28.4.2007   

FR

Journal officiel de l'Union européenne

C 97/21

1.1

Le Comité est convaincu que le problème de la sécurité informatique représente une préoccupation croissante pour les entreprises, les administrations, les organismes publics et privés et les particuliers.

1.2

Le Comité approuve d'une manière générale les analyses et les arguments invoqués en faveur de la mise en oeuvre d'une nouvelle stratégie destinée à augmenter la sécurité des réseaux et de l'information et à lutter contre les attaques et les intrusions opérées sans limites géographiques.

1.3

Le Comité considère que la Commission devrait déployer davantage d'efforts pour mettre en oeuvre une stratégie innovante et structurée, compte tenu de l'ampleur du phénomène et de ses incidences dans le domaine économique et sur la vie privée.

1.3.1

Le Comité souligne également que la Commission a récemment adopté une nouvelle communication sur la sécurité informatique et qu'un autre document sur ce même thème devrait être présenté prochainement. Le Comité se réserve le droit d'émettre ultérieurement un avis plus circonstancié tenant compte de l'ensemble de ces communications.

1.4

Le Comité insiste sur le fait que la sécurité informatique ne peut en aucun cas être dissociée du renforcement de la protection des données personnelles et de la préservation des libertés, qui sont garanties par la Convention européenne des droits de l'homme.

1.5

Le Comité se demande quelle est, en l'état actuel des choses, la valeur ajoutée de la proposition par rapport à l'approche intégrée adoptée en 2001, qui poursuivait un but similaire à celui indiqué dans la communication à l'examen (1).

1.5.1

Le rapport d'analyse d'impact (2) annexé à la proposition contient quelques intéressantes mises à jour par rapport au texte de 2001, mais comme il a été publié dans une seule langue, il n'est pas accessible à de nombreux citoyens européens qui se forgent une opinion sur la base du document officiel publié dans les différentes langues communautaires.

1.6

Le Comité rappelle les conclusions du sommet mondial de Tunis de 2005 sur la société de l'information, ratifiées par l'assemblée de l'ONU du 27 mars 2006, qui proposaient:

1.7

Le Comité soutient qu'une stratégie communautaire dynamique et intégrée devrait prévoir, en plus du dialogue, du partenariat et de la responsabilisation:

1.8

Le Comité estime enfin que pour assurer une stratégie communautaire dynamique et intégrée, il est nécessaire de prévoir des budgets appropriés, assortis d'initiatives et d'actions visant à renforcer la coordination au niveau communautaire, afin que l'Europe puisse s'exprimer d'une seule voix dans le contexte mondial.

2.1

La sécurité de la société de l'information constitue un enjeu fondamental en termes de confiance dans les réseaux et les services de communication et de fiabilité de ces derniers, qui sont des facteurs essentiels pour le développement de l'économie et de la société.

2.2

Si l'on souhaite préserver les capacités compétitives et commerciales, garantir l'intégrité et la continuité des communications électroniques, prévenir les fraudes et assurer la protection légale de la vie privée, il est nécessaire de veiller à la protection des réseaux et des systèmes informatiques.

2.3

Les communications électroniques et les services qui leur sont liés représentent le segment le plus large de l'ensemble du secteur des télécommunications: en 2004, environ 90 % des entreprises européennes ont utilisé activement Internet et 65 % d'entre elles ont créé leur propre site Internet, tandis que selon les estimations, la moitié environ de la population européenne utilise régulièrement Internet et 25 % des familles utilisent en permanence la large bande d'accès (5).

2.4

Au regard du développement accéléré des investissements, le volume des dépenses consacrées à la sécurité ne représente que sur 5 à 13 % du total des investissements dans les technologies de l'information. Ces pourcentages sont trop faibles. Des études récentes ont montré que «sur une moyenne de 30 protocoles partageant les mêmes structures clés, 23 sont vulnérables à des attaques multiprotocole» (6). En outre, on évalue à 25 millions en moyenne les pourriels (spam) transmis quotidiennement. Aussi le Comité se félicite-t-il de la proposition récemment présentée par la Commission en la matière.

2.5

S'agissant des virus informatiques (7), la diffusion rapide et sur une large échelle de «vers informatiques »(«worms») (8) et de logiciels espions (9) («spyware») (10) est allée de pair avec le développement croissant des systèmes et des réseaux de communication électronique, qui sont devenus de plus en plus complexes et dans le même temps de plus en plus vulnérables, notamment en raison de la convergence du multimédia, de la téléphonie mobile et des systèmes GRID infoware  (11): les extorsions pratiquées au moyen de DDoS («Distributed Denial of Service», déni de service distribué), l'usurpation d'identité en ligne, l'hameçonnage («phishing») (12), le piratage (13), etc., représentent pour la sécurité de la société de l'information des défis auxquels la Communauté européenne s'est efforcée d'apporter une réponse dans une communication de 2001 (14) — sur laquelle le Comité a pu se prononcer — en proposant trois axes d'intervention:

2.6

Le relevé des attaques informatiques, leur identification et leur prévention dans le cadre d'un système en réseau constituent un défi en termes de recherche de solutions appropriées, étant donné les changements continuels de configuration, la diversité des protocoles réseau et des services offerts et développés et l'extrême complexité des modes d'attaque asynchrone (15).

2.7

Toutefois, la faible visibilité du retour sur investissement dans le domaine de la sécurité et le manque de responsabilisation des citoyens utilisateurs ont malheureusement conduit à sous-estimer les risques et à relâcher les efforts quant au développement d'une culture de la sécurité.

3.1

Avec sa communication sur une Stratégie pour une société de l'information sûre (16), la Commission souhaite améliorer la sécurité informatique en concevant une stratégie dynamique et intégrée fondée sur:

3.2

La communication prévoit en outre, par le biais d'un cadre approprié pour la collecte de données concernant les violations de la sécurité, le niveau de confiance des utilisateurs et les développements de l'industrie de la sécurité, l'instauration par l'ENISA d'un partenariat de confiance:

grâce à la création d'un portail européen multilingue d'information et d'alerte, pour un partenariat stratégique entre le secteur privé, les États membres et les chercheurs.

3.2.1

La communication prévoit par ailleurs une responsabilisation accrue des parties prenantes quant aux besoins et aux risques en matière de sécurité.

3.2.2

Pour ce qui est de la coopération internationale et avec les pays tiers, «la dimension mondiale de la sécurité des réseaux et de l'information place la Commission devant le défi, au niveau international et en coordination avec les États membres, d'augmenter ses efforts pour promouvoir la coopération globale en matière de SRI» (17). Cette affirmation n'est toutefois pas reprise dans les actions de dialogue, de partenariat et de responsabilisation.

4.1

Le Comité marque son accord avec les analyses et les considérations justifiant une stratégie européenne intégrée et dynamique pour la sécurité des réseaux et de l'information. Il estime que la question de la sécurité est essentielle si l'on souhaite promouvoir une attitude plus favorable à la mise en œuvre des technologies de l'information (TI) et améliorer la confiance dans ces dernières. La position du CESE a été exposée dans de nombreux avis (18).

4.1.1

Le Comité réaffirme une fois encore (19) que «le réseau Internet et les nouvelles technologies de communication en ligne (par exemple les téléphones mobiles ou les organiseurs de poche connectables à fonctions multimédia, en pleine expansion), constituent des instruments fondamentaux pour le développement de l'économie de la connaissance, de la e-économie et de la e-administration».

4.2.1

Le Comité juge néanmoins que l'approche proposée par la Commission, qui consiste à fonder cette stratégie intégrée et dynamique sur un dialogue ouvert et inclusif, ainsi qu'un partenariat et une responsabilisation renforcés avec toutes les parties prenantes, en particulier les utilisateurs, peut être encore élargie.

4.2.2

Cette position a été mise en avant dans de précédents avis: «cette lutte doit concerner directement, pour être efficace, tous les usagers de l'Internet, qui doivent être formés et informés des précautions à prendre et des moyens à utiliser pour se prémunir contre la réception de tels contenus dangereux ou non souhaitables ou pour ne pas être utilisés comme relais de tels contenus. La partie information et formation du plan d'action doit, selon le Comité, accorder une haute priorité à la mobilisation des usagers (20)».

4.2.3

Selon le Comité, la participation des utilisateurs et des citoyens doit toutefois s'effectuer de manière à concilier la nécessaire protection de l'information et des réseaux avec les libertés individuelles et le droit des utilisateurs à des accès sûrs et à un coût modéré.

4.2.4

Il y a lieu de considérer que la recherche de sécurité informatique représente un coût pour le consommateur, notamment en termes de temps consacré à supprimer et à contourner les obstacles. Le Comité estime qu'il faudrait imposer l'installation systématique de systèmes de protection antivirus sur tous les ordinateurs, systèmes que l'utilisateur pourrait ou non activer, mais qui seraient présents «dès l'origine »sur le produit.

4.3.1

Indépendamment de ces mesures, l'Union devrait selon le Comité se fixer des objectifs plus ambitieux et lancer une stratégie innovante, intégrée et dynamique fondée sur de nouvelles initiatives, telles que:

4.3.2

Le Comité estime qu'il serait opportun de créer un point de contact «Sécurité des TIC »inter-DG (22). Ce point de contact permettrait d'intervenir:

4.4.1

Le Comité attache également beaucoup d'importance à la création d'un réseau européen pour la sécurité des réseaux et de l'information permettant de financer des enquêtes, des études et des ateliers sur les mécanismes de sécurité et sur leur interopérabilité, sur la cryptographie avancée et sur la protection de la vie privée.

4.4.2

Le Comité estime qu'il conviendrait, pour un secteur aussi sensible, d'optimiser le rôle de la recherche européenne en procédant à une utile synthèse des contenus:

4.4.3

L'on pourrait ajouter à ces propositions l'instauration d'une «Journée européenne de la sécurité informatique »soutenue par des campagnes nationales d'éducation dans les écoles et des campagnes d'information s'adressant aux utilisateurs et concernant les procédures informatiques de protection des informations, sans compter bien sûr les informations relatives aux avancées technologiques réalisées dans le domaine vaste et évolutif des ordinateurs.

4.4.4

Le Comité a souligné à différentes reprises que «la rapidité avec laquelle les entreprises sont disposées à introduire les TIC dans leurs activités commerciales dépend de la conception que l'on a de la sécurité des transactions en ligne et du sentiment de confiance à leur égard. Le degré de confiance des consommateurs détermine largement leur volonté à indiquer leur numéro de carte de crédit sur un site Internet» (25).

4.4.5

Le Comité est convaincu qu'étant donné l'énorme potentiel de croissance du secteur, il y a lieu de mettre en œuvre des politiques spécifiques et d'adapter les politiques actuelles aux nouveaux développements. Il est nécessaire de relier dans le cadre d'une stratégie intégrée les initiatives européennes en matière de sécurité informatique en abolissant les frontières intersectorielles et en garantissant une diffusion homogène et sûre des TIC dans la société.

4.4.6

D'après le Comité, d'importantes stratégies, comme celle à l'examen, progressent avec une lenteur excessive en raison des difficultés bureaucratiques et culturelles opposées par les États membres aux indispensables décisions qui doivent être prises au niveau communautaire.

4.4.7

Le Comité considère également que les ressources communautaires sont insuffisantes pour mettre en train les multiples projets prioritaires qui sont susceptibles d'apporter des réponses concrètes aux nouveaux problèmes de la mondialisation, à condition d'être menés à bien à l'échelon communautaire.

4.5.1

Le Comité est conscient du fait que les États membres ont mis au point des mesures technologiques de sécurité et des procédures de gestion de la sécurité adaptées à leurs besoins propres et qu'ils ne font pas porter leurs efforts sur les mêmes aspects. C'est également l'une des raisons pour lesquelles il est difficile d'apporter une réponse univoque et efficace aux problèmes de sécurité. À l'exception de certains réseaux administratifs, il n'existe pas de coopération transfrontalière systématique entre les États membres, alors que les questions de sécurité ne peuvent être traitées séparément par les différents pays.

4.5.2

Le Comité observe par ailleurs que le Conseil, par décision-cadre 2005/222/JAI, a lancé un cadre de coopération entre les autorités judiciaires et les autres autorités compétentes afin de garantir, moyennant un rapprochement des règles pénales nationales réprimant les attaques contre les systèmes d'information, une approche cohérente des États membres en ce qui concerne:

4.5.3

La décision-cadre précise également les critères permettant d'établir la responsabilité des personnes morales et les éventuelles sanctions à appliquer lorsque leur responsabilité est avérée.

4.5.4

S'agissant du dialogue avec les pouvoirs publics des États membres, le Comité soutient la proposition de la Commission concernant la réalisation par ces pouvoirs d'une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et des systèmes d'information, y compris celles concernant spécifiquement le secteur public. Cette proposition figurait déjà dans un avis du CESE de 2001 (26).

4.6.1

En ce qui concerne l'implication de l'industrie de la sécurité informatique, celle-ci doit véritablement garantir, afin de protéger le droit à la protection de la vie privée et à la confidentialité de ses clients, l'utilisation de systèmes de surveillance matérielle de ses installations et le cryptage des communications, en fonction de l'état d'avancement des techniques (27).

4.6.2

Pour ce qui est de l'action de sensibilisation, le Comité juge fondamental de créer une véritable «culture de la sécurité »qui soit pleinement compatible avec la liberté d'information, de communication et d'expression. Par ailleurs, de nombreux utilisateurs ne sont pas conscients de tous les risques liés à la piraterie informatique, tandis que bon nombre d'opérateurs, de vendeurs ou de fournisseurs de services ne parviennent pas à évaluer si le système comporte des points faibles et quelle est leur ampleur.

4.6.3

Si la protection de la vie privée et des données personnelles sont des objectifs prioritaires, les consommateurs ont également le droit d'être protégés de manière réellement efficace contre le profilage nominatif abusif par «espiogiciels »(spyware et web bugs) ou par d'autres moyens. La pratique du spamming  (28) (envois massifs de messages non sollicités) qui découle souvent de ces abus devrait aussi être freinée. Ces intrusions ont un coût pour les victimes (29).

4.7.1

Le Comité est favorable à ce que le rôle de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) soit renforcé et rendu plus incisif en ce qui concerne les actions de sensibilisation mais aussi et surtout les actions d'information et de formation des opérateurs et des utilisateurs, comme il l'a d'ailleurs déjà indiqué dans un récent avis (30) relatif à la fourniture de services de communications électroniques accessibles au public.

4.7.2

S'agissant enfin des actions prévues pour la responsabilisation de chaque groupe de parties prenantes, elles semblent relever d'une stricte observation du principe de subsidiarité. En effet, c'est aux États membres et au secteur privé qu'il incombe de les mettre en œuvre, en fonction de leurs responsabilités spécifiques.

4.7.3

L'ENISA devrait pouvoir bénéficier des contributions du réseau européen pour la sécurité des réseaux et de l'information («European Network and Information Security network») pour l'organisation d'activités conjointes, ainsi que du site internet communautaire plurilingue d'alerte informatique, pour la fourniture d'informations personnalisées et interactives, libellées dans un langage clair, notamment à l'intention des particuliers de tous âges et des petites et moyennes entreprises.

—

avis du CESE sur la «Proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE», JO C 69 du 21.3.2006, p. 16;

—

avis du CESE sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social européen et au Comité des régions — i2010 — Une société de l'information pour la croissance et l'emploi», JO C 110 du 9.5.2006, p. 83;

—

avis du CESE sur la «Proposition de décision du Parlement européen et du Conseil instituant un programme communautaire pluriannuel visant à promouvoir une utilisation plus sûre de l'Internet et des nouvelles technologies en ligne», JO C 157 du 28.6.2005, p. 136;

—

avis du CESE sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions — Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne», JO C 48 du 21.2.2002, p. 33.