Le « Paquet Cyber sécurité » a été présenté au cours de la réunion de la commission parlementaire LIBE du 20 février 2013. Un aperçu des outils dont disposent les états et les institutions communautaires dans la lutte contre la criminalité informatique y a été dressé.

La cybercriminalité est un problème de plus en plus actuel et, surtout, un phénomène qui touche plusieurs domaines, tels que la sécurité intérieure et extérieure, l’économie, le droit et d’autres secteurs encore. Il n’est donc pas toujours facile de régler cette thématique juridiquement. La première étape accomplie dans la lutte contre la cybercriminalité a été la Convention de Budapest de 2001 au sein du Conseil de l’Europe, mais depuis quelque temps, la nécessité de disposer d’une législation européenne en la matière se fait de plus en plus criante. C’est pour cette raison que l’Union, en particulier ces derniers temps, a accéléré bon nombre de ses travaux politiques et juridiques en la matière.

Le panel de la réunion de LIBE du 20 février se composait de Steve Purser, chef du département technique d’ENISA, Troels Oerting, directeur de l’EC3, le centre européen de lutte contre la cybercriminalité, et Paul Timmers, représentant de la DG CNECT de la Commission.

Steve Purser, le premier s’exprimer, a présenté une étude d’Enisa (cf. pour en savoir plus) concernant les menaces du réseau informatique et les évolutions en la matière. « Coopérer », tel est le mot clé de l’agence Européenne chargée de la sécurité des réseaux et de l’information, dont les rapports avec les états et les entreprises représentent la ressource la plus importante. C’est pour cette raison que le partenariat entre les secteurs public et privé constitue l’un de ses objectifs les plus importants. La libre circulation des informations est très utile pour les états, en particulier pour ceux dont l’industrie informatique n’est pas encore suffisamment développée pour fournir une sécurité du réseau suffisante. Les données recueillies sont analysées par le personnel du centre et sur base des résultats, il élabore des prévisions. Ces dernières sont toutefois sujettes à des changements continuels. En effet, si le niveau de prévention est en général suffisant, il ne peut pas encore être assuré à cent pour cent, notamment parce que les hackers sont toujours plus compétents. De nombreuses menaces existent, comme les « botnets », le « fishing », les « trojans », les « scareware », « malware », et beaucoup d’autres encore. Ces instruments sont en général très simples, mais pour le moment, peu d’information est disponible quant à l’origine et à la méthode de ces attaques. C’est pourquoi ENISA recommande : d’acquérir davantage d’informations sur les attaques, d’évaluer les effets des attaques (chose très difficile en raison de l’absence de dénonciations des entreprises victimes de la cybercriminalité), d’utiliser une terminologie commune pour améliorer la comparaison des données, de développer des études de cas, et d’avoir plus d’informations sur la sécurité.

Le travail d’ENISA, et plus généralement le sujet de la cybercriminalité, est très complexe en raison de l’ampleur du phénomène. Comme l’a souligné l’eurodéputé Claeys (non-inscrits), les attaques informatiques sont par exemple souvent organisées par les états eux-mêmes, comme l’illustrent les attaques dont ont été victimes des journaux américains récemment, et qui ont été attribuées au gouvernement chinois. Que peuvent faire les états dans ce type de situation, s’est interrogée Sophia in ‘t Veld (ADLE), vice-présidente de la commission LIBE? Répondre à l’identique, en risquant de provoquer une guerre informatique, ou sanctionner l’état en question ? Par ailleurs, certains gouvernements utilisent des spywares à l’encontre de leurs citoyens, comme c’est le cas en Allemagne et aux Pays-Bas. L’UE devrait donc intervenir aussi pour protéger les populations des autorités centrales, tâche ô combien difficile à réaliser !

Troels Oerting, le second orateur, a été nommé, le 11 novembre, chef de l’EC3 (cf. pour en savoir plus), un centre faisant partie d’Europol. Il a commencé son discours en rappelant que l’informatique est toujours plus présente dans nos vies. La plupart des données qui nous concernent sont présentes en ligne, des phénomènes tels que l’activisme ou l’espionnage passent déjà par la Toile et bientôt, les guerres aussi auront lieu sur le Net. Le nombre de menaces possibles augmentera donc aussi en conséquence. Le point positif de ce « scénario effrayant », comme l’a défini Lopez Alguilar, président de la commission LIBE, est que pour contrer ces menaces, une armée ou l’emploi de la violence ne sont pas nécessaires. Un ordinateur, une connexion et, bien sûr, du personnel compétent et informé sont amplement suffisants. La collaboration entre les forces de l’ordre, les services de renseignement et les experts est également très importante.

La criminalité sur la Toile peut prendre deux formes : une forme « en ligne », lorsqu’elle n’est présente que sur la Toile, et une forme qualifiée de « cyber facilitated crime », comme la pédopornographie, qui est un crime ayant lieu dans la vie réelle, mais dont le réseau informatique devient l’instrument à travers lequel les images circulent. La cybercriminalité est à l’origine d’une perte de près de 106 milliards d’euros dans l’Union. Une pratique très répandue est l’usurpation d’identité suivie d’une demande de rançon, qu’environ 2/3 des victimes payent. Cela représente un marché pesant plusieurs millions d’euros. Par ailleurs, l’apparition d’une technologie nouvelle – le « cloud computing » – complique encore plus les choses. En effet, par le passé, la police pouvait rechercher dans les ordinateurs des hackers les informations liées aux crimes qu’ils avaient commis. Or, aujourd’hui, les données sont collectées dans des espaces virtuels, les « clouds », qui compliquent la recherche de preuves, en particulier à cause de l’absence de règles et d’accords sur la toile et de l’apparition d’éléments nouveaux dans le scénario, comme l’émergence de l’Afrique, qui est passée de 13 % à 83 % d’utilisation d’Internet. Le chef du centre européen de lutte contre la cybercriminalité a expliqué que les différences entre les crimes « communs » et la cybercriminalité consistent en l’absence de liens entre la victime et le malfaiteur et la moindre nécessité de ressources techniques. Pour cette raison, il faut : sensibiliser les jeunes et les adultes à ces thèmes, augmenter les infrastructures pour la sécurité de l’Internet, mais sans limiter l’exercice des droits des personnes, et créer une gouvernance pour le Net afin d’améliorer l’ordre et la qualité d’utilisation du réseau informatique. En effet l’EC3 va prévenir et lutter contrer les attaques dirigées contre les individus, les institutions, les entreprises et les infrastructures critiques. Pour ce faire, il serait nécessaire de créer une « plateforme » consacrée à cette matière afin de partager les informations, de créer une collaboration judiciaire, de travailler avec ENISA, Interpol, Europol, et Eurojust. Le Centre se propose d’accomplir tout cela.

Mais mélanger tout ça, comme l’a mis en évidence Madame in ‘t Veld, pourrait semer le désordre : le risque existe de traiter des thématiques trop différentes – comme la pédopornographie et le plagiat – de la même façon, de rapprocher des arguments distants entre eux seulement en raison du point commun qui les lie, à savoir Internet. La députée a été rejointe sur ce point par Jan Albrecht, rapporteur de la proposition de règlement sur la protection des données personnelles qui devrait être votée dans un futur proche. M. Albrecht (Verts/ALE) propose d’aborder chaque problème avec une solution adaptée.

En ce qui concerne l’EC3, l’eurodéputé Sippel (S&D) a exprimé son opposition à un gaspillage d’argent. Selon lui, même avec tous ces investissements, il serait impossible d’éradiquer complètement la cybercriminalité. Toujours selon le député, l’adoption d’actions simples, mais d’impact – comme le blocage des ressources énergétiques destinées aux points d’origine des attaques – serait plus efficace.

Enfin, le dernier orateur a été M. Timmers. Dans son discours, ce dernier a clairement fait allusion à la proposition de directive qui a été présentée il y a presque un mois, le 7 février, à travers une communication conjointe de la Haute Représentante et de la Commission sur la stratégie de cybersécurité (cf. pour en savoir plus). La stratégie souligne la grande importance de la prévention et de l’information pour les États, car, selon une étude, 60 % des personnes interrogées ont déjà été victimes de cybercriminalité, alors que dans le cas des TIC (Technologies de l’information et de la communication), pour lesquelles la conscientisation et la prévention sont plus importantes, les pourcentages descendent à 30 %. La stratégie qui a été élaborée a pour but de rassembler tous les instruments existants dans la lutte contre la criminalité informatique en traçant les contours du paquet cybercriminalité. C’est pour cette raison que Catherine Ashton, Haute Représentante de l’Union pour les affaires étrangères et la politique de sécurité, a également participé activement au projet aux côtés de Cécilia Malmström, commissaire européenne en charge des affaires intérieures, et Neelie Kroes, commissaire européenne en charge de la stratégie numérique.

Les objectifs les plus importants de la stratégie consistent à encourager le partenariat entre les secteurs public et privé, soutenir la recherche, lutter contre les botnets, augmenter la sécurité dans les infrastructures de contrôle, encourager les réseaux intelligents et une plus haute sensibilisation à ce thème, en ce compris la popularité de l’EC3, qui doit s’affirmer en même temps que la nouvelle directive.

Dans ce cadre, la chose la plus importante est de développer la thématique en même temps que les autres pays. En effet, une semaine seulement après la présentation de la directive, le président des états-Unis, Barack Obama, a promulgué une communication sur le cyberespace. Cela démontre la volonté de faire face à ce problème au niveau international, puisqu’il s’agit d’un problème qui dépasse les frontières nationales. Cela n’empêche que, pour concrétiser cette approche, il est nécessaire de disposer à la base d’un niveau opérationnel national, dans lequel les états doivent adopter des politiques à travers la création des CERTs, des centres destinés à réagir rapidement lorsqu’une menace est détectée. Une coopération internationale coordonnée plus générale de l’EC3 et d’ENISA constitue un autre aspect de cette approche.  En ce qui concerne le secteur privé, il devra tout de suite alerter les organismes compétents. En général, les acteurs les plus concernés sont le secteur bancaire, le secteur énergétique, les transports, la santé et l’administration publique. Le paramètre d’harmonisation reposerait sur une directive déjà existante concernant les télécommunications, qui oblige à informer sur les attaques subies. La directive, en plus de son aspect législatif, a pour but de promouvoir le développement de normes communes, la recherche dans le cadre d’« Horizon 2020 » et une meilleure information quant aux risques que représente le réseau Internet.

Un aspect très intéressant mis en lumière par l’intervention du député espagnol Consuegra (PPE) concerne le budget. Vu le nombre important d’actions à entreprendre, il serait nécessaire de disposer de fonds considérables. Malheureusement,  M. Oerting a rétorqué que pour  2013, aucun budget spécial n’est disponible pour le nouveau centre. Ils vont donc utiliser le bilan d’Europol afin de réclamer une amélioration pour 2014. Il ne faut en effet pas oublier qu’en période de récession, le phénomène de cybercriminalité s’amplifiera. L’Europe doit donc être prête à y faire face. Enfin, le député britannique Moraes (S&D) a soulevé la question tout aussi importante du respect des droits de l’homme. Le député s’est interrogé sur la conformité de la nouvelle directive avec la Charte des droits fondamentaux et le « paquet database » en soulevant l’importante opposition qui existe entre sécurité et liberté et qui est à la base de cet argument.

Raffaella D’Antonio

–          Rapport d’Enisa par rapport aux menaces du réseau informatique : http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISA_Threat_Landscape (EN)

–          Précédent article paru sur Eulogos par rapport au nouveau Centre sur la Cybercriminalité http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=2710&nea=130&lang=fra&lst=0 (FR)

–          Article de la « Newsroom » du site de la Commission par rapport à la proposition de directive http://europa.eu/newsroom/calendar/event/420422/adoption-dune-communication-conjointe–sur-une-strat%C3%A9gie-de-cybers%C3%A9curit%C3%A9 (FR)

–          Présentation de Steve Purser  « Evolving threat landscape », dans la LIBE du 20/02/13 http://www.europarl.europa.eu/document/activities/cont/201302/20130222ATT61585/20130222ATT61585EN.pdf (EN)

–          Présentation de  Troels Oerting par rapport au « Cyber development » http://www.europarl.europa.eu/document/activities/cont/201302/20130222ATT61587/20130222ATT61587EN.pdf (EN)

–          Présentation de Paul Timmers par rapport au « Cyber security » http://www.europarl.europa.eu/document/activities/cont/201302/20130222ATT61589/20130222ATT61589EN.pdf (EN)

–          Streaming de la conférence LIBE du 20/02/13 http://www.europarl.europa.eu/ep-live/en/committees/video?event=20130220-1500-COMMITTEE-LIBE