6.4.2011   

FR

Journal officiel de l'Union européenne

C 107/58

1.1

Le CESE est très conscient du degré de dépendance que la société civile a actuellement atteint à l'égard des services fournis par l'internet. Le Comité est également préoccupé par la relative ignorance de la société civile concernant sa propre cybersécurité. Selon le CESE, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) est l'agence chargée d'aider les États membres et les fournisseurs de services à renforcer leurs normes de sécurité en général, de manière à ce que tous les utilisateurs d'internet puissent prendre les mesures nécessaires à la garantie de leur propre cybersécurité.

1.2

En conséquence, le CESE soutient la proposition de développer le rôle de l'Agence dans le but de contribuer à un niveau élevé de sécurité des réseaux et de l'information au sein de l'Union, d'y sensibiliser la société et de favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union européenne, contribuant ainsi au bon fonctionnement du marché intérieur.

1.3

La mission de l'ENISA est essentielle à la sécurité de l'évolution de l'infrastructure du réseau du gouvernement, de l'industrie, du commerce et de la société civile de l'UE. Le CESE attend de la Commission européenne qu'elle fixe les normes de performance les plus élevées possibles à l'ENISA, et qu'elle contrôle les performances de cette dernière dans le contexte des nouvelles menaces qui se développent à l'encontre de la cybersécurité.

1.4

Les cyberstratégies définies par l'OTAN, Europol et la Commission européenne dépendent toutes de la coopération effective avec les États membres, qui disposent eux-mêmes d'un kaléidoscope d'agences internes pour s'occuper des questions de cybersécurité. Les stratégies de l'OTAN et d'Europol visent à être proactives et opérationnelles. Au sein de la stratégie de la Commission européenne, l'ENISA est clairement un des éléments importants du puzzle complexe que constituent les agences et les missions de protection des infrastructures d'information critiques (PIIC). Alors que la nouvelle réglementation ne propose pas de rôle opérationnel pour l'ENISA, le CESE continue à voir en elle l'agence responsable en première ligne de la PIIC dans la société civile de l'UE.

1.5

La responsabilité opérationnelle en matière de cybersécurité à l'échelon des États membres relève de ces mêmes États membres, mais les normes de sécurité de la PIIC sont de toute évidence non homogènes dans les 27 États membres. Le rôle de l'ENISA est d'amener l'État membre le moins bien équipé à un niveau acceptable. Celle-ci doit garantir la coopération entre les États membres et les aider à appliquer de bonnes pratiques. Dans le cas de menaces transfrontalières, le rôle de l'ENISA doit être à la fois d'avertir et de prévenir.

1.6

L'ENISA devra également être associée à la coopération internationale avec des puissances extérieures à l'UE. Une coopération de ce type est hautement politique, associant de nombreux secteurs de l'Union, mais le CESE estime que l'ENISA doit encore trouver sa place sur la scène internationale.

1.7

Le Comité estime que l'ENISA peut jouer un rôle très précieux pour lancer des projets de recherche dans le domaine de la sécurité, ou y contribuer.

1.8

Dans le cadre de l'évaluation d'impact, le CESE ne soutiendra pas pour le moment la mise en œuvre totale des options 4 et 5, qui feraient de l'ENISA une agence opérationnelle. La cybersécurité est un problème d'une telle ampleur, étant donné que les menaces se développent de manière dynamique, que les États membres doivent rester aptes à lutter de manière proactive contre ces menaces. Le développement des agences opérationnelles de l'UE aboutit généralement à enlever des compétences aux États membres. Dans le domaine de la cybersécurité, c'est l'inverse: les États membres doivent voir leurs compétences augmenter.

1.9

Le CESE comprend le point de vue de la Commission, selon lequel l'ENISA devrait avoir une mission bien définie et très contrôlée, dotée des ressources correspondantes. Même ainsi, le CESE craint que le mandat fixe de 5 ans de l'ENISA ne restreigne les projets à long terme, et n'entrave l'évolution du capital humain et de connaissance au sein de l'Agence, qui sera de taille relativement modeste pour affronter un problème sérieux et de plus en plus grave. Le champ d'action de la mission de l'ENISA suppose qu'elle emploie des équipes de spécialistes. Elle devra assurer simultanément des missions à court terme, et des projets à long terme. En conséquence, le CESE préférerait que le mandat de l'ENISA soit dynamique, doté d'une limite temporelle restant ouverte, et confirmé de manière évolutive par des tests et évaluations périodiques. Les ressources pourraient alors être attribuées progressivement, si et lorsque cela se justifie.

2.1

Le présent avis concerne un règlement visant à poursuivre le développement de l'ENISA.

2.2

La Commission a présenté sa première proposition d'une approche politique de la sécurité des réseaux et de l'information dans une communication de 2001 (COM(2001) 298 final). M. RETUREAU avait élaboré un avis exhaustif (1) en réponse à cette communication.

2.3

La Commission a ensuite proposé un règlement visant à mettre en place l'ENISA (COM(2003) 63 final). L'avis du CESE (2) sur ce règlement a été rédigé par M. LAGERHOLM. L'Agence a été véritablement créée par le règlement CE no 460/2004.

2.4

L'utilisation d'internet continuant à augmenter de manière exponentielle, la sécurité de l'information est devenue une préoccupation croissante. En 2006, la Commission a publié une communication définissant une stratégie pour une société de l'information sûre (COM(2006) 251 final). M. PEZZINI a rédigé l'avis du CESE (3).

2.5

Étant donné l'accroissement des inquiétudes en matière de sécurité de l'information, la Commission a présenté en 2009 une proposition relative à la protection des infrastructures d'information critiques (COM(2009) 149 final). L'avis, approuvé par la session plénière (4) du CESE en décembre 2009, avait été rédigé par M. McDONOGH.

2.6

Il est proposé à présent de renforcer et améliorer le rôle de l'Agence dans le but de contribuer à un niveau élevé de sécurité des réseaux et de l'information au sein de l'Union, d'y sensibiliser la société et de favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union européenne, contribuant ainsi au bon fonctionnement du marché intérieur.

2.7

Toutefois, l'ENISA n'est pas l'unique agence de sécurité prévue pour le cyberespace européen. La réponse aux cyberattaques et au cyberterrorisme relève de la responsabilité de l'armée. L'OTAN est la principale agence dans ce domaine. Dans son nouveau projet stratégique, publié à Lisbonne en novembre 2010 (disponible à l'adresse suivante: http://www.nato.int/lisbon2010/strategic-concept-2010-fra.pdf), l'OTAN déclare: «nous continuerons de développer notre capacité à prévenir et à détecter les cyberattaques, à nous en défendre et à nous en relever, y compris en recourant à la planification OTAN pour renforcer et coordonner les capacités nationales de cyberdéfense, en plaçant tous les organismes de l’OTAN sous une protection centralisée et en intégrant mieux les fonctions de veille, d’alerte et de réponse de l’OTAN avec celles des pays membres».

2.8

À la suite de la cyberattaque contre l'Estonie en 2007, le Centre d'excellence coopérative en matière de cyberdéfense (Cooperative Cyber Defence Centre of Excellence, CCD COE) a été officiellement créé le 14 mai 2008 pour renforcer la capacité de l'OTAN en matière de cyberdéfense. Situé à Tallinn (Estonie), ce centre correspond à un effort international qui associe actuellement l'Estonie, la Lettonie, la Lituanie, l'Allemagne, la Hongrie, l'Italie, la République slovaque et l'Espagne en tant que nations contributrices.

2.9

La criminalité électronique à l'échelle de l'UE relève de la responsabilité d'Europol. Europol indique dans un mémorandum (5) destiné au Parlement britannique les éléments suivants (disponible en anglais uniquement):

Il est clair que les agences chargées de l'application de la loi ont besoin de suivre le même rythme de développement technologique que les criminels, afin de garantir que les crimes commis puissent être effectivement prévenus, ou détectés. En outre, étant donné la nature internationale de la haute technologie, cette capacité doit se trouver partout en Europe au même niveau élevé, afin de ne pas permettre à des «points faibles» de se développer, où le crime de haute technologie pourrait fleurir en toute impunité. Or cette capacité est loin d'être homogène dans l'UE. En fait, nous sommes en présence d'une évolution nettement asymétrique: certains EM sont leaders avec une grande avance dans certains domaines, tandis que d'autres EM accusent des retards technologiques. En raison de cela, nous avons besoin d'un service centralisé pour aider les EM à coordonner des activités conjointes, à promouvoir l'harmonisation des approches et des normes de qualité, à repérer et partager les bonnes pratiques; ce n'est que de cette manière que pourra être assuré un effort homogène d'application de la loi dans l'ensemble de l'UE en matière de criminalité utilisant des moyens de haute technologie.

2.10

Le Centre de criminalité high-tech (High Tech Crime Centre, HTCC) a été créé au sein d'Europol en 2002. Il s'agit d'une unité relativement modeste, mais celle-ci devrait croître à l'avenir étant donné qu'elle est l'élément central du travail d'Europol dans ce domaine. Le HTCC joue un rôle essentiel dans la coordination, le soutien opérationnel, l'analyse stratégique et la formation. La fonction de formation est particulièrement importante. En outre, Europol a créé la Plateforme européenne de la cybercriminalité (European Cyber Crime Platform, ECCP). Elle travaille en particulier sur les sujets suivants:

2.11

La stratégie de l'UE en matière de cybersécurité est présentée dans le chapitre «confiance et sécurité» de la Stratégie numérique pour l'Europe. Les défis sont décrits comme suit:

«Jusqu'à maintenant, l'internet s'est avéré remarquablement sûr, résistant et stable, mais les réseaux informatiques et les terminaux utilisateurs restent vulnérables à une multitude de dangers toujours nouveaux: au cours des dernières années, les messages non sollicités ont proliféré au point d'encombrer sérieusement le trafic de courrier électronique sur internet – d'après diverses estimations, ils représenteraient entre 80 % et 98 % des messages en circulation et répandent toutes sortes de virus et de logiciels malveillants. Le fléau du vol d'identité et de la fraude en ligne progresse. Les attaques sont de plus en plus sophistiquées (chevaux de Troie, réseaux zombies, etc.) et ont souvent des motifs financiers. Elles peuvent aussi avoir des motifs politiques comme l'ont montré les récentes attaques informatiques visant l'Estonie, la Lituanie et la Géorgie.»

2.12

Les actions prévues par la stratégie sont les suivantes:

Action clé no 6: en 2010, présenter des mesures ayant pour but une politique renforcée et de haut niveau en matière de sécurité des réseaux et de l'information, y compris des initiatives législatives comme une ENISA modernisée, ainsi que des mesures permettant de réagir plus rapidement en cas d'attaque informatique, notamment une équipe d'intervention en cas d'urgence informatique (ou Computer Emergency Response Team, CERT) pour les institutions de l'UE.

Action clé no 7: présenter des mesures, y compris des initiatives législatives, pour lutter contre les attaques visant les systèmes informatiques d'ici à 2010, et des règles relatives à la juridiction dans le cyberespace aux niveaux européen et international d'ici à 2013.

2.13

Dans une communication de novembre 2010 (COM(2010) 673 final), la Commission a fait progresser la stratégie en présentant la stratégie de sécurité intérieure de l'UE. Celle-ci est dotée de cinq objectifs, dont le troisième est «d'accroître le niveau de sécurité des citoyens et des entreprises dans le cyberespace». Trois programmes d'action sont envisagés, le détail des actions étant présenté dans le tableau suivant (extrait de la Communication, et disponible à l'adresse suivante: http://ec.europa.eu/commission_2010-2014/malmstrom/archive/internal_security_strategy_in_action_fr.pdf)

2.14

Les cyberstratégies définies par l'OTAN, Europol et la Commission européenne dépendent toutes de la coopération effective avec les États membres, qui disposent eux-mêmes d'un kaléidoscope d'agences internes pour s'occuper des questions de cybersécurité. Les stratégies de l'OTAN et d'Europol visent à être proactives et opérationnelles. Au sein de la stratégie de la Commission européenne, il est clair que l'ENISA est une partie importante du puzzle complexe que constituent les agences et les missions de protection des infrastructures d'information critiques (PIIC). Tandis qu'une nouvelle réglementation n'accorde aucun rôle opérationnel à l'ENISA, le CESE continue à voir en elle l'agence responsable en première ligne de la PIIC dans la société civile de l'UE.

3.1

La problématique à laquelle l'Agence doit faire face porte sur sept facteurs:

3.2

La proposition de l'Agence fournit un point de convergence tant pour les dispositions des politiques en vigueur que pour les nouvelles initiatives présentées dans la stratégie numérique de l'UE.

3.3

Les politiques en vigueur devant être soutenues par l'Agence sont les suivantes:

3.4

Les nouveaux dispositifs devant être soutenus par l'Agence sont les suivants:

3.5

Cinq options politiques différentes ont été analysées avant que cette proposition ne soit mise au point. A chacune d'entre elles étaient associés des activités et des moyens. La troisième option a été retenue. Elle prévoit d'étoffer les fonctions actuellement définies par l'Agence en impliquant les autorités chargées du respect de la loi et de la vie privée en tant que parties prenantes.

3.6

Dans le cadre de l'option 3, une Agence modernisée contribuerait à:

3.7

Dans le cadre de l'option 3, l'Agence disposerait de tous les moyens nécessaires pour mettre en œuvre de manière satisfaisante et approfondie ses activités, c'est-à-dire d'avoir un impact réel. Avec des moyens plus importants (6), l'Agence pourrait jouer un rôle d'anticipation plus incisif et lancer des initiatives plus nombreuses pour stimuler la participation active des acteurs concernés. Par ailleurs, cette situation nouvelle permettrait une plus grande souplesse pour réagir rapidement aux changements dans l'environnement de la SRI, en constante évolution.

3.8

L'option politique 4 comprend des fonctions opérationnelles pour lutter contre les cyberattaques et riposter aux incidents informatiques. En plus des activités énoncées précédemment, l'Agence aurait également des tâches opérationnelles telles qu'assumer un rôle plus actif dans la protection des infrastructures d'information critiques (PIIC) de l'UE, par exemple en matière de prévention et d'intervention en cas d'incident, à savoir agir en tant que CERT pour la SRI et coordonner les CERT nationales en tant que centre de crise SRI de l'UE, ainsi que des activités de gestion quotidienne et des services d'urgence.

3.9

L'option 4 aurait, en plus des impacts escomptés au titre de l'option 3, une incidence plus marquée au niveau opérationnel. En agissant en tant que CERT pour la SRI de l'UE et en coordonnant les CERT nationales, l'Agence permettrait de réaliser de plus grandes économies d'échelle en ce qui concerne la réaction aux incidents au niveau de l'UE, et de limiter les risques opérationnels pour les entreprises par exemple, du fait du niveau plus élevé de sécurité et de résilience. L'option 4 impliquerait une augmentation significative du budget et des ressources humaines de l'Agence, ce qui pose des problèmes de capacité d'absorption et d'utilisation efficace du budget par rapport aux bénéfices escomptés.

3.10

L'option politique 5 comprend des fonctions opérationnelles consistant à prêter assistance aux autorités de police et judiciaires, dans la lutte contre la cybercriminalité. Outre les activités énumérées au titre de l'option 4, cette option permettrait à l'Agence de:

3.11

L'option 5, par l'ajout de fonctions opérationnelles consistant à prêter assistance aux autorités de police et judiciaires, permettrait de lutter contre la cybercriminalité avec une plus grande efficacité que les options 3 et 4.

3.12

L'option 5 impliquerait une augmentation significative des ressources de l'Agence et poserait à nouveau des problèmes de capacité d'absorption et d'utilisation efficace du budget.

3.13

Les options 4 et 5 auraient certes de plus grands impacts positifs que l'option 3, mais la Commission est d'avis qu'il existe de nombreuses raisons pour ne pas les mettre en œuvre:

4.1

L'Agence assiste la Commission et les États membres pour satisfaire les exigences juridiques et réglementaires en matière de sécurité des réseaux et de l'information.

4.2

Le conseil d’administration fixe les orientations générales du fonctionnement de l'Agence.

4.3

Le conseil d'administration est composé d'un représentant de chaque État membre, de trois représentants nommés par la Commission ainsi que d'un représentant des groupes suivants: industrie des TIC, organisations de consommateurs et des milieux universitaires du domaine des technologies de l'information.

4.4

L’agence est gérée par un directeur exécutif indépendant, qui sera responsable de l'élaboration du programme de travail de l'Agence devant être approuvé par le conseil d'administration.

4.5

Le directeur exécutif est également chargé de l'établissement du budget annuel venant soutenir le programme de travail. Le conseil d'administration est tenu de soumettre le budget et le programme de travail à la Commission et aux États membres pour approbation.

4.6

Sur avis du directeur exécutif, le conseil d'administration met en place un groupe permanent de parties prenantes composé d'experts issus de l'industrie des technologies de l'information, d'organisations de consommateurs, des milieux universitaires, et des autorités chargées du respect de la loi et de la vie privée.

4.7

La réglementation étant toujours au stade de proposition, les chiffres sont encore incertains. À présent, l'Agence emploie 44 à 50 personnes et dispose d'un budget de 8 millions d'euros. D'un point de vue conceptuel, l'option 3 pourrait nécessiter une équipe de 99 personnes et un budget de 17 millions d'euros.

4.8

Le règlement propose un mandat fixe de cinq ans.