52006DC0251

[pic] | COMMISSION DES COMMUNAUTÉS EUROPÉENNES |

Bruxelles, le 31.5.2006

COM(2006) 251 final

COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENT EUROPÉEN, AU COMITÉ ÉCONOMIQUE ET SOCIAL EUROPÉEN ET AU COMITÉ DES RÉGIONS

Une stratégie pour une société de l'information sûre - « Dialogue, partenariat et responsabilisation »

{SEC(2006) 656}

TABLE DES MATIÈRES

1. INTRODUCTION 3

2. Amélioration de la sécurité de la société de l'information : les défis clés 4

3. Vers une approche dynamique de la sécurite d'une société de l'information 7

3.1. Dialogue 8

3.2. Partenariat 9

3.3. Responsabilisation 9

4. CONCLUSIONS 10

COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENT EUROPÉEN, AU COMITÉ ÉCONOMIQUE ET SOCIAL EUROPÉEN ET AU COMITÉ DES RÉGIONS

Une stratégie pour une société de l'information sûre – « Dialogue, partenariat et responsabilisation »

1. INTRODUCTION

La communication « i2010 – Une société de l'information pour la croissance et l'emploi »[1] a mis en lumière l'importance de la sécurité des réseaux et de l’information pour la création d'un espace européen unique de l'information. La disponibilité, la fiabilité et la sécurité des réseaux et des systèmes d'information sont de plus en plus primordiales pour nos économies et pour la structure et la cohésion de la société.

Le but de la présente communication est de revitaliser la stratégie de la Commission exposée en 2001 dans la communication « Sécurité des réseaux et de l’information: Proposition pour une approche politique européenne »[2]. Elle examine l'état actuel des menaces pour la sécurité dans la société de l'information et détermine les mesures supplémentaires à prendre pour améliorer la sécurité des réseaux et de l'information (SRI).

Tirant parti de l'expérience acquise par les États membres et au niveau de la Communauté européenne, l'ambition est de développer, en Europe, une stratégie dynamique et globale basée sur une culture de sécurité et fondée sur le dialogue, le partenariat et la responsabilisation .

La Communauté européenne a relevé le défi de la sécurité dans la société de l'information en développant une approche à trois volets : des mesures de sécurité spécifiques pour les réseaux et les systèmes d’information ; le cadre réglementaire des communications électroniques (qui englobe les questions de protection de la vie privée et des données personnelles) et la lutte contre la cybercriminalité. Bien que ces trois aspects puissent, dans une certaine mesure, être traités séparément, ils présentent de nombreuses interdépendances qui demandent une stratégie coordonnée. Cette communication expose la stratégie et fournit le cadre nécessaire pour mettre en place et promouvoir une approche cohérente.

La communication de 2001 définit la SRI comme étant « la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, aux événements accidentels ou aux actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles » . Ces dernières années, la Communauté européenne a mis en œuvre un certain nombre d'actions visant à améliorer la SRI.

Le cadre réglementaire des communications électroniques, dont la révision est en cours, comprend des dispositions sur la sécurité. En particulier, la directive concernant la vie privée et les communications électroniques[3] oblige les fournisseurs de services de communications électroniques publiquement disponibles à en assurer la sécurité. Des dispositions contre le pourriel ( spam )[4] et les logiciels espions[5] sont prévues.

La confiance et la sécurité jouent également un rôle important dans les programmes de la Communauté européenne consacrés à la recherche et au développement. Le 6e programme-cadre de R&D aborde ces questions à travers un large éventail de projets. La recherche sur la sécurité devrait être renforcée dans le 7e programme-cadre avec l'établissement d'un programme de recherche européen en matière de sécurité[6]. En outre, le programme Safer Internet Plus soutient les projets de mise en réseau et l'échange des meilleures pratiques pour lutter contre les contenus préjudiciables circulant sur les réseaux d'information.

La Communauté européenne a décidé, en 2004, la création de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) qui constitue une partie de sa réponse aux menaces pour la sécurité. L'ENISA contribue au développement d'une culture de la SRI dans l’intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public dans toute l'Union européenne (UE).

L'UE joue également un rôle actif dans les forums internationaux qui abordent ces sujets, tels l'OCDE, le Conseil de l'Europe ou les Nations unies. Au sommet mondial sur la société de l'information (SMSI) à Tunis, elle a fortement soutenu les discussions concernant la disponibilité, la fiabilité et la sécurité des réseaux et de l’information. L'agenda de Tunis[7] qui, avec l’engagement pris par les dirigeants du monde, fixe les étapes suivantes du débat politique concernant une société de l’information globale, souligne la nécessité de poursuivre la lutte contre la cybercriminalité et le pourriel tout en assurant la protection de la vie privée et la liberté d'expression. Il établit le besoin d'une compréhension commune des questions concernant la sécurité d'Internet et d’un renforcement de la coopération pour faciliter la collecte et la diffusion d'informations sur la sécurité et l’échange de bonnes pratiques pour combattre les menaces contre la sécurité entre toutes les parties concernée.

2. AMÉLIORATION DE LA SÉCURITÉ DE LA SOCIÉTÉ DE L'INFORMATION: LES DÉFIS CLÉS

Malgré les efforts au niveau international, européen et national, la sécurité continue à poser des problèmes difficiles.

Premièrement, les attaques sur les systèmes d'information sont de plus en plus motivées par le profit plutôt que par le désir ludique de créer des perturbations. Des données personnelles sont exploitées illégalement, de plus en plus sans le consentement de l'utilisateur, tandis que le nombre (et le rythme d’évolution) des variantes de logiciels malveillants[8] augmentent rapidement. Le pourriel est un bon exemple de cette tendance : il devient un véhicule pour les virus et pour des activités frauduleuses et criminelles telles que l’installation de logiciel espion, l’hameçonnage ( phishing) [9] et d'autres formes de logiciel malveillant. La distribution très large du pourriel repose de plus en plus sur les botnets [10], c'est-à-dire les serveurs et PC compromis utilisés comme relais à l’insu de leurs propriétaires.

Le déploiement croissant des dispositifs mobiles (téléphones mobiles 3G, jeux vidéo portables, etc.) et des services mobiles basés sur l’utilisation des réseaux créera de nouveaux défis, d’autant que les services basés sur le protocole internet (IP) se développeront rapidement. Les nouvelles menaces liées à ces dispositifs mobiles pourraient, en définitive, s'avérer plus importantes que les attaques via les PC puisque ces derniers possèdent déjà un niveau significatif de sécurité. En effet, toutes les nouvelles plates-formes de communication et les nouveaux systèmes d'information fournissent inévitablement de nouvelles occasions d’attaques malveillantes.

Un autre développement significatif est l'avènement de l'« intelligence ambiante », où les dispositifs intelligents soutenus par les technologies de calcul et de réseau deviendront omniprésents (par exemple avec la RFID[11], l’IPv6 et les réseaux de capteurs). Un mode de vie quotidienne totalement interconnectée en réseau promet des occasions significatives. Néanmoins, il créera également des risques supplémentaires pour la sécurité et la vie privée. Tandis que les plates-formes et les applications communes contribuent positivement à l'interopérabilité et à l'adoption des technologies de l’information et de la communication (TIC), elles peuvent également augmenter les risques. Par exemple, plus l'utilisation de logiciels « prêts à l’emploi » ( off-the-shelf) est abondante, plus l'impact est grand lorsque leurs failles sont exploitées ou des défaillances se produisent. L'apparition de « monocultures » dans les plates-formes et les composants logiciels peut considérablement faciliter la croissance et la diffusion de menaces pour la sécurité telles que les logiciels malveillants et les virus. La diversité, l'ouverture et l'interopérabilité font partie intégrante de la sécurité et devront être encouragées .

L’importance du secteur des TIC pour l'économie et la société européennes est globalement incontestable. Les TIC sont un élément capital pour l'innovation et près de 40% de l’accroissement de la productivité leur est imputable. En outre, ce secteur hautement innovateur fournit plus d'un quart de l’effort européen total de R&D et joue un rôle clé dans la croissance et la création d’emplois dans toute l'économie. De plus en plus d’Européens vivent dans une société vraiment basée sur l'information où l'utilisation des TIC, facteur essentiel d’interaction sociale et économique humaine, s’est rapidement accélérée. En 2004, selon Eurostat, 89% des entreprises de l'UE ont activement utilisé Internet et environ 50% des consommateurs l’avaient utilisé récemment[12].

Une atteinte à la SRI peut avoir des conséquences qui dépassent sa dimension économique. En effet, la possibilité de voir les problèmes de sécurité décourager les utilisateurs et freiner l’adoption des TIC est une préoccupation constante dès lors que la disponibilité, la fiabilité et la sécurité sont des conditions indispensables pour garantir les droits fondamentaux en ligne.

En outre, en raison de la connectivité accrue des réseaux, d'autres infrastructures critiques (transport, énergie, etc.) deviennent également de plus en plus dépendantes de l'intégrité de leurs systèmes d'information respectifs.

Tant les entreprises que les citoyens d’Europe sous-estiment encore les risques. Différentes raisons en sont la cause, mais la plus importante semble être, pour les entreprises, la mauvaise perception du retour sur investissements dans la sécurité et, pour les citoyens, la méconnaissance de leur responsabilité dans la chaîne de sécurité globale.

En effet, étant donné l'ubiquité des réseaux et des systèmes d'information, leur sécurité est un défi pour tous :

- Les administrations publiques doivent assurer la sécurité de leurs systèmes non seulement pour protéger les informations administratives, mais aussi pour donner l’exemple des meilleures pratiques aux autres acteurs.

- Les entreprises doivent concevoir la SRI davantage comme un atout et un avantage concurrentiel que comme un « coût négatif ».

- Les utilisateurs individuels doivent comprendre que leurs systèmes personnels sont critiques pour la « chaîne de sécurité globale ».

Afin de s’attaquer avec succès à ces problèmes, toutes les parties prenantes ont besoin de données fiables sur les incidents de sécurité et leurs tendances. Mais il est difficile d’obtenir des données fiables et complètes à ce sujet pour beaucoup de raisons qui vont de la rapidité avec laquelle les événements touchant la sécurité peuvent arriver à la réticence de certaines organisations à révéler et à rendre publics de tels incidents. Cependant, l'une des pierres angulaires du développement d'une culture de la sécurité est l’amélioration de notre connaissance du problème.

Il importe que les programmes de sensibilisation destinés à mettre en lumière les menaces pour la sécurité ne minent pas la confiance du consommateur et de l'utilisateur en se concentrant seulement sur les aspects négatifs. Donc, dans la mesure du possible, la SRI devrait être présentée comme un bien et une occasion plutôt que comme une responsabilité et un coût. Elle doit être regardée comme un atout pour donner confiance aux consommateurs, un avantage concurrentiel pour les entreprises exploitant des systèmes d'information, et une question de qualité des prestations pour les fournisseurs de services du secteur tant public que privé.

Le défi principal pour les décideurs politiques est de parvenir à une approche holistique qui reconnaisse les rôles respectifs des différentes parties prenantes et qui assure la coordination appropriée d’un ensemble de politiques publiques et de dispositions réglementaires influant directement ou indirectement sur la SRI. Les processus de libéralisation, de déréglementation et de convergence ont créé une multiplicité d'acteurs parmi les différents groupes de parties prenantes, ce qui ne facilite pas la tâche. La contribution de l'ENISA à cet objectif peut être importante. L'ENISA pourrait servir de centre de partage d'informations, de coopération entre toutes les parties concernées et d'échange de bonnes pratiques, en Europe et avec le reste du monde, afin de promouvoir la compétitivité de nos industries des TIC et le bon fonctionnement du marché intérieur.

3. VERS UNE APPROCHE DYNAMIQUE DE LA SECURITÉ D'UNE SOCIÉTÉ DE L'INFORMATION

UNE SOCIÉTÉ DE L'INFORMATION SÛRE DOIT ÊTRE BASÉE SUR une SRI renforcée et une culture de la sécurité largement répandue. À cet effet, la Commission propose une approche dynamique et intégrée qui rassemble toutes les parties concernées et qui repose sur le dialogue, le partenariat et la responsabilisation . Étant donné les rôles complémentaires des secteurs public et privé dans la création d'une culture de la sécurité, les initiatives politiques dans ce domaine doivent s’appuyer sur un dialogue ouvert, inclusif et multipartite .

Cette approche, et les mesures associées, compléteront et enrichiront le plan de la Commission pour poursuivre le développement d'un cadre politique complet et dynamique par un certain nombre d'initiatives en 2006, à savoir :

1. aborder l'évolution du pourriel et d’autres menaces, comme les logiciels espions et d'autres formes de logiciel malveillant, dans une communication spécifique.

2. faire des propositions visant à améliorer la coopération entre les autorités de police et à réprimer de nouvelles formes d'activité criminelle qui exploitent Internet et sapent le fonctionnement des infrastructures critiques ; cette thématique fera l'objet d'une communication spécifique sur la cybercriminalité.

Ces initiatives politiques complètent également les activités prévues pour atteindre les objectifs du livre vert de la Commission sur un programme européen de protection des infrastructures critiques[13] qui a été élaboré en réponse à une demande du Conseil de décembre 2004. Le processus du livre vert est susceptible de mener à un plan d'action combinant une approche globale pour la protection générale des infrastructures critiques avec les politiques spécifiques nécessaires pour chaque secteur, dont une pour celui des TIC. La politique sectorielle spécifique des TIC examinerait, grâce à un dialogue multipartite avec tous les acteurs concernés , les mesures économiques, entrepreneuriales et sociétales utiles pour améliorer la sécurité et la résilience des réseaux et des systèmes d’information.

En outre, l'examen en 2006 du cadre réglementaire des communications électroniques considérera également des éléments pour améliorer la SRI, tels que des mesures techniques et organisationnelles à prendre par les fournisseurs de services, des dispositions pour la notification des incidents de sécurité et des recours et des sanctions spécifiques concernant les infractions.

Il appartient en grande partie au secteur privé de fournir des solutions, des services et des produits pour la sécurité aux utilisateurs finaux. Il est donc d'une importance stratégique que l'industrie européenne soit à la fois un utilisateur exigeant de produits et de services concernant la sécurité et un fournisseur concurrentiel de produits et de services pour la SRI.

Les gouvernements nationaux doivent pouvoir identifier et mettre en œuvre les meilleures pratiques dans l'élaboration de leurs politiques et démontrer leur engagement envers ces objectifs politiques en gérant leurs propres systèmes d'information d'une façon sûre. Les administrations publiques, dans les États membres et au niveau de l'UE, ont un rôle clé à jouer en informant correctement les utilisateurs pour leur permettre de contribuer à leur propre sécurité et sûreté. Les priorités devraient concerner la sensibilisation à la problématique de la SRI et la diffusion d’informations appropriées et en temps utiles, via les portails web spécialisés en sécurité informatique, sur les menaces, les risques et les alertes ainsi que sur les meilleures pratiques. À cette fin, un des objectifs importants pour l'ENISA pourrait être d’examiner la faisabilité d'un système multilingue européen de partage d'informations et d'alerte qui amplifierait et intégrerait les initiatives publiques et privées nationales existantes ou prévues.

La dimension mondiale de la sécurité des réseaux et de l'information place la Commission devant le défi, au niveau international et en coordination avec les États membres, d’augmenter ses efforts pour promouvoir la coopération globale en matière de SRI , notamment par la mise en œuvre de l’agenda adopté au SMSI en novembre 2005.

Enfin, la R&D, notamment au niveau de l'UE, aidera à développer des partenariats nouveaux et innovants pour renforcer la croissance de l'industrie européenne des TIC en général et sa branche « sécurité » en particulier. La Commission cherchera donc à veiller à ce qu'un niveau approprié de ressources financières soit attribué à la recherche sur les technologies de la SRI et de la sûreté de fonctionnement dans le contexte du 7e programme-cadre de l'UE.

3.1. Dialogue

3.1.1 . Comme première mesure pour améliorer le dialogue entre les pouvoirs publics, la Commission propose d’entreprendre une évaluation comparative des politiques nationales relatives à la SRI , y compris celles concernant spécifiquement le secteur public. Cet exercice permettra d’identifier les pratiques les plus efficaces, de sorte qu'elles puissent être alors déployés dans toute la mesure du possible sur une base plus large à travers l'UE, et aidera les administrations publiques à donner l’exemple des meilleures pratiques en matière de sécurité. Les travaux sur l'identification électronique, par exemple au titre du récent plan d'action sur l’administration en ligne, pourraient jouer un rôle important à cet égard.

S’ils sont convenablement structurés, les résultats de cet exercice d'évaluation comparative distingueront les meilleures pratiques pour mieux sensibiliser les PME et les citoyens à la nécessité de faire face à leurs propres défis et besoins spécifiques au plan de la SRI, de même qu’à leur capacité de les affronter. L'ENISA devrait être invitée à jouer un rôle actif dans ce dialogue et dans la consolidation et l'échange des meilleures pratiques.

3.1.2. Un débat multipartite structuré est nécessaire sur la façon d’exploiter au mieux les outils et les instruments réglementaires existants pour atteindre un équilibre social approprié entre la sécurité et la protection des droits fondamentaux, y compris la vie privée. La conférence « i2010 – Towards an Ubiquitous European Information Society » prévue par la prochaine présidence finlandaise et la consultation relative aux implications des RFID sur la sécurité et la vie privée, qui fait partie de la consultation plus large récemment lancée par la Commission, contribueront ensemble à ce débat. En outre, la Commission organisera:

- Une manifestation réunissant le monde des affaires afin de stimuler l’engagement des entreprises à adopter des approches efficaces pour mettre en œuvre une culture de sécurité dans leur secteur .

- Un séminaire pour réfléchir aux moyens d'augmenter la sensibilisation à la sécurité et de renforcer la confiance des utilisateurs finaux dans l'utilisation des réseaux et des systèmes d'information électroniques.

3.2. Partenariat

3.2.1. L'élaboration d’une politique efficace exige une compréhension claire de la nature et de l'ampleur des défis. Cela demande non seulement des données statistiques et économiques fiables et à jour concernant les incidents de sécurité des systèmes d’information et le niveau de confiance des utilisateurs et des consommateurs, mais aussi des données à jour sur la taille et les tendances du secteur de la sécurité des TIC en Europe. La Commission a l’intention de demander à l'ENISA de développer un partenariat de confiance avec les États membres et les parties prenantes en vue d’élaborer un cadre approprié pour la collecte de données, y compris les procédures et les mécanismes nécessaires pour rassembler et analyser les données de toute l'UE concernant les incidents de sécurité et le niveau de confiance des consommateurs.

En parallèle, en raison de la fragmentation poussée et de la nature assez particulière du marché de l'UE, la Commission invitera les États membres, le secteur privé et la communauté de la recherche à créer un partenariat stratégique pour assurer la disponibilité des données sur le secteur de la sécurité des TIC et sur l’évolution des tendances du marché pour les produits et des services correspondants dans l'UE.

3.2.2. Afin d'améliorer la capacité de réponse européenne aux menaces sur la sécurité des réseaux, la Commission demandera à l'ENISA d'examiner la faisabilité d’un système européen de partage d'informations et d'alerte permettant de répondre efficacement aux menaces existantes et naissantes pour les réseaux électroniques. Une des spécifications distinctives d’un tel système sera un portail européen multilingue destiné à fournir des informations spécifiques sur les menaces, les risques et les alertes.

3.3. Responsabilisation

La responsabilisation de chaque groupe de parties prenantes est une condition préalable pour accroître la sensibilisation aux besoins et aux risques sur le plan de la sécurité afin de promouvoir la SRI.

3.3.1. À cet égard la Commission invite les États membres :

- à participer activement à l'exercice proposé d'évaluation comparative des politiques nationales en matière de SRI ;

- à promouvoir, en collaboration étroite avec l'ENISA, des campagnes de sensibilisation sur les bienfaits, les avantages et les bénéfices de l’adoption de technologies efficaces, de bonnes pratiques et d’un comportement responsable en matière de sécurité ;

- à profiter du déploiement des services d’administration en ligne pour communiquer et pour promouvoir les bonnes pratiques en matière de sécurité, qui pourraient être alors élargies à d'autres secteurs ;

- à stimuler le développement de programmes traitant de la SRI dans le cadre des programmes d'enseignement supérieur.

3.3.2. La Commission invite également les parties prenantes du secteur privé à prendre des initiatives visant :

- à développer une définition appropriée des responsabilités des producteurs de logiciel et des fournisseurs de services Internet par rapport à la fourniture de niveaux de sécurité appropriés et vérifiables ; à cet égard, il sera nécessaire de soutenir des processus normalisés qui permettront de respecter les standards de sécurité et les règles de meilleure pratique communément acceptés ;

- à promouvoir la diversité, l'ouverture, l'interopérabilité, la facilité d’utilisation et la concurrence en tant qu’éléments clés de la sécurité ainsi qu’à stimuler le déploiement de produits, de processus et de services améliorant la sécurité pour empêcher et combattre le vol d'identité et d'autres atteintes à la vie privée ;

- à disséminer les bonnes pratiques de sécurité pour les exploitants de réseau, les fournisseurs de services et les PME comme niveaux de base pour la sécurité et la continuité de service ;

- à encourager des programmes de formation dans les entreprises, notamment les PME, afin de donner aux employés les connaissances et les compétences nécessaires pour appliquer efficacement les pratiques en matière de sécurité ;

- à élaborer des systèmes abordables pour la certification de sécurité des produits, processus et services qui répondent à des besoins spécifiques de l'UE (notamment en ce qui concerne le respect de la vie privée) ;

- à faire participer le secteur de l'assurance au le développement d’outils et de méthodes de gestion du risque appropriés pour s’attaquer aux risques liés aux TIC et pour stimuler une culture de la gestion du risque dans les organisations et les entreprises (notamment les PME).

4. CONCLUSIONS

Identifier et relever les défis à la sécurité des systèmes d'information et des réseaux dans l'UE exige l'engagement complet de toutes les parties prenantes. La démarche politique décrite dans la présente communication cherche à y parvenir en renforçant une approche multipartite . Cette approche se fonderait sur l’intérêt mutuel des parties, identifierait leurs rôles respectifs et développerait un cadre dynamique pour promouvoir l’élaboration de mesures publiques efficaces et des initiatives du secteur privé.

La Commission fera rapport au Conseil et au Parlement européen au milieu de 2007 sur les activités entreprises, les premiers résultats et l'état d’avancement des différentes initiatives, y compris celles de l'ENISA et celles prises au niveau des États membres et dans le secteur privé. Le cas échéant, elle proposera une recommandation concernant la sécurité des réseaux et de l’information.

[1] COM(2005) 229 du 1.6.2005.

[2] COM(2001) 298 du 6.6.2001.

[3] Directive 2002/58/CE.

[4] Communications commerciales non sollicitées.

[5] Les logiciels espions sont des logiciels enregistrant l’activité d’un utilisateur et qui sont installés sans information correcte, sans le consentement et sans contrôle de l’utilisateur.

[6] Ce programme est en cours de définition dans le cadre de l’action préparatoire pour la recherche en matière de sécurité.

[7] « Vers un partenariat global dans la société de l’information : Suivi de la phase de Tunis du Sommet Mondial sur la Société de l’Information (SMSI) » - COM(2006) 181 du 27.4.2006.

[8] Traduction de malware.

[9] L’hameçonnage ou phishing est une forme de fraude sur Internet qui vise à voler des informations précieuses telles que des numéros de carte de crédit et/ou de compte bancaires, des identifiants et/ou des mots de passe.

[10] Les botnets sont des réseaux d’« agents logiciels », installés frauduleusement sur les ordinateurs de leur victime, qui forment des applications permettant des actions diverses lancées pour le compte d’un contrôleur distant.

[11] Radio Frequency IDentification : identification par ondes radio.

[12] Eurostat, Internet activities in the European Union, 40/2005.

[13] COM(2005) 576 du 17.11.2005.