150 000 virus en circulation, 148 000 ordinateurs infectés…290 milliards d’euros de pertes subies chaque année par les victimes des cybercriminels selon Symantec alors que le produit de la cybercriminalité atteindrait 750 milliards d’euros par an selon McAfee. Tremble cher internaute ! Heureusement l’Europe va s’emparer du sujet et a prévu un certain nombre de mesure afin d’endiguer ce phénomène.
De l’urgence d’agir…
La cybercriminalité ne cesse de progresser tant chez les particuliers que dans les entreprises. En effet, près de 74% des internautes européens considèrent que les risques sont en augmentation et seulement 26 % des entreprises de l’UE ont une politique de sécurité informatique en bonne et due forme. Manque de formation, manque d’information et politique en retard expliquent ces chiffres alors que l’usage d’internet est appelé à s’intensifier. Il est en effet urgent de réagir car cette cybercriminalité a des impacts au point de vue économique mais également sur le respect de nos droits et libertés fondamentales, et notamment sur le respect de nos données personnelles. Ainsi, comme le souligne Neelie Kroes, vice-présidente de la Commission responsable de la stratégie numérique : « Plus on recourt à l’internet, plus on se montre exigeant en ce qui concerne sa sécurité. Un internet plus sûr, c’est la garantie que nos libertés, nos droits et nos possibilités d’activité économique sont protégés. Il est temps d’agir, et il faut le faire de manière coordonnée. Le coût de l’inaction est plus élevé que celui de l’action.»
Le plan d’action européen.
L’Union européenne a défini cinq priorités :
- Parvenir à la cyber-résilience,
- Faire reculer considérablement la cybercriminalité,
- Développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC),
- Développer les ressources industrielles et technologiques en matière de cybersécurité,
- Instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’UE.
Pour parvenir à ces objectifs, un projet de directive est en cours de préparation. Ce projet prévoit notamment:
- Les États membres doivent adopter une stratégie de SRI et désigner des autorités nationales compétentes en la matière (NDLR : vraisemblablement l’ANSSI en France) , qui disposeront de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité.
- Un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d’alerte rapide sur les risques et incidents au moyen d’une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs.
- Les opérateurs d’infrastructures critiques de secteurs tels que les services financiers, les transports, l’énergie et la santé, les facilitateurs de services internet clés (notamment les magasins d’applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs touchant leurs services essentiels.
Ce « bras armé » peut paraître quelque peu flou mais il faut rappeler qu’une directive ne donne que des objectifs à atteindre aux Etats, leur laissant une certaine marge de manœuvre dans les mesures pratiques à prendre. Les Etats peuvent ainsi aller plus loin que la directive lors de la transposition de celle-ci en droit internet. Cette souplesse est néanmoins contrôlée par la CJUE qui ne manque pas de condamner un Etat en cas de transposition incomplète ou de retard dans l’accomplissement de celle-ci.
Une proposition saluée.
Cette annonce de l’UE a été bien accueillie par les différents acteurs. Ainsi, Jean-Marie Bockel a « salué » la proposition de directive, tout comme HP et Huawei. Pour l’avocat spécialisé Wim Nauwelaert « traiter les problèmes de sécurité des systèmes d’information au niveau européen est un pas dans la bonne direction » mais il met un bémol en concédant que le problème est mondial et que c’est donc à ce niveau là que celui-ci doit être traité.
En savoir plus :
Martin Ralury