Secu
Une directive européenne pour lutter contre la cybercriminalité
Par La rédaction, publié le 07 février 2013
La Commission européenne vient de présenter un projet de loi pour renforcer les états membres dans leur capacité de réaction face aux cyberattaques. Les grandes entreprises seraient obligées de signaler les incidents dont elles sont victimes.
Il faut blinder l’Europe! C’est le message qu’a voulu faire passer aujourd’hui, 7 février, Neelie Kroes, lorsqu’elle a présenté son projet de directive pour « un haut niveau commun de sécurité des réseaux et de l’information ». Durant les précédents mois, certains détails sur ce projet de directive avaient déjà filtrés, et ils se sont révélés exacts.
Ainsi, afin de lutter contre l’inflation des cyberattaques, cette nouvelle loi européenne prévoit la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité. Avec à la clé la création d’un centre national d’alerte et de réaction aux attaques informatiques (« CERT » en anglais, Computer Emergency Response Team) et la désignation d’une autorité qui serait en charge de définir, au niveau national, une stratégie et un plan de coopération en matière de cybersécurité, en liaison avec les unités de cyberpolice et les agences de cyberdéfense. A ce titre, cette autorité devra avoir des « ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents » de sécurité.
Obligation de notification pour six secteurs clés
C’est auprès de cette autorité que les entreprises et organisations de certains secteurs clés devront signaler les cyberattaques significatives. Ce qui permettra de mieux faire circuler l’information entre les différentes entités nationales et européennes et, par conséquent, de pouvoir réagir plus vite. Par « significatives », le projet de directive entend des attaques qui impactent les infrastructures informatiques liées au cœur de métier de l’entreprise ou de l’organisation.
Les secteurs concernés par cette obligation de transparence sont au nombre de six :
1) Services financiers: banques, assurances, bourses,…
2) Services internet clés : magasins d’application en ligne (« AppStore »), plateformes e-commerce, passerelles de paiement en ligne, services de cloud computing, moteurs de recherche, réseaux sociaux,…
3) Energie
4) Santé
5) Transports
6) Administrations publiques
Une coopération entre les différentes autorités nationales sera mise en place, pour qu’ils puissent échanger des informations entre eux et avec les entités européennes compétentes en matière de sécurité : ENISA, CERT-EU, EP3R, Europol, EEAS, Eurojust, EEAS, etc. La Commission européenne participera financièrement dans l’échafaudage de toute cette structure administrative.
Cette directive, qui sera maintenant évaluée par le Parlement et le Conseil européens, fait partie d’un plan de cybersécurité européen plus large avec, notamment, la création d’un marché unique pour les produits de sécurité. L’objectif étant de favoriser l’utilisation de technologies reconnues et sécurisées, de manière homogène au niveau de l’Europe. Pour cela, le Commission prévoit la mise en place de standards, de certifications et de bonnes pratiques.
Source: