Agence nationale de la sécurité des systèmes d’information

Compte tenu du développement historique des technologies de l’information et de l’organisation institutionnelle de l’Union (trois piliers), la SSI apparait de façon segmentée dans les différents champs de la politique européenne.

1. Vers une société de l’information et de la connaissance

Bien que la Directive sur la signature électronique date de décembre 1999, il est raisonnable de considérer l’adoption de la Stratégie de Lisbonne au printemps 2000 comme l’étape fondatrice de la prise en compte par l’Union des enjeux de la sécurité des systèmes d’information au sein des politiques communautaires (1er pilier). L’objectif était de mettre en place une « économie de la connaissance … capable d’une croissance économique durable accompagnée d’une amélioration quantitative et qualitative de l’emploi et d’une plus grande cohésion sociale ». Il était nécessaire de mettre en place un « Plan d’action eEurope ». Dès janvier 2001, la communication 2000/890 appelait à « Créer une société de l’information plus sûre en renforçant la sécurité des infrastructures de l’information et en luttant contre la cybercriminalité »

Le plan d’action eEurope 2002 (première tranche) ciblait en particulier le développement des accès à Internet « moins chers, plus rapide et surs », avec la sécurisation des réseaux et des cartes à puces, la mise en place d’un cadre juridique adaptée au marché des télécommunications et l’organisation d’une structure européenne pour améliorer la sécurité des systèmes d’information. Le plan d’action eEurope 2005 (deuxième tranche) insistait surtout sur le déploiement d’un accès sécurisé large bande à Internet et le développement de services en ligne (eGovernement, eBusiness, eHealth, eLearning, etc.). En Décembre 2003, a été décidé la création et l’implantation en Grèce d’une agence en charge de la sécurité des réseaux et de l’information (ENISA).

En 2005, l’« Initiative i2010 » établit un cadre stratégique pour faire de l’Europe une société de l’information et de la connaissance. Un axe important de cette initiative est alors de rendre Internet plus sûr vis-à-vis « des fraudeurs, des contenus préjudiciables et des défaillances technologiques ». Une étape importante en matière de SSI européenne est la proposition en mai 2006 d’une « Stratégie pour une société de l’information sûre » finalement adoptée par le Conseil en mars 2007. Cette stratégie préconise trois lignes directrices : dialogue, partenariat et responsabilisation entre les acteurs publics, les entreprises et les utilisateurs individuels. Elle insiste sur la nécessité de

• disposer de données fiables en matière de menaces, de vulnérabilités et d’incidents,
• mener des actions de sensibilisation valorisant la sécurité,
• mettre en place des mécanismes de partages d’information et d’alertes rapides,
• identifier et diffuser les bonnes pratiques.

Enfin la Commission européenne a publié en mars 2009 une communication sur la protection des infrastructures d’information critiques, qui trace les lignes d’un programme prioritaire pour assurer la sécurité et la résilience des infrastructures publiques d’information. Ce plan a été discuté en avril 2009 lors de la conférence ministérielle de Tallinn et est actuellement traité au sein du groupe d’expert créé pour l’occasion intitulé EFMS. Une résolution du Conseil a été adoptée en décembre 2009 répondant à la communication de la Commission de mars 2009 et préparant le débat législatif de 2010 sur le futur mandat de l’ENISA.

En 2010, la stratégie numérique proposée par la Commission donne les orientations stratégiques de la politique européenne dans le secteur du numérique pour les années à venir. Plusieurs actions clés pour renforcer la confiance et la sécurité en Europe y sont prévues, notamment la création d’un nouveau mandat pour l’ENISA et la création d’un CERT des institutions européennes.

La Commission a proposé le 30 septembre 2010 un nouveau mandat pour l’ENISA visant à « permettre à l’Union, aux États membres et aux parties prenantes de se doter de moyens importants et d’atteindre un degré élevé de préparation pour prévenir et détecter les problèmes SRI et mieux y répondre ». En parallèle, la Commission propose un prolongement du mandat actuel de l’agence pour une durée de 18 mois afin de s’assurer que le processus législatif et administratif sera terminé avant l’extinction de l’actuel mandat.

2. La construction de l’Europe de la Défense

La construction d’une politique de défense (2ème pilier) devant se fonder sur une vision stratégique partagée des menaces, des enjeux et des actions à mener ainsi que d’un plan de développement de capacités et de leur mode d’emploi, elle nécessite une protection rigoureuse des informations classifiées entre les partenaires concernés.

Ces conditions préalables n’étaient pas réunies en Europe avant l’accord de Saint Malo de décembre 1998 et les conclusions du Conseil européen de Cologne de juin 1999 sur le renforcement de la politique européenne commune de sécurité et de défense.

Si la vision proposée en 2003 dans la « Stratégie européenne de sécurité » n’évoque pas les menaces et risques liés aux réseaux et à l’information, la mise en œuvre de l’action politique, de ses instruments (Agence européenne de défense-AED, Institut européen d’études de sécurité-ISS) et des capacités associées a conduit à mettre en place progressivement les outils nécessaire de protection de l’information et des réseaux au niveau requis :

• Adoption en décembre 2001 d’un règlement de sécurité du Conseil européen
• Développement de réseaux sécurisés d’échange d’information entre le Secrétariat général du Conseil et les ministères nationaux concernés ainsi qu’entre l’Etat-major commun et les Etats-majors opérationnels
• Accord en 2003 entre l’Union et l’OTAN pour les échanges d’informations classifiées et les règles réciproques de leur protection [1]. Cet accord inclut en particulier un usage des mêmes standards et une reconnaissance réciproque de la qualification des outils de sécurité, y compris en matière de cryptographie.

En matière de capacités futures, la vision à long terme fournie par l’AED en 2006 évalue l’impact de la révolution technologique, notamment concernant les technologies de l’information pour les volets capacitaires « informe » (surveillance du cyberespace) et « protège » (protection des réseaux et zones d’actions contre les cyber-attaques).

3. La lutte contre la criminalité et le terrorisme

Concernant la sécurité des systèmes d’information, la lutte contre la cybercriminalité (« 3^ème pilier) s’inscrit dans le sillage de la « Convention Internationale contre le cybercriminalité » adoptée en 2001 par le Conseil de l’Europe.

La Décision cadre sur les cyber-attaques adoptée en 2005 par le Conseil européen a établi des normes juridiques communes aux États membres dans ce domaine (incrimination, sanctions, échanges d’information, coopération intra-européenne).

D’autres instruments juridiques européens complètent des questions abordées dans la Convention internationale :

• Directive 2006/24 sur les données de connexion
• Résolution du Conseil de 1995 sur les interceptions légales

Concernant la lutte anti-terrorisme, les attentats de 2001 sur New-York et ceux de Madrid et Londres ont conduit à deux d’actions principales :

• la mise en place d’un Groupe de personnalités pour réfléchir sur le rôle de l’Europe en matière de sécurité. Les conclusions en mars 2004 ont conduit à la mise en œuvre d’un programme de recherche dédié aux questions de sécurité maintenant intégré dans le 7ième Programme Cadre de R&D
• La prise en compte progressive des questions de protection des infrastructures critiques (voir ci-après « 5.3 Protection des Infrastructures critiques ») :
• communication en 2004 proposant un programme européen en la matière (PEPIC),
• publication d’un « livre vert sur un programme européen de protection des infrastructures critiques »
• proposition de procédure de recensement des infrastructures critiques européennes en décembre 2006,
• première mise en œuvre de cette procédure pour les infrastructures de transport et d’énergie en décembre 2008 ,
• financement sur la période 2007-2013 d’un programme spécifique d’études pour « la prévention, préparation et gestion des conséquences en matière de terrorisme et autres risques liés à la sécurité », visant à la protection et la sécurité des infrastructures critiques (CIPS).

En 2009, le programme de Stockholm – Une Europe ouvert et sûre qui sert et protège le citoyen, définit les orientations stratégiques pour la période 2010-2014 dans le domaine de liberté, de sécurité et de justice dans lequel la lutte contre la cybercriminalité tient une place importante.

Le 30 septembre 2010, la Commission a proposé une directive relative aux attaques visant les systèmes d’information et abrogeant la décision-cadre 2005/222/JAI du Conseil qui vise essentiellement à harmoniser les sanctions pénales des EM (en prévoyant des circonstances aggravantes en cas d’utilisation de botnets et d’usurpation d’identité) et à prévoir des procédures de coopération entre les EM.

La communication de la Commission sur la politique de sécurité intérieure du 22 novembre 2010 donne par ailleurs une place importante à la cybersécurité.