Octobre a été le mois de la cybersécurité en Europe. Chaque année, à partir de 2012, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), en partenariat avec la Commission européenne – notamment la DG Réseaux de communication, contenu et technologies (DG CONNECT) – a déployé une campagne de sensibilisation en matière de cybersécurité. Cette année, l’initiative, visant à changer la perception de la “cybermenace” et à promouvoir la sécurité des réseaux et de l’information, a comptabilisé 242 activités dans 32 pays différents.
Les objectifs de la campagne étaient le développement d’une prise de conscience générale concernant la cybersécurité, et notamment la sécurité des réseaux et de l’information, ainsi que la promotion d’un usage d’internet plus sûr. Pour se faire, la campagne a cherché à réunir tous les acteurs concernés et à améliorer l’intérêt des medias sur la question.
Deux mots-clés reviennent souvent : responsabilité partagée et sensibilisation, deux concepts qui tendent conjointement vers la construction d’un modèle de “défense partagée”. On en verra les raisons.
Le “cyberespace” : dimension du progrès humaine
“Cyberspace. A consensual hallucination experienced daily by billions of legitimate operators, in every nation, by children being taught mathematical concepts… A graphic representation of data abstracted from the banks of every computer in the human system. Unthinkable complexity. Lines of light ranged in the nonspace of the mind, clusters and constellations of data. Like city lights, receding.”
(William Gibson, Neuromancer, 1984)
Concrètement, et selon une conception presque élémentaire, le “cyber” constitue un espace où la vie quotidienne des individus et le fonctionnement des sociétés se développent. La terre, l’air, la mer et l’espace constituent les quatre dimensions traditionnelles qui ont caractérisé l’histoire de la civilisation. Les dimensions où l’humanité a mené ses batailles et qui, au cours des siècles, a réussi à réguler. Le “monde cyber” s’érige en cinquième dimension spatiale dans l’époque actuelle.
Notre société est étroitement dépendante des technologies digitales : la vie quotidienne des citoyens, le fonctionnement de l’administration et de l’économie, des secteurs de la finance, de la santé, de l’énergie, des transports sont tous concernés. Aujourd’hui, tout se déroule dans la dimension digitale et tout dépend des technologies de l’information et des communications (TIC), devenues le “nerf de la croissance” de la société et constituent une “ressource critique”.
Le cyberspace et l’internet sans frontières constituent des moteurs importants du progrès. Ils ont fait tomber les barrières physiques, culturelles et commerciales entre les pays. Ils permettent la diffusion immédiate de l’information et constituent un espace d’exercice de la liberté d’expression et des droits fondamentaux et sont devenus des instruments importants de lutte pour une société plus démocratique. Il suffit de repenser au rôle joué par le web dans le phénomène du Printemps arabe.
Le monde numérique, toutefois, procure autant d’avantages que d’ inconvénients, qui prennent la forme de menaces pour notre sécurité, avec des origines et de buts différents : attaques criminelles, terrorisme, espionnage, attaques de nature politique ou commandées par des États. De manière moins évidente, des incidents humains ou des catastrophes naturelles, telles que conditions météo, perturbations climatiques graves, séismes, inondations et incendies, peuvent endommager gravement les systèmes informatiques, affectant directement ou indirectement la sécurité de nos sociétés. Citoyens, entreprises, gouvernements et infrastructures critiques sont tous concernés.
La “cybermenace” : bouleversement du concept de sécurité
La digitalisation croissante de la société fait du cyberspace un lieu attractif pour les criminels, attirés par le rapport “risque faible-rentabilité forte”. Selon le rapport d’Europol sur le crime organisé sur internet de 2015, on relève une tendance croissante à la cybercriminalité, phénomène qui comprend une large variété d’activités dont les ordinateurs et les systèmes informatiques constituent l’arme ou la cible. Il ne connaît pas de frontières et tend à devenir de plus en plus “agressif et source de conflits”.
“Une cyber attaque a lieux chaque minute, quelque part dans le monde. Plus de 150.000 virus et autres types de codes malveillants sont constamment en circulation. Au moins un million de personnes sont victimes de la cybercriminalité quotidiennement” a déclaré Andrus Ansip, vice-président de la Commission européenne chargé du Marché numérique unique, le 29 septembre 2015.
La cybercriminalité en sens strict, toutefois, n’est pas la seule source de menace dans le cyberespace. Selon le rapport annuel de ENISA de 2014, 65% des incidents dans le secteur de communications électroniques en Europe est dû à des défaillances techniques ou des systèmes.
D’ailleurs les erreurs humaines sont à la base de 20% des incidents. 5% sont attribués à des phénomènes naturels.
Le monde du cyber a complètement bouleversé nos sociétés et, avec elle, les concepts traditionnels de menace et de sécurité. La cybermenace présente une forte nature asymétrique, qui l’a différencie des menaces traditionnelles plus faciles à identifier et à gérer : elle peut être générée depuis n’importe où, et se répandre partout grâce à la connexion totale et globale des systèmes. En effet, le plus souvent, on ne réussit même pas à identifier le lieux d’origine à la base d’une attaque. Elle peut provenir de n’importe qui : gouvernements, organisations criminels, terroristes ou simples individus, en raison de la large diffusion des logiciels électroniques et de l’existence d’un model commercial de Crime-as-a-Service (CaaS) qui permet un accès facile aux produits et services criminels. Elle est immédiate et ne laisse pas le temps de se défendre, ce qui donne une importance centrale à la résilience des systèmes et des infrastructures qui sont endommagés. Elle est parfois imperceptible : on peut souvent être victime d’attaques sans même en avoir conscience.
À la base des cybermenaces se trouve le concept de vulnérabilité : plus un système est vulnérable, plus il risque d’être attaqué. Dans le cas du cyber, même si les systèmes semblent particulièrement sûrs, il reste toujours une part de vulnérabilité. D’un côte, en effet, l’innovation technologique, dont la société actuelle est extrêmement dépendante, crée toujours de nouvelles vulnérabilités qui sont exploitées par les criminels, la créativité étant leur seule limite. De l’autre, on a les lacunes de la législation et le facteur humain. Ce dernier demeure une “variable imprévisible et une vulnérabilité potentielle” en soi. Il constitue souvent le maillon le plus faible de la chaîne. Ainsi, le rapport d’Europol rapporte que l’ingénierie sociale (pratique qui exploite les failles humaines, comme la naïveté ou la méconnaissance, pour escroquer et acquérir de manière déloyale de l’information) constitue un instrument efficace communément utilisé par les cybercriminels, pour des méfaits qui vont de la fraude à des attaques complexes qui se déroulent en plusieurs phases.
La prévention et la gestion d’une telle menace, comme la garantie de hauts niveaux de sécurité, ne peuvent être effectifs que si tous les acteurs de la chaîne sont activement inclus : le secteur privé (fabricants d’équipements, les développeurs de logiciels et les prestataires de services), le secteur public et les utilisateurs finals. Du fait de “l’inconcevable complexité” (“Unthinkable complexity”) remarquée par Gibson, la coordination de tous ces acteurs est cruciale pour limiter la vulnérabilité des systèmes. Une approche holistique est nécessaire car la sécurité d’un système est toujours déterminée par le maillon le plus faible de la chaîne.
Le paradigme de la sécurité change donc complètement par rapport à la situation westphalienne où l’État est le seul sujet chargé de garantir la sécurité. Aujourd’hui, on est en présence de ce qu’on appelle le “governance gap” : l’État n’est plus le seul acteur de la sécurité. De là découle une responsabilité partagée, à l’origine du concept de “défense partagée”. La sensibilisation et la prise de conscience par toutes parties de la société du fait que la cybersécurité nécessite une responsabilité partagée, se révèle donc comme une étape fondamentale pour construire une défense solide et effective contre le cybercrime. C’est pourquoi l’Union européenne les a inclus dans sa stratégie de cybersécurité de l’UE de 2013.
La “cybersécurité” : contrer les cybermenaces dans le cyberespace en Europe
Les cybermenaces ont un impact négatif sur l’économie, sur les marchés, sur la compétitivité des pays, sur les droits fondamentaux des citoyens et sur la société en générale.
La sécurité des TIC est un élément fondamental à la base de la confiance des consommateurs dans l’économie en ligne : comment peut-on parler d’économie digitale et progresser vers un marché numérique unique européen si on n’a pas confiance dans les instruments digitaux et les réseaux en ligne ?
Dans le cas le plus extrême elles peuvent aussi devenir des instruments de pouvoir stratégique dans le cadre des relations internationales entre les pays.
La cybersécurité devient doc un élément tout à fait stratégique pour les Gouvernement nationaux et donc, une priorité en termes de développement de l’économie, de défense et de sécurité publique et nationale. À cette fin, les États Nationaux et l’Union Européenne aussi ont développé des stratégies, des politiques et des mesures législatives.
En février 2013 la Commission Européenne a lancé la Stratégie de cybersécurité, visant à la réalisation d’un cyberespace “ouvert, sûr et sécurisé”. Dans le cadre de la première priorité de la stratégie, “parvenir à la cyber-résilience”, la Commission a focalisé une attention particulière à l’action sensibilisatrice et au concept de responsabilité partagée entre pouvoir publique et privé, afin de prévenir, détecter et gérer les incidentes de cybersécurité.
La stratégie reconnait la contribution particulière apportée par ENISA notamment à travers l’initiative du Mois européen de la cybersécurité. La stratégie souligne : “L’utilisateur final joue un rôle crucial dans la sécurité des réseaux et systèmes informatiques : il doit être informé des dangers qu’il court dans l’environnement en ligne et être habilité à prendre des mesures simples pour s’en prémunir”. Les pratiques élémentaires de cyber hygiène, par exemple, impliquant le contrôle des contacts et des paramètres de sécurité, la mise à jour des applications, des softwares et des systèmes opérationnels, jouent un rôle fondamental pour la réduction des vulnérabilités.
Parallèlement à la stratégie, la Commission a lancé aussi une proposition de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union (SRI). La directive, selon les paroles du Commissaire Ansip, représente la “première pièce de la législation européenne sur la cybersécurité”. Son objectif principal est celui de garantir un environnement numérique sécurisé sur tout le territoire de l’Union afin de répondre de manière efficace aux nombreux et divers défis. Une des mesures principales de la directive prévoit l’obligation pour les fournisseurs d’infrastructures critiques (secteurs de l’ énergie, des transports, secteur bancaire et de la santé) d’adopter des mesures pour la gestion des risques sur les réseaux et rapporter les incidents les plus conséquents aux autorités nationales.
La procédure législative pour l’adoption de la directive est actuellement en attente de la position du Conseil en première lecture et sa finalisation a été clairement sollicitée dans le programme européen en matière de sécurité du 28 Avril 2015 et dans la Stratégie du marché numérique unique du 6 mai, dont les textes ont consacré des parties spécifiques à la cybersécurité.
Entre les mesures concrètes déjà adoptées au sein de l’Union, il y a la Décision-cadre de 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces. Selon la position de la Commission, toutefois, elle “ne reflète la réalité courante et les nouveaux défis, tel que la monnaie virtuelle et le paiement mobile”. Cette considération peut-elle anticiper une proposition de révision de la décision cadre ?
Á coté de celle-ci figure la Directive e-Privacy du 2002 qui prévoit l’obligation des fournisseurs des services de communication électronique de garantir la sécurité des services et la confidentialité des informations des clients. Dans ce cas, une prévision explicite de réforme est envisagée dans la Stratégie du marché numérique, une fois que les nouvelles règles sur la protection des données seront adoptées.
Enfin, il y a la Directive du 2011 sur la lutte contre les abus sexuels, l’exploitation sexuelle des enfants et la pédopornographie, et la Directive de 2013 sur les attaques visant les systèmes informatiques. Cette dernière, visant à criminaliser l’usage des instruments tels que les logiciels malveillants et à renforcer le cadre pour l’échange d’informations sur les attaques, aurait due être transposée par les États Membres avant le 4 septembre dernier.
Le concept de responsabilité partagée dont on a parlé auparavant s’étend aussi dans la dimension extérieure de l’Union Européenne, qui préconise la création de nouveaux instruments internationaux pour réguler le cyberespace. La stratégie de 2013 donne beaucoup d’importance aux relations avec des organisations tels que le Conseil d’Europe, l’OCDE, les Nations Unies, l’ OSCE, l’ OTAN et aussi avec les pays tiers. Au niveau bilatéral, l’Union Européenne s’est engagée dans un programme de cyber diplomatie, à propos de laquelle le Conseil a adopté ses conclusions en février 2015. Des plateformes de cyber dialogue ont été ouvertes avec la Chine, l’ Inde, le Japon, la Corée du Sud et notamment avec les États Unis, avec lesquels l’Union a instauré un groupe de travail spécifique sur la cybersécurité et la cybercriminalité.
Enfin, un rôle actif des Agences européennes tels que Europol, Eurojust et l’Agence Européenne de Défense, est prévu dans le programmes et dans les actions visant à sécuriser le cyberespace. De plus, de nouvelles agences dont l’action vise exclusivement le cyberespace, ont été créées : en 2004, l’ Union a donnée naissance à ENISA qui s’occupe d’améliorer la résilience des infrastructures critiques et des réseaux de l’information en Europe et en 2013 le Centre Européen de le Cybercriminalité (EC3) a été crée au sein d’Europol.
Les agences, comme on le verra dans le prochain article sur le cyber, ont des rôles tout à fait différents. Elles abordent des aspects différents de la cybersécurité, en suivant des approches différentes. Evidemment, cela aussi se déroule en liaison avec l’idée d’une responsabilité partagée.
Paola Tavola
Pour en savoir plus
La cybercriminalité : une priorité du programme européen en matière de sécurité
http://europe-liberte-securite-justice.org/2015/05/14/la-cybercriminalite-une-priorite-du-programme-europeen-en-matiere-de-securite/
Andrus Ansip, Guarding against online risk: the battle against cybercrime
https://ec.europa.eu/commission/2014-2019/ansip/blog/guarding-against-online-risk-battle-against-cybercrime_en
European Cyber Security Month
https://cybersecuritymonth.eu
Europol, Internet Organised Crime Threat Assessment
https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-2015
ENISA Annual Incident Reports 2014
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/annual-reports/annual-incident-reports-2014
Stratégie de cybersécurité de l’ Union européenne : un cyberespace ouvert, sûr et sécurisé
(FR) http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_fr.pdf
Proposition de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union
http://www.europarl.europa.eu/registre/docs_autres_institutions/commission_europeenne/com/2013/0048/COM_COM(2013)0048_FR.pdf
Programme européen en matière de sécurité, 28 Avril 2015
http://ec.europa.eu/dgs/home-affairs/e-library/documents/basic-documents/docs/eu_agenda_on_security_fr.pdf
Stratégie du marché numérique unique, 6 Mai 2015 http://ec.europa.eu/priorities/digital-single-market/docs/dsm-communication_fr.pdf
2001/413/JAI : Décision-cadre du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32001F0413
Directive 2002/58/CE du Parlement européen et du Conceil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
http://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32002L0058
Directive 2011/92/UE du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil
http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=celex:32011L0093
Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:32013L0040
Cyber diplomacy : EU dialogue with third countries
http://www.europarl.europa.eu/RegData/etudes/BRIE/2015/564374/EPRS_BRI(2015)564374_EN.pdf
