets d’accès aux données cryptées. Le rapport ne propose pas de solution légale pour créer un accès, mais demande aux gouvernements de promouvoir des « mesures de sécurité » comme les technologies de cryptage.

« C’est un sujet très controversé parmi les groupes politiques », a déclaré Elissavet Vozemberg-Vrionidi. « Le cryptage est très puissant et très utile, mais d’un autre côté c’est un moyen pour les criminels de trouver une arme leur permettant d’entrer dans le cyberespace », a-t-elle ajouté.

Andrus Ansip a insisté sur le fait qu’une loi européenne n’affaiblirait pas le cryptage. Les politiques à travers l’Europe veulent que la police ait accès aux données cryptées via des portes dérobées. Les experts en cybersécurité, dont l’ENISA, estiment quant à eux que de tels accès dérobés ne feraient qu’affaiblir les appareils ou les standards de sécurité des logiciels et les rendraient plus vulnérables à des attaques.

Selon l’eurodéputé allemand Jan Philipp Albrecht (Verts), le rapport mentionne bien l’accès de la police aux données, mais « cela ne veut pas dire qu’il faut contourner le cryptage avec des moyens technologiques ou mettre en place des instruments juridiques pour cela. »

« Il faut discuter de la question de proportionnalité dans la situation où si vous entrez dans l’appareil d’une personne, vous affaiblissez toute l’infrastructure », a ajouté Jan Philipp Albrecht.

Plusieurs eurodéputés de différents groupes politiques se sont opposés à un affaiblissement de la technologie de cryptage. Le projet de règlement du Parlement sur la vie privée et les communications électroniques, une loi qui affecte les services télécoms, spécifie que « le décryptage, l’ingénierie inverse ou la surveillance de telles communications devraient être interdits ». Ce projet de loi fait encore l’objet de négociations.

«Face aux cyberattaques, la transparence entre Etats membres est clé»

Andrus Ansip estime que les réussites de l’Estonie dans le domaine du numérique ne peuvent pas être copiées partout et que les cyberattaques de 2007 auraient pu être pires si les pays européens n’avaient pas partagé d’informations.