Bruxelles, 07/02/2013 (Agence Europe) - Plus de 150 000 virus informatiques circulent chaque jour, plus d'un million d'attaques quotidiennes, des dizaines de milliards d'euros de dommages de par le monde (entre 290 et
750 milliards selon les études) et seulement 26% d'entreprises européennes disposent d'une vraie politique pour se prémunir des cyber-attaques quand la plupart d'entre elles pourraient justement être évitées. C'est ce tableau peu rassurant qu'ont présenté jeudi la Haute représentante de l'UE Catherine Ashton, la commissaire au Numérique Neelie Kroes et Cecilia Malmström, en charge des Affaires criminelles, à l'occasion de la présentation de la nouvelle stratégie de l'UE en matière de cyber-sécurité.
Une stratégie qui s'accompagne d'une proposition de directive sur la sécurité des réseaux et de l'information (SRI) et qui devra, ont insisté les trois femmes, préserver l'équilibre délicat entre impératifs de sécurité et nécessité d'un Internet libre et ouvert.
Le plan d'action présenté jeudi s'organise autour de cinq priorités: parvenir à la cyber-résilience, faire reculer considérablement la cybercriminalité, développer une politique et des moyens de cyber-défense en liaison avec la politique de sécurité et de défense commune (PSDC), développer les ressources industrielles et technologiques en matière de cyber-sécurité et instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l'UE.
La proposition de directive sur la SRI obligera tous les États membres, les facilitateurs de services internet clés et les opérateurs d'infrastructures critiques telles que les plateformes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l'énergie, des transports, des services bancaires et des soins de santé, « à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l'UE », a expliqué la Commission dans un communiqué. Elle prévoit entre autres que les États membres adoptent une stratégie de SRI et désignent des autorités nationales compétentes en la matière dotées des ressources suffisantes pour bien faire leur travail ; que se mette en place un mécanisme de coopération entre États membres et Commission pour diffuser « des messages d'alerte rapides sur les risques et incidents au moyen d'une infrastructure sécurisée ». Les administrations et opérateurs d'infrastructures critiques de secteurs tels que les services financiers, les transports ou l'énergie mais aussi les moteurs de recherche, les réseaux sociaux et autres prestataires de services Internet devront aussi signaler les incidents touchant des services essentiels (par exemple une panne d'électricité avec des conséquences sur l'activité ou un dysfonctionnement sur un site de réservation en ligne).
Les fournisseurs d'accès Internet sont toutefois déjà soumis à une obligation de notifier les incidents, un rapport d'ENISA, l'agence européenne compétente, ayant ainsi fait état de 51 incidents en 2011, dont la plupart (60%) concernaient la téléphonie et l'Internet mobiles. Un chiffre qui devrait toutefois être multiplié par 10 dans le prochain rapport, estime ENISA, une fois que les États membres auront mis en place leurs dispositifs.
À l'arrivée, cette « Stratégie » de l'UE en matière de cyber-sécurité a reçu un accueil plutôt en demi-teintes. Si le groupe PPE a salué la présentation d'un plan d'action, il a regretté le retard pris et déploré le fait que les États membres ne soient pas tenus à un délai strict pour mettre en place leur politique de cyber-sécurité, écrivent les rapporteurs Tunne Kelam (estonien) et Monika Hohlmeier (allemande). Pour l'eurodéputée néerlandaise libérale, Marietje Schaake, le plan de la Commission manque tout simplement de vision à long terme et se borne à faire l'évaluation des défaillances. Elle entretient en outre un flou aux conséquences incertaines sur la façon dont seront justement prises en compte les libertés digitales. La députée juge aussi qu'il faudra aux États membres bien plus qu'une « chaîne de téléphone » pour se prémunir durablement des cyber-attaques. ( SP)