La Commission européenne a publié le 7 février 2013, en liaison avec la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, une stratégie en matière de cybersécurité ainsi qu'une proposition de directive concernant la sécurité des réseaux et de l'information (SRI).
La stratégie de cybersécurité, intitulée "Un cyberespace ouvert, sûr et sécurisé", expose la vision globale de l'Union européenne en ce qui concerne les meilleurs moyens de prévenir les perturbations et attaques visant le cyberespace et de s'y opposer.
Elle vise à promouvoir les valeurs européennes que sont la liberté et la démocratie et à faire en sorte que l'économie numérique puisse se développer en toute sécurité. Des mesures spécifiques sont prévues pour accroître la résilience des systèmes informatiques, faire reculer la cybercriminalité et renforcer la politique internationale de l'UE en matière de cybersécurité et de cyberdéfense.
La vision de la Commission en matière de cybersécurité s'articule autour de cinq priorités :
La politique internationale de l'UE en matière de cyberespace encourage traditionnellement le respect des valeurs essentielles de l'Union. Elle définit des règles pour un comportement responsable et prône l'application dans le cyberespace de la législation internationale existante tout en aidant les pays hors UE à renforcer leurs capacités en matière de cybersécurité et en promouvant la coopération internationale dans ce domaine.
L'UE a réalisé des progrès décisifs en ce qui concerne la protection contre la cybercriminalité, notamment en créant un Centre européen de lutte contre la cybercriminalité, en proposant des mesures législatives relatives aux attaques visant les systèmes d'information et en lançant l'Alliance mondiale contre les abus sexuels commis contre des enfants via internet. La stratégie vise également à mettre en place et à financer un réseau de centres d'excellence de lutte contre la cybercriminalité qui faciliteront la formation et le renforcement des capacités.
La proposition de directive prévoit notamment les mesures suivantes:
Les incidents de cybersécurité, dont l'ampleur, la fréquence et la complexité ne cessent de croître, ignorent les frontières. Ils peuvent porter un grand préjudice à la sécurité et à l'économie. Il faut redoubler d'efforts en ce qui concerne la prévention, la coopération et la transparence sur les cyberincidents.
En effet, les actions entreprises jusqu'à présent par la Commission européenne et certains États membres étaient trop fragmentées pour régler ce problème de plus en plus préoccupant.
On estime à 150 000 le nombre de virus en circulation et à 148 000 le nombre d'ordinateurs dont la sécurité est compromise chaque jour.
Selon le Forum économique mondial, la probabilité d'une grave défaillance des infrastructures d'information critiques dans les dix années à venir est de 10 %, et le préjudice qui en résulterait pourrait être de 250 milliards de dollars.
La cybercriminalité est responsable d'une bonne partie des incidents de cybersécurité. Symantec estime le montant des pertes subies chaque année par les victimes des cybercriminels dans le monde entier à 290 milliards d'euros, presque deux fois et demie le budget annuel de l’UE ou 12 fois le budget de l’Etat luxembourgeois, et, selon une étude de McAfee, le produit de la cybercriminalité atteindrait 750 milliards d'euros par an.
Le sondage Eurobaromètre de 2012 sur la cybersécurité a révélé que 38 % des internautes de l'UE avaient modifié leur comportement en raison d'inquiétudes liées à la sécurité: 18 % sont moins susceptibles de faire des achats en ligne et 15 % sont moins susceptibles d'utiliser les services bancaires en ligne. Il a également montré que 74 % des personnes interrogées considéraient que les risques étaient en augmentation, 12 % avaient déjà été victimes de fraude en ligne et 89 % évitaient de divulguer des informations personnelles.
56,8 % des personnes qui se sont exprimées dans le cadre de la consultation publique sur la SRI ont indiqué avoir été confrontées, pendant l'année écoulée, à des incidents liés à la cybersécurité ayant eu une incidence grave sur leurs activités.
Dans le même temps, les données recueillies par Eurostat montraient que, à la date de janvier 2012, seules 26 % des entreprises de l'UE avaient une politique de sécurité informatique en bonne et due forme.
L’obligation de signaler des incidents de sécurité significatifs a déclenché des réactions très diverses.
La Fédération de l’industrie allemande BDI rejette l’idée d’une obligation de signaler ancrée dans la législation européenne. Elle préfère que cela soit volontaire au niveau européen et met en avant le fait que le secteur concerné applique d’ores et déjà la loi nationale en vigueur. Aller au-delà équivaudrait à une intervention sur le marché sans pour autant rendre plus efficace la poursuite des objectifs visés.
L’association sectorielle Bitkom craint surtout l’impact négatif de toute signalisation d’une faille de sécurité sur les entreprises concernées.
Les entreprises de sécurité informatique sont évidemment ravies de l’initiative de la Commission d’aller vers une réglementation européenne de la sécurité informatique, à la fois parce qu’elle créerait des conditions de concurrence identique sur le marché et parce qu’elle améliorerait la cyber-sécurité. Néanmoins, la société ISF (Information Security Forum) met en garde contre le fait qu’une publication d’un incident pourrait avoir des conséquences plus graves que l’incident même.
DigitalEurope, qui fédère l’industrie numérique européenne, a de son côté publié un communiqué dans lequel elle critique l’approche de la Commission, qui rompt avec une approche des Etats membres qui est basée sur la confiance et les partenariats entre les secteurs privés et publics. L’approche SRI de la Commission est donc qualifiée d’approche du haut vers le bas à cause du fait qu’elle exige des rapports sur les incidents et les menaces qui n’iraient que dans un sens. "Cette approche privera le secteur de vraies ressources dans le domaine de la sécurité et priver les firmes privées des bénéfices qu’entraîne un échange sur les questions de sécurité dans les deux directions qui a l’avantage de permettre la compréhension de nouvelles menaces et améliore la riposte à des incidents." Or, la manière dont la Commission demande à ce que la signalisation d’incidents soit faite est trop lourde et de nature à entamer la confiance, pense DigitalEurope, alors que ce qui est nécessaire est l’information immédiate et la riposte collective. Autre élément de critique : "Nous sommes aussi préoccupés du fait que les mesures imposées aux opérateurs privés pourraient conduire à des interférences avec la conception et la fabrication de produits TIC, ce qui pourrait mettre un frein à l’innovation et conduire à une balkanisation du réseau".
Les experts juridiques se posent de leur côté la question de savoir comment une autorité nationale de l’UE peut dans la pratique assurer la sécurité des données des clients d’une société qui tombe sous sa compétence mais qui a localisé son centre de stockage de données dans un pays tiers, en Asie par exemple. Cela implique pour nombre de spécialistes la nécessité d’exporter les règles européennes, ce qui n’est pas sans écueil. Cela est d’autant plus difficile que la proposition de directive laisse flotter pour ces experts un flou sur la notion de « contrôle ». Par ailleurs, la stratégie européenne ne prévoit pas l’élaboration de nouveaux instruments juridiques internationaux sur la question. Le seul instrument international en gestation, une convention internationale contre la cyber-criminalité appelée la convention de Budapest, n’a été ratifiée que par 39 pays.