23.7.2011   

FR

Journal officiel de l'Union européenne

C 218/130

1.1

Le Comité accueille favorablement la communication de la Commission concernant la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information. Le Comité partage la vive préoccupation de la Commission concernant l'ampleur de la cybercriminalité en Europe et les dommages réels et potentiels que cette menace qui s'amplifie fait ou peut faire subir à l'économie et au bien-être des citoyens.

1.2

Le Comité déplore tout comme la Commission que seuls 17 des 27 États membres aient jusqu'à ce jour ratifié la convention du Conseil de l'Europe sur la cybercriminalité («convention sur la cybercriminalité») (1). Le Comité appelle les autres États membres (2), à savoir la Belgique, la République tchèque, l'Irlande, la Grèce, le Luxembourg, Malte, l'Autriche, la Pologne, la Suède et le Royaume-Uni, à ratifier cette convention sur la cybercriminalité dès que possible.

1.3

Le Comité estime tout comme la Commission qu'une directive est nécessaire d'urgence pour actualiser les définitions des infractions liées aux attaques contre des systèmes d'information et pour accroître la coopération et la coordination en matière de justice pénale au niveau de l'UE afin d'apporter une réponse efficace à ce problème critique.

1.4

Vu la nécessité urgente d'une action législative qui traite spécifiquement les attaques contre les systèmes d'information, le Comité approuve la décision de la Commission de recourir à une directive, étayée par des mesures non législatives, afin de cibler cet aspect particulier de la cybercriminalité.

1.5

Toutefois, comme l'a demandé le CESE dans un précédent avis (3), il souhaiterait que la Commission poursuive, en parallèle, ses travaux visant à élaborer un corpus complet de législation européenne contre la cybercriminalité. Le Comité estime qu'un cadre global est essentiel pour la réussite de l'agenda numérique et de la stratégie Europe 2020 (4). Il convient que ce cadre traite des questions de prévention, de détection et d'éducation en sus de la répression et de la sanction.

1.6

Le CESE souhaite examiner en temps voulu les propositions de la Commission relatives à un cadre global d'action en vue d'aborder la question générale de la sécurité de l'internet. Si nous nous projetons dans dix ans, lorsque la plupart des citoyens utiliseront l'internet, lorsque la plupart des activités économiques et sociales dépendront de l'internet, il n'est pas concevable que nous continuions encore de nous en remettre à l'approche actuelle de l'utilisation de l'internet, qui se caractérise par la négligence et l'absence de méthode, tout particulièrement lorsque que cette activité a une valeur économique incalculable. De nombreux problèmes se présenteront, qui soulèveront d'autres défis tels que la sécurité des données à caractère personnel et relevant de la vie privée ou encore la cybercriminalité. En matière de sécurité aérienne, une autorité centrale veille et établit des normes pour les avions, les aéroports et les activités des compagnies aériennes. Il est temps de créer une autorité semblable qui établit des normes pour des équipements terminaux sans failles (ordinateurs personnels, tablettes, téléphones), la sécurité des réseaux, la sécurité des sites internet et celle des données. La configuration physique de l'internet est un élément crucial dans la défense contre la cybercriminalité. L'UE va avoir besoin d'une instance de régulation avec des pouvoirs sur l'internet.

1.7

La directive à l'examen vise essentiellement à définir le crime et établir les peines afférentes. Le CESE demande qu'elle vise en parallèle à la prévention grâce à de meilleures mesures de sécurité. Il y a lieu que les fabricants d'équipement satisfassent à des normes pour la fourniture de produits sans failles de sécurité. Il n'est pas acceptable que la sécurité de ces produits et, par conséquent, celle des réseaux dépendent de la bonne volonté de leur propriétaire. Il y a lieu d'envisager la mise en place d'un dispositif d'identification électronique dans toute l'Europe, qu'il convient cependant de concevoir avec soin afin d'éviter d'enfreindre la vie privée; il y a lieu de commencer à exploiter pleinement les possibilités de la version six du protocole internet (IPv6) en matière de sécurité; il y a lieu que l'apprentissage des citoyens de leur propre cybersécurité, y compris celle de leurs données, soit une composante essentielle de tout programme d'études dans le domaine des compétences numériques. À cet égard, il serait utile que la Commission se réfère aux avis antérieurs du Comité qui traitent de ces questions (5).

1.8

Le Comité estime que la directive proposée couvre comme il se doit les attaques contre les systèmes d'information au moyen de botnets (6), y compris les attaques par déni de service (7). Le Comité estime également que la directive aidera les autorités à poursuivre les actes de cybercriminalité qui tentent d'exploiter l'interconnectivité internationale des réseaux, de même que les personnes qui essaient de se cacher derrière l'anonymat susceptible d'être offert par les outils sophistiqués inhérents à ce type de criminalité.

1.9

Le Comité se félicite également de la liste des infractions pénales couvertes par la directive, en particulier de l'inclusion de l'«interception illégale», et de la précision apportée aux «Outils utilisés pour commettre les infractions».

1.10

Toutefois, eu égard à l'importance de la confiance et de la sécurité dans l'économie numérique, et au coût annuel énorme de la cybercriminalité (8), le Comité estime que la sévérité des sanctions prévues dans la directive devrait refléter la gravité du crime et aussi revêtir un effet dissuasif réel pour les criminels. La directive proposée prévoit des peines minimales de deux à cinq ans d'emprisonnement (cinq en cas de circonstances aggravantes). Le CESE prévoit une gradation des peines liée à la gravité du crime.

1.11

Le CESE est d'avis qu'il convient aujourd'hui de saisir l'occasion d'envoyer un message fort aux criminels et aux citoyens qui souhaitent être rassurés en prévoyant des peines plus sévères. Par exemple, les attaques à grande échelle contre les systèmes d'information sont passibles de sanctions allant jusqu'à dix années d'emprisonnement au Royaume-Uni (9), tandis que l'Estonie a renforcé les sanctions contre l'utilisation d'attaques à grande échelle à des fins terroristes, lesquelles sont punissables d'une peine maximale de 25 ans d'emprisonnement (10).

1.12

Le Comité se félicite de la proposition de la Commission d'appuyer la directive par des mesures non législatives visant à promouvoir la poursuite des actions coordonnées au niveau de l'UE et une application plus efficace du droit. Le CESE entend également souligner la nécessité d'élargir cette coordination de sorte qu'elle comprenne une étroite coopération avec tous les pays de l'AELE et l'OTAN.

1.13

Le Comité est très favorable aux programmes de formation et aux recommandations concernant les meilleures pratiques proposées pour accroître l'efficacité des points de contact 24/7 existants pour les services chargés de l’application de la loi.

1.14

En sus des mesures non législatives mentionnées dans la proposition, le Comité plaide auprès de la Commission notamment pour qu'elle oriente des ressources de recherche et développement vers le développement de systèmes de détection et de réaction précoces pour les attaques visant les systèmes d'information. Les technologies les plus avancées d'informatique en nuage («cloud computing») (11) et de grilles informatiques («grid computing») (12) recèlent la capacité de protéger davantage l'Europe contre de nombreuses menaces.

1.15

Le Comité suggère que l'ENISA mette sur pied un programme ciblé de développement des compétences qui viserait à renforcer l'industrie européenne de la sécurité des TIC en allant au-delà des seuls aspects répressifs (13).

1.16

En vue de renforcer les défenses européennes contre les cyberattaques, le Comité entend réitérer l'importance que revêtent le développement d'un partenariat public privé européen pour la résilience (EP3R) et son intégration avec les travaux de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et du groupe des CERT gouvernementaux européens (EGC).

1.17

Il convient de stimuler en Europe une industrie forte de la sécurité de l'information pour faire jeu égal avec les compétences d'une industrie nord-américaine qui dispose de très grands moyens financiers (14). Les investissements dans la R&D et l'éducation en matière de cybersécurité doivent être accrus de manière considérable.

1.18

Le Comité prend note qu'au titre des protocoles au traité, le Royaume-Uni, l'Irlande et le Danemark ne sont pas tenus d'appliquer la directive proposée. Sans préjudice de ces exemptions, le Comité appelle ces États membres à coopérer dans toute la mesure du possible avec les dispositions de la directive en vue d'empêcher que des criminels n'exploitent les lacunes des politiques à l'échelle de l'Union.

2.1

Aujourd'hui, l'Europe dépend fortement des systèmes d'information pour la création de richesse et pour sa qualité de vie. Il est important que notre dépendance croissante aille de pair avec une sophistication de plus en plus poussée des mesures de sécurité et une réglementation stricte afin de protéger les systèmes d'information des attaques.

2.2

Internet est la plateforme de base de la société numérique. La lutte contre les menaces à la sécurité des systèmes d'information revêt une importance cruciale pour le développement de la société numérique et l'économie numérique. Internet soutient la plupart des infrastructures d'information critiques d'Europe, qui constituent les plateformes d'information et de communication sous-jacentes à l'offre de biens et services essentiels. Les attaques contre les systèmes d'information, qu'il s'agisse des systèmes officiels, des systèmes financiers, des services sociaux et des infrastructures vitales telles que la fourniture d'énergie, d'eau, de transports, de services de santé et de première urgence, constituent désormais un problème majeur.

2.3

L'architecture d'Internet se fonde sur l'interconnexion de millions d'ordinateurs dont les fonctions de traitement, de communication et de contrôle se répartissent à travers le monde. Cette architecture décentralisée est la clé de la stabilité et de la résilience d'Internet: elle permet une récupération rapide des flux de trafic lorsqu'un problème se produit. Cependant, des cyberattaques de grande envergure peuvent être lancées de ses nœuds de bordure, comme dans le cas des réseaux de machines zombies, par n'importe quel voyou, à qui il suffit d'être mal intentionné et de disposer de quelques connaissances de base.

2.4

L'évolution des technologies de l'information aggrave encore le problème en facilitant la production et la distribution des outils («maliciels» (15) et «botnets»), tout en offrant l'anonymat aux délinquants et en éparpillant la responsabilité entre divers pays. La difficulté d'engager des poursuites qui en résulte permet ainsi à la criminalité organisée de réaliser des profits considérables à peu de risques.

2.5

Selon une étude réalisée en 2009 (16) et présentée au Forum économique international, le coût global de la cybercriminalité est d'un milliard de dollars et il augmente rapidement. Et un rapport (17) récemment mené par les autorités britanniques l'estime à 27 millions de livres rien que pour le Royaume-Uni. Le coût élevé de la cybercriminalité justifie l'adoption de mesures sévères, leur application stricte et des sanctions lourdes pour les délinquants.

2.6

Comme l'explique le document de travail des services de la Commission qui accompagne la proposition de directive (18), la criminalité organisée et les régimes hostiles exploitent le potentiel destructeur des attaques contre les systèmes d'information dans l'Union européenne. Les attaques menées par ces «réseaux zombies» peuvent s'avérer très dangereuses pour l'ensemble du pays touché et peuvent également être exploitées, par des terroristes notamment, afin de faire peser une pression politique sur un État.

2.7

L'attaque menée en Estonie en avril-mai 2007 a mis ce problème en exergue. À cette occasion, d'importantes parties des infrastructures d'information critiques officielles et du secteur privé se sont retrouvées inopérantes pendant plusieurs jours suite à des attaques à grande échelle menées contre elles. Au total, ces attaques ont coûté de 19 à 28 millions EUR et ont eu des retombées politiques majeures. Des attaques destructives similaires ont également été lancées contre la Lituanie et la Géorgie.

2.8

Les réseaux mondiaux de communication requièrent un degré d'interconnexion transfrontalière élevé. Il est vital que les 27 États membres mènent une action collective et uniforme afin de lutter contre la cybercriminalité, et en particulier les attaques contre les systèmes d'information. Du fait de cette interdépendance internationale, il incombe à l'UE de définir une politique intégrée visant à protéger les systèmes d'information des attaques et à sanctionner les auteurs de ces dernières.

2.9

Dans son avis de 2007 sur «Une stratégie pour une société de l'information sûre» (19), le Comité souhaitait l'adoption d'une législation européenne complète sur la lutte contre la cybercriminalité. Outre les attaques contre les systèmes d'information, ce cadre global concernerait la cyberdélinquance financière, les contenus illégaux sur Internet, les collectes/stockages/transferts de preuves électroniques, et il détaillerait davantage les règles de compétence.

2.10

Le Comité reconnaît que l'élaboration d'un cadre global est une mission très complexe, rendue encore plus difficile par l'absence de consensus politique (20) et par les problèmes nés de la divergence significative entre les différents États membres en ce qui concerne l'admissibilité des preuves électroniques devant les tribunaux. Cependant, ce cadre global permettrait d'exploiter au maximum les avantages des instruments législatifs et autres qui visent à lutter contre le large spectre de problèmes liés à la cybercriminalité. Il traiterait également des mesures pénales et dans le même temps améliorerait la coopération en matière de répression au sein de l'Union européenne. Le Comité invite la Commission à poursuivre ses travaux en vue de définir un cadre juridique global en matière de lutte contre la cybercriminalité.

2.11

La lutte contre la cybercriminalité requiert des compétences spécifiques. L'avis du Comité sur la proposition de règlement concernant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) (21) souligne l'importance de la formation pour les autorités chargées de l'application de la loi. Le Comité se réjouit de constater que la Commission progresse dans la création de la plate-forme de formation en matière de cybercriminalité incluant les services répressifs et le secteur privé telle que proposée dans le document COM(2007) 267 (22).

2.12

Est partie prenante de la cybersécurité de l'UE tout citoyen dont la vie peut dépendre de ces services vitaux. Ces mêmes citoyens sont responsables de la protection, au mieux de leurs possibilités, de leur connexion à internet contre des attaques. Une plus grande responsabilité encore incombe aux fournisseurs de services et de technologies de TIC qui pourvoient les systèmes d'information.

2.13

Une information suffisante et adéquate de toutes les parties intéressées constitue un élément crucial de la cybersécurité. Il est donc fondamental pour l'Europe de disposer d'un grand nombre d'experts qualifiés dans le domaine de la cybersécurité.

2.14

Il convient de stimuler en Europe une industrie forte de la sécurité de l'information pour faire jeu égal avec les compétences d'une industrie nord-américaine qui dispose de très grands moyens financiers (23). Il convient d'augmenter sensiblement les investissements dans la recherche et le développement et l'éducation en matière de cybersécurité.

3.1

La présente proposition a pour objet de remplacer la décision-cadre 2005/222/JAI du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information (24). Ainsi qu'il ressort de ses considérants, la décision-cadre visait à renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l’application de la loi dans les États membres, grâce à un rapprochement de leurs règles pénales réprimant les attaques contre les systèmes d’information. Elle créait ainsi une législation européenne permettant de poursuivre des infractions telles que l'accès illicite à un système d’information, l'atteinte à l’intégrité d’un système et l'atteinte à l’intégrité des données, ainsi que des dispositions spécifiques relatives à la responsabilité des personnes morales, la compétence juridictionnelle et les échanges d'informations. Les États membres étaient tenus de prendre les mesures nécessaires à sa transposition le 16 mars 2007 au plus tard.

3.2

Le 14 juillet 2008, la Commission a publié un rapport sur la transposition de la décision-cadre (25). Le rapport concluait que «les récentes attaques perpétrées en Europe depuis l'adoption de la décision-cadre ont souligné l'émergence de [plusieurs] menaces, que constituent notamment les attaques massives commises simultanément contre plusieurs systèmes d'information et l'utilisation accrue des “botnets” à des fins criminelles.» Ce type d'attaques n'était pas au centre des attentions lors de l'adoption de la décision-cadre.

3.3

La présente proposition tient compte des nouvelles méthodes adoptées pour commettre des infractions informatiques, notamment le recours aux «botnets» ou «réseaux zombies» (26). Il est difficile de repérer les coupables car les ordinateurs qui composent le réseau zombie et lancent l'attaque peuvent se trouver ailleurs.

3.4

Les attaques par réseaux zombies sont souvent réalisées à grande échelle, c'est-à-dire avec des outils qui atteignent un grand nombre de systèmes d'information (ordinateurs) ou en causant un préjudice considérable, eu égard aux services de réseau perturbés, au coût financier, aux pertes de données à caractère personnel, etc. Les dommages causés par de telles attaques à grande échelle ont des incidences majeures sur le fonctionnement de la cible en tant que telle et/ou elles affectent son environnement de travail. Par conséquent, un «grand réseau zombie» aurait la capacité de causer un grave préjudice. Il n'est pas aisé de définir la taille des réseaux zombies mais les plus grands qui ont été observés auraient, d'après les estimations, entre 40 000 et 100 000 connexions (c'est-à-dire ordinateurs contaminés) par période de 24 heures (27).

3.5

La décision-cadre comporte plusieurs failles, imputables à l'évolution de la taille et du nombre d'infractions (cyberattaques). En effet, elle ne rapproche les législations que sur un nombre limité d'infractions et ne permet pas de faire face à la menace potentielle que les attaques à grande échelle représentent pour la société. Elle ne tient pas non plus suffisamment compte de la gravité des infractions et ne prévoit pas de sanctions à leur mesure.

3.6

La directive a pour objet de rapprocher les règles pénales appliquées par les États membres pour réprimer les attaques contre les systèmes d’information et de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres.

3.7

Les attaques contre les systèmes d'information, en particulier celles qui pourraient émaner du milieu de la criminalité organisée, constituent une menace croissance, et l'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus l'inquiétude. Cette situation risque de compromettre la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice, et appelle donc une réaction au niveau de l’Union européenne.

3.8

On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières contre des systèmes d'information critiques pour les États ou certaines fonctions du secteur public ou privé. Parallèlement, des outils de plus en plus sophistiqués sont mis au point, lesquels peuvent être utilisés par des criminels pour lancer des cyberattaques de divers types.

3.9

Il importe d'arrêter des définitions communes dans ce domaine, notamment pour les systèmes d'information et les données informatiques, de manière à garantir l'application cohérente de la présente directive dans tous les États membres.

3.10

Il convient d'adopter une position commune sur les éléments constitutifs des infractions pénales en créant les infractions communes d'accès illicite à un système d’information, d'atteinte à l’intégrité d’un système, d'atteinte à l’intégrité des données et d'interception illégale de données.

3.11

Il conviendrait que les États membres prévoient des sanctions pour réprimer les attaques contre les systèmes d'information. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives.

3.12

Tout en abrogeant la décision-cadre 2005/222/JAI, la directive reprendra ses dispositions actuelles et inclura les nouveaux éléments décrits ci-après.