Procédure : 2011/2284(INI)
Cycle de vie en séance
Cycle relatif au document : A7-0167/2012

Textes déposés :

A7-0167/2012

Débats :

PV 11/06/2012 - 24
CRE 11/06/2012 - 24

Votes :

PV 12/06/2012 - 6.7
Explications de votes
Explications de votes

Textes adoptés :

P7_TA(2012)0237

RAPPORT     
PDF 167kWORD 123k
16.5.2012
PE 474.017v02-00 A7-0167/2012

sur la protection des infrastructures d'information critiques - Réalisations et prochaines étapes: vers une cybersécurité mondiale

(2011/2284((INI))

Commission de l'industrie, de la recherche et de l'énergie

Rapporteur: Ivailo Kalfin

PROPOSITION DE RÉSOLUTION DU PARLEMENT EUROPÉEN
 EXPOSÉ DES MOTIFS
 AVIS de la commission des libertés civiles, de la justice et des affaires intérieures
 RÉSULTAT DU VOTE FINAL EN COMMISSION

PROPOSITION DE RÉSOLUTION DU PARLEMENT EUROPÉEN

sur la protection des infrastructures d'information critiques - Réalisations et prochaines étapes: vers une cybersécurité mondiale

(2011/2284((INI))

Le Parlement européen,

–   vu sa résolution du 5 mai 2010 intitulée «Un nouvel agenda numérique pour l'Europe: 2015.eu»(1),

–   vu sa résolution du 15 juin 2010 intitulée "La gouvernance de l'internet: les prochaines étapes"(2),

–   vu sa résolution du 6 juillet 2011 intitulée "Le haut débit en Europe: investir dans une croissance induite par le numérique"(3),

–   vu l'article 48 de son règlement,

–   vu le rapport de la commission de l'industrie, de la recherche et de l'énergie et l'avis de la commission des libertés civiles, de la justice et des affaires intérieures (A7-0167/2012),

A. considérant que les technologies de l'information et de la communication (TIC) ne peuvent pleinement favoriser l'économie et la société que si les utilisateurs ont confiance en leur sécurité et leur résilience, et si la législation en vigueur en matière notamment de confidentialité des données et de droits de propriété intellectuelle est appliquée efficacement dans l'environnement internet;

B.  considérant que l'internet et les technologies de l'information et de la communication (TIC) renforcent rapidement leur incidence sur divers aspects de la vie des citoyens et qu'ils sont des moteurs essentiels d'interaction sociale, d'enrichissement culturel et de croissance économique;

C. considérant que la sécurité des TIC et de l'internet est un concept global, qui a une incidence mondiale, dans ses aspects économiques, sociaux, technologiques et militaires, exigeant une définition et une différentiation claires des responsabilités ainsi qu'un mécanisme solide de coopération internationale;

D. considérant que l'initiative phare de l'agenda numérique de l'UE vise à stimuler la compétitivité de l'Europe en renforçant les TIC et à créer les conditions nécessaires pour une croissance élevée et solide et des emplois basés sur la technologie;

E.  considérant que le secteur privé demeure le premier investisseur, propriétaire et gestionnaire de produits, services, applications et infrastructures en matière de sécurité de l'information, en ayant investi des milliards d'euros ces dix dernières années; considérant que cette participation devrait être renforcée grâce à des stratégies politiques appropriées visant à soutenir la résilience des infrastructures détenues ou gérées par le secteur public, privé ou public-privé;

F.  considérant que la mise au point de réseaux, de services et de technologies TIC à haut niveau de sécurité et de résilience accroîtra la compétitivité de l'économie européenne, aussi bien en améliorant l'évaluation et la gestion des risques informatiques qu'en dotant l'économie de l'UE au sens large d'infrastructures d'information plus solides afin de soutenir l'innovation et la croissance, en créant de nouvelles possibilités pour les entreprises de gagner en productivité;

G. considérant que les données disponibles relatives à la cybercriminalité des services répressifs (couvrant les cyberattaques, mais aussi d'autres types de délits en ligne) semblent indiquer de fortes hausses dans différents pays européens; considérant toutefois que les données statistiques des services répressifs et de la CERT (équipe d'intervention d'urgence en matière de sécurité informatique) concernant les cyberattaques restent rares et devraient être mieux collectées à l'avenir, ce qui permettra de meilleures réponses des services répressifs dans l'UE et une meilleure définition des réponses législatives face aux menaces informatiques en perpétuelle évolution;

H. considérant qu'un niveau adéquat de sécurité de l'information est essentiel pour une forte expansion des services basés sur l'internet;

I.   considérant que les récents incidents, perturbations et attaques informatiques à l'encontre des infrastructures d'information des institutions européennes, de l'industrie et des États membres démontrent la nécessité de mettre en place un système innovant, efficace et solide de protection des infrastructures d'information critiques (PIIC) reposant sur une totale coopération internationale et des normes minimales de résilience dans les États membres;

J.   considérant que le développement rapide de nouveaux modes de TIC, tels que l'informatique en nuage, requiert de placer la sécurité au centre des préoccupations afin de pouvoir pleinement engranger les bénéfices des réalisations technologiques;

K. considérant que le Parlement européen a insisté à maintes reprises sur l'application de normes élevées en matière de vie privée et de protection des données, de neutralité de l'internet et de protection des droits de propriété intellectuelle;

I. Mesures de renforcement de la PIIC au niveau national et européen

1.  salue la mise en œuvre, par les États membres, du programme européen de protection des infrastructures d'information critiques qui comprend notamment la mise en place du réseau d'alerte concernant les infrastructures critiques (CIWIN);

2.  estime que les efforts réalisés dans le cadre de la PIIC non seulement amélioreront la sécurité générale des citoyens, mais renforceront également leur sentiment de sécurité et leur confiance dans les mesures adoptées par les pouvoirs publics pour les protéger;

3.  note que la Commission envisage la révision de la directive 2008/114/CE du Conseil (4) et demande des preuves de l'efficacité et de l'incidence de la directive avant que d'autres mesures ne soient adoptées; demande que soit envisagée l'extension de son champ d'application, notamment en y incluant le secteur des TIC et les services financiers; demande également qu'il soit tenu compte de domaines comme la santé, les systèmes d'approvisionnement en eau et en nourriture, la recherche et l'industrie nucléaires (lorsque ces domaines ne sont pas couverts par des dispositions particulières); considère que ces secteurs devraient également bénéficier de l'approche intersectorielle adoptée par le CIWIN (consistant en une coopération, un système d'alerte et l'échange de bonnes pratiques);

4.  souligne combien il est important de mettre en place et de garantir une intégration durable de la recherche européenne pour maintenir et améliorer l'excellence européenne dans le domaine de la protection des infrastructures d'information critiques;

5.  demande, étant donné la nature interconnectée et hautement interdépendante, sensible, stratégique et vulnérable des infrastructures d'information critiques nationales et européennes, la mise à jour régulière des normes minimales de résilience en matière de préparation et de réaction en cas de perturbations, d'incidents, de tentatives de destructions ou d'attaques, tels que ceux résultant d'infrastructures insuffisamment solides ou de terminaux finaux insuffisamment sécurisés;

6.  souligne l'importance des normes et des protocoles de sécurité informatique et salue le mandat conféré en 2011 au CEN, au CENELEC et à l'ETSI pour l'établissement de normes de sécurité;

7.  compte sur les propriétaires et les gestionnaires d'infrastructures d'information critiques pour permettre aux utilisateurs d'utiliser et, si nécessaire, les aider à utiliser, les moyens appropriés pour les protéger face aux attaques malveillantes et/ou perturbations, par un contrôle à la fois humain et automatique, si besoin est;

8.  soutient la coopération entre les acteurs publics et privés au niveau de l'Union, et encourage leurs efforts en vue de développer et de mettre en œuvre des normes de sécurité et de résilience pour les infrastructures d'information critiques civiles nationales et européennes (qu'elles soient publiques, privées ou publiques-privées);

9.  souligne l'importance que revêtent les exercices paneuropéens dans la préparation aux incidents de grande envergure affectant la sécurité des réseaux ainsi que la définition d'un ensemble unique de normes relatives à l'évaluation de la menace;

10. invite la Commission, en coopération avec les États membres, à évaluer la mise en œuvre du plan d'action pour la PIIC; invite instamment les États membres à établir des CERT nationales/gouvernementales fonctionnelles, à développer des stratégies nationales de cybersécurité, à organiser des simulations d'incidents informatiques nationales et paneuropéennes, à développer des plans d'intervention nationaux en cas d'incident informatique et à contribuer au développement d'un plan d'intervention européen en cas d'incident informatique d'ici à la fin 2012;

11. recommande la mise en place de plans de sûreté pour les exploitants ou de mesures équivalentes pour toutes les infrastructures d'information critiques européennes, ainsi que la désignation de correspondants pour la sécurité;

12. se félicite du réexamen en cours de la décision-cadre 2005/222/JAI du Conseil(5) relative aux attaques visant les systèmes d'information; prend acte de la nécessité de coordonner les efforts de l'UE en matière de lutte contre les cyberattaques, en incluant l'ENISA, les CERT des États membres et les compétences de la future CERT européenne;

13. estime que l'ENISA peut jouer un rôle clé, au niveau européen, dans la protection des infrastructures d'information critiques, en fournissant des conseils techniques aux États membres et aux institutions et organes de l'Union européenne et en présentant des rapports et des analyses sur la situation en matière de sécurité des systèmes d'information aux niveaux européen et mondial;

II. Autres activités de l'Union pour une sécurité de l'internet forte

14. invite instamment l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) à coordonner et à mettre en œuvre annuellement les "mois européens de la sensibilisation à la cybersécurité" afin d'attirer particulièrement l'attention des États membres et des citoyens européens sur les problèmes liés à la cybersécurité;

15. soutient l'ENISA, conformément aux objectifs de l'agenda numérique, dans l'exercice de ses missions relatives à la sécurité des réseaux d'information, en particulier en fournissant des orientations et en conseillant les États membres sur la manière de respecter les capacités de base de leurs CERT, ainsi qu'en soutenant l'échange de bonnes pratiques par le développement d'un environnement de confiance; invite l'Agence à consulter les acteurs concernés afin de définir des mesures similaires en matière de cybersécurité pour les propriétaires et gestionnaires de réseaux et d'infrastructures privés, ainsi qu'à aider la Commission et les États membres à contribuer au développement et à l'adoption de régimes de certification de la sécurité de l'information, de normes de comportement et de pratiques de coopération entre les CERT nationales et européennes et les propriétaires et gestionnaires d'infrastructures, si nécessaire, par la formulation d'exigences communes minimales neutres sur le plan technologique;

16. salue la proposition actuelle de révision du mandat de l'ENISA, en particulier concernant son extension et le développement de ses missions; estime qu'outre l' aide apportée aux États membres au travers de son expertise et de son analyse, l'ENISA devrait être autorisée à gérer plusieurs tâches d'exécution au niveau de l'UE, et en coopération avec ses homologues américains, des tâches liées à la prévention et à la détection des incidents de sécurité des réseaux et de l'information et améliorant la coopération entre les États membres; souligne qu'en vertu du règlement instituant l'ENISA, l'Agence pourrait également se voir attribuer des responsabilités supplémentaires en matière de réaction aux attaques sur l'internet dans la mesure où elle apporte une valeur ajoutée claire aux mécanismes de réaction nationaux existants;

17. salue les résultats des exercices paneuropéens de cybersécurité 2010 et 2011, menés dans toute l'Union et supervisés par l'ENISA, dont l'objectif était d'aider les États membres à concevoir, maintenir et tester un plan d'intervention paneuropéen; invite l'ENISA à maintenir ces exercices à son ordre du jour et à y associer progressivement les opérateurs privés concernés afin d'accroître les capacités globales de l'Europe en matière de sécurité de l'internet; compte sur une expansion internationale accrue auprès de partenaires partageant la même vision;

18. invite les États membres à mettre en place des plans d'intervention nationaux en matière d'incidents informatiques, à inclure des éléments essentiels, tels que les points de contact pertinents, des dispositions concernant l'assistance, l'endiguement et la réparation en cas de perturbations ou d'attaques informatiques de portée régionale, nationale ou transnationale; indique que les États membres devraient également mettre en place des mécanismes et structures de coordination appropriés au niveau national afin de permettre une meilleure coordination entre les autorités nationales compétentes et de rendre leurs actions plus cohérentes;

19. suggère que la Commission propose, au moyen du plan d'urgence européen en cas d'incident informatique, des mesures contraignantes pour une meilleure coordination, au niveau de l'Union, des fonctions techniques et de pilotage des CERT nationales et gouvernementales;

20. invite la Commission et les États membres à prendre les mesures nécessaires pour protéger les infrastructures critiques contre les cyberattaques et à prévoir des mécanismes pour bloquer hermétiquement l'accès à une infrastructure critique dès qu'une cyberattaque directe en menace sérieusement le bon fonctionnement;

21. attend avec impatience la mise en œuvre complète de la CERT-UE, qui sera un facteur essentiel dans la prévention, la détection, la réponse et la réparation en cas de cyberattaques intentionnelles et malveillantes ciblant les institutions de l'Union;

22. recommande que la Commission propose des mesures contraignantes visant à imposer des normes minimales de sécurité et de résilience et à améliorer la coordination entre les équipes nationales d'intervention d'urgence en matière de sécurité informatique;

23. invite les États membres et les institutions de l'Union à garantir l'existence de CERT fonctionnelles, dotées de capacités minimales de sécurité et de résilience basées sur les bonnes pratiques reconnues; souligne que les CERT nationales devraient faire partie d'un réseau efficace dans lequel les informations pertinentes sont échangées conformément aux normes de confidentialité nécessaires; demande l'établissement d'un service de PIIC 24 heures sur 24 et 7 jours sur 7 pour chaque État membre, ainsi que la création d'un protocole européen commun d'urgence applicable entre les points de contacts nationaux;

24. rappelle que le renforcement de la confiance et l'incitation à la coopération entre les États membres sont essentiels pour protéger les données et les réseaux et infrastructures nationaux; invite la Commission à proposer une procédure conjointe de définition et de désignation d'une approche commune permettant de répondre aux menaces informatiques transfrontalières, et attend des États membres qu'ils fournissent à la Commission des informations générales concernant les risques, les menaces et les vulnérabilités de leurs infrastructures d'information critiques;

25. salue l'initiative de la Commission relative à l'élaboration d'un système européen de partage d'informations et d'alerte d'ici 2013;

26. salue les diverses consultations de parties prenantes concernant la sécurité sur l'internet et la PIIC lancées par la Commission, comme le Partenariat public-privé européen pour la résilience; reconnaît la participation et l'engagement, déjà importants, des fournisseurs de TIC dans ces actions, invite la Commission à poursuivre ses efforts visant à encourager les universités et les associations d'utilisateurs de TIC à jouer un rôle plus actif et à favoriser un dialogue pluripartite constructif sur les problèmes de cybersécurité; soutient le développement de l'Assemblée numérique en tant que cadre de gouvernance de la PIIC;

27. salue le travail accompli jusqu'ici par le Forum européen des États membres en matière d'établissement de critères sectoriels spécifiques pour répertorier les infrastructures critiques européennes, en mettant l'accent sur les communications fixe et mobile, ainsi que dans les discussions relatives aux orientations et aux principes européens concernant la résilience et la stabilité sur l'internet; entend poursuivre l'établissement du consensus entre les États membres et, dans ce contexte, encourage le forum à compléter l'approche actuelle axée sur les avantages physiques par des efforts visant à englober également les avantages d'infrastructures logiques qui, à mesure que les technologies de virtualisation et de nuages évoluent, deviendront de plus en plus importantes pour l'efficacité de la PIIC;

28. suggère à la Commission de lancer une initiative publique paneuropéenne en matière d'éducation, axée sur l'éducation et la sensibilisation des utilisateurs finaux, privés et commerciaux, aux menaces potentielles sur l'internet et les appareils TIC fixes et mobiles à chaque niveau de la chaîne d'utilisation et d'encourager des comportements individuels en ligne plus sûrs; rappelle, à cet égard, les risques liés aux équipements et logiciels informatiques obsolètes;

29. invite les États membres, avec le soutien de la Commission, à renforcer les programmes de formation et d'éducation sur la sécurité de l'information, destinés aux services répressifs et aux pouvoirs judiciaires nationaux ainsi qu'aux agences de l'Union concernées;

30. est favorable à la création d'un programme de cours européen destiné aux experts universitaires dans le domaine de la sécurité de l'information, étant donné qu'un tel programme aurait une incidence positive sur l'expertise et le degré de préparation de l'Union en ce qui concerne le cyberespace, en perpétuelle évolution, et les menaces auxquelles il est exposé;

31. recommande d'encourager l'éducation à la cybersécurité (stages de doctorat, cours universitaires, ateliers, formation des étudiants, etc.) et la mise en place d'exercices spécialisés de formation à la PIIC;

32. invite la Commission à proposer d'ici la fin 2012 une stratégie détaillée en matière de sécurité de l'internet pour l'Union, reposant sur une terminologie claire; estime que la stratégie en matière de sécurité de l'internet devrait avoir pour objectif la création d'un cyberespace (soutenu par une infrastructure sûre et résiliente et des normes ouvertes) propice à l'innovation et à la prospérité par la libre transmission d'informations, tout en assurant une protection forte de la vie privée et d'autres libertés civiles; maintient que cette stratégie devrait détailler les principes, les objectifs, les méthodes, les instruments et les politiques (internes et externes) nécessaires à la rationalisation des efforts nationaux et européens, et établir des normes minimales de résilience dans les États membres, afin de garantir un service sûr, continu, solide et résilient, qu'il s'agisse des infrastructures critiques ou de l'utilisation générale de l'internet;

33. souligne que la prochaine "stratégie en matière de sécurité de l'internet" de la Commission devrait prendre comme point de référence principal les travaux réalisés dans le domaine de la protection des infrastructures d'information critiques et viser une approche globale et systématique de la cybersécurité en prévoyant tant des mesures volontaristes, telles que l'introduction de normes minimales pour les mesures de sécurité ou la sensibilisation des utilisateurs individuels, des entreprises et des institutions publiques, que des mesures réactives, telles que des sanctions pénales, civiles et administratives;

34. invite instamment la Commission à proposer un mécanisme solide destiné à coordonner la mise en œuvre et les mises à jour régulières de la stratégie de sécurité de l'internet; estime que ce mécanisme devrait être doté de suffisamment d'experts et de ressources administratives et financières et être compétent pour faciliter l'élaboration des positions de l'UE dans les relations avec les parties prenantes internes et internationales sur les questions relatives à la sécurité de l'internet;

35. invite la Commission à proposer un cadre européen pour la notification des violations de la sécurité dans les secteurs critiques, notamment les secteurs de l'énergie, des transports, de l'approvisionnement en eau et en nourriture mais aussi les secteurs des TIC et des services financiers, afin d'informer les autorités des États membres concernés et les utilisateurs des incidents, des attaques et des perturbations informatiques;

36. invite instamment la Commission à améliorer la disponibilité des données statistiquement représentatives concernant les coûts des attaques informatiques dans l'Union, les États membres et l'industrie (en particulier les secteurs des services financiers et des TIC) en améliorant les capacités de collecte de données du centre européen de la cybercriminalité prévu pour 2013, des CERT et d'autres initiatives de la Commission comme le système européen de partage d'informations et d'alerte (SEPIA), afin de garantir la communication et le partage systématiques des données relatives aux attaques informatiques et aux autres formes de criminalité informatique qui touchent l'industrie européenne et les États membres, et de renforcer ainsi les services répressifs;

37. recommande l'instauration d'une relation étroite et la création d'une interaction entre les secteurs privés au niveau national et l'ENISA pour assurer une liaison entre les CERT nationales et gouvernementales et l'évolution du système européen de partage d'informations et d'alerte (EISAS);

38. souligne que l'industrie des TIC est le principal moteur de l'élaboration et de l'utilisation de technologies visant à renforcer la sécurité de l'internet; rappelle que les politiques européennes doivent éviter d'entraver la croissance de l'économie européenne sur l'internet et comporter les incitations nécessaires pour exploiter pleinement le potentiel des partenariats entre les entreprises et entre secteurs public et privé; recommande d'explorer des mesures d'incitation supplémentaires permettant à l'industrie d'élaborer des plans de sécurité d'opérateur plus solides conformément à la directive 2008/114/CE;

39. invite la Commission à présenter une proposition législative punissant davantage les cyberattaques (harponnage, fraude en ligne, etc.);

III. Coopération internationale

40. rappelle que la coopération internationale est l'instrument principal pour l'introduction de mesures efficaces en matière de cybersécurité; reconnaît qu'à l'heure actuelle, l'Union européenne n'est pas engagée activement, sur une base régulière, dans les processus de coopération internationale et dans les dialogues relatifs à la cybersécurité; invite la Commission et le service européen pour l'action extérieure (SEAE) à entamer un dialogue constructif avec les pays dont les opinions convergent afin de développer une interprétation uniforme et des politiques visant à renforcer la résilience de l'internet et des infrastructures critiques; maintient dans le même temps que l'Union européenne devrait également, de manière permanente, inclure les problèmes de sécurité de l'internet dans ses relations extérieures, notamment lors de l'élaboration de différents instruments financiers ou lorsqu'elle s'engage dans des accords internationaux prévoyant l'échange et le stockage de données sensibles;

41. prend acte des réalisations positives de la convention du Conseil de l'Europe sur la cybercriminalité, qui s'est tenue à Budapest en 2001; souligne toutefois que tout en encourageant davantage de pays à signer et à ratifier la convention, le SEAE devrait également élaborer des accords bilatéraux et multilatéraux sur la sécurité et la résilience de l'internet avec les partenaires internationaux partageant la même vision;

42. souligne que le grand nombre d'activités menées actuellement par diverses institutions, organes et agences internationales et de l'Union européenne, ainsi que par plusieurs États membres, doivent être coordonnées afin d'éviter tout effet de double emploi et qu'à ce titre, il convient d'envisager de désigner un responsable officiel chargé de la coordination, éventuellement au moyen de la nomination d'un coordinateur européen de la cybersécurité;

43. souligne l'importance d'un dialogue structuré entre les principaux acteurs et législateurs européens et américains engagés dans la protection des infrastructures d'information critiques pour garantir une compréhension, une interprétation et une position communes en ce qui concerne les cadres juridiques et administratifs.

44. salue la création, lors du sommet UE - États-Unis de novembre 2010, du groupe conjoint UE - États-Unis sur la cybersécurité et la cybercriminalité et soutient les efforts qu'il consent afin d'inclure les questions de sécurité de l'internet dans le dialogue politique transatlantique; salue la mise en place conjointe, par la Commission et le gouvernement américain, sous l'égide du groupe de travail UE-États-Unis, d'un programme commun et d'une feuille de route en vue d'organiser des exercices transcontinentaux communs ou synchronisés dans le domaine de la cybersécurité en 2012/2013;

45. suggère l'instauration d'un dialogue structuré entre les législateurs européens et américains afin de discuter des problèmes liés à l'internet dans le cadre de la recherche d'une compréhension et d'une interprétation uniformes et de positions communes;

46. invite le SEAE et la Commission, sur la base du travail réalisé par le Forum européen des États membres, à défendre une position active dans les forums internationaux pertinents, notamment en coordonnant les positions des États membres afin de promouvoir les valeurs, les politiques et les objectifs essentiels de l'Union européenne en matière de sécurité et de résilience de l'internet; note que ces forums sont notamment l'OTAN, l'ONU (en particulier au sein de l'Union internationale des télécommunications et du Forum sur la gouvernance de l'internet), la Société pour l'attribution des noms de domaine et des numéros sur internet, l'Internet Assigned Numbers Authority (l'autorité chargée de la gestion de l'adressage sur l'internet), l'OSCE, l'OCDE et la Banque mondiale;

47. encourage la Commission et l'ENISA à participer aux principaux dialogues des parties prenantes visant à définir les normes techniques et juridiques dans le cyberespace au niveau international;

48. charge son président de transmettre la présente résolution au Conseil et à la Commission.

(1)

JO C 81 E du 15.3.2011, p. 45.

(2)

JO C 236 E du 12.8.2011, p. 33.

(3)

P7_TA(2011)0322.

(4)

JO L 345 du 23.12.2008, p. 75.

(5)

JO L 69 du 16.3.2005, p. 67.


EXPOSÉ DES MOTIFS

La technologie joue un rôle de plus en plus important dans tous les aspects de notre vie quotidienne: de la communication à la finance et aux opérations bancaires, des transports à l'énergie, de la culture et des loisirs à la santé.

Aujourd'hui, en raison de l'utilisation accrue de l'internet et des technologies informatiques, la sécurité de l'internet est une des principales priorités politiques de l'Union européenne et du reste du monde. La stratégie «Europe 2020», lancée en 2010, présentait la stratégie numérique de l'UE comme une initiative phare, fixant des objectifs ambitieux pour le développement technologique de l'Union européenne. L'utilisation accrue et le déploiement de technologies TIC innovantes, telles que les réseaux cellulaire et Internet, mobiles et fixes, rapides et ultrarapides, les réseaux intelligents, mais également les services Internet, comme l'informatique dématérialisée et l'internet des objets, dépendent d'un aspect simple, mais essentiel: la sécurité, la résilience et la confiance.

En décembre 2006, la Commission a adopté la communication sur un programme européen de protection des infrastructures critiques (EPCIP). Celui-ci définit un cadre général pour la protection des infrastructures critiques au niveau européen. Deux ans plus tard, le Conseil a adopté la directive 2008/114/CE concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection. Dans sa première phase, la directive mettait l'accent sur les secteurs de l'énergie et des transports. Elle concerne exclusivement les infrastructures dont l'interruption affecterait deux États membres ou plus.

La directive 2008/114/CE citait le secteur des technologies de l'information et des communications parmi les secteurs prioritaires à inclure dans son champ d'application, même s'il n'était pas considéré comme une infrastructure critique. Néanmoins, depuis 2005, la Commission a souligné qu'il était urgent de coordonner les efforts visant à renforcer la confiance dans les communications électroniques(1). À cette fin, une stratégie pour une société de l'information(2) sûre a été adoptée en 2006, dont les principaux éléments ont été approuvés dans la résolution du Conseil 2007/068/01.

En 2009, la Commission a publié une communication intitulée «Protéger l'Europe des cyberattaques et des perturbations de grande envergure: améliorer l'état de préparation, la sécurité, et la résilience»(3) exposant un plan d'action (le plan d'action PIIC) dont l'objectif était de stimuler et de soutenir, au niveau européen comme au niveau national, la sécurité des infrastructures d'information critiques. Ce plan indique les tâches à accomplir par la Commission, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), les États membres et les entreprises. La question du renforcement de la sécurité et de la résilience des infrastructures TIC a ensuite été traitée en intensifiant les efforts dans la stratégie numérique pour l'Europe(4) et dans les conclusions du Conseil en la matière(5), dans la proposition de directive relative aux attaques visant les systèmes d'information(6), ainsi que dans la proposition de la Commission relative à un nouveau mandat visant à renforcer et à moderniser l'Agence européenne chargée de la sécurité des réseaux et de l'information(7).

En mars 2011, la Commission a publié une communication sur la PIIC intitulée «Réalisations et prochaines étapes: vers une cybersécurité mondiale»(8). Dans ce document, la Commission récapitule les résultats obtenus depuis la mise en œuvre du plan d'action PIIC en 2009 et décrit les prochaines étapes prévues, en mettant davantage l'accent sur la coopération internationale au-delà des frontières de l'Union européenne.

Toutes ces évolutions en à peine quelques années, qui n'épuisent pas les efforts visant à renforcer la sécurité du cyberespace de l'Union, démontrent que la question de la sécurité de l'internet est pertinente. Il semble évident que l'internet est une infrastructure critique et que les perturbations qu'elle connaît pourraient causer des pertes substantielles et des risques pour la sécurité, touchant un très grand nombre d'entreprises et de citoyens européens. L'évolution rapide de la technologie exige en outre que la prévention des cyberattaques, les mesures correctrices et la résilience du réseau mondial reposent sur un cadre à long terme global, réactif, flexible et innovant. Ce cadre doit garantir une interaction efficace entre les gouvernements, les entreprises, les individus et toutes les autres parties prenantes. Enfin, et ce n'est pas l'aspect le moins important, le renforcement de la résilience de l'internet n'est possible que si un système efficace de coopération et de normes internationales est en place.

(1)

COM(2005)229.

(2)

COM(2006)251.

(3)

COM(2009)149.

(4)

COM(2010)245.

(5)

Conclusions du Conseil du 31 mai 2010.

(6)

COM(2010)517.

(7)

COM(2010)521.

(8)

COM(2011) 163 final.


AVIS de la commission des libertés civiles, de la justice et des affaires intérieures (22.3.2012)

à l'intention de la commission de l'industrie, de la recherche et de l'énergie

sur la protection des infrastructures d'information critiques –  réalisations et prochaines étapes: vers une cybersécurité mondiale

(2011/2284(INI))

Rapporteure: Ágnes Hankiss

SUGGESTIONS

La commission des libertés civiles, de la justice et des affaires intérieures invite la commission de l'industrie, de la recherche et de l'énergie, compétente au fond, à incorporer dans la proposition de résolution qu'elle adoptera les suggestions suivantes:

1.  estime que la protection des infrastructures d'information critiques requiert une approche interdisciplinaire qui nécessite d'intégrer les aspects importants des libertés civiles, de la justice et des affaires intérieures, comme la sécurité intérieure, la protection des données à caractère personnel et le droit à la confidentialité et au respect de la vie privée, ce qui permet de renforcer la sécurité tout en respectant les droits fondamentaux;

2.  rappelle que la protection des infrastructures critiques d'information figure dans la stratégie de sécurité intérieure de l'Union européenne dans le cadre des initiatives visant à accroître le niveau de sécurité des citoyens et des entreprises dans le cyberespace;

3.  demande instamment que le recensement des infrastructures critiques européennes soit achevé et mis à jour en permanence sous la surveillance de la Commission, conformément à la directive 2008/114/CE du Conseil(1) (concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection); souligne en outre la nécessité de créer, dans les meilleurs délais, un réseau d'alerte concernant les infrastructures critiques au niveau européen; insiste, eu égard à la forte dépendance des institutions publiques, des entreprises et des ménages vis‑à‑vis des technologies de l'information et de la communication (TIC), pour que la directive 2008/114/CE du Conseil soit révisée afin que les TIC soient également reconnues comme un domaine crucial;

4.  demande aux États membres d'élaborer une stratégie nationale et de mettre en place un cadre décisionnel et réglementaire fiable, des procédures complètes de gestion des risques ainsi que des mesures et des mécanismes de préparation appropriés; invite instamment les États membres qui n'ont pas constitué leurs équipes d'intervention en cas d'urgence informatique (CERT) à le faire en temps voulu, avec l'aide, le cas échéant, de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA);

5.  estime que les vastes bases de données relatives à des informations personnelles sensibles, comme les bases de données de l'Union européenne, des gouvernements des États membres ainsi que des établissements financiers et de soins de santé, devraient être considérées comme faisant partie des infrastructures d'information critiques et que la protection de ces données devrait être garantie conformément aux normes les plus élevées possibles;

6.  demande à la Commission et aux États membres de prendre les mesures nécessaires pour protéger les infrastructures critiques face aux cyberattaques et de se doter des moyens permettant de couper l'accès aux infrastructures critiques en cas de cyberattaque directe qui menace gravement le bon fonctionnement de celles‑ci;

7.  souligne l'importance que revêtent les exercices paneuropéens dans la préparation aux incidents de grande envergure affectant la sécurité des réseaux ainsi que la définition d'un ensemble unique de normes relatives à l'évaluation de la menace;

8.  estime que l'ENISA peut jouer un rôle clé, au niveau européen, dans la protection des infrastructures d'information critiques, en fournissant des conseils techniques aux États membres et aux institutions et organes de l'Union européenne et en présentant des rapports et des analyses sur la situation en matière de sécurité des systèmes d'information aux niveaux européen et mondial;

9.  estime que la coopération internationale au‑delà de l'Union européenne est indispensable, car la nature des menaces informatiques est mondiale et nécessite des réponses à l'échelle internationale qui soient conformes aux dispositions du droit international; souligne en outre que tout accord international supposant l'échange de données sensibles devrait prendre en considération la sécurité du transfert et du stockage de ces données;

10. souligne que la prochaine "stratégie en matière de sécurité de l'internet" de la Commission devrait prendre comme point de référence principal les travaux réalisés dans le domaine de la protection des infrastructures d'information critiques et viser une approche globale et systématique de la cybersécurité en prévoyant tant des mesures volontaristes, telles que l'introduction de normes minimales pour les mesures de sécurité ou la sensibilisation des utilisateurs individuels, des entreprises et des institutions publiques, que des mesures réactives, telles que des sanctions pénales, civiles et administratives;

11. estime que la coordination au sein de l'Union européenne devrait être renforcée et améliorée en tout premier lieu entre les acteurs civils et militaires mais également entre les autorités judiciaires et les autres autorités compétentes en matière de prévention, de lutte et de sanction en ce qui concerne les attaques dirigées contre les systèmes informatiques, y compris la police et les autres autorités répressives nationales, ainsi que les agences spécialisées au niveau européen comme Eurojust, Europol et l'ENISA;

12. souligne l'importance que revêt une coopération étroite entre les secteurs public et privé, car leurs forces différentes devraient contribuer, grâce à leur complémentarité, aux efforts réalisés pour protéger les infrastructures et, partant, la vie et la vie privée des citoyens européens; demande à la Commission d'établir un partenariat public‑privé européen pour la résilience, dont les travaux seront associés à ceux de l'Agence européenne chargée de la sécurité des réseaux et de l'information et à ceux du groupe des CERT gouvernementales européennes;

13. souligne que le grand nombre d'activités menées actuellement par diverses institutions, organes et agences internationales et de l'Union européenne, ainsi que par plusieurs États membres, doivent être coordonnées afin d'éviter tout effet de double emploi et qu'à ce titre, il convient d'envisager de désigner un responsable officiel chargé de la coordination, éventuellement au moyen de la nomination d'un coordinateur européen de la cybersécurité;

14. estime que les efforts réalisés pour protéger les infrastructures d'information critiques non seulement amélioreront la sécurité générale des citoyens, mais renforceront également leur sentiment de sécurité et leur confiance dans les mesures adoptées par les pouvoirs publics pour les protéger;

15. souligne l'importance qu'il y a à mettre en place et à garantir une intégration durable de la recherche européenne pour maintenir et améliorer l'excellence européenne dans le domaine de la protection des infrastructures d'information critiques;

16. souligne l'importance que revêt l'élaboration d'une feuille de route pour la recherche active en matière de cybersécurité;

17. recommande d'encourager l'éducation à la cybersécurité (stages de doctorat, cours universitaires, ateliers, formation des étudiants, etc.) et la mise en place d'exercices spécialisés de formation à la protection des infrastructures d'information critiques;

18. recommande d'instaurer une relation étroite et de créer une interaction entre les secteurs privés au niveau national et l'ENISA pour assurer une liaison entre les CERT nationales et gouvernementales et l'évolution du système européen de partage d'informations et d'alerte (EISAS);

19. souligne l'importance de se doter d'une stratégie européenne commune en faveur de la cybersécurité et d'élaborer un calendrier précis pour la définition des actions et des ressources requises;

20. souligne l'importance d'instaurer un dialogue structuré entre les principaux acteurs et législateurs européens et américains engagés dans la protection des infrastructures d'information critiques pour garantir une compréhension, une interprétation et une position communes en ce qui concerne les cadres juridiques et administratifs.

RÉSULTAT DU VOTE FINAL EN COMMISSION

Date de l'adoption

21.3.2012

 

 

 

Résultat du vote final

+:

–:

0:

45

0

2

Membres présents au moment du vote final

Roberta Angelilli, Edit Bauer, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Rosario Crocetta, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Anna Hedh, Salvatore Iacolino, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu, Anthea McIntyre, Jan Mulder, Antigoni Papadopoulou, Judith Sargentini, Csaba Sógor, Renate Sommer, Rui Tavares, Kyriacos Triantaphyllides, Wim van de Camp, Renate Weber, Josef Weidenholzer, Cecilia Wikström

Suppléant(s) présent(s) au moment du vote final

Vilija Blinkevičiūtė, Andrew Henry William Brons, Michael Cashman, Anna Maria Corazza Bildt, Ana Gomes, Nadja Hirsch, Stanimir Ilchev, Iliana Malinova Iotova, Franziska Keller, Wolfgang Kreissl-Dörfler, Mariya Nedelcheva, Hubert Pirker, Zuzana Roithová, Kārlis Šadurskis

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Luis de Grandes Pascual

(1)

JO L 345 du 23.12.2008, p. 75.


RÉSULTAT DU VOTE FINAL EN COMMISSION

Date de l'adoption

8.5.2012

 

 

 

Résultat du vote final

+:

–:

0:

51

7

0

Membres présents au moment du vote final

Amelia Andersdotter, Josefa Andrés Barea, Jean-Pierre Audy, Zigmantas Balčytis, Ivo Belet, Bendt Bendtsen, Jan Březina, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Adam Gierek, Norbert Glante, Robert Goebbels, András Gyürk, Fiona Hall, Edit Herczog, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Paul Rübig, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Claude Turmes, Marita Ulvskog, Vladimir Urutchev, Kathleen Van Brempt, Alejo Vidal-Quadras, Henri Weber

Suppléant(s) présent(s) au moment du vote final

Ioan Enciu, Françoise Grossetête, Takis Hadjigeorgiou, Roger Helmer, Jolanta Emilia Hibner, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Inês Cristina Zuber

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Anne E. Jensen, Nicole Kiil-Nielsen, Norica Nicolai

Avis juridique - Politique de confidentialité