L’innovation technologique et l’explosion de la vente d’objects connectés associées à l’utilisation des réseaux informatiques dans la quasi-totalité des services et des champs d’action marquent l’entrée du monde dans l’ère numérique. Les réseaux constituent, certes, des outils de plus en plus performants et utiles, mais ils peuvent aussi servir à des fins malveillantes : ces évolutions ont ainsi amené à un pan législatif nouveau touchant – entre autres – au concept de sécurité : la cybersécurité.
Pourtant, la réglementation de l’Union européenne a peiné à s’adapter et ce n’est qu’en 2013 qu’une proposition de directive a été introduite.
Petit point de cyber-vocabulaire :
La notion de cybersécurité a émergé durant le début de la première décennie des années 2000 et réside, pour un système d’information, dans sa résistance à des événements issus du cyber-espace pouvant compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées ou traitées ainsi que les services auxquels ces systèmes donnent accès. Elle fait appel à des techniques visant à protéger les systèmes d’informations concernés et vise en cela la lutte contre la cyber-criminalité par le biais de la mise en place d’une stratégie de cyber-défense.
Les actes se revendiquant de la cyber-criminalité contreviennent aux traités internationaux et/ou aux lois nationales via les réseaux et/ou systèmes d’informations afin de réaliser un délit ou un crime ou dans l’optique de commettre l’un ou l’autre.
Pour y faire face, la cyber-défense recoupe l’ensemble des mesures offrant à un Etat ou à un groupement d’Etats les moyens de défendre dans le cyber-espace les réseaux et systèmes d’information qu’il définit comme essentiels.
Objectif sécurité des réseaux et de l’information :
Jusqu’à aujourd’hui, ces éléments étaient du ressort des autorités nationales de chaque pays de l’Union. Or, face à la difficulté de légiférer sur un domaine si mouvant et complexe, l’Internet et le numérique constituent actuellement une certaine forme de ‘zones grises’, comme l’affirme d’ailleurs le directeur général de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) Udo Helmbrecht : « Internet, aujourd’hui, c’est le Far West. Tout le monde peut faire ce qu’il veut ».
Dans l’optique de venir poser un cadre numérique, de renforcer la coopération inter-étatique et de mettre en place d’une part un système d’alerte rapide et d’autre part des techniques de lutte efficaces, une proposition de directive portant sur la sécurité des réseaux et de l’information (dite SRI) a été élaborée en février 2013 dans le cadre de l’élaboration d’une stratégie numérique commune. Un an plus tard, le 13 mars 2014, le Parlement européen adopte sa position sur cette directive et le 29 juin 2015, les députés et les membres du Conseil s’accordent quant aux principes essentiels du texte. L’accord définitif précisant les dispositions juridiques, législatives et pratiques a été approuvé le 17 mai 2016 par le Conseil et le vote du parlement est attendu pour août de la même année.
Une fois la directive définitivement votée, les Etats membres auront 21 mois pour ratifier et mettre en place toutes les dispositions auxquels s’ajouteront 6 mois durant lesquelles les autorités nationales auront pour tâche de déterminer les opérateurs de « services essentiels » établis sur leur sol et concernés par ces nouvelles modalités.
La directive SRI se divise en deux pôles d’action principaux, avec d’une part l’instauration d’un seuil de sécurité numérique minimum, et d’autre part la mise en place d’une obligation de signalement de toute attaque ou tentative d’attaque aux autorités européennes compétentes. Jusqu’à aujourd’hui, ces éléments étaient laissés au bon vouloir des entreprises, administrations et autres acteurs concernés et fonctionnaient sur la base du volontariat. Or, révéler ce genre d’informations ne pesait pas que sur le seul enjeu de sécurité de l’entreprise ou de ses consommateurs et pouvait aussi emporter des conséquences d’ordre économique : perçu comme présentant un manque de professionnalisme ou vu comme vulnérable, elle pouvait ainsi perdre la confiance de ses consommateurs comme de ses partenaires. Peu de firmes acceptaient ainsi de rendre public ce genre d’informations sensibles.
L’un des principaux enjeux des dispositions de la directive SRI concerne la détermination de son spectre de compétences puisqu’elle stipule que devront se plier à ces règles les prestataires de services « indispensables » ou « essentiels » : entreprises privées, administrations publiques, ONG… Tous les acteurs ayant des activités liées à la santé, à la finance, aux transports ou encore à l’énergie notamment sont concernés : d’office, les petites et moyennes entreprises se trouvent donc exclues de son champ d’action. Outre le signalement obligatoire, ils vont également devoir partager toutes les informations et données pertinentes, que ce soit au niveau national ou européen, privé comme public. La coopération constitue le maître-mot de la stratégie européenne pour le numérique, d’autant qu’avec l’abolition des frontières européennes et la mise en place d’un ‘marché digital commun’, les risques de propagation en cas de cyber-attaque sont réels. L’enjeu de gestion du risque en termes économiques de potentielles cyber-attaques est en cela central : si les services de transports ou bancaires étaient par exemple attaqués, cela pourrait ralentir, voire faire cesser pendant un temps indéterminé une large partie des activités économiques dans toute l’Union européenne. D’autant que les conséquences de cyber-attaques sur les entreprises-mêmes peuvent être lourdes : d’un point de vue financier, les frais d’enquête, d’installation de nouvelles protections et de rétablissement de tous les types de dommages à ajouter au ralentissement, voire à l’arrêt des activités, pèsent directement sur les performances de l’/ des entreprise/es victime/es.
Ce scénario peut aussi être envisagé d’un point de vue sécuritaire à la manière de la menace qui pèse actuellement sur les centrales nucléaires par exemple.
Ces deux domaines sont ici étroitement liés et de par la ‘globalisation’ de ces problématiques, elles inscrivent de plus en plus l’enjeu du numérique et la directive SRI au sein de la Politique de sécurité er de défense commune (PSDC).
Une autre question se pose alors : à l’ère du numérique, certains acteurs économiques peuvent être impliqués étroitement dans des dossiers touchant directement à la sécurité, comme ce fut le cas avec Apple pour la tuerie de San Bernardino. Dès lors, jusqu’à quel point des firmes mondiales implantées eu Europe, telles que les GAFA (Google, Apple, Facebook et Amazon), seraient concernées par les dispositions de la directive SRI ? D’autant que deux axes européens s’opposent sur cette question : d’une part, certains Etats abritant le siège social de ces entreprises – à savoir l’Irlande, la Suède ou encore le Royaume-Uni – plaident en faveur d’une vision restrictive de la notion de « services essentiels », alors que d’un autre côté, des pays comme la France, l’Allemagne et l’Espagne notamment appuient une position beaucoup moins limitative, plaçant ainsi l’impératif de sécurité dans un contexte pour le moins troublé en tête de liste.
La portée du champ d’action de la directive SRI ainsi que les modalités de son implémentation aux entreprises considérées comme ‘cruciales’ – à savoir les gestionnaires de moteur de recherches, de réseaux sociaux, de sites de ventes en ligne ou encore de Cloud – emportent effectivement de réels enjeux sécuritaires. Les services que ces firmes proposent sont en effet également utilisés par des réseaux terroristes dans des buts propagandistes et d’organisation de leurs actions. Ce sont en particulier sur les réseaux sociaux et les services de paiement en ligne que les djihadistes se concentrent afin de toucher un large spectre de candidats potentiels au Jihad, les jeunes étant des cibles de choix, plus facilement manipulables et faciles à contacter car très connectés. Les informations échangées par les ‘rabatteurs’ et les organisateurs d’actions terroristes sont certes cryptées mais la coopération des firmes proposant des services de messagerie instantanée et/ou gestionnaires d’un réseau social se révèlent ainsi déterminante. Dans cette optique, la cybersécurité et la directive SRI sont donc étroitement imbriquées dans la stratégie de l’Union européenne de lutte contre le terrorisme et donc appelle à une forme d’équilibre avec le droit à une vie privée, la protection des données personnelles et la liberté d’expression.
La coopération comme levier central :
Outre la collaboration des firmes et des autres acteurs économiques et administratifs avec les autorités européennes, la question de la coopération entre les Etats membres constitue également un élément que la directive SRI vient encadrer. Le manque de confiance inter-étatique au sein de l’Union européenne est en effet réel et vient poser un sérieux frein à la cohérence de nombre de politiques. Or, une politique commune et harmonisée représente un élément indispensable à la mise en place d’un marché numérique commun effectif.
Dans cette optique, la directive SRI vient proposer la création d’un mécanisme de centralisation des alertes et de partage des données et informations faisant collaborer les Etats membres entre eux et avec la Commission européenne. La coopération constitue le maître-mot de la stratégie numérique pour l’Europe et de la directive SRI. Cette dernière vient ainsi mettre fin à la fragmentation en vingt-huit différents systèmes de lutte contre la cybercriminalité souvent contradictoires.
En parallèle de la centralisation des alertes, la directive pose un cadre à la constitution d’une équipe de réactions aux incidents au sein de chaque Etat membre en charge de la gestion des attaques et des risques, de la sécurité transfrontalière ainsi que de l’identification des réactions les plus appropriées à adopter.
Il est prévu que ce volet ‘coopération’ sur le numérique soit alloué à la supervision supranationale de l’ENISA en charge de la sécurité des réseaux et de l’information au sein de l’Union européenne. D’autres formes de coopération sont également prévues en parallèle des modalités mises en place par la directive SRI.
Une approche de plus en plus globale :
La cybersécurité n’est en effet pas un enjeu proprement sécuritaire ou européen : son caractère global pousse à une coopération plus étendue à la fois sur le plan horizontal englobant donc différents domaines et sur le plan vertical puisque plus le partage d’information, de données et de techniques de gestion et de réponses est étendu, plus les réactions seront efficaces. De nouvelles initiatives ont ainsi été faites dans ce sens, visant notamment à renforcer la coopération policière et judiciaire dans le domaine du numérique.
A échelle européenne, Europol (European police Office) a ainsi vu ses compétences élargies dans le cadre de l’Internet Referral Unit (IRU) : le 11 mai 2016, le Parlement européen a approuvé le renforcement de ses attributions en termes de cybersécurité – c’est d’ailleurs la première avancée pour Europol depuis les attentats de Paris et de Bruxelles. Ces nouvelles prérogatives pourraient faire de cet organe une sorte de ‘super autorité’ des données et du numérique. Il convient toutefois de souligner que des gardes-fous ont été posés : ainsi, contrairement à son homologue d’outre-atlantique, le FBI, les agents d’Europol ne peuvent pas directement intervenir au sein d’un pays membre de l’Union européenne, leur champ d’action ne leur permettant que de se poser en soutien des autorités de police nationale. Il s’agit donc d’une étape dans la consolidation de la coopération inter-étatique entre les forces de polices de chacun des Etats de l’Union. En parallèle, dans certains cas réduits, les agents d’Europol auront la possibilité d’interagir directement avec des entreprises privées, des ONG et d’autres acteurs privés dans le cadre d’échanges d’informations. Ils pourront aussi contacter un réseau social afin de demander la suppression d’une page de propagande terroriste par exemple. De plus, dans le cadre de la lutte contre le terrorisme et le crime organisé, les Etats membres seront en charge de fournir toutes les informations et données pertinentes. Et, afin d’encourager ce partage de données, Europol devra rendre un rapport annuel aux commissaires européens, aux députés et aux membres du Conseil ainsi qu’aux Parlements nationaux dressant un bilan de la ‘bonne volonté’ des Etats dans ce domaine. Enfin, le travail de l’office dans le cadre de ses prérogatives renforcées sera supervisé par le EPDS (European Data Protection Supervisor) permettant ainsi aux citoyens de l’Union d’introduire des recours auprès de la Justice européenne le cas échéant.
A échelle internationale, l’Union européenne a conclu avec l’OTAN (Organisation du Traité Atlantique Nord) un « arrangement technique ». Il s’agit d’une coopération renforcée dans le cadre de la cyber-défense alliant le NCIRC (Capacité de l’OTAN de réaction aux incidents informatiques) au CERI (Centre d’alerte et de réactions aux attaques informatiques) européen. L’objectif principal de cet ‘arrangement’ réside encore une fois dans l’échange d’informations et de données mais aussi de techniques d’interventions d’urgence.
Ces échelles de gestion et de réponses élargies tentent de s’adapter aux nouvelles problématiques globales : les enjeux sécuritaires, économiques… du numérique ne connaissent pas de frontière.
Cybersécurité et protection des données : un équilibre subtil :
La proposition de directive SRI ainsi que les autres mesures légiférant sur le numérique peuvent également soulever des craintes et réserves concernant le respect de la vie privée des citoyens européens. Ses dispositions insistent cependant sur la nécessité de respecter le nouveau package de protection des données, General Data Protection Regulation (GDPR), voté par le Parlement en avril 2016.
Néanmoins, la question de la transparence des informations partagées par Europol et les firmes privées se pose : si les agents d’Europol ne peuvent sommer un gestionnaire de réseau social de clore un compte par exemple, il s’avère que la manière dont les « encouragements » des agents sont formulés manque de transparence et peut laisser craindre à une forme de pression ou à de tractations opaques entre l’office et l’entreprise concernée. D’autant que les transferts de données entre Europol et les acteurs privés, interdits avant l’IRU, sont désormais possibles sans pour autant que le citoyen européen n’est été averti via les conditions d’utilisation de l’usage de ses données personnelles. Il s’agit pourtant d’une obligation rappelée dans le GDPR.
Le principal challenge de cette ère du numérique réside ainsi bien dans la création d’un e-Privacy Legal Framework.
Emmanuelle Gris
En savoir plus :
- Nouvelle régulation d’Europol adoptée par le Conseil le 11/03/2016 et par le Parlement le 11/05/2016 :http://data.consilium.europa.eu/doc/document/ST-14957-2015-REV-2/fr/pdf
- Coopération policière : les députés approuvent de nouveaux pouvoirs pour Europol afin de renforcer la lutte contre le terrorisme (11/05/2016) :http://www.europarl.europa.eu/news/fr/news-room/20160504IPR25747/Europol-de-nouveaux-pouvoirs-afin-de-renforcer-la-lutte-contre-le-terrorisme
- Résumé de l’avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) :http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52014XX0208(01)&from=EN
- Special Eurobarometer 423 : Cybersecurity Report (février 2015) :http://ec.europa.eu/public_opinion/archives/ebs/ebs_423_en.pdf?utm_source=webcomm&utm_medium=email&utm_campaign=ep_media_network
- L’OTAN et l’Union européenne renforcent leur coopération en matière de cyberdéfense (10/02/2016) :http://www.nato.int/cps/fr/natohq/news_127836.htm
