Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52001DC0298

Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des regions - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne

/* COM/2001/0298 final */

In force

52001DC0298

Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des regions - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne /* COM/2001/0298 final */


COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENT EUROPÉEN, AU COMITE ECONOMIQUE ET SOCIAL ET AU COMITE DES REGIONS - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne

Résumé

La sécurité devient une priorité majeure, la communication et l'information étant devenues un facteur clé du développement économique et sociétal. Les réseaux et les systèmes d'information soutiennent dorénavant les services et transportent des données dans des proportions inconcevables il y a quelques années à peine. Leur disponibilité est devenue un facteur critique pour d'autres infrastructures telles que l'approvisionnement en eau et en électricité. Alors que tout le monde, entreprise, individus et administrations, veut exploiter les possibilités des réseaux de communications, la sécurité de ces systèmes devient une condition de tout progrès futur.

Dans ce contexte, le Conseil européen de Stockholm des 23 et24 mars 2001 a conclu: "le Conseil, en concertation avec la Commission, mettra au point une vaste stratégie en matière de sécurité des réseaux électroniques, prévoyant des mesures de mise en oeuvre pratique. Cette stratégie devrait être prête à temps pour le Conseil européen de Göteborg." La présente communication constitue la réponse de la Commission européenne à cette demande.

II.

La sécurité est devenue l'un des principaux défis auxquels sont confrontés les responsables politiques, mais la recherche d'une réponse adéquate à ce problème devient une tâche de plus en plus complexe. Les services de communication ne sont dorénavant plus offerts par des opérateurs d'État mais par un grand nombre d'opérateurs privés en concurrence ; qui plus est à un niveau européen et mondial. Les réseaux convergent : ils permettent d'offrir les mêmes services, sont de plus en plus interconnectés, et utilisent en partie la même infrastructure.

Afin de garantir un niveau minimum de sécurité, un corps de législation substantiel faisant partie du cadre réglementaire des télécommunications et de la législation sur la protection des données a été crée aux plans national et européen. Ces dispositions légales doivent être mises en oeuvre de manière efficace dans un environnement en changement rapide. Elles devront évoluer dans l'avenir comme le montrent déjà la proposition d'un nouveau cadre réglementaire pour les télécommunications et les propositions à venir en relation avec la discussion sur la cybercriminalité. C'est pourquoi les décideurs politiques doivent acquérir une compréhension des questions de sécurité et de leur rôle dans l'amélioration de la sécurité.

La sécurité est devenue une marchandise achetée et vendue sur le marché et fait partie des clauses contractuelles entre les parties. L'hypothèse implicite généralement faite est que le mécanisme des prix établira un équilibre entre le coût de la sécurisation et le besoin spécifique de sécurité. Toutefois, de nombreux risques pour la sécurité subsistent ou les solutions arrivent lentement sur le marché en raison de certaines imperfections de celui-ci. Des mesures politiques spécifiques s'attaquant à ces imperfections sont à même de renforcer le processus du marché tout en améliorant le fonctionnement du cadre juridique. Ces mesures doivent faire partie d'une approche européenne afin d'assurer le marché intérieur, de bénéficier de solutions communes et afin de pouvoir agir de manière plus efficace au niveau mondial.

Les mesures politiques proposées pour la sécurité des réseaux et de l'information doivent être perçues dans le contexte des politiques existantes dans le domaine des télécommunications, de la protection des données et de la cybercriminalité. Une politique en matière de sécurité des réseaux et de l'information fournira le chaînon manquant dans ce cadre politique. Le diagramme ci-dessous montre ces trois domaines politiques et illustre leur interdépendance à travers quelques exemples.

>REFERENCE A UN GRAPHIQUE>

III.

La sécurité des réseaux et de l'information peut être définie comme la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, aux événements accidentels ou aux actions malveillantes. De tels événements ou actions pourraient compromettre la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises et des services connexes que ces réseaux offrent. Les incidents liés à la sécurité peuvent être regroupés comme suit :

| | La communication électronique peut être interceptée et des données peuvent être copiées ou modifiées. Cela peut causer des dommages à la fois par l'intrusion dans la vie privée des personnes et par l'exploitation des données interceptées.

| | L'accès non autorisé à un ordinateur ou un réseau d'ordinateur relève généralement d'une intention malveillante de copier, modifier ou détruire des données.

| | Les attaques disruptives sur Internet sont devenus assez fréquentes et le réseau téléphonique pourrait devenir plus vulnérable à l'avenir.

| | Les logiciels malveillants, tels que les virus, peuvent désactiver un ordinateur, effacer et modifier des données. De récentes attaques de virus se sont révélées extrêmement destructrices et coûteuses.

| | Les déclarations mensongères concernant des personnes ou des entités peuvent causer des dommages substantiels, par exemple, des clients pourraient télécharger des logiciels malveillants à partir d'un site Web se faisant passer pour une source fiable, des contrats pourraient être dénoncés, des informations confidentielles pourraient être envoyées au mauvais destinataire.

| | De nombreux problèmes de sécurité sont dus à des événements imprévisibles ou non intentionnels tels que des catastrophes naturelles (inondations, tempêtes, tremblements de terre), des défaillances du matériel et des logiciels, des erreurs humaines.

IV.

Mesures proposées :

| | Sensibilisation: Une campagne d'information et d'éducation devrait être lancée et les meilleures pratiques devraient être promues.

| | Système européen d'alerte et d'information: Les Etats membres devraient renforcer leurs équipes d'intervention en cas d'urgence informatique (CERTs) et améliorer la coordination entre elles. La Commission examinera avec les Etats membres la meilleure façon d'organiser au niveau européen, la collecte des données, l'analyse et le planning des réponses à donner aux menaces de sécurité actuelles et futures.

| | Soutien technologique: Le soutien à la recherche et au développement technologique dans la sécurité devrait être un élément clé du 6ème Programme Cadre et devrait être lié à une stratégie plus large pour une sécurité accrue des réseaux et de l'information.

| | Soutien à une normalisation et une certification orientées vers les besoins du marché: Les organisations européennes de normalisation sont invitées à accélérer leur travail sur l'interopérabilité; la Commission continuera à apporter son soutien aux signatures électroniques et aux protocoles IPv6 et IPSec, la Commission évaluera le besoin d'une initiative juridique pour la reconnaissance mutuelle des certificats, les Etats membres devraient passer en revue toutes les normes de sécurité pertinentes.

| | Cadre juridique: La Commission dressera un inventaire des mesures nationales arrêtées conformément à la législation communautaire pertinente. Les Etats membres devraient soutenir la libre circulation des produits de chiffrement et soutenir l'investissement dans les produits de sécurité. La Commission proposera une mesure législative en matière de cybercriminalité.

| | Sécurité dans les administrations publiques: Les États membres devraient incorporer des solutions efficaces et interopérables de sécurité dans leurs activités d'e-gouvernement et de passation de marchés publics par voie électronique. Les États membres devraient introduire les signatures électroniques dans les services publics qu'ils offrent en ligne. La Commission renforcera les exigences de sécurité dans ses systèmes d'information et de communication.

| | Coopération internationale: La Commission renforcera le dialogue sur la sécurité des réseaux et de l'information avec les organisations et les partenaires internationaux.

L'étape suivante est la discussion par les États membres et le Parlement européen du cadre et des actions proposés. Le Conseil européen de Göteborg des 15 et 16 juin 2001 pourra formuler des orientations pour l'avenir.

La Commission propose de lancer une discussion approfondie avec l'industrie et les utilisateurs sur les modalités pratiques de mise en oeuvre des actions proposées. Les réactions peuvent être envoyées d'ici la fin du mois d'août 2001 à l'adresse suivante : eeurope@cec.eu.int. Cette communication est donc une invitation aux parties concernées à présenter leurs commentaires en vue d'établir un ensemble final d'actions concrètes. Celui-ci pourrait prendre la forme d'un calendrier d'action élaboré d'ici la fin de l'année 2001.

***

Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne

Table des matières

1. Introduction

2. Analyse des problèmes de sécurité des réseaux et de l'information

2.1. Définition de la sécurité des réseaux et de l'information

2.2. Aperçu des menaces pour la sécurité

2.2.1. Interception des communications

2.2.2. Accès non autorisé aux ordinateurs et aux réseaux d'ordinateurs

2.2.3. Perturbation des réseaux

2.2.4. Exécution de logiciels malveillants modifiant ou détruisant des données

2.2.5. Déclarations mensongères

2.2.6. Evénements environnementaux et non intentionnels

2.3. Nouveaux défis

3. Une approche politique européenne

3.1. Justification d'une action publique

3.2. Sensibilisation

3.3. Un système européen d'alerte et d'information

3.4. Soutien technologique

3.5. Soutien à une normalisation et une certification orientées vers les besoins du marché

3.6. Cadre juridique

3.7. Sécurité dans les administrations publiques

3.8. Coopération internationale

4. Prochaines étapes

1. Introduction

La sécurité des réseaux électroniques et des systèmes d'information suscite de plus en plus de préoccupations parallèlement à l'augmentation rapide du nombre d'utilisateurs et du montant de leurs transactions. La sécurité a maintenant atteint un point critique où elle représente une nécessité pour la croissance du commerce électronique et le fonctionnement de toute l'économie. La combinaison de plusieurs facteurs explique que la sécurité de l' information et des communications se trouve maintenant en tête des priorités politiques de l'Union européenne:

| | Les gouvernements se sont rendu compte de la mesure dans laquelle leur économie et leurs citoyens sont dépendants d'un fonctionnement efficace des réseaux de communication et plusieurs d'entre eux ont commencé à revoir leurs dispositions en matière de sécurité.

| | L'internet a créé une connectivité mondiale permettant de relier entre eux des millions de réseaux, petits et grands, et des centaines de millions d'ordinateurs individuels, et de plus en plus d'autres appareils, incluant les téléphones portables. Ceci a grandement facilité l'accès illégal et à distance à des informations économiques précieuses.

| | On a assisté à une large propagation de virus informatiques sur l'internet, virus qui ont causé d'importants dommages en détruisant des informations et en interdisant l'accès aux réseaux. De tels problèmes de sécurité ne se confinent pas à un pays de manière individuelle mais s'étendent rapidement à travers les Etats membres.

| | En lançant le plan d'action eEurope 2002, les Conseils européens de Lisbonne et de Feira ont estimé que l'internet constitue l'un des moteurs essentiels de la productivité des économies de l'UE.

Dans ce contexte, le Conseil européen de Stockholm des 23 et 24 mars 2001 a conclu: "le Conseil, en concertation avec la Commission, mettra au point une vaste stratégie en matière de sécurité des réseaux électroniques, prévoyant des mesures de mise en oeuvre pratique. Cette stratégie devrait être prête à temps pour le Conseil européen de Göteborg." La présente communication constitue la réponse de la Commission européenne à cette demande du Conseil.

Un environnement en mutation

Tandis que la sécurité est devenue l'un des principaux défis auxquels sont confrontés les responsables politiques, la recherche d'une réponse adéquate à ce problème devient une tâche de plus en plus complexe. Il y a quelques années seulement, la sécurité des réseaux était essentiellement un problème pour les monopoles d'État offrant des services spécialisés basés sur des réseaux publics, notamment le réseau téléphonique. La sécurité des systèmes d'ordinateurs était limitée aux grandes organisations et se focalisait sur le contrôle de l'accès. L'élaboration d'une politique de sécurité était une tâche relativement aisée. La situation a changé radicalement à la suite d'une série de développements intervenus sur l'ensemble des marchés, notamment la libéralisation, la convergence et la mondialisation.

Les réseaux sont maintenant détenus et gérés principalement par des entreprises privées. Les services de communication sont ouverts à la concurrence et la sécurité fait partie de l'offre du marché. Toutefois, de nombreux clients ignorent l'ampleur des risques auxquels ils sont exposés quand ils se connectent à un réseau et prennent donc leur décision sans être parfaitement informés.

Les réseaux et les systèmes d'information convergent. Ils sont de plus en plus interconnectés, offrant le même type de services personnalisés et sans coutures (seamless),et partageant dans une certaine mesure, la même infrastructure. Les équipements terminaux (PC, téléphones portables, etc.) sont devenus des éléments actifs dans l'architecture des réseaux et peuvent être connectés à différents réseaux.

Les réseaux sont internationaux. Une partie importante des communications d'aujourd'hui traverse les frontières ou transite par des pays tiers ( parfois sans que l'utilisateur final ne s'en rende compte), de sorte que toute solution à un risque de sécurité doit en tenir compte. La plupart des réseaux sont constitués de produits commerciaux provenant de fournisseurs internationaux. Les produits de sécurité doivent être compatibles avec des normes internationales.

Importance politique

Ces développements restreignent la capacité des gouvernements d'influencer le niveau de sécurité des communications électroniques des citoyens et des entreprises. Cela ne signifie pas cependant que le secteur public n'a plus un rôle à jouer pour un certain nombre de raisons :

Premièrement, il existe plusieurs mesures juridiques en vigueur au niveau communautaire ayant des implications spécifiques en matière de sécurité des réseaux et de l'information. En particulier, le cadre européen des télécommunications et de la protection des données contient des dispositions obligeant les opérateurs et les fournisseurs de services d'assurer un niveau de sécurité adéquat par rapport aux risques en question.

Deuxièmement, la sécurité nationale suscite des préoccupations croissantes dans la mesure où les systèmes d'information et les réseaux de télécommunications sont devenus un facteur critique pour d'autres infrastructures (l'approvisionnement en eau et en électricité, par exemple) et d'autres marchés (le marché mondial des finances, par exemple).

Enfin, l'action gouvernementale en réponse aux imperfections du marché se justifie à plusieurs égards. Les prix du marché ne reflètent pas toujours exactement les coûts et les bénéfices des investissements dans l'amélioration de la sécurité des réseaux, et ni les fournisseurs ni les utilisateurs ne supportent toujours toutes les conséquences de leur comportement. Le contrôle du réseau est dispersé et la faiblesse d'un système peut être utilisée pour en attaquer un autre. La complexité des réseaux fait que les utilisateurs ont du mal à évaluer les dangers potentiels.

La présente communication a donc pour objectif de déterminer la nécessité d'une action publique additionnelle ou améliorée au niveau européen ou national.

Le chapitre 2 définit la sécurité des réseaux et de l'information, décrit les principales menaces pour la sécurité et évalue les solutions existantes . Il entend fournir les données nécessaires en matière de sécurité des réseaux et de l'information pour une bonne compréhension des solutions proposées. Il ne s'agit pas de donner un aperçu technique exhaustif des problèmes de sécurité des réseaux.

Le chapitre 3 propose une approche politique européenne visant à améliorer la sécurité des réseaux et de l'information. Il repose sur une analyse de la nécessité de compléter les solutions du marché avec des actions au niveau politique. Il présente une série de mesures concrètes, suite à la demande du Conseil européen de Stockholm. La politique proposée doit être vue comme une partie intégrante du cadre existant pour les services de communication électronique, la protection des données et - plus récemment - la politique en matière de cybercriminalité.

2. Analyse des problèmes de sécurité des réseaux et de l'information

2.1. Définition de la sécurité des réseaux et de l'information

Les réseaux sont des systèmes de stockage, de traitement et de circulation des données. Ils sont constitués de composants de transmission (câbles, connexions radio, satellites, routeurs, passerelles, commutateurs, etc.), et de services de soutien (système de noms de domaine incluant le serveur de base, service d'identification de l'appelant, services d'authentification etc.). Il existeun nombre surprenant d'applications liées aux réseaux (système de distribution d'e-mails, logiciel de navigation, etc.) et d'équipements terminaux (téléphones, ordinateurs hôtes, PCs, téléphones mobiles, organisateurs personnels, appareils domestiques, machines industrielles, etc.).

Les exigences génériques de sécurité des réseaux et de l'information présentent les caractéristiques interdépendantes suivantes:

i) Disponibilité - Signifie que les données sont accessibles et les services opérationnels, même en cas d'événements perturbants tels que des pannes de courant, des catastrophes naturelles, des accidents ou des attaques. Cette caractéristique est particulièrement importante lorsqu'une une défaillance du réseau de communication peut provoquer des pannes dans d'autres réseaux critiques tels que les transports aériens ou la fourniture d'électricité.

ii) Authentification - Confirmation de l'identité supposée d'entités ou d'utilisateurs. Des méthodes d'authentification appropriées sont nécessaires pour de nombreux services et applications, comme la conclusion d'un contrat en ligne, le contrôle de l'accès à certains services et données (pour les télétravailleurs, par exemple) et l'authentification des sites Web (pour les banques Internet, par exemple). L'authentification doit également inclure la possibilité de rester anonyme, dans la mesure où de nombreux services ne nécessitent pas l'identité de l'utilisateur, mais seulement la confirmation de certains critères (pièces justificatives anonymes), telle la capacité de payement .

iii) Intégrité - Confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n'ont pas été modifiées. Ceci est particulièrement important pour l'authentification en vue de la conclusion de contrats ou quand l'exactitude des données est nécessaires (données médicales, design industriel, etc...).

iv) Confidentialité - Protection des communications ou des données stockées contre l'interception et la lecture par des personnes non autorisées. La confidentialité est particulièrement nécessaire pour la transmission des données sensibles et constitue une des exigences pour aborder les problèmes de protection de la vie privée des utilisateurs des réseaux de communication.

Il convient de tenir compte de tous les événements qui menacent la sécurité et pas uniquement ceux de nature malveillante. Du point de vue d'un utilisateur, les menaces telles que les incidents environnementaux ou les erreurs humaines qui perturbent le réseau sont potentiellement aussi coûteuses que les attaques malveillantes. La sécurité des réseaux et de l'information peut donc être comprise comme la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, aux événements accidentels ou aux actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles.

2.2. Aperçu des menaces pour la sécurité

Les entreprises qui utilisent le réseau pour vendre leurs produits ou organiser leurs livraisons peuvent être paralysées par une attaque de type "refus de service". Des informations personnelles et financières peuvent être interceptées en vue d'un usage frauduleux. La sécurité nationale peut être menacée. Ces exemples donnent une indication des menaces que représente une sécurité insuffisante. Une distinction est faite entre les attaques intentionnelles (sections 2.2.1 à 2.2.5) et les événements non intentionnels (section 2.2.6). L'objectif de ces sections est de spécifier les types de risques affectant la sécurité en vue de préparer l'établissement d'un cadre politique pour améliorer la sécurité au chapitre 3.

2.2.1. Interception des communications

Les communications électroniques peuvent être interceptées et des données peuvent être copiées ou modifiées. L'interception peut se faire de différentes manières, de l'accès physique aux lignes de réseau, par exemple écoutes téléphoniques, et la surveillance des transmissions radio. Les points les plus critiques pour l'interception du trafic des communications sont les points de gestion et de concentration du réseau, comme les routeurs, les passerelles, les commutateurs et les serveurs d'exploitation du réseau.

Il convient de faire une distinction entre l' interception malveillante ou illégale des communications et les activités légales d'interception. L'interception des communications pour des raisons de sécurité publique est autorisée dans des cas particuliers et à des fins limitées dans tous les États membres de l'UE. Il existe un cadre juridique permettant aux organes chargés de faire respecter la loi d'obtenir une ordonnance judiciaire ou, dans le cas de deux États membres, une autorisation délivrée personnellement par un ministre occupant un rang élevé dans la hiérarchie ministérielle, pour intercepter des communications.

Dommages potentiels - L'interception illégale peut causer des dommages à la fois par l'intrusion dans la vie privée des personnes et par l'exploitation des données interceptées comme les mots de passe ou les détails des cartes de crédit, en vue d'obtenir un gain commercial ou à des fins de sabotage. On estime qu'il s'agit là d'un des principaux freins au développement du commerce électronique en Europe.

Solutions envisageables - La défense contre l'interception peut être assurée par les opérateurs, qui doivent veiller à la sécurité du réseau, conformément entre autre à la directive 97/66/CE [1], et par les utilisateurs, qui peuvent chiffrer les données transmises sur le réseau.

[1] Directive sur la protection des données dans le secteur des télécommunications (JO L 24 du 30.1.1998)

Pour les opérateurs, la protection du réseau contre l'interception est une tâche complexe et coûteuse. La méthode classique utilisée par les opérateurs de services de télécommunications pour sécuriser le réseau consistait à contrôler l'accès physique aux installations et à donner des instructions à leur personnel. Le chiffrement du trafic n'était utilisé qu'occasionnellement. Dans le cas des solutions sans fil, il s'agit de veiller à ce que les transmissions radio soient convenablement chiffrées. Les opérateurs de services de communication mobile chiffrent le trafic entre le téléphone mobile et la station de base. Dans la plupart des pays de l'UE, l'efficacité du chiffrement est plus faible que ce qui est techniquement faisable en raison de la nécessité de faciliter les interceptions légales. Pour la même raison, le chiffrement peut être actionné ou désactionné à partir des stations de base sans que l'utilisateurn'en soit informé.

Les utilisateurs peuvent décider de chiffrer eux-mêmes les données ou les communications vocales indépendamment des dispositions de sécurité du réseau. Même si elles sont interceptées, les données correctement chiffrées sont incompréhensibles pour tout le monde, sauf le destinataire autorisé. Des logiciels et du matériel de chiffrement sont largement disponibles pour pratiquement tous les types de communications [2]. Des produits spéciaux peuvent chiffrer une conversation téléphonique ou une transmission par télécopie. Les courriers électroniques peuvent être chiffrés à l'aide d'un logiciel spécial ou d'un logiciel intégré dans un programme de traitement de texte ou la fenêtre active de l'utilisateur du courrier électronique . Pour l'utilisateur, le problème réside dans le fait que s'il chiffre le courrier électronique ou les communications vocales, le destinataire doit être en mesure de les déchiffrer. Les équipements ou les logiciels doivent être interopérables. Il est nécessaire aussi de connaître la clé de déchiffrement, ce qui signifie qu'il doit y avoir un mécanisme pour recevoir la clé, incluant l'authentification de celle-ci. Le coût du chiffrement en termes d'argent et d'efforts est considérable et les utilisateurs manquent souvent d'informations sur les risques de sécurité et les bénéfices, ce qui les empêche de prendre les meilleures décisions.

[2] Cf. la communication de la Commission "Assurer la sécurité et la confiance dans la communication électronique", 8 octobre 1997, COM (1997) 503 final.

Un système de sécurité couramment utilisé sur l'internet, le Secure Socket Layer (SSL), chiffre la communication entre un serveur Web et le navigateur Web de l'utilisateur. Le développement de cette technologie, en particulier la version la plus robuste (128 bits), a été freiné par les dispositions restrictives prises par les États-Unis dans le passé en matière des contrôles desexportations. Les Etats-Unis ont révisé leur régime de contrôle des exportations suite à l'adoption en Europe du règlement double usage, qui créé un régime communautaire plus libéral en matière de contrôle des exportations de produits et de technologies pouvant avoir un double usage [3]. Les statistiques indiquent que les serveurs Web sécurisés en Europe sont beaucoup moins nombreux qu'aux États-Unis (voir graphique).

[3] Règlement CE n°1334/2000 du Conseil instituant un régime communautaire de contrôles des exportations de biens et technologies à double usage (JO L 159 du 30.06.2000).

>REFERENCE A UN GRAPHIQUE>

Les opérateurs, les utilisateurs et les producteurs sont confrontés au problème de normes concurrentes et non interopérables. Par exemple, dans le domaine du courrier électronique sécurisé, deux normes [4] se font concurrence. L'influence de l'Europe dans ce domaine est limitée. Le résultat est une profusion de produits non européens qui mettent en oeuvre ces normes et dont l'utilisation par les utilisateurs européens dépend de la politique du contrôle à l'exportation des États-Unis. Alors que le niveau de sécurité offert par un grand nombre de ces produits (cf. Echelon [5]) suscite des préoccupations, certains gouvernements de l'UE envisagent l'usage de logiciels à source ouverte pour renforcer la confiance dans les produits de chiffrement. Ces initiatives restent encore à l'état d'actions pilotes [6], elles ne sont pas encore coordonnées et il se pourrait que les forces du marché soient tout simplement plus fortes que les efforts isolés des gouvernements. La meilleure manière d'aborder ce problème consiste en une évaluation approfondie des produits commerciaux et des logiciels à source ouverte.

[4] S-MIME (secure multiple Internet mail extensions) et OpenPGP (Pretty Good Privacy) sont tous les deux des normes du groupe de travail IETF (Internet Engineering Task Force).

[5] Le système ECHELON est soit-disant utilisé pour intercepter les courriers électroniques, les télécopies, le télex et les communications téléphoniques passant par les réseaux mondiaux de télécommunications. Voir également les activités de la Commission temporaire du Parlement européen sur le système ECHELON à l'adresse http://www.europarl.eu.int/committees/echelon_home.htm

[6] Le gouvernement allemand finance un projet basé sur la norme OpenPGP appelé GNUPG (http://www.gnupg.org ).

2.2.2. Accès non autorisé aux ordinateurs et aux réseaux d'ordinateurs

L'accès non autorisé à un ordinateur ou à un réseau d'ordinateurs relève généralement d'une intention malveillante de copier, modifier ou détruire des données. Dans le jargon technique, le terme technique employé pour désigner cette pratique est "intrusion". L'intrusion peut avoir lieu de plusieurs manières: exploitation d'informations internes, attaques déclenchées par mots clé, attaques brutales (exploitation de la tendance des gens à utiliser des mots de passe prévisibles), ingénierie sociale (exploitation de la tendance des gens à divulguer l'information aux personnes inspirant la confiance) et interception de mots de passe. Elle se fait souvent à l'intérieur même d' organisations (attaques internes).

Dommages potentiels - Certaines intrusions non autorisées sont motivées par un défi intellectuel plutôt que par un gain pécuniaire. Cependant, ce qui a commencé comme une activité irritante (souvent appelée hacking) a mis en évidence les points vulnérables des réseaux d'information et a incité les personnes ayant des intentions criminelles ou malveillantes à exploiter ces faiblesses. La protection contre l'accès non autorisé à leurs informations confidentielles, y compris leurs données financières, leurs comptes en banque et leurs données médicales, est un droit des individus. Pour le secteur public et les entreprises, les menaces vont de l'espionnage économique à la modification des données internes ou publiques, y compris le détournement des sites internet.

Solutions envisageables - Les méthodes les plus couramment utilisées pour se protéger contre l'accès non autorisé sont le contrôle des mots de passe et l'installation de logiciels « coupe-feu » (firewalls). Ces solutions ne procurent toutefois qu'une protection limitée et doivent être complétées par d'autres contrôles de sécurité, par exemple la reconnaissance d'attaques, la détection d'intrusions et les contrôles au niveau des applications (incluant celles utilisant les cartes à puce). L'efficacité des contrôles dépend de la façon dont leur fonctionnalité correspond aux risques liés à un environnement spécifique. Il faut arriver à un équilibre entre la protection du réseau et les avantages du libre accès. En raison de l'évolution rapide de la technologie et des nouvelles menaces qui en résultent pour les réseaux, les contrôles de la sécurité des réseaux doivent être revus de manière indépendante en permanence. Tant que les utilisateurs et les fournisseurs ne sont pas entièrement conscients de la vulnérabilité potentielle de leur réseau, les solutions potentielles resteront inexplorées. Le graphique ci-dessus donne un aperçu de l'utilisation actuelle des produits de sécurité dans l'Union européenne (les statistiques sont basées sur une enquête réalisée en février 2001 dans le cadre de l'exercice d'évaluation de l'initiative eEurope 2002).

>REFERENCE A UN GRAPHIQUE>

2.2.3. Perturbation des réseaux

Les réseaux sont actuellement largement numérisés et contrôlés par des ordinateurs. Dans le passé, la cause fréquente de perturbation d'un réseau était une défaillance du système informatique qui le contrôle et les attaques sur les réseaux étaient principalement dirigées contre ces ordinateurs. De nos jours, l'attaque la plus disruptive vise à exploiter la faiblesse et la vulnérabilité des composants d'un réseau (routeurs, systèmes d'exploitation, etc...).

Alors que les attaques disruptives sur le réseau téléphonique n'ont pas causé de problèmes significatifs dans le passé, les attaques sur l'internet sont assez fréquentes. Cela s'explique par le fait que les signaux de contrôle téléphoniques sont séparés du trafic et peuvent être protégés, alors que l'internet permet aux utilisateurs d'atteindre les ordinateurs clés qui assurent la gestion du trafic. Le réseau téléphonique pourrait toutefois devenir plus vulnérable à l'avenir dans la mesure où il intégrera les éléments clés de l'internet et son plan de contrôle s'ouvrira à d'autres réseaux.

Les attaques peuvent se présenter sous différentes formes:

| | Attaques contre des serveurs de noms de domaine: l'internet est dépendant du fonctionnement du système de noms de domaine (DNS) par lequel des noms conviviaux (europa.eu.int) sont traduits en adresses de réseau abstraites (IP n° 147.67.36.16, par exemple) et vice versa. En cas de défaillance d'une partie du DNS, il n'est plus possible de situer certains sites Web et les systèmes de livraison du courrier électronique peuvent cesser de fonctionner. Les dysfonctionnements induits au niveau des serveurs DNS de base ou d'autres serveurs de noms de niveau supérieur pourrait conduire à une perturbation étendue. Au début de cette année, certaines vulnérabilités ont été découvertes dans les logiciels utilisés par la plupart des serveurs de noms de domaine. [7]

[7] Source: CERT/CC à l'adresse http://www.cert.org/advisories/CA-2001-02.html.

| | Attaques contre le système de routage: sur l'internet, le routage est hautement décentralisé. Chaque routeur informe périodiquement les routeurs voisins des réseaux qu'il connaît et de la manière de les atteindre. Le point faible réside dans le fait que ces informations ne peuvent pas être vérifiées car, en raison de la conception du système, la connaissance par chaque routeur de la topologie du réseau est minimale. En conséquence, tout routeur peut se faire passer pour le meilleur chemin vers une destination dans le but d'intercepter, de bloquer ou de modifier le trafic se dirigeant vers cette destination.

| | Attaques par saturation et par refus de services: ces formes d'attaque perturbent le réseau en le surchargeant avec des messages artificiels qui bloquent ou réduisent l'accès légitime. Cela s'apparente à la situation où un télécopieur est bloqué par des messages longs et répétés. Les attaques par saturation tentent de surcharger les serveurs Web ou la capacité de traitement des fournisseurs de services internet avec des messages générés automatiquement.

Dommages potentiels - Les interruptions ont été préjudiciables pour certains sites Web prestigieux. D'après certaines études, une attaque récente a causé des dommages estimés à plusieurs centaines de millions d'euros, sans compter le préjudice non quantifiable en termes de réputation. Les entreprises comptent de plus en plus sur la disponibilité de leur site Web pour leurs affaires et celles qui en dépendent pour la fourniture just in time sont particulièrement vulnérables.

Solutions envisageables - Les attaques contre les serveurs DNS sont en principe faciles à combattre en étendant les protocoles DNS, par exemple à l'aide d'extensions DNS sécurisées basées sur le chiffrement à clé publique. Cette méthode exige toutefois l'installation de nouveaux logiciels sur les machines clientes et n'a pas été largement déployée. En outre, le processus administratif nécessaire pour accroître la confiance entre les domaines DNS doit devenir plus efficace.

Les attaques contre le système de routage sont beaucoup plus difficiles à combattre. L'internet a été conçu pour maximiser la flexibilité du routage afin de réduire la probabilité d'une rupture de service en cas de défaillance d'une partie de l'infrastructure de réseau. Il n'existe aucun moyen efficace de sécuriser les protocoles de routage, en particulier sur les routeurs du réseau principal.

Le volume des données transmises ne permet pas un filtrage détaillé, étant donné qu'une telle vérification conduirait à l'arrêt des réseaux. C'est la raison pour laquelle les réseaux ne comportent que des fonctions de filtrage et de contrôle d'accès de base, tandis que les fonctions de sécurité plus spécifiques (authentification, intégrité, chiffrement, par exemple) sont placées aux limites des réseaux, c'est-à-dire sur les serveurs de réseau qui servent de points terminaux.

2.2.4. Exécution de logiciels malveillants modifiant ou détruisant des données

Les ordinateurs fonctionnent avec des logiciels. Les logiciels peuvent malheureusement être utilisés aussi pour désactiver un ordinateur, pour effacer ou modifier des données. Comme les descriptions ci-dessus le montrent, si un tel ordinateur participe à la gestion d'un réseau, son dysfonctionnement peut avoir des effets d'une portée considérable. Un virus est une forme de logiciel malveillant. C'est un programme qui reproduit son propre code en s'attachant à d'autres programmes de telle sorte que le code du virus est exécuté lors de l'exécution du programme d'ordinateur infecté.

Il existe divers autres types de logiciels malveillants: certains endommagent uniquement l'ordinateur sur lequel ils sont copiés, alors que d'autres se propagent à d'autres ordinateurs reliés en réseau. Par exemple, il existe des programmes (appelés "logic bombs") qui restent inactifs jusqu'à ce qu'ils soient déclenchés par un événement tel qu'une date déterminée (vendredi 13, par exemple). D'autres programmes semblent être bénins, mais lorsqu'on les lanceils déclenchent une attaque malveillante (c'est pourquoi on les appelle "chevaux de Troie"). D'autres programmes (appelés "vers") n'infectent pas d'autres programmes comme un virus, mais créent des copies d'eux-mêmes, ces copies créant par conséquent encore plus de copies qui finissent par inonder le système.

Dommages potentiels - Les virus peuvent avoir des effets destructeurs considérables, comme en témoigne le coût élevé résultant de certaines attaques récentes (par exemple, "I Love You", "Melissa" et "Kournikova"). Le graphique ci-dessus donne un aperçu de l'augmentation du nombre de virus que les utilisateurs de l'internet de l'UE ont rencontrés entre octobre 2000 et février 2001 (par État membre). En moyenne, environ 11 % des utilisateurs européens de l'internet ont attrapé un virus sur leur PC à domicile .

>REFERENCE A UN GRAPHIQUE>

Solutions envisageables - Les logiciels antivirus constituent la principale défense. Ils sont disponibles sous différentes formes. Par exemple les scanners et désinfecteurs de virus identifient et effacent les virus connus. Leur principal point faible réside dans le fait qu'ils ne trouveront pas facilement les nouveaux virus même s'ils sont mis à jour régulièrement. Un autre exemple de la défense antivirus est le contrôleur d'intégrité. Pour qu'un virus infecte un ordinateur, il doit apporter des modifications au système quelque chose sur ce système. Le contrôle d'intégrité doit identifier ces modifications même lorsqu'elles sont causées par des virus inconnus.

Malgré l'existence de produits de défense relativement au point, les problèmes dus aux logiciels malveillants ont augmenté, et ce principalement pour deux raisons. Premièrement, le caractère ouvert de l'internet permet aux pirates d'apprendre les uns des autres et de mettre au point des méthodes pour contourner les mécanismes de protection. Deuxièmement, l'internet se développe et relie un nombre de plus en plus élevé d'utilisateurs dont beaucoup ne se rendent pas compte de la nécessité de prendre des précautions. La sécurité dépendra de l'étendue de l'utilisation des logiciels de protection.

2.2.5. Déclarations mensongères

Lors de l'établissement d'une connexion de réseau ou de la réception de données, l'utilisateur déduit l'identité de son interlocuteur sur la base du contexte de la communication. Le réseau offre certains indicateurs, mais le plus grand risque d'attaque vient des personnes qui connaissent le contexte, c'est-à-dire les initiés. Quand un utilisateur compose un numéro ou tape une adresse internet sur l'ordinateur, il devrait atteindre la destination escomptée. Ceci est suffisant pour un grand nombre d'applications, mais pas pour les transactions commerciales importantes, les interactions médicales, financières ou officielles, qui exigent un niveau plus élevé d'authentification, d'intégrité et de confidentialité.

Dommages potentiels - Les déclarations mensongères faites par des personnes physiques ou morales peuvent causer des dommages de différentes façons. Des clients peuvent télécharger des logiciels malveillants d'un site Web qui se fait passer pour une source fiable. Des sites de ce type peuvent transmettre des informations confidentielles à la mauvaise personne. La déclaration mensongère peut conduire à la dénonciation d'un contrat, etc. Le principal dommage est sans doute le fait que le manque d'authentification constitue un frein pour des transactions commerciales potentielles. De nombreuses études ont mis en évidence que les préoccupations en matière de sécurité constituent une des raisons principales de ne pas commercer sur l'internet. Si les gens étaient certains de l'identité de leurs interlocuteurs, la confiance dans les transactions sur l'internet augmenterait.

Solutions envisageables - Les efforts faits pour introduire l'authentification dans les réseaux, conjointement avec l'introduction du protocole SSL, sont déjà utiles pour assurer un certain niveau de confidentialité. Les réseaux privés virtuels (VPN) utilisent les protocoles SSL et IPsec pour permettre les communications sur l'internet et sur les canaux ouverts tout en maintenant un certain niveau de sécurité. L'utilité de ces solutions est toutefois limitée dans la mesure où elles reposent sur des certificats électroniques et il n'y a aucune garantie que ces certificats ne sont pas des faux. Un tiers, souvent appelé "autorité de certification" ou, dans la directive sur les signatures électroniques [8], "prestataire de service de certification", peut offrir une telle garantie. L'adoption à grande échelle de cette solution est confrontée au même problème que le chiffrement - le besoin d'interopérabilité et de gestion des clés. Ceci n'est pas un problème dans un VPN car il est possible de mettre au point des solutions de propriété. Par contre, il s'agit d'un obstacle majeur pour les réseaux publics.

[8] Directive 1999/93/CE, du 13 décembre 1999, sur un cadre commun pour les signatures électroniques (JO L 13 du 19.1.2000, p. 12).

La directive sur les signatures électroniques constitue la base juridique pour faciliter l'authentification électronique dans l'UE. Elle fournit un cadre dans lequel le marché peut se développer librement, mais qui comporte aussi des dispositions visant à encourager l'élaboration de signatures plus sûres pour la reconnaissance juridique. La transposition de la directive dans le droit national est en cours.

2.2.6. Événements environnementaux et non intentionnels

De nombreux incidents de sécurité sont dus à des événements imprévus et non intentionnels causés par :

| | Les catastrophes naturelles ( par exemple tempêtes, inondations, incendies, tremblements de terre)

| | Une tierce partie n'ayant aucune relation contractuelle avec l'opérateur ou l'utilisateur (par exemple interruption de services due à des travaux de construction)

| | Une tierce partie ayant une relation contractuelle avec l'opérateur ou l'utilisateur (par exemple défaillance du matériel et des logiciels dans les composants ou les programmes qui ont été llivrés)

| | Une erreur humaine ou une mauvaise gestion de l'opérateur (incluant le fournisseur de services) ou de l'utilisateur (par exemple problèmes dans la gestion du réseau, mauvaise installation des logiciels).

Dommages potentiels - Les incidents environnementaux perturbent la disponibilité des réseaux. C'est malheureusement lors de tels événements qu'il est primordial de disposer de lignes de communication en bon état de fonctionnement. Les défaillances de l'équipement et des logiciels de mauvaise qualité peuvent créer des vulnérabilités qui causent une interruption soudaine ou sont exploitées pas des attaquants. Une mauvaise gestion de la capacité du réseau peut entraîner une congestion qui ralentit ou interrompt les canaux de communication.

Dans ce contexte, la répartition des responsabilités entre les parties est la question cruciale. Dans la plupart des cas, les utilisateurs n'encourront pas de responsabilité mais pourront se trouver eux-mêmes avec peu ou pas de possibilités de réclamations en responsabilité.

Solutions envisageables - Les risques d'incidents environnementaux sont connus des opérateurs de télécommunications et ils ont introduit des redondances dans leurs réseaux ainsi que des mesures de protection de l'infrastructure L'augmentation de la concurrence pourrait avoir un impact ambivalent sur le comportement des opérateurs. D'un côté, des considérations de prix peuvent conduire les opérateurs à réduire ces redondances ,de l'autre côté, l'existence d'un nombre plus élevé d'opérateurs sur le marché du fait de la libéralisationpermet aux utilisateurs d'être commutés vers un autre opérateur en cas d'indisponibilité (tout comme un passager aérien passe sur une autre ligne aérienne lorsqu'un vol est annulé). Cependant, le droit communautaire requiert que les Etats membres prennent toutes les mesures nécessaires pour assurer la disponibilité des réseaux publics en cas de coupure du réseau due à une catastrophe naturelle ( Directive Interconnexion 97/33/CE [9] et Directive Téléphonie vocale 98/10/CE [10]). Dans l'ensemble, dans ce domaine, on en sait peu sur le niveau de sécurité en raison du nombre grandissant de réseaux interconnectés.

[9] JO L 199 du 26.07.1997

[10] JO L 101 du 01.04.1998

La concurrence entre les vendeurs de matériel et de logiciels devrait exercer une pression pour augmenter la sécurité de leurs produits. Cependant, la concurrence n'est pas assez forte pour conduire à des investissements dans la sécurité et la sécurité n'est pas toujours un élément clé dans la décision d'achat. Les failles de la sécurité sont souvent découvertes trop tard quand le mal est déjà fait. La préservation de comportements concurrentiels loyaux sur les marchés des technologies de l'information créera de meilleures conditions pour la sécurité.

Le risque d'erreur humaine et les erreurs de manipulation peuvent être réduites en améliorant les actions de formation et de sensibilisation. L'établissement d'une politique de sécurité appropriée au niveau d'une entreprise devrait aider à réduire ces risques.

2.3. Nouveaux défis

La sécurité des réseaux et de l'information est susceptible de devenir un facteur clé dans le développement de la société de l'information étant donné que les réseaux jouent un rôle plus important dans la vie économique et sociale. Deux questions principales doivent être prises en compte :l'augmentation des dommages potentiels et les nouveaux développements technologiques.

i. Les systèmes d'information et de communication brassent de plus en plus de données sensibles et d'informations économiques de valeur ce qui augmentera l'incitation aux attaques. Ces attaques peuvent être de faible envergure et sans gravité à l'échelle nationale - par exemple, dans le cas de la dégradation d'un site Web personnel ou du reformatage d'un disque dur par un virus. La perturbation peut toutefois aussi être de nature beaucoup plus critique, allant jusqu'à une interférence avec les communications très sensibles, de graves pannes de courant ou d'importantes pertes commerciales en raison d'attaques par refus de service ou de violations de la confidentialité. L'étendue exacte des dommages réels et potentiels dus aux violations de la sécurité des réseaux est difficile à évaluer. Il n'existe pas de système d'information systématique et beaucoup d'entreprises préfèrent ne pas admettre les attaques par crainte d'une publicité négative. Les preuves qui existent sont donc essentiellement anecdotiques. Les coûts impliqués comprennent non seulement les coûts directs (perte de revenu, perte d'informations précieuses, coûts de main-d'oeuvre pour rétablir le réseau), mais aussi d'importants coûts intangibles - en particulier la perte de réputation - qui sont difficiles à évaluer.

ii. La sécurité des réseaux et de l'information est un problème dynamique. En raison de sa rapidité, l'évolution technologique lance en permanence de nouveaux défis : les problèmes d'hier sont résolus et les solutions à ces problèmes sont caduques. Presque quotidiennement, des applications, des services et des produits nouveaux sont offerts sur le marché. Mais il est évident que certains développements présenteront des défis majeurs pour une politique de la sécurité privée et publique:

| | Différents objets numériques seront transmis sur les réseaux avec des politiques de sécurité intégrées ,comme les objets multimédias, les logiciels à télécharger ou les agents mobiles. La notion de disponibilité telle qu'elle est perçue aujourd'hui comme la disponibilité à utiliser les réseaux évoluera en termes d'usage autorisé, par exemple le droit d'utiliser un jeu vidéo pour une certaine période de temps, le droit de créer une simple copie d'un logiciel, etc...

| | Dans le futur, les opérateurs de réseaux IP voudront sans doute augmenter la sécurité en analysant en continu le trafic du réseau en vue de permettre seulement le trafic autorisé.Toutefois, de telles mesures doivent respecter les règles qui s'appliquent en matière de protection des données.

| | Les utilisateurs passeront aux connexions internet actives en permanence, ce qui multiplie les occasions de piratage, crée des vulnérabilités pour les terminaux non protégés, et permet aux pirates d'éviter plus aisément la détection.

| | Les réseaux domestiques reliant une série d'appareils se généraliseront, ce qui ouvrira de nouvelles possibilités d'attaque et augmentera la vulnérabilité des utilisateurs (désactivation d'alarmes à distance, par exemple).

| | L'introduction à grande échelle de réseaux sans fil ( par exemple la boucle locale sans fil, les réseaux locaux sans fil, la troisième génération de mobiles) nécessitera un chiffrement efficace des données transmises par les signaux radio. Il sera dès lors de plus en plus difficile d'imposer juridiquement un faible degré de chiffrement.

| | Les réseaux et les systèmes d'information seront partout, avec une combinaison de systèmes fixes et sans fil, et offriront l'"intelligence ambiante", c'est-à-dire des fonctions auto-organisationnelles activées automatiquement et qui prennent des décisions qui auparavant étaient prises par l'utilisateur. Le défi sera d'éviter des vulnérabilités inacceptables et d'intégrer l'architecture de sécurité.

3. Une approche européenne

3.1. Justification d'une action publique

La protection des réseaux de communication est considérée de plus en plus comme une priorité pour les décideurs politiques, principalement pour des raisons de protection des données, de fonctionnement de l'économie, de sécurité national et du désir de promouvoir le commerce électronique. Ceci est à la base d'un ensemble substantiel de garanties juridiques dans les directives de l'UE sur la protection des données et dans le cadre réglementaire pour les télécommunications (tel que démontré dans la section 3.6). Toutefois, ces mesures doivent être mises en oeuvre dans l'environnement en évolution rapide des nouvelles technologies, des marchés concurrentiels, de la convergence des réseaux et de la mondialisation. Ces défis sont accentués par le fait que le marché aura tendance à investir insuffisamment dans la sécurité pour les raisons analysées ci-dessous.

La sécurité des réseaux et de l'information est une marchandise achetée et vendue sur le marché et elle fait partie des clauses contractuelles entre parties . Le marché des produits de sécurité a connu une croissance substantielle au cours des dernières années. Selon certaines études, le marché mondial des logiciels de sécurité pour l'internet valait environ 4,4 milliards de dollars à la fin de 1999 [11] et augmentera de 23% par an pour atteindre 8,3 milliards de dollars en 2004. En Europe, on estime que le marché de la sécurité des communications électroniques passera de 465 millions de dollars en 2000 à 5,3 milliards de dollars en 2006 [12], le marché de la sécurité pour les technologies de l'information passant de 490 millions de dollars en 1999 à 2,74 milliards de dollars en 2006 [13].

[11] IDC: Internet security market forecast and analysis, 2000-2004 Report

W23056 - octobre 2000.

[12] Frost & Sullivan: The European Internet communication security markets, report 3717 - novembre 2000.

[13] Frost & Sullivan: The European Internet system security markets, report 3847 - juillet 2000.

L'hypothèse implicite généralement faite est que le mécanisme des prix établira un équilibre entre le coût de la sécurisation et le besoin spécifique de sécurité. Certains utilisateurs réclameront un haut niveau de sécurité, tandis que d'autres se satisferont d'un niveau moins élevé - bien que l'État puisse prévoir un niveau de sécurité minimal. Leurs préférences se refléteront dans le prix qu'ils sont disposés à payer pour la sécurité. Toutefois, comme le montre l'analyse au chapitre 2, de nombreux risques pour la sécurité subsistent ou les solutions arrivent lentement sur le marché en raison de certaines imperfections de celui-ci.

i) Coûts et bénéfices sociaux: les investissements dans une meilleure sécurité des réseaux engendrent des coûts et des bénéfices sociaux qui ne sont pas correctement reflétés dans les prix du marché. En ce qui concerne les coûts, les acteurs du marché ne sont pas tenus d'assumer toutes les responsabilités résultant de leur comportement en matière de sécurité. Les utilisateurs et les fournisseurs qui disposent d'un faible niveau de sécurité ne doivent pas payer pour l'inconséquence de tiers. La situation s'apparente à celle d'un conducteur négligent qui n'est pas jugé responsable du coût de l'embouteillage qui s'est produit à la suite de son accident. De même, sur l'internet, plusieurs attaques ont été montées grâce aux machines mal protégées d'utilisateurs relativement négligents. Les bénéfices de la sécurité ne se répercutent pas non plus entièrement sur les prix du marché. Lorsque des opérateurs, des fournisseurs ou des prestataires de services améliorent la sécurité de leurs produits, une bonne partie des bénéfices de ces investissements vont non seulement à leurs clients mais à tous ceux qui sont directement ou indirectement concernés par la communication électronique - en fait l'ensemble de l'économie.

ii) Asymétrie de l'information: les réseaux deviennent de plus en plus complexes et atteignent un marché plus large comprenant de nombreux utilisateurs qui connaissent mal la technologie ou ses dangers potentiels. Cela signifie que les utilisateurs ne seront pas totalement conscients de tous les risques de sécurité tandis qu'un grand nombre d'opérateurs, de vendeurs ou de fournisseurs de services ont du mal à évaluer l'existence et l'ampleur des vulnérabilités. De nombreux services, applications et logiciels nouveaux offrent des caractéristiques attrayantes, mais celles-ci sont souvent la source de nouvelles vulnérabilités (par exemple, le succès du World Wide Web est partiellement dû à l'éventail des applications multimédias qui peuvent être facilement téléchargées, mais ces "plug-ins" constituent aussi une porte d'entrée pour les attaques). Alors que les bénéfices sont visibles, les risques ne le sont pas, et les fournisseurs sont plus enclins à offrir de nouvelles caractéristiques qu'une plus grande sécurité.

iii) Les problèmes de l'action publique: les opérateurs adoptent de plus en plus les normes de l'internet ou relient d'une manière ou d'une autre leur réseau à l'internet. Celui-ci n'a toutefois pas été conçu dans un esprit de sécurité, mais a au contraire été développé pour assurer l'accès aux informations et faciliter leur échange. C'est le fondement même de son succès. L'internet est devenu un réseau mondial de réseaux d'une richesse et d'une diversité sans pareilles. L'investissement dans la sécurité n'est rentable que si un nombre suffisant de personnes adopte la même démarche. Par conséquent, la recherche de solutions en matière de sécurité doit passer par la coopération. Mais la coopération ne fonctionne que si une masse critique d'acteurs y prend part, ce qui est difficile à réaliser parce que certains opérateurs voudront faire cavalier seul. L'interopérabilité entre produits et services mettra en concurrence les solutions de sécurité. Toutefois, , les coûts de coordination sont élevés dans la mesure où des solutions globales pourraient être nécessaires et où certains acteurs seront tentés d'imposer une solution propriétaire sur le marché. Dans la mesure où une multitude de produits et de services continue à utiliser des solutions propriétaires, il n'y a aucun avantage à recourir à des normes sûres qui ne donnent une sécurité supplémentaire que si elles sont offertes par tout le monde.

Une des conséquences de ces imperfections est que le cadre des télécommunications et de la protection des données impose d'ores et déjà aux opérateurs et aux prestataires de service d'assurer un certain niveau de sécurité dans les systèmes d'information et de communication. La justification d'une politique européenne de la sécurité des réseaux et de l'information peut être décrite comme suit. Premièrement, les dispositions juridiques au niveau de l'UE doivent être mises en oeuvre de manière efficace, ce qui nécessite une compréhension commune des questions de sécurité sous-jacentes et des mesures spécifiques à mettre en oeuvre. Le cadre juridique sera également amené à évoluer dans l'avenir, comme le montrent déjà la proposition d'un nouveau cadre réglementaire pour les communications électroniques et les propositions à venir liées à la discussion sur la cybercriminalité. Deuxièmement, certaines imperfections du marché amènent à conclure que les forces du marché ne permettent pas de générer un niveau d'investissement suffisant dans les technologies et la pratique de la sécurité. Des mesures politiques sont à même de renforcer le processus du marché tout en améliorant le fonctionnement du cadre juridique. Enfin, les services de communication et d'information sont offerts par-delà les frontières. C'est pourquoi une approche politique européenne est requise pour assurer le marché intérieur pour ces services, pour bénéficier de solutions communes et pour agir de manière plus efficace au niveau mondial.

Les mesures politiques proposées pour la sécurité des réseaux et de l'information ne doivent pas seulement être perçues dans le contexte de la législation existante des télécommunications et de la protection des données, mais également en relation avec les politiques plus récentes en matière de cybercriminalité. La Commission a récemment publié une communication sur la cybercriminalité [14] qui prévoit, entre autres initiatives, la création d'un Forum de l'UE sur la cybercriminalité qui visera à améliorer la compréhension mutuelle et la coopération au niveau de l'UE entre toutes les parties concernées. Une politique en matière de sécurité des réseaux et de l'information fournira le chaînon manquant dans ce cadre politique. Le diagramme ci-dessous montre ces trois domaines politiques et illustre leur interdépendance à travers quelques exemples.

[14] Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité, COM (2000), 890, http://europa.eu.int/ISPO/eif/internetPoliciesSite/Crime/crime1.html

>REFERENCE A UN GRAPHIQUE>

3.2. Sensibilisation

Trop d'utilisateurs (privés/publics) ne sont toujours pas conscients des problèmes liés à l'utilisation des communications électroniques ni des solutions qui tentent de les résoudre. Les questions de sécurité sont complexes et les risques sont souvent difficiles à évaluer, même pour des experts. Le manque d'information est l'une des imperfections du marché à laquelle la politique de sécurité devrait remédier. Certains utilisateurs, alarmés par les nombreux cas rapportés de menaces sur la sécurité , choisissent tout simplement de renoncer complètement au commerce électronique. D'autres utilisateurs, qui ne sont pas informés ou sous-estiment les risques, peuvent être trop négligents. Certaines entreprises peuvent avoir intérêt à minimiser les risques potentiels, par crainte de perdre des clients.

Paradoxalement, une quantité énorme d'informations sur la sécurité des réseaux et de l'information est disponible sur l'internet et ce thème est largement couvert par les revues informatiques. Le problème pour les utilisateurs est de trouver des informations appropriées qui soient compréhensibles, à jour et répondent à leurs besoins particuliers. L'industrie automobile fournit un bon exemple de la manière dont des spécifications complexes en matière de sécurité peuvent se transformer en important atout de marketing. Enfin, le droit communautaire oblige les fournisseurs de services de télécommunications offerts au public d'informer leurs abonnés sur les risques particuliers de violation de la sécurité des réseaux et les remèdes possibles, ainsi que sur les coûts qui en résultent (cf. article 4 de la directive 97/66/CE).

Le but d'une initiative de sensibilisation des citoyens, des administrations et des entreprises seraitdonc de fournir des informations accessibles, objectives et fiables sur la sécurité des réseaux et de l'information. Une discussion ouverte sur la sécurité est requise. Lorsque cette sensibilisation aura eu lieu, les personnes seront libres de faire leurs propres choix quant au niveau de protection qui leur convient.

Actions proposées:

| | Les États membres doivent lancer une campagne d'information et d'éducation du public et il convient de renforcer les travaux en cours à l'aide d'une campagne médiatique et des actions s'adressant à toutes les parties intéressées. Une campagne d'information bien conçue et efficace est coûteuse. L'élaboration d'un contenu qui décrit le risque sans alarmer inutilement le public et sans encourager les pirates potentiels exige une planification rigoureuse.

La Commission européenne facilitera l' échange des meilleures pratiques et assurera un certain niveau de coordination entre les différentes campagnes d'information nationales au niveau communautaire, en particulier en ce qui concerne la substance de l'information à fournir. Un des éléments . de cette action pourrait être un portail pour les sites Web au niveau tant national qu'européen. Des liens entre ces portails et des sites Web fiables de partenaires internationaux pourraient également être envisagés.

| | Les États membres devraient promouvoir l'utilisation des meilleures pratiques en matière de sécurité sur la base des mesures existantes telles que la norme ISO/IEC DIS 17799 (code of practice for information security management, www.iso.ch). Il convient de cibler plus particulièrement les petites et moyennes entreprises. La Commission soutiendra les efforts des Etats membres.

| | Les systèmes éducatifs des Etats membres devraient mettre davantage l'accent sur les cours sur la sécurité. L'élaboration de programmes éducatifs à tous les niveaux, comme par exemple la formation en matière de risques pour la sécurité sur les réseaux ouverts et les solutions efficaces, devrait faire partie de l'enseignement de l'informatique dans les écoles.

Les enseignants doivent eux aussi être formés en matière de sécurité dans le cadre de leurs propres programmes de formation. La Commission européenne soutient l'élaboration de nouveaux modules pour les programmes d'études dans le cadre de son programme de recherche.

3.3. Un système européen d'alerte et d'information

Même lorsque les utilisateurs sont conscients des risques pour la sécurité, il faudra toujours les avertir de nouvelles menaces. Les pirates trouveront presque inévitablement de nouvelles vulnérabilités pour contourner les meilleures méthodes de protection. L'industrie développe constamment de nouveaux services et logiciels offrant une meilleure qualité, rendant l'internet plus attrayant, mais créant en même temps involontairement des vulnérabilités et des risques nouveaux.

Même les ingénieurs de réseau expérimentés et les experts en sécurité sont souvent étonnés par la nouveauté de certaines attaques. Par conséquent, il est nécessaire de disposer d'un système de détection précoce qui peut rapidement alerter tous les utilisateurs, ainsi que d'une source de conseils rapides et fiables sur la manière de lutter contre les attaques. Quant aux entreprises, elles ont besoin d'un mécanisme confidentiel leur permettant de rendre compte des attaques sans risquer de perdre la confiance du public À cela doit s'ajouter une analyse de sécurité prospective plus complète, qui rassemble des données et évalue les risques, avec l'avantage d'une vision plus large.

Beaucoup d'efforts sont faits dans ce domaine par les équipes publiques et privées d'intervention en cas d'urgence informatique (CERT) ou les organismes semblables. En Belgique, par exemple, a été établi un système d'alerte aux virus permettant aux citoyens belges d'être informés des menaces de virus dans un délai de deux heures. Toutefois, la nature des CERT varie dans les différents États membres, ce qui rend la coopération complexe. Les CERT existantes ne sont pas toujours bien équipées et leurs tâches ne sont souvent pas clairement définies. La coordination à l'échelle mondiale est assurée par la CERT/CC, qui est financée en partie par le gouvernement américain, et les CERT en Europe sont dépendantes de la politique de diffusion des informations de la CERT/CC.

En raison de cette complexité, la coopération européenne était jusqu'ici limitée. La coopération est essentielle pour garantir la détection précoce dans toute l'Union par l'échange instantané d'informations sur les premiers signes d'attaque dans un pays. C'est la raison pour laquelle il est urgent que la coopération avec le système CERT soit renforcée dans l'Union européenne. Une première action visant à renforcer la coopération entre les secteurs public et privé dans le domaine de la fiabilité des infrastructures de l'information (y compris le développement de systèmes de détection précoce) et à améliorer la coopération entre les CERT a été approuvée dans le cadre du plan d'action eEurope.

Actions proposées:

| | Les États membres devraient revoir leur système CERT afin de renforcer l'équipement et les compétences des CERT existantes. À l'appui des efforts nationaux, la Commission européenne élaborera une proposition concrète en vue d'un renforcement de la coopération dans l'Union européenne. Cette proposition comprendra un projet dans le cadre du programme RTE télécom destiné à assurer une mise en réseau efficace ainsi que des mesures d'accompagnement dans le cadre du programme IST pour faciliter l'échange d'informations et la mise en réseau.

| | Une fois le réseau CERT établi au niveau de l'UE, il devrait être connecté à des organismes similaires dans le monde entier, par exemple le système de communication d'incidents proposé par le G8.

| | La Commission propose d'examiner avec les Etats membres la meilleure façon d'organiser au niveau européen, la collecte des données, l'analyse et le planning des réponses à donner aux menaces de sécurité actuelles et futures. La nature organisationnelle d'un éventuelle structure devra être discutée avec les Etats membres.

3.4. Soutien technologique

Actuellement, l'investissement dans les solutions de sécurité des réseaux et de l'information n'est pas optimal. Ceci est vrai non seulement en termes d'adoptiondes technologies mais aussi en ce qui concerne la recherche de solutions nouvelles. Dans un contexte où les nouvelles technologies naissantes comportent inévitablement de nouveaux risques, il est essentiel que la recherche se poursuive sans relâche.

La sécurité des réseaux et de l'information est déjà un des thèmes du programme "Technologies de la société de l'information" du 5ème programme-cadre de recherche de l'UE (budget de 3,6 milliards d'euros sur quatre ans), dont quelque 30 millions d'euros seront consacrés à la recherche en collaboration sur les technologies relatives à la sécurité en 2001/2002.

La recherche au niveau technique sur la cryptographie est très avancée en Europe. L'algorithme belge « Rijndael » a remporté le concours Advanced Encryption Standard organisé par l'institution de normalisation des Etats-Unis (NIST). Le projet du programme IST intitulé NESSIE (New European Scheme for Signature, Integrity and Encryption) a lancé un concours élargi sur les algorithmes répondant aux exigences des nouvelles applications multimédias, du commerce mobile et des cartes à puce.

Actions proposées:

| | La Commission propose d'inclure la sécurité dans le futur 6ème programme-cadre, qui est actuellement à l'étude au Conseil et au Parlement. Pour optimiser ces dépenses, il faut établir un lien avec une stratégie plus large en matière de sécurité des réseaux et de l'information. La recherche soutenu par ce programme devrait relèver les défis que représentent, en matière de sécurité, le "tout numérique" et la nécessité de sauvegarder les droits des individus et des communautés. Elle sera centrée sur des mécanismes de sécurité fondamentaux et leur interopérabilité, des processus dynamiques de sécurisation, des méthodes de cryptographie avancées, le renforcement du respect de la vie privée, des technologies de traitement des actifs numériques et des technologies garantissant la fiabilité à l'appui de fonctions économiques et organisationnelles au sein de systèmes dynamiques et mobiles.

| | Les Etats membres devraient activement promouvoir l'usage de produits de chiffrement « encastrables [15] » (pluggable). Les solutions de sécurité basées sur le chiffrement de type plug in doivent être offertes comme alternative aux produits intégrés dans les systèmes opérationnels.

[15] Encastrable signifie qu'un produit logiciel de chiffrement peut être aisément installé dans les systèmes opérationnels et être pleinement opérationnel.

3.5. Soutien à une normalisation et une certification orientées vers les besoins du marché

Pour que les solutions visant à améliorer la sécurité soient efficaces, elles doivent être mises en oeuvre en commun par les acteurs du marché et être de préférence basées sur des normes internationales ouvertes. L'un des principaux obstacles à l'adoption de nombreuses solutions de sécurisation, par exemple les signatures électroniques, est le manque d'interopérabilité entre différentes manières de procéder. Si deux utilisateurs souhaitent communiquer de manière sûre à travers différents environnements, l'interopérabilité doit être assurée. Il convient donc d'encourager l'utilisation de protocoles et d'interfaces normalisés, y compris les essais de conformité, ainsi que la tenue d'évènements consacrés à l'interopérabilité. Les normes ouvertes, de préférence basées sur des logiciels à source ouverte, peuvent contribuer à une réparation plus rapide des défauts ainsi qu'à une plus grande transparence.

En outre, l'évaluation de la sécurité de l'information contribue à accroître la confiance des utilisateurs. L'utilisation de critères communs a facilité le recours à la reconnaissance mutuelle comme méthode d'évaluation dans de nombreux pays [16], ceux-ci ayant également conclu un accord de reconnaissance mutuelle avec les USA et le Canada pour les certificats de sécurité des TI.

[16] Recommandation du Conseil 95/114/CE concernant des critères communs d'évaluation de la sécurité des technologies de l'information.

La certification des processus d'entreprise et des systèmes de gestion de la sécurité des informations est soutenu par le Guide de coopération européenne pour l'accréditation EA [17]. L'accréditation des organismes de certification renforce la confiance dans leur compétence et leur impartialité, ce qui favorise l'acceptation des certificats à travers le marché intérieur.

[17] Coopération européenne pour l'accréditation entre organismes d'accréditations de 25 pays de l'UE, de l'AELE et des pays candidats.

Outre la certification, il convient aussi d'effectuer des essais d'interopérabilité. Un exemple de cette approche est l'initiative européenne de normalisation des signatures électroniques (EESSI), qui élabore des solutions basées sur un consensus, en soutien à la directive de l'UE sur les signatures électroniques. D'autres exemples sont l'initiative en faveur des cartes à puce dans le cadre de eEurope et les initiatives de mise en oeuvre d'infrastructures à clé publique (PKI) lancées dans le cadre du programme pour l'échange électronique de données entre administrations (IDA).

Il n'y a donc pas un manque d'efforts en matière de normalisation mais un trop grand nombre de normes et de spécifications en concurrence, ce qui entraîne une fragmentation du marché ainsi que des solutions qui ne sont pas interopérables.

C'est pourquoi les activités actuelles de normalisation et de certification doivent être mieux coordonnées afin de suivre l'introduction de nouvelles solutions pour la sécurité. L'harmonisation des spécifications entraînera à la fois une plus grande interopérabilité et une mise en oeuvre accélérée par les acteurs du marché.

Actions proposées:

| | Les organismes européens de normalisation sont invités à accélérer leur travail sur les produits et services interopérables et sécurisés selon un calendrier ambitieux et bien défini. De nouvelles formes de deliverables et de nouvelles procédures devraient être suivies là où cela s'avère nécessaire afin d'accélérer le travail en cours et de renforcer à la fois la coopération avec les représentants des consommateurs et l'engagement des acteurs du marché.

| | La Commission continuera à soutenir, notamment à travers ses programmes IST et IDA, l'utilisation des signatures électroniques, la mise en oeuvre de solutions PKI interopérables et conviviales, ainsi que la poursuite du développement des protocoles Ipv6 et IPSec [18](conformément au plan d'action eEurope).

[18] Ipv6 est un protocole pour l'internet qui augmente le nombre total possible d'adresses IP, optimise le routage du trafic de messages et améliore les possibilités de déployer Ipsec. Ipsec est un autre protocole pour l'internet qui vise à assurer la confidentialité, à empêcher les paquets de données d'être vus par quelqu'un d'autre que le destinataire, et de fournir une authentification et une intégrité garantissant que les données contenues dans le paquet sont à la fois authentiques et en provenance du bon expéditeur.

| | Les États membres sont invités à promouvoir le recours à la certification et aux procédures d'accréditation pour les normes européennes et internationales généralement acceptées qui concourent à la reconnaissance mutuelle des certificats. La Commission évaluera le besoin d'une initiative juridique dans le domaine de la reconnaissance mutuelle des certificats d'ici la fin de 2001.

| | Les acteurs du marché sont encouragés à participer plus activement aux activités européennes (CEN, Cenelec, ETSI) et internationales (Internet Engineering Task Force (IETF), World Wide Web Consortium (W3C)) de normalisation.

| | Les Etats membres devraient passer en revue toutes les normes de sécurité pertinentes.Des concours devraient être organisés avec le soutien de la Commission pour des solutions européennes de chiffrement et de sécurité dans une perspective du développement de normes acceptées internationalement.

3.6. Cadre juridique

Parmi les différents textes juridiques qui ont une influence sur la sécurité des réseaux de communication et des systèmes d'information, le cadre réglementaire pour les télécommunications est le plus complet. En raison de la convergence des réseaux, les questions de sécurité conduisent maintenant à un rapprochement de réglementations et de traditions réglementaires de divers secteurs. Il s'agit des télécommunications (englobant tous les réseaux de communication), qui ont été réglementées et déréglementées en même temps, de l'industrie informatique, en grande partie non réglementée [19], de l'internet, qui a fonctionné principalement sur la base d'une approche sans intervention des pouvoirs publics, et du commerce électronique, qui fait de plus en plus l'objet d'une réglementation spécifique. En outre, les dispositions en matière de responsabilité des tiers, de cybercriminalité, de signatures électroniques, de protection des données et de réglementation des exportations comportent des éléments qui se rapportent à la sécurité. Parmi ces différentes dispositions, les directive sur la protection des données, le cadre réglementaire des télécommunications et plusieurs initiatives juridiques en cours de préparation dans le cadre de la communication sur la cybercriminalité, revêtent une importance particulière.

[19] Il existe des exigences en matière de sécurité concernant les composants électriques d'un ordinateur, mais pas d'exigence quant à la sécurité des données traitées par un ordinateur.

La protection de la vie privée est un objectif politique essentiel de l'Union européenne. Elle a été reconnue comme un droit fondamental en vertu de l'article 8 [20] de la Convention européenne des droits de l'homme. Les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne [21] prévoient aussi le droit au respect de la vie privée et familiale, du domicile, des communications et des données à caractère personnel.

[20] http://europa.eu.int/comm/internal_market/en/media/dataprot/inter/con10881.htm

HD_NM_15

[21] JO C 364 du 18 .12.2000, http://europa.eu.int/comm/justice_home/unit/charte/pdf/charter_fr.pdf

Les directives sur la protection des données [22], et plus particulièrement l'article 5 de la directive sur la protection des données dans le secteur des télécommunications [23], obligent les États membres à garantir la confidentialité sur les réseaux publics de télécommunications, ainsi que pour les services de télécommunication accessibles au public. D'autre part, en vue de l'application de l'article 5 dans la pratique, l'article 4 de la même directive stipule que les fournisseurs de services et de réseaux publics doivent prendre les mesures d'ordre technique et organisationnel appropriées pour garantir la sécurité de leurs services. Toujours en vertu de cet article, ces mesures doivent garantir un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus récentes et du coût de leur mise en oeuvre. Cela signifie que tous les opérateurs de réseau ont une obligation légale de protéger les communications contre les interceptions illégales. La nature paneuropéenne des services et une concurrence transfrontière accruenécessiteront une plus grande harmonisation de ces dispositions.

[22] Directives 95/46/CE (JO L281 du 23.11.1995) et 97/66/CE (JO L24 du 30.1.1998) http://europa.eu.int/ISPO/infosoc/telecompolicy/fr/9766fr.pdf

[23] "Les États membres garantissent, au moyen de réglementations nationales, la confidentialité des communications effectuées au moyen d'un réseau public de télécommunications ou de services de télécommunications accessibles au public. En particulier, ils interdisent à toute autre personne que les utilisateurs, sans le consentement des utilisateurs concernés, d'écouter, d'intercepter, de stocker les communications ou de les soumettre à quelque autre moyen d'interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées, conformément à l'article 14 paragraphe 1."

L'article 17 de la directive générale sur la protection des données 95/46/CE impose aux responsables du contrôle et du traitement de mettre en oeuvre des mesures contre les risques représentés par le traitement et la nature des données à protéger, en particulier si ce traitement inclue la transmission de données sur un réseau. ( Ils doivent mettre en oeuvre les mesures techniques et d'organisation appropriées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.. Ces dispositions ont des implications pour les exigences de sécurité concernant les réseaux et les systèmes d'information utilisés par ces personnes et ces organisations, par exemple les fournisseurs de services de commerce électronique. La nature pan-européenne des services et la concurrence trans-frontière de plus en plus marquée, conduisent à accroître le besoin de spécifications des moyens à mettre en place pour se conformer à ces dispositions.

La directive cadre de l'UE sur les services de télécommunications contient plusieurs dispositions concernant la « sécurité de fonctionnement du réseau » (c'est à dire la disponibilité du réseau public en cas d'urgence) et « l'intégrité du réseau » (c'est à dire le fonctionnement normal et l'interconnexion des réseaux publics) [24]. En juillet 2000, la Commission a proposé un nouveau cadre réglementaire pour les services de communications électroniques, (actuellement sujet à la procédure de co-décision, et donc en cours de discussion au Parlement européen et au Conseil). Les propositions de la Commission reprennent - mais avec des modifications - l'essence des dispositions concernant la sécurité et l'intégrité des réseaux.

[24] Directive 90/388/CEE de la Commission relative à la concurrence dans les marchés des services de télécommunication, Directive 97/33/CE relative à l'interconnexion et Directive 98/10/CE relative à la téléphonie vocale.

Le cadre juridique existant, au-delà de la couverture de sujets spécifiques contenus dans chaque texte législatif, s'attache aussi à certains aspects de la sécurité des réseaux et de l'information qui forment le sujet de la présente communication.

La communication sur la cybercriminalité a suscité un débat dans l'Union européenne concernant la manière de réagir aux activités criminelles basées sur l'utilisation desordinateurs et des réseaux électroniques.Les discussions entre parties concernées se poursuivront dans le cadre d'un forum de l'UE à créer dans les meilleurs délais, comme annoncé dans la communication de la Commission sur la cybercriminalité. Le droit pénal des États membres devrait couvrir l'accès non autorisé aux réseaux informatiques, y compris la violation de la sécurité des données personnelles.Actuellement, il n'y a aucun rapprochement des législations dans ce domaine au niveau de l'Union européenne, ce qui peut entraîner des problèmes lors d'enquêtes menées pour des délits de ce type et ne permet pas de dissuader suffisamment ceux qui envisagent le piratage ou des attaques similaires. Le rapprochement des droits pénaux contre l'intrusion dans les réseaux informatiques est également important pour faciliter la coopération juridique entre États membres.

Les interrogations intérêt légitime sur la cybercriminalité nécessitent des enquêtes de police efficaces. Toutefois, ces questions juridiques ne devraient pas générer de solutions légales qui entraînent un affaiblissement de la sécurité des systèmes de communication et d'information.

Actions proposées:

| | Une compréhension commune des implications juridiques de la sécurité des communications électroniques est nécessaire. À cet effet, la Commission dressera un inventaire des mesures nationales arrêtées conformément à la législation communautaire applicable.

| | Les États membres et la Commission devraient continuer à soutenir la libre circulation des produits et des services de chiffrement par une harmonisation plus étroite des procédures administratives d'exportation et une libéralisation plus poussée des contrôles à l'exportation.

| | La Commission proposera une mesure législative sous le titre VI du traité instituant l'Union européenne, en vue du rapprochement des droits pénaux nationaux en matière d'attaques contre les systèmes informatiques, y compris le piratage et les attaques par refus de service.

3.7. Sécurité dans les administrations publiques

Le plan d'action eEurope 2002 vise à encourager une interaction réelle et plus efficace entre les citoyens et l'administration publique. Comme une grande partie des informations échangées entre les citoyens et les administrations ont un caractère personnel ou confidentiel (médical, financier, juridique, etc.), la sécurité est essentielle pour assurer le succès de cette initiative. D'autre part, en raison du développement du gouvernement en ligne, les administrations publiques sont à la fois des exemples potentiels pour démontrer l'efficacité de solutions de sécurité et des acteurs du marché capables d'influencer les développements par leurs décisions d'achat.

Pour les administrations publiques, il ne s'agit pas seulement de pratiquer une politique d'achats de systèmes de technologies de l'information et de la communication répondant à des spécifications de sécurité, mais aussi de développer une culture de la sécurité. Cet objectif peut être atteint par l'élaboration de "politiques de sécurité organisationnelle" adaptées aux besoins des institutions.

Actions proposées:

| | Les États membres devraient incorporer des solutions efficaces et interopérables de sécurité de l' informations comme exigence fondamentale dans leurs activités degouvernement en ligne et de passation de marchés publics par voie électronique.

| | Les États membres devraient introduire les signatures électroniques dans les services publics qu'ils offrent en ligne.

| | Dans le cadre de la E-Commission, la Commission prendra une série de mesures visant à renforcer le niveau de sécurité de ses propres systèmes d'information et de communication.

3.8. Coopération internationale

Les communications faisant appel aux réseaux, de même que les problèmes de sécurité qui leur sont associés, traversent les frontières en une fraction de seconde. La sécurité d'un réseau est équivalente à celle de son maillon le plus faible, et l'Europe ne peut s'isoler du reste du réseau mondial. Par conséquent, répondre aux problèmes de sécurité exige une coopération au plan international.

La Commission européenne contribue aux travaux des forums internationaux tels que le G8, l'OCDE et les Nations unies. Le secteur privé traite des questions de sécurité au sein de ses propres organisations telles que le Global Business Dialogue (www.GBDe.org) ou le Global Internet Project (www.GIP.org). Un dialogue permanent entre ces organisations est essentiel pour assurer la sécurité au niveau mondial.

Action proposée:

| | La Commission renforcera le dialogue sur la sécurité des réseaux avec les organisations et les partenaires internationaux, en particulier en matière de fiabilité des réseaux électroniques.

4. Prochaines étapes

La présente communication indique les grandes lignes stratégiques pour l'action dans le domaine concerné. Il ne s'agit que d'une première étape et non pas encore d'un plan d'action définitif pour la sécurité des réseaux en Europe. Toutefois, elle présente déjà des suggestions pour des actions afin d'établir un cadre pour une approche européenne commune.

L'étape suivante est la discussion par les États membres et le Parlement européen du cadre et des actions proposés. Le Conseil européen de Göteborg des 15 et 16 juin pourra formuler des orientations pour l'avenir.

La Commission propose de lancer une discussion approfondie avec l'industrie, lesles utilisateurs et les autorités chargées de la protection des données sur les modalités pratiques de mise en oeuvre des actions proposées. Les réactions peuvent être envoyées d'ici la fin du mois d'août 2001 à l'adresse suivante : eeurope@cec.eu.int. Cette communication est donc une invitation pour les parties concernées à présenter leurs commentaires en vue d'établir un ensemble final d'actions concrètes. Celui-ci pourrait prendre la forme d'un calendrier d'action élaboré d'ici la fin de l'année 2001.**

Top