Stratégie pour une société de l'information sûre (communication 2006)

Par cette communication, la Commission entend revitaliser l'approche politique européenne en matière de sécurité des réseaux et de l'information. Il s'agit d'identifier les défis actuels et de proposer des actions destinées à les relever. La stratégie proposée par la Commission se fonde sur une approche multipartite qui rassemble toutes les parties intéressées. Cette démarche repose sur le dialogue, le partenariat et la responsabilisation.

ACTE

Communication de la Commission, du 31 mai 2006, Une stratégie pour une société de l'information sûre - "Dialogue, partenariat et responsabilisation" [COM(2006) 251 final - Non publié au Journal officiel].

SYNTHÈSE

Action de la Communauté: état des lieux

Jusqu'à présent, la Communauté européenne a répondu au défi de la sécurité dans la société de l'information en développant une approche fondée sur trois types d'initiatives:

des mesures de sécurité spécifiques pour les réseaux et les systèmes d'information ;
le cadre réglementaire des communications électroniques et, en particulier, la directive sur la protection de la vie privée et des données personnelles;
la lutte contre la cybercriminalité.

L'action de la Communauté dans ce domaine passe également par le biais:

des programmes européens consacrés à la recherche et au développement. Le 7ème programme-cadre devrait contribuer à renforcer la recherche sur la sécurité avec le lancement d'un programme de recherche européen en la matière;
du programme Safer Internet destiné à promouvoir une utilisation plus sûre de l'Internet et à protéger l'utilisateur final contre les contenus non désirés.
de l'implication dans les forums internationaux qui abordent ces sujets, tels l'Organisation de coopération et de développement économiques, le Conseil de l'Europe ou les Nations unies. L'Union européenne (UE) a fortement soutenu les discussions concernant la disponibilité, la fiabilité et la sécurité des réseaux et de l'information au sommet mondial sur la société de l'information (SMSI) à Tunis en novembre 2005.

En 2004, la Communauté a institué l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). L'ENISA a pour mission de contribuer à un niveau élevé de sécurité des réseaux et de l'information dans la Communauté et de favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public.

Ces différentes actions et initiatives étant largement interdépendantes et impliquant de multiples parties prenantes, une stratégie coordonnée est nécessaire. La présente communication expose cette stratégie destinée à promouvoir une approche cohérente et holistique dans le domaine de la sécurité des réseaux et de l'information.

PRINCIPAUX DÉFIS

Malgré les efforts entrepris, la sécurité reste un défi pour tous: administrations publiques, entreprises et utilisateurs individuels. Les risques encourus sont souvent sous-estimés alors que l'importance du secteur des technologies de l'information et des communications (TIC) pour l'économie et la société européennes est incontestable. En outre, d'autres infrastructures critiques deviennent également de plus en plus dépendantes de l'intégrité de leurs systèmes d'information respectifs.

Attaques sur les systèmes d'information

Les attaques sur les systèmes d'information sont de plus en plus motivées par le profit financier. Des données personnelles sont exploitées illégalement, à l'insu de l'utilisateur, alors que le nombre (et le rythme d'évolution) des variantes de logiciels malveillants augmentent rapidement (utilisation de pourriels pour véhiculer des virus et des logiciels espions par exemple).

Enjeux liés au déploiement des dispositifs mobiles

Le déploiement croissant des dispositifs mobiles (téléphones mobiles 3G, jeux vidéo portables, etc.) et des services mobiles basés sur l'utilisation des réseaux entraîne l'apparition de nouvelles menaces. Or ces dernières peuvent se révéler plus dangereuses que les attaques via les PC puisque ces derniers possèdent déjà un niveau significatif de sécurité.

Enjeux liés à l'avènement de l'"intelligence ambiante"

L'avènement de l'"intelligence ambiante" constitue un autre développement déterminant de la société de l'information. On peut en effet s'attendre à ce que les dispositifs intelligents soutenus par les technologies de calcul et de réseau deviennent, dans un futur proche, omniprésents dans la vie quotidienne. Cette évolution porte en elle de nombreuses opportunités. Mais elle créera également des risques supplémentaires pour la sécurité et la vie privée.

Enjeux liés à la sensibilisation des utilisateurs

Afin de s'attaquer avec succès aux problèmes de sous-estimation des risques, toutes les parties prenantes ont besoin de données fiables sur les incidents de sécurité et leurs tendances.

Dans le même temps, il importe que les programmes de sensibilisation destinés à mettre en lumière les menaces pour la sécurité ne minent pas la confiance du consommateur et de l'utilisateur en se concentrant seulement sur les aspects négatifs. La sécurité des réseaux et de l'information devrait être présentée comme un bien et une occasion plutôt que comme une responsabilité et un coût.

APPROCHE PROPOSÉE

Pour relever les défis liés à la sécurité des réseaux et de l'information, la Commission propose une approche fondée sur le dialogue, le partenariat et la responsabilisation.

Dialogue

La Commission propose une série de mesures destinées à établir un dialogue ouvert, inclusif et multipartite, à savoir:

une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et de l'information. L'objectif est d'identifier les pratiques les plus efficaces afin de les déployer plus largement à travers l'UE. Cet exercice doit notamment permettre l'identification des meilleures pratiques afin de mieux sensibiliser les petites et les moyennes entreprises (PME) ainsi que les citoyens aux risques et aux défis liés à la sécurité des réseaux et de l'information;
un débat multipartite structuré sur la manière d'exploiter au mieux les instruments réglementaires existants. Ces débats seront organisés au travers de conférences et séminaires.

Partenariat

Une compréhension claire de la nature des défis est un préalable indispensable à l'élaboration d'une politique efficace. Pour ce faire, il convient de disposer de données statistiques et économiques fiables et à jour. La Commission demandera donc à l'ENISA:

de développer un partenariat de confiance avec les États membres et les parties prenantes en vue d'élaborer un cadre approprié pour la collecte de données;
d'examiner la faisabilité d'un système européen de partage d'informations et d'alerte permettant de répondre efficacement aux menaces. Ce système inclurait un portail européen multilingue destiné à fournir des informations spécifiques sur les menaces, les risques et les alertes.

En parallèle, la Commission invitera les États membres, le secteur privé et la communauté de la recherche à créer un partenariat pour assurer la disponibilité des données sur le secteur de la sécurité des technologies de l'information et des communications.

Responsabilisation

La responsabilisation des parties prenantes est une condition préalable pour davantage les sensibiliser aux besoins et aux risques en matière de sécurité et ainsi promouvoir la sécurité des réseaux et de l'information.

C'est pourquoi les États membres sont notamment invités à:

participer activement à l'exercice proposé d'évaluation comparative des politiques nationales;
promouvoir, en collaboration avec l'ENISA, des campagnes de sensibilisation sur les bénéfices de l'adoption de technologies efficaces, de bonnes pratiques et d'un comportement responsable en matière de sécurité;
profiter du déploiement des services d'administration en ligne pour promouvoir les bonnes pratiques en matière de sécurité;
à stimuler le développement de programmes traitant de la sécurité des réseaux et de l'information dans le cadre des programmes d'enseignement supérieur.

Les parties prenantes du secteur privé sont également encouragées à prendre des initiatives visant à:

définir les responsabilités des producteurs de logiciels et des fournisseurs de services Internet par rapport à la fourniture de niveaux de sécurité appropriés et vérifiables;
promouvoir la diversité, l'ouverture, l'interopérabilité, la facilité d'utilisation et la concurrence en tant qu'éléments clés de la sécurité ainsi que stimuler le déploiement de produits et de services améliorant la sécurité pour lutter contre le vol d'identité et d'autres atteintes à la vie privée;
disséminer les bonnes pratiques de sécurité pour les exploitants de réseaux, les fournisseurs de services et les PME;
encourager des programmes de formation dans les entreprises afin de donner aux employés les connaissances et les compétences nécessaires pour appliquer les pratiques en matière de sécurité;
élaborer des systèmes abordables pour la certification de sécurité des produits, processus et services qui répondent à des besoins spécifiques de l'UE.
à faire participer le secteur de l'assurance au développement d'outils et de méthodes de gestion du risque

INITIATIVES COMPLÉMENTAIRES

La Commission complétera cette approche par d'autres initiatives:

l'adoption d'une communication portant sur l'évolution du pourriel et d'autres menaces, telles que les logiciels espions;
la présentation de propositions visant à améliorer la coopération entre les autorités de police et à réprimer de nouvelles formes d'activité criminelle; cette thématique fera l'objet d'une communication spécifique sur la cybercriminalité;la définition d'un plan d'action pour atteindre les objectifs du livre vert de la Commission sur un programme européen de protection des infrastructures critiques;
la révision en 2006 du cadre réglementaire des communications électroniques.

Contexte

La présente communication s'inscrit dans le cadre de l'initiative " i2010- Une société de l'information pour la croissance et l'emploi " qui vise à stimuler le développement de l'économie numérique en Europe. L'initiative i2010 insiste en effet sur l'importance de la sécurité des réseaux et de l'information pour la création d'un espace européen unique de l'information.

ACTES LIÉS

Communication de la Commission, du 1er juin 2005, intitulée "i2010 - Une société de l'information pour la croissance et l'emploi" [COM(2005) 229 final - Non publié au Journal officiel].

Décision-cadre 2005/222/JAI du Conseil, du 24 février 2005, relative aux attaques visant les systèmes d'information.

Règlement n°460/2004 du Parlement européen et du Conseil, du 10 mars 2004, instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information [Journal officiel L 77 du 13.3.2004].

Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) [Journal officiel L 201 du 31.7.2002].

Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions, du 6 juin 2001, - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne [COM(2001) 298 final - Non publié au Journal officiel].

Communication de la Commission au Conseil, du 26 janvier 2001, créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité [COM(2000) 890 final - Non publié au Journal officiel].

See also