Cybersécurité: du côté de l’Union européenne

Article publié le 10 décembre 2014
Article publié le 10 décembre 2014

Nous retrouvons les mêmes logiques de défense et de criminalité dans le cyberespace que dans l’espace physique. Pourtant, il n’est pas encore complètement régulé. Comment légiférer sur la cybersécurité ? Qui doit le faire ? Les gouvernements ont un rôle crucial à jouer mais c’est de l’Union européenne que l’impulsion doit venir.

En février 2013, la Commission européenne a publié une stratégie européenne de cybersécurité visant à protéger un internet libre, ouvert et à accroître le nombre d’opportunités économiques et sociales qui en découlent. Dans cette stratégie, la Commission part du principe que les normes et valeurs défendues hors ligne doivent s'appliquer en ligne. En d’autres termes, la liberté d’expression, la protection de la vie privée et des informations personnelles ainsi qu’un accès libre au cyberespace doivent être garantis. Plus encore, ce que l’Union européenne souligne, c’est la responsabilité partagée entre les gouvernements, le secteur privé et les citoyens de garantir ces droits. L’Union européenne formalise ici l’engagement du secteur privé dans la législation et ne se contente plus de dialoguer uniquement avec les représentants politiques des Etats Membres.

Que propose l’Union européenne ?

Dans la proposition de directive concernant la sécurité des réseaux et de l’information parue quelques jours après la stratégie européenne (la NIS Directive), la Commission propose que les Etats Membres développent des stratégies nationales, qu’ils mettent en place une autorité compétente pour la cybersécurité et qu’ils créent des Computer Emergency Response Teams (CERTs). Ces CERTs constituent un aspect majeur de la lutte pour la cybersécurité puisqu’ils sont les acteurs clés de la prévention, de la détection et de la résolution des crises numériques. Les stratégies nationales, quant à elles, visent à encourager les acteurs privés à garantir un état de cybersécurité ainsi qu’à rapporter systématiquement les incidents ayant eu lieu sur les réseaux.

A l’échelle européenne, la directive prévoit que ces autorités nationales soient en contact permanent avec l’agence européenne chargée de la sécurité des réseaux, ENISA, de façon à ce que le savoir-faire et l’information soient partagés entre tous les Etats. Cette mise en réseaux des autorités nationales et européennes cherche notamment à faciliter la diffusion d’alertes rapides en cas de cybermenace. Autant de consignes d’action qui sont vivement débattues au sein des Etats Membres.

Quelles résistances ?

Le secteur privé et les Etats Membres demandent quelques clarifications. Sur la question du partage de l’information en réseau européen, s’agit-il réellement d’une interaction entre les divers acteurs qui permettra aux entreprises et aux Etats membres de recevoir aussi de l’information, ou d’un partage unilatéral ? Par ailleurs, le rapport systématique des incidents observés nationalement est-il encouragé et volontaire ou bien obligatoire ? Et qui paiera les nouveaux coûts que toutes ces législations entraînent ?

La proposition de directive sur la cybersécurité est encore débattue à ce jour. Elle a suivi le chemin législatif européen classique et a été votée en mars 2014 au Parlement européen, mais les négociations au sein du Conseil bloquent. Pourtant, si les Etats Membres semblent hésitants, il se pourrait bien que la cybersécurité se révèle être un domaine d’intégration européenne important.

En effet, le secteur de la défense, par exemple, est encore considéré comme un domaine réservé aux Etats membres, où leurs intérêts sont ancrés dans leur Histoire et leurs évolutions politiques. La cybersécurité, en revanche, est un espace nouveau où tout reste à créer. Les débats qui animent actuellement les ministres européens et leurs représentants diplomatiques ne découlent pas tant d’une logique nationale que d’une peur de déléguer trop de responsabilités à l’Union européenne ainsi que de la protection des intérêts économiques des entreprises. Ce sont des négociations qui durent puisqu’elles doivent jeter les bases d’une nouvelle organisation intra-européenne, qui est impulsée par l’UE et diffusée dans les Etats Membres ; ce sont des négociations qui ne cherchent pas à coordonner des politiques nationales existantes, mais à définir une ligne commune de laquelle découleront des politiques nationales.  

Cet article est le sixième d'une série consacrée à la cybersécurité :

1. Cybersécurité : informatique ou politique ? 

2. Cybersécurité : du côté des gouvernements 

3. Cybersécurité : du côté des criminels

4. Cybersécurité : du côté des individus

5. Cybersécurité : du côté des entreprises