II La stratégie européenne de cybersécurité

La stratégie européenne de cybersécurité est adjointe d’une proposition de directive. Après une présentation générale du document puis son analyse détaillée, la directive sera ensuite décrite.

21 Organisation générale

Le document de 19 pages se décompose en quatre parties : une longue introduction (3 pages), une partie principale décrivant les « Priorités et actions stratégiques » (13 pages), une courte partie détaillant les « Rôles et responsabilités » (3 pages) et une brève conclusion (une demie-page).

L’introduction évoque tout d’abord le contexte. Si le cyberespace est mal distingué d’Internet, on remarque une définition donnée à la cybersécurité : « On entend généralement par cybersécurité les mesures de sauvegarde et les actions auxquelles il est possible de recourir pour protéger le cyberespace, dans les domaines civil et militaire, des menaces associées à ses réseaux interdépendants et à son infrastructure informatique ou susceptibles de leur porter atteinte. La cybersécurité vise à préserver la disponibilité et l'intégrité des réseaux et de l'infrastructure ainsi que la confidentialité des informations qui y sont contenues ».

De même pour la cybercriminalité : « on entend généralement par cybercriminalité un large éventail d'activités criminelles dont les ordinateurs et systèmes informatiques constituent soit l'arme soit la cible principale. La cybercriminalité recouvre les délits habituels (fraude, contrefaçon et usurpation d'identité p. ex.), les délits liés au contenu (distribution en ligne de matériel pédopornographique ou incitation à la haine raciale p. ex.) et les délits spécifiques aux ordinateurs et systèmes informatiques (attaque contre un système informatique, déni de service et logiciel malveillant p. ex.). » Cette dernière définition montre que la question des contenus ne saurait être ignorée, et que le cyber ne se réduit pas aux réseaux et aux logiciels.

Après ces éléments de contexte, l’introduction donne une liste de principes de cybersécurité : prédominance des valeurs de l’UE, protection des droits fondamentaux, de la liberté d'expression, des données personnelles et de la vie privée, accès pour tous, gouvernance participative, démocratique et efficace, responsabilité partagée pour assurer la sécurité. Il s’agit donc d’atteindre deux objectifs différents et pouvant être contradictoires : la liberté et la sécurité. Toutefois, toutes les politiques de sécurité sont confrontées à ce dilemme.

22 Analyse détaillée

La stratégie définit cinq priorités (p. 5) :

• • Parvenir à la cyber-résilience ;
• • Faire reculer considérablement la cybercriminalité ;
• • Développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC) ;
• • Développer les ressources industrielles et technologiques en matière de cybersécurité ;
• • Instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l'UE.

Pour atteindre la cyberrésilience, il faut tout d’abord s’appuyer sur les outils existant : la « politique de sécurité des réseaux et de l’information » (SRI), l’ENISA dont le mandat doit être révisé, la directive cadre sur les communications électroniques, mais aussi la législation de l’UE sur la protection des données. Il reste toutefois à améliorer les disparités des réponses nationales, la coordination en cas d’incidents transnationaux et l’engagement des acteurs privés. C’est pourquoi la stratégie recommande une proposition législative pour instaurer des exigences minimales communes de SRI au niveau national, instaurer des mécanismes de prévention et d’intervention coordonnés, et inciter les acteurs privés à développer leurs propres moyens et à partager les meilleures pratiques. La législation insiste sur les acteurs d’un certain nombre de « domaines importants » (l’énergie, les transports, les bourses de valeurs, les facilitateurs de services Internet clés ainsi que les administrations publiques).

On remarque au passage qu’on ne parle pas d’ « infrastructure vitale », même si le terme d’infrastructure critique est ensuite utilisé. La note n° 9 du document cite : « Depuis 2009, la Commission a également adopté un plan d'action et une communication sur la protection des infrastructures d'information critiques (PIIC) ». Par la suite, le document évoque des « infrastructures d’information critiques », des « exploitants d’infrastructures critiques », des « cyberinfrastructures critiques », des « infrastructures citriques d’Etat », des « services et infrastructures critiques » sans que l’on sache bien si ces expressions désignent la même chose et, tout particulièrement, les opérateurs des « domaines » énumérés. Il n’est pas sûr que ce flou sémantique désigne la même réalité et coïncide, par exemple, avec la notion d’opérateur d’importance vitale (OIV) précisée dans le droit français.

Il est précisé que « ces entités devraient signaler aux autorités nationales compétentes en matière de SRI les incidents ayant un impact significatif sur la continuité des services essentiels et la fourniture des biens dépendant de réseaux et systèmes informatiques. » On retrouve là une des difficultés, rencontrées d’ailleurs dans les cadres nationaux, consistant à obtenir, de la part des entreprises, le signalement à une autorité de confiance des cyberincidents qui les frappent.

Il s’agit également de « sensibiliser » : le rôle de l’ENISA est encore souligné (il lui est demandé de proposer un « permis de conduire en matière de sécurité des réseaux et de l’information »), mais le texte invite également les Etats-membres (mois de la cybersécurité, formation à la SRI) et les entreprises à s’investir dans ces actions. Le deuxième objectif vise à faire reculer considérablement la cybercriminalité.

Cela passe par une législation solide et efficace, qui bien sûr repose sur la « convention du Conseil de l’Europe sur la cybercriminalité », dite convention de Budapest. La Commission veut assurer une transposition rapide des directives relatives à la cybercriminalité. Il faut également des moyens opérationnels accrus. Outre l’aide aux Etats membres, la Commission entend collaborer avec l’EC3 récemment constitué. Il faut enfin une meilleure coordination au sein de l’UE, qui passe là encore par l’EC3, Europol et Eurojust.

Le troisième objectif consiste à développer une politique et des moyens de cyberdéfense dans le cadre de la PSDC. On remarque au passage qu’aucune définition de la cyberdéfense n’est mentionnée. Le texte (p. 12) évoque simplement le fait d’« accroître la résilience des systèmes de communication et d'information préservant les intérêts des États membres en matière de défense et de sécurité nationale », et qu’il faut pour cela porter les efforts sur « la détection, l’intervention et la récupération en cas de cybermenace sophistiquée ». Il faut donc « accroître les synergies » ; mais pour éviter les doublons, « l’Union étudiera les différentes possibilités de conjuguer les efforts de l'UE et de l'OTAN pour accroître la résilience des infrastructures critiques d'État, de défense ou d'information dont dépendent les membres des deux organisations ».

La haute représentante (HR) se concentrera sur les activités clefs : définir les exigences de cyberdéfense opérationnelle et promouvoir le développement de moyens et de technologies de cyberdéfense propres à l’Union, élaborer le cadre politique de cyberdéfense de l’UE, promouvoir le dialogue et la coordination entre les acteurs civils et militaires, et maintenir un dialogue avec les partenaires internationaux, notamment l’OTAN.

On le voit, la seule nouveauté consiste, simplement, à dire que l’UE peut s’occuper de cyberdéfense, ce qu’elle refusait jusque là, dans les faits comme dans ses déclarations. Le pas franchi est donc majeur.

Développer les ressources industrielles et technologiques en matière de cybersécurité constitue le quatrième objectif. Il faut pour cela promouvoir un marché unique des produits de cybersécurité (plate-forme public-privé sur les solutions de SRI, recommandations techniques par l’ENISA, élaboration de normes de sécurité, mettre des étiquettes de sécurité, …), et développer les investissements dans la R&D et l’innovation (utilisation du programme cadre Horizon 2020, guide de bonnes pratiques des achats des administrations publiques, soutien au développement de la cryptographie, …).

Le cinquième objectif a pour ambition d’instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et de promouvoir les valeurs essentielles de l'UE. Il s’agit pour cela d’intégrer les questions « inhérentes au cyberespace » (p. 16) dans les relations extérieures, et notamment de « coopérer plus étroitement avec les organisations qui sont actives dans ce domaine comme le Conseil de l'Europe, l'OCDE, les Nations unies, l'OSCE, l'OTAN, l'UA, l'ANASE et l'OEA. Au niveau bilatéral, la coopération avec les États-Unis est particulièrement importante et sera encore développée, notamment dans le cadre du groupe de travail UE–États-Unis sur la cybersécurité et la cybercriminalité. ». Il est précisé qu’ « une des finalités essentielles de cette politique internationale de l'UE sera de promouvoir le cyberespace comme un espace de liberté et de droits fondamentaux » : il s’agit là de la promotion d’un « Internet ouvert ».

« Sur les questions de sécurité internationale, l’UE encourage l’élaboration de mesures de confiance en matière de cybersécurité ». Mais il est précisé que « l’UE ne préconise pas de créer de nouveaux instruments juridiques internationaux concernant les questions inhérentes au cyberespace », rejoignant ainsi la position américaine. La convention de Budapest est à nouveau mentionnée.

La troisième partie du document, sur les Rôles et responsabilités, apporte des éclairages fort intéressants. En effet (p. 18), il s’agit de « couvrir trois domaines » (three pilars) : un domaine technique (celui de la SRI), un domaine juridique (maintien de l’ordre) et celui de la défense (militaire, au sens étroit). Un schéma est proposé qui décrit les rôles des différents acteurs :

Il s’agit dès lors de fournir des efforts dans deux directions. Tout d’abord, d’assurer la coordination entre autorités compétentes en matière de SRI, de maintien de l’ordre et de défense, au niveau national (structures de cyberdéfense, stratégies de cybersécurité, partage d’information avec le secteur privé) et au niveau de l’UE où trois acteurs sont identifiés : l’ENISA, l’Europol/EC3 et l’Agence européenne de défense (AED), mais aussi l’équipe d’intervention en cas d’urgence informatique (CERT-UE, qui existe depuis 2012). De ce point de vue, « le nouveau mandat de l'ENISA doit lui permettre de resserrer les liens avec Europol et de développer les relations avec les parties prenantes industrielles ». Le niveau international est de plus mentionné.

La deuxième direction vise à organiser le soutien de l’UE en cas de cyberincidents ou cyberattaques majeurs. Remarquons qu’aucune définition n’est donnée à la notion de « cyberattaque ». Là encore, l’action devrait reposer sur la nouvelle directive SRI. Selon celle-ci, si l’incident à un impact sérieux sur la continuité d’activité, les plans de coopération SRI seraient déclenchés. Si l’incident semble relever d’un délit, Europol/EC3 seraient informés pour pouvoir agir (enquête, preuve, poursuites). Si l’incident relève « du cyberespionnage » (pas de définition) ou s’apparente « à une attaque commanditée par un Etat ou a des conséquences pour la sécurité nationale » (les critères permettant de discerner si une attaque est « commanditée par un Etat » ne sont pas donnés), les autorités nationales alerteront leurs homologues ; « Les mécanismes d’alerte rapide seront alors activés et, si nécessaire, les procédures de gestion de crises ou autres seront déclenchées ». Et d’ajouter : « un cyberincident ou une cyberattaque particulièrement sérieux pourraient constituer un motif suffisant pour qu’un Etat membre invoque la clause de solidarité de l’UE (article 222 du traité sur le fonctionnement de l’UE) ».

Comme on le comprend, il s’agit ici d’énoncer des principes. Le plus remarquables est d’inclure le cyber dans le système de cohésion de sécurité et de défense mis en place par l’article 222 du traité de Lisbonne : alors que l’Alliance atlantique se refuse pour l’instant à inclure les attaques cyber sous la couverture de l’article 5 du traité de l’Atlantique Nord, l’Union Européenne va un peu plus loin en la matière. L’innovation est notable.

23 Proposition de directive

La stratégie est accompagnée d’une proposition de directive , c’est-à-dire de législation européenne. Elle vise trois objectifs : renforcer les capacités nationales, renforcer la coordination européenne, et instaurer une obligation de notification des incidents.

Après les considérations préparatoires (étude d’impact, coût, base juridique, …), le document est organisé en plusieurs chapitres .

Le premier (Dispositions générales) couvre trois articles. Le premier énonce l’objet : « la directive fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d'événement de ce type; elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques; elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques. ». L’article 2 évoque l’harmonisation de la législation, quand le troisième article donne un certain nombre de définitions (réseau informatique, risque, incident …)

Le deuxième chapitre (Cadres nationaux de SRI) compte quatre articles. Chaque Etat-membre (EM) devra garantir un niveau important de sécurité (4), il devra adopter une stratégie de cybersécurité et un plan de coopération (5), désigner une autorité compétente en matière de cybersécurité (6) créer un CERT national (7).

Le troisième chapitre (Coopération entre les autorités compétentes) comprend cinq articles. Il pose le principe d’un mécanisme de coopération (8), la nécessité d’une infrastructure de communication sécurisée (9), il énonce les principes d’alerte rapide (10), d’intervention coordonnée (11), d’un plan de coopération de l’Union en matière de SRI (12) et recommande la coopération internationale (13).

Le quatrième chapitre (sécurité des réseaux et systèmes informatiques des administrations publiques et des acteurs de marché) dénombre trois articles. L’un (14) évoque les exigences de sécurité et de notification d’incident. « Il pose le principe de l’extension de notification d’incidents de sécurité informatique à divers acteurs » mais exclut les micro-entreprises. Un résumé annuel des notifications reçues devra être rendu public. L’article suivant (15) prévoit la coopération entre les autorités nationales de cybersécurité, les autorités judiciaires et les CNIL européennes, quand le dernier (16) traite de la normalisation.

Le dernier chapitre (Dispositions finales) traite des sanctions (17), de l’exercice de la délégation (18), du comité pour la sécurité des réseaux d’information (19) et de divers aspects techniques (examen, transposition, entrée en vigueur, destinataires, article 20 à 23).

O. Kempf

(à suivre)

1. Proposition de Directive du parlement européen et du conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, n° 2013/0027, Bruxelles, 7 février 2013. Accessible à : http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_fr.pdf.
2. Une analyse détaillée est donnée par B. Louis-Sidney, « La stratégie de cybersécurité de l’Union Européenne », Observatoire du monde cybernétique, lettre n° 14, février 2013.
3. B. Louis-Sidney, op. cit., p. 8.