Cyberattaques: sur la protection des États membres européens

Dans un rapport qui fait l'inventaire des progrès réalisés dans la mise en œuvre du plan d'action PIIC européen de 2009, la Commission européenne salue les efforts accomplis par les États membres pour protéger les infrastructures d'information critiques des cyberattaques et des perturbations. Le rapport souligne toutefois que d'autres mesures doivent être prises dans ce domaine, notamment pour mettre en place un réseau efficace d'équipes d'intervention en cas d'urgence informatique (CERT) d'ici à 2012. Il est essentiel de garantir la cybersécurité et la protection des infrastructures d'information critiques pour que les particuliers et les entreprises fassent confiance à l'internet et à d'autres réseaux. Il s'agit de l'une des priorités de la stratégie numérique pour l'Europe.


Neelie Kroes, vice-présidente de la Commission européenne responsable de la stratégie numérique, s'est exprimée en ces termes: "Pour répondre aux besoins et aux attentes des Européens, il faut leur proposer un accès à des réseaux et services en ligne sûrs, solides et résilients. Au cours des deux dernières années, nous avons accompli des progrès notables, mais nous devons redoubler d'efforts, dans l'UE comme sur le plan mondial, pour combattre des menaces contre la sécurité informatique qui sont en constante mutation."

Des événements récents ont montré que des menaces nouvelles et d'une plus grande sophistication technologique pouvaient perturber ou détruire des fonctions économiques et sociétales vitales. À titre d'exemple, on peut citer les attaques qui ont visé les réseaux du ministère des finances en France à la veille du sommet du G20, le système d'échange des quotas d'émission de l'UE et, plus récemment encore, le Service européen pour l'action extérieure et la Commission elle-même. Ces événements montrent bien qu'il est nécessaire de mettre en place un réseau opérationnel de CERT gouvernementales/nationales en Europe d'ici à l'année prochaine, d'organiser davantage d'exercices réguliers de simulation de cyberattaques et de se pencher sur les questions de gouvernance liées à la sécurité de technologies émergentes telles que l'informatique en nuage.

Les principales conclusions de ce rapport sont les suivantes:

- Une majorité d'États membres a désormais mis sur pied des équipes gouvernementales/nationales d'intervention en cas d'urgence informatique (CERT).

- La coopération entre les États membres s'améliore grâce aux échanges réguliers en ce qui concerne les bonnes pratiques qui ont lieu dans le cadre du Forum européen des États membres, créé en 2009.

- La mise en place du Partenariat public privé européen pour la résilience (EP3R) a été décisive pour inciter le secteur privé à renforcer la sécurité de notre environnement numérique et créer un marché de la sécurité de l'information solide en Europe.

Le rapport décrit la marche à suivre pour intensifier la coopération internationale dans ce domaine. La Commission s'engagera aux côtés des États membres et du secteur privé, aux niveaux national, européen et international, par l'intermédiaire des actions suivantes:

- la création de CERT dans les États membres qui n'en possèdent pas encore et pour les institutions de l'UE d'ici à 2012;

- l'élaboration, d'ici à 2012, d'un plan d'urgence européen en cas d'incident informatique fondé sur les plans d'urgence nationaux;

- l'organisation d'exercices réguliers au niveau national (seuls 12 États membres en ont organisé jusqu'à présent) et d'exercices paneuropéens de simulation d'incident informatique, tels que l'exercice "Cyber Europe 2010" ;

- la promotion de principes pour la stabilité et la résilience de l'internet mondialement reconnus;

- l'établissement de partenariats stratégiques dans ce domaine avec des pays clés non membres de l'UE (notamment les États-Unis) et la promotion du dialogue dans le cadre d'enceintes internationales telles que le G8;

- la recherche des meilleures stratégies de gouvernance pour les technologies émergentes ayant une incidence mondiale, telles que l'informatique en nuage.

Contexte

En mars 2009, la Commission a adopté une communication relative à la protection des infrastructures d'information critiques - "Protéger l'Europe des cyberattaques et des perturbations de grande envergure: améliorer l'état de préparation, la sécurité, et la résilience" (COM(2009)149) exposant un plan d'action destiné à assurer la protection des infrastructures d'information critiques en améliorant l'état de préparation de l'UE et sa capacité de résistance aux cyberattaques et aux perturbations.

La stratégie numérique pour l'Europe adoptée en 2010 souligne l'importance de la confiance et de la sécurité et insiste sur la nécessité, pour toutes les parties prenantes, d'unir leurs forces dans un effort concerté pour mettre en place des mécanismes efficaces et coordonnés propres à répondre à de nouvelles menaces pour la sécurité informatique de plus en plus sophistiquées.

Le 30 septembre 2010, la Commission a présenté en parallèle une proposition relative à un nouveau mandat visant à renforcer et moderniser l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Le texte complet de la communication relative à la protection des infrastructures d'information critiques "Réalisations et prochaines étapes: vers une cybersécurité mondiale" est disponible à l'adresse suivante: http://ec.europa.eu/information_society ... dex_en.htm