Améliorer la cybersécurité au sein de l'UE

Qu'est-ce que la stratégie de cybersécurité de l'UE?

La stratégie de cybersécurité de l'UE est une stratégie visant à prévenir les perturbations et les attaques des systèmes de télécommunications européens et à y apporter une réponse

La proposition de directive imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte propose également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes. Cette mesure s'appliquerait notamment aux moteurs de recherche, aux fournisseurs de services en nuage, aux réseaux sociaux, aux administrations publiques, aux plateformes de paiement en ligne telles que PayPal et aux principaux sites de commerce en ligne, tels qu'Amazon.

La proposition a été publiée en deux parties le 7 février 2013. La première partie est une communication de la Commission et de la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité présentant la stratégie de cybersécurité de l'UE. À cela s'ajoute le deuxième volet de la stratégie: une proposition de directive de la Commission européenne concernant la sécurité des réseaux et de l'information.

Pourquoi en avons-nous besoin?

Stratégie numérique

La stratégie de cybersécurité et la proposition de directive s'inscrivent dans le cadre de la stratégie numérique pour l'Europe, qui vise à permettre aux citoyens et aux entreprises de l'UE de tirer le meilleur parti des technologies numériques.

Aujourd'hui, les systèmes informatiques peuvent être gravement endommagés par des incidents de sécurité tels que des défaillances techniques et des virus. Ces types d'incidents, souvent appelés incidents de sécurité des réseaux et de l'information (SRI), deviennent de plus en plus fréquents et de plus en plus difficiles à traiter.

Nombreuses sont les entreprises et les administrations au sein de l'UE qui, pour la fourniture de leurs services essentiels, dépendent des réseaux et des infrastructures numériques. Dès lors, les incidents SRI peuvent avoir un impact considérable en compromettant la fourniture de services et en empêchant le bon fonctionnement des entreprises. En outre, du fait du développement du marché intérieur de l'UE, de nombreux systèmes de réseau et d'information opèrent par‑delà les frontières. Un incident SRI dans un pays peut donc se répercuter dans d'autres pays, voire dans l'ensemble de l'UE. De plus, les incidents de sécurité sapent la confiance des consommateurs dans les systèmes de paiement en ligne et les réseaux informatiques.

En mettant en place des mesures de gestion des risques plus cohérentes et un signalement systématique des incidents, la proposition de directive contribuerait à renforcer la fiabilité et la stabilité des secteurs dépendant des systèmes informatiques. 

Précisions

La stratégie de cybersécurité de l'UE: un cyberespace ouvert, sûr et sécurisé

La stratégie de cybersécurité de l'UE définit l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber‑résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale.

La stratégie présente des plans visant à relever les défis qui se posent dans cinq domaines prioritaires:

  • parvenir à la cyber‑résilience;
  • réduire considérablement la cybercriminalité;
  • élaborer une politique de cyberdéfense ainsi que des capacités relevant de la politique de sécurité et de défense commune de l'UE (PSDC);
  • développer les ressources industrielles et technologiques nécessaires à la cybersécurité;
  • instaurer pour l'UE une politique internationale cohérente en matière de cyberespace.

Le projet de directive sur la sécurité des réseaux et de l'information constitue l'une des principales démarches entreprises dans le cadre de la stratégie.

Proposition de directive concernant des mesures destinées à assurer un niveau élevé de sécurité des réseaux et de l'information dans l'UE - 2013/0027 (COD)

Le projet de directive sur la sécurité des réseaux et de l'information (SRI) est un élément important de la stratégie de cybersécurité. Il prévoit que tous les États membres de l'UE, les principales entreprises du secteur de l'Internet et les opérateurs d'infrastructures tels que les plateformes de commerce électronique, les réseaux sociaux ainsi que les services de transport, les services bancaires et de soins de santé mettent en place un environnement numérique sécurisé et fiable dans l'ensemble de l'UE. Actuellement, l'approche retenue en matière de SRI est fondée sur le volontariat. Les capacités nationales mises à disposition et le niveau de participation et de préparation du secteur privé varient donc considérablement d'un État membre à l'autre. Le projet de directive vise à offrir des chances égales à tous en introduisant des règles harmonisées applicables à tous les pays de l'UE.

Parmi les mesures proposées figurent:

  • l'obligation pour les États membres de l'UE d'adopter une stratégie SRI et de désigner une autorité SRI nationale disposant des ressources appropriées pour prévenir et gérer les risques et les incidents SRI et y apporter une réponse;
  • la création d'un mécanisme de coopération entre les États membres et la Commission afin de diffuser les alertes rapides concernant les risques et les incidents, d'échanger des informations et de contrer les menaces et les incidents SRI;
  • l'obligation pour certaines sociétés et certains services du secteur numérique d'adopter des pratiques de gestion des risques et de signaler les principaux incidents de sécurité informatique à l'autorité nationale compétente.

L'obligation de signalement des incidents de sécurité informatique vise à contribuer au développement d'une culture de la gestion du risque et à garantir l'échange d'informations entre le secteur privé et le secteur public. Elle concerne:

  • les opérateurs d'infrastructures critiques dans des secteurs tels que les services financiers, les transports, l'énergie et la santé;
  • les sociétés de services informatiques, y compris les magasins d'applications en ligne, les plateformes de commerce électronique, de paiement par Internet et d'informatique en nuage, les moteurs de recherche et les réseaux sociaux;
  • les administrations publiques.

Au sein du Conseil

Le Parlement européen a adopté, le 13 mars 2014, sa position en première lecture concernant la proposition de directive sur la sécurité des réseaux et de l'information.

À la suite des travaux préparatoires du groupe "Télécommunications et société de l'information", le Conseil a tenu, le 6 juin 2013, un premier débat d'orientation sur le projet de directive. 

Lors de la session du Conseil TTE du 5 décembre 2013, les ministres ont pris note d'un rapport sur l'état d'avancement des travaux concernant la directive. Le rapport mettait en évidence les travaux préparatoires en cours sur des questions telles que le champ d'application de la directive, la terminologie utilisée, la mise en place du réseau de coopération et les exigences concernant les stratégies SRI nationales.

Le 18 décembre 2015, le Coreper a approuvé un accord informel avec le Parlement européen. Une fois mis au point, le texte convenu devra être approuvé formellement, d'abord par le Conseil, puis par le Parlement. Cet accord devrait être conclu au printemps 2016.

Le Conseil a examiné un nouveau rapport sur l'avancement des travaux lors de la session du Conseil TTE du 6 juin 2014. Les ministres se sont notamment penchés sur la meilleure manière de coopérer pour améliorer la préparation et la réaction face aux menaces dans le domaine de la cybersécurité. Ils sont parvenus à la conclusion que la directive SRI devait être axée sur une coopération stratégique et politique de haut niveau. Toutefois, les ministres souhaitent également qu'elle définisse les orientations futures de la coopération opérationnelle déjà mise en place dans plusieurs instances. Ils sont convenus que les travaux devaient se poursuivre pour définir les modalités pratiques de la coopération.

Lors de la session du Conseil TTE du 27 novembre 2014, la présidence a informé les ministres de l'état d'avancement des travaux concernant le projet de directive SRI. À la fin de 2014, le Conseil a tenu deux réunions de trilogue avec le Parlement européen sur cette directive. Une troisième réunion de trilogue a eu lieu le 30 avril 2015. Malgré les progrès accomplis lors du trilogue, il subsistait d'importantes divergences entre les positions du Conseil et celles du Parlement européen. Le trilogue a donc permis de préciser davantage les préoccupations respectives des deux institutions. 

Lors d'une quatrième réunion de trilogue, le 29 juin 2015, le Conseil est parvenu à un accord avec le Parlement européen sur les principes essentiels qu'il convient d'intégrer dans le projet de directive SRI. Ces principes doivent maintenant être transposés en dispositions juridiques afin de permettre la conclusion d'un accord final sur la directive à un stade ultérieur.

Le Conseil a également adopté, le 25 juin 2013, des conclusions sur la stratégie de cybersécurité de l'UE.