mardi 21 novembre 2017

Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement


Un rapport d’évaluation des politiques nationales en matière de cybersécurité a été approuvé par les 28 ministres du Conseil au cours de leur dernière réunion (la France a également l'objet d'une évaluation dans un rapport rendu public).
Ce (long) rapport des politiques nationales en matière de cybersécurité (qui fait 83 pages) est particulièrement instructif : d’abord il met en évidence les lacunes dont souffrent certaines de ces politiques. Ensuite, il propose une série de pistes qui sont précisément à l’étude à l’heure actuelle au sein des sphères institutionnelles de l’UE.
C’est le cas de l’extension du champ d’application de l’obligation par les prestataires privés, de cyberattaques dont ils ont été victimes.
C’est aussi le cas des efforts pour favoriser la recherche (incluant le secteur privé) en vue de casser le chiffrement des données échangées, dont tirent profit les cybercriminels.

De quoi parle-t-on ?

Ce rapport s'efforce de résumer les résultats et les recommandations et de tirer des conclusions concernant la septième série d'évaluations mutuelles.
Il relève du mécanisme prévu par l'action commune du 5 décembre 1997 instaurant un mécanisme d'évaluation de l'application et de la mise en œuvre au plan national des engagements internationaux en matière de lutte contre la criminalité organisée.

La première mission d'évaluation a été menée en France entre le 28 et le 31 octobre 2014. La dernière mission d'évaluation a eu lieu en Suède entre le 27 et le 30 septembre 2016.
Les 28 missions d'évaluation ont toutes donné lieu à des rapports détaillés sur les États membres concernés. Ces rapports d'évaluation ont ensuite été examinés et adoptés par le groupe de travail du Conseil de l’UE dénommé GENVAL.
Le rapport final a, quant à lui, été approuvé par le Conseil au niveau ministériel.
La plupart des rapports nationaux, dont le rapport français, sont disponibles sur le site internet du Conseil et accessibles au public.

1ère leçon : l’aggravation du phénomène de la cybercriminalité

Du fait de l'utilisation plus fréquente de l'internet, la cybercriminalité est un phénomène criminel de plus en plus répandu et de nouvelles tendances et de nouveaux modes opératoires apparaissent; il s'agit tant d'infractions cybercriminelles au sens strict qui, selon leur définition légale, requièrent l'utilisation d'un système informatique, que d'infractions facilitées par Internet, qui sont des infractions traditionnelles commises au moyen des technologies de l'information et de la communication (TIC).
Par conséquent, la progression dans la lutte contre la cybercriminalité requiert dans tous les pays un niveau élevé de volonté politique, des efforts budgétaires et un investissement majeur dans les ressources humaines et techniques.

2e leçon : une implication à géométrie variable et des stratégies nationales manquantes en matière de cybersécurité

Le degré d'engagement et d'efficacité varie selon les États membres et, dans certains cas, des améliorations seraient possibles en ce qui concerne certains aspects de l'approche globale en matière de lutte contre la cybercriminalité. Dans le même temps, certains problèmes et défis communs ont également été identifiés.
Au moment de l'évaluation, la majorité des États membres avaient adopté une stratégie nationale de cybersécurité, fournissant un cadre pour l'établissement des priorités nationales ainsi que des structures de coordination essentielles aux niveaux stratégique et opérationnel, afin de lutter contre la cybercriminalité et d'assurer la cyber-résilience, tandis qu'un petit nombre d'États membres étaient en train de le faire. Certains États membres avaient également adopté un plan d'action pour la mise en œuvre de leur stratégie nationale de cybersécurité.

3e leçon : l’absence de données statistiques

L'une des principales lacunes recensées concerne la collecte de statistiques distinctes sur la cybercriminalité et la cybersécurité, celles qui sont disponibles étant insuffisantes et fragmentées et ne permettant pas de comparaison entre les différentes régions d'un même État membre ou entre les différents États membres.

Les statistiques sur la cybercriminalité sont extrêmement importantes. D'une part, elles rendent possibles une analyse détaillée et une compréhension de l'ampleur des nouvelles tendances émergentes de cette forme de criminalité en expansion, permettant ainsi de disposer d'une image réaliste du taux de cybercriminalité, compte tenu du faible taux de signalement aux autorités répressives des infractions liées à celle-ci, et de suivre ses évolutions, afin de prendre des mesures appropriées; d'autre part, elles permettent d'évaluer l'efficacité du système juridique et l'adéquation de la législation aux fins de la lutte contre la cybercriminalité et de la protection des intérêts des citoyens qui en sont les victimes.

Des statistiques complètes devraient porter sur tous les stades de la procédure - enquête, poursuites, procès - en indiquant le type d'infraction pénale et la mesure d'enquête spécifique, le nombre d'infractions signalées, le nombre d'enquêtes menées et les décisions de ne pas mener d'enquête sur un certain type de cybercriminalité, le nombre de victimes et de plaintes déposées par des victimes, le nombre de personnes poursuivies et condamnées pour différentes formes de cybercriminalité, le nombre d'affaires transfrontières, les résultats des demandes d'entraide judiciaire et la durée de la procédure.

L'une des principales lacunes recensées dans la majorité des États membres lors de la septième série d'évaluations concerne la collecte de statistiques distinctes sur la cybercriminalité au sens strict, la criminalité facilitée par Internet et les incidents de cybersécurité.

4e leçon : un manque de professionnels spécialisés

En raison de l'évolution rapide des TIC grâce à des méthodes de plus en plus sophistiquées et de la complexité de la cybercriminalité, un degré élevé de spécialisation des professionnels travaillant dans ce domaine est extrêmement important.
Selon les conclusions de l'évaluation, le degré de spécialisation est généralement suffisant ou satisfaisant pour les services répressifs, tandis qu'il laisse à désirer en ce qui concerne le système judiciaire, étant donné que, dans plusieurs États membres, la cybercriminalité est traitée par les parquets généraux et les juridictions pénales générales.
Il a par conséquent été recommandé aux États membres d'accroître le niveau de spécialisation de leur personnel judiciaire traitant des affaires de cybercriminalité.

Pour les mêmes raisons, l'évaluation a mis en évidence l'importance d'assurer de façon régulière et continue des formations spécialisées sur la cybercriminalité qui s'adressent à la fois aux services répressifs et aux autorités judiciaires, y compris en tirant le meilleur parti des possibilités de formation qu'offrent ou auxquelles contribuent, conformément à leur mandat, les organes de l'UE, tels que l'EC3/Europol, l'ECTEG, Eurojust, l'OLAF et le CEPOL.

5e leçon : l’absence de coordination institutionnelle suffisante

L'évaluation a souligné qu'une coordination et une coopération interinstitutionnelles étroites et efficaces, fondées sur une approche faisant intervenir plusieurs organismes aux niveaux stratégique et opérationnel, entre toutes les parties prenantes concernées des secteurs public et privé associées à la cybercriminalité et à la cybersécurité, constituent des éléments essentiels pour lutter efficacement contre la cybercriminalité et veiller à ce que les systèmes nationaux de cybersécurité présentent un bon niveau de résilience face aux menaces informatiques.
Dans certains États membres, une telle coopération n'a cependant pas encore été suffisamment développée ou peut être encore améliorée. En effet, dans quelques États membres, il n'existe pas de cadre juridique pour la coopération interagences dans les affaires liées à la cybercriminalité, et les autorités qui interviennent dans la lutte contre la cybercriminalité coopèrent de manière informelle.

Le meilleur moyen de garantir le bon fonctionnement du système est un mécanisme structuré, surtout lorsque les fonctions de coordination pour les questions liées à la cybersécurité et aux politiques de lutte contre la cybercriminalité sont confiées à une autorité institutionnelle unique (c'est-à-dire des ministères ou des bureaux faisant partie de la structure organisationnelle des ministères) ou à un organisme ou une entité ad hoc unique

6e leçon : des partenariats à privilégier, comme forme de coopération public/privé


Une étroite coopération entre le secteur public et le secteur privé - les institutions finanières/bancaires, les entreprises de télécommunications, les fournisseurs de service internet (FSI), les ONG, le monde universitaire, les entreprises, les associations professionnelles, etc. - est fonda-mentale dans ce contexte, car leur expertise apporte une grande valeur ajoutée à la réussite des enquêtes et des actions menées en matière de cybercriminalité pour répondre aux cyberincidents.

Il est également utile d'associer les procureurs aux contacts avec le secteur privé, afin de garantir que les preuves soient recueillies dans le respect de la législation en vigueur et soient recevables dans le cadre des procédures judiciaires.
Selon les conclusions de l'évaluation, le niveau de la coopération entre le secteur public et le secteur privé est variable dans les États membres et, d'une manière générale, la coopération est plus développée et plus efficace lorsqu'elle est plus structurée et qu'il existe un climat de confiance.

Les formes les plus avancées de coopération avec le secteur privé sont institutionnalisées par la création d'autorités/de groupes de travail appropriés. Les partenariats public-privé ont été identifiés par les évaluateurs comme étant un outil important pour une bonne coopération entre les services répressifs et le secteur privé.
Ces partenariats sont des instruments importants pour assurer une bonne coopération entre les services répressifs et le secteur privé, en particulier les fournisseurs de services Internet, ainsi que le secteur financier, notamment les banques, mais aussi les ONG, les CSIRT et les opérateurs d'infrastructures critiques. Cela peut être utile pour le retrait des contenus illicites, le déchiffrement, la lutte contre les cyberattaques, etc.

Dans certains États membres, le recours à des partenariats public-privé est prévu dans la stratégie nationale de cybersécurité, mais il est parfois limité à des domaines spécifiques. Il peut reposer sur des protocoles d'accord ou des accords informels analogues.

Cependant, les États membres n'ont pas tous mis en place un cadre formel pour les partenariats public-privé et, dans certains d'entre eux, la coopération, les réunions et l'échange d'informations avec le secteur privé sur les incidents, les tendances et l'évolution de la situation ont lieu de manière informelle, plutôt que sur une base légale.

7e leçon : prévoir des techniques spéciales d’enquêtes adaptées

Outre les techniques d'enquête ordinaires, des techniques spéciales sont utilisées pour enquêter sur les affaires de cybercriminalité.
Il existe un certain nombre de possibilités: les techniques d'enquête spéciales les plus utilisées, qui constituent des outils de travail particulièrement efficaces pour traiter notamment les affaires impliquant l'exploitation sexuelle d'enfants, sont l'interception de communications, la préservation des données et les enquêtes sous pseudonyme.

Dans le domaine de la cybercriminalité, en particulier, le mode opératoire, les logiciels et les outils utilisés évoluent constamment et à brefs intervalles.
Les techniques d'enquête doivent donc être continuellement mises à jour (par exemple au moyen de logiciels d'enquête spéciaux), conformément à l'évolution de la cybercriminalité.

Les États membres qui ne l'ont pas encore fait sont encouragés à prévoir dans leur législation nationale la possibilité de recourir à des techniques d'enquête spéciales pour faciliter les enquêtes dans les affaires de cybercriminalité.

8e leçon : l’enjeu du chiffrement et de la collaboration des fournisseurs de service internet étrangers

Certains États membres ont des contacts directs avec les FSI (fournisseurs de service internet) situés à l'étranger, en particulier aux États-Unis, mais les résultats des demandes sont assez incertains en raison du caractère volontaire de cette coopération, aussi serait-il bénéfique pour l'UE et ses États membres de définir des règles claires pour établir de quelle manière les services répressifs peuvent obtenir des données détenues par des fournisseurs de service internet étrangers.

Les principaux obstacles au succès des enquêtes sur la cybercriminalité sont, entre autres, le développement rapide de la technologie et les nouveaux modes opératoires complexes, le professionnalisme et le niveau d'expertise croissants des cyberdélinquants, le fait que la cybercriminalité puisse facilement relever de la compétence de plusieurs pays, la difficulté d'obtenir l'accès aux preuves électroniques en rapport avec la cybercriminalité et les difficultés liées à l'utilisation du chiffrement, du réseau Tor et de l'anonymisation.
L'utilisation croissante du chiffrement au moyen de techniques de plus en plus sophistiquées pose de plus en plus de difficultés aux services répressifs et de renseignement dans l'ensemble des États membres car elle complique ou empêche totalement l'accès à des informations pertinentes concernant la cybercriminalité.
Le déchiffrement n'est parfois possible - si tant est qu'il le soit - qu'en utilisant du matériel et des logiciels spécialisés à fortes capacités, et l'évaluation a montré que les tentatives de contrer un chiffrement sans faille ne rencontrent qu'un succès limité.

En effet, selon les constatations de l'évaluation, dans certains cas plus complexes, le contenu chiffré a pu être déchiffré au moyen d'attaques brutales - c'est-à-dire en essayant tous les codes possibles - ou d'attaques déclenchées par mots clés - c'est-à-dire par l'utilisation de termes conçus pour la recherche de mot de passe - ou lorsque le suspect a accepté de coopérer et a fourni le mot de passe ou la phrase nécessaire pour le décryptage. Toutefois, les personnes concernées ne sont pas toujours disposées à coopérer avec les autorités et il n'existe aucun moyen de les y obliger.
Dans certains États membres, le déchiffrement est effectué en coopération avec des sociétés privées, dont l'expertise se révèle particulièrement utile lorsque les méthodes de chiffrement sont très sophistiquées. Dans plusieurs États membres, au contraire, les sociétés privées ne participent pas au déchiffrement dans le cadre des enquêtes pénales, celui-ci étant réservé aux instituts de police scientifique.

De nombreux États membres utilisent la plateforme de déchiffrement d'Europol au Centre européen de lutte contre la cybercriminalité (EC3). Selon les conclusions de l'évaluation, les problèmes posés par le chiffrement pourraient être partiellement compensés par l'intensification de la recherche et du développement et l'élaboration de nouvelles méthodes, ainsi que par une bonne coopération entre les différentes autorités concernées.
Il a également été recommandé aux États membres et aux institutions de l'UE de réfléchir à des solutions et de mener un dialogue ouvert plus soutenu avec le secteur privé.

9e leçon : favoriser une « cyberjustice »

La structure et l'organisation du système judiciaire varient selon les États membres, y compris en ce qui concerne l'attribution de la compétence pour traiter les dossiers de cybercriminalité.
D'une manière générale, l'évaluation mutuelle a révélé que le degré de spécialisation des services répressifs est plus élevé que celui du corps judiciaire.
Dans un nombre non négligeable d'États membres, la cybercriminalité est traitée par les parquets généraux, et aucun État membre ne possède de juridictions ou de juges spécialisés chargés d'examiner et de juger les affaires de cybercriminalité.
Dans un petit nombre d'États membres, il existe des réseaux nationaux de "cyberprocureurs" spécialisés en cybercriminalité, ce qui peut être considéré comme une bonne pratique, car cela permet des échanges de connaissances et d'expériences et favorise la diffusion des bonnes pratiques parmi les praticiens.

10e leçon : la question des preuves électroniques

La collecte, l'analyse et l'utilisation de preuves électroniques jouent un rôle de plus en plus important dans les procédures pénales, non seulement en ce qui concerne les actes de cybercriminalité, mais aussi toute autre infraction susceptible d'impliquer des preuves électroniques.

La nature des preuves électroniques et la facilité avec laquelle elles peuvent être manipulées ou falsifiées peuvent créer des problèmes d'admissibilité qui ne se posent pas avec d'autres types de preuves.
Pour cette raison, il existe dans certains États membres des exigences spécifiques en ce qui concerne la collecte des preuves électroniques pour qu'elles soient admissibles devant les tribunaux.
Si les règles relatives à l'admissibilité des preuves sont plutôt strictes, cela peut créer des obstacles à l'utilisation des preuves électroniques, notamment lorsqu'elles sont obtenues d'un autre pays, au moyen par exemple d'une demande d'entraide judiciaire.
L'UE et ses États membres, dans le prolongement du processus en cours de réunions d'experts portant sur l'accès aux preuves électroniques, devraient envisager d'élaborer un cadre de l'UE fixant les règles relatives à l'accès, à des fins répressives, aux données détenues par les fournisseurs de services.
Ce cadre devrait réglementer les relations entre les services répressifs et les fournisseurs de service internet, en établissant des règles et des obligations claires.

En outre, dans certains États membres, la législation nationale permet d'obtenir des informations directe-ment auprès de fournisseurs étrangers, sous réserve qu'une telle pratique soit également autorisée par le droit de l'État où se trouve le siège du fournisseur.
Un cadre commun pour échanger des données sur les abonnés et de nouvelles approches au niveau de l'UE en ce qui concerne la compétence d'exécution font, parmi d'autres questions, l'objet des travaux menés actuellement au niveau de l'UE sur la base des conclusions du Conseil du 9 juin 2016 sur l'amélioration de la justice pénale dans le cyberespace.

11e leçon : le cas des informations dans les nuages


Au moment de l'évaluation, certains États membres n'avaient aucune expérience en matière d'enquête sur ce type de cybercriminalité et la question de la compétence relative au stockage dans le "nuage" n'avait donc pas encore été soumise à leurs juridictions nationales, ce qui pourrait signifier qu'un certain nombre d'actes de cybercriminalité échappent en pratique aux poursuites; ils ont toutefois reconnu qu'ils finiraient inévitablement par être confrontés à de telles situations.

Ce phénomène pourrait entraîner de graves problèmes à l'avenir, car les solutions d'informatique en nuage connaissent une popularité grandissante et le recours au stockage dans le "nuage" et aux services en nuage devient une pratique de plus en plus répandue non seulement parmi les personnes morales et physiques, mais également parmi les malfaiteurs.

Il n'a pas encore été possible de trouver une solution appropriée au problème du stockage dans le "nuage". Pour surmonter ces difficultés, les évaluateurs soulignent que des arrangements spéciaux avec certains fournisseurs de services en "nuage" (par exemple Google et Yahoo) pourraient être mis en place afin de réduire les délais et d'obtenir des informations dans des formats qui soient admissibles devant les tribunaux.

Certaines mesures visant à contourner ce problème sont actuellement examinées au niveau de l'UE, dans le cadre du processus en cours de réunions d'experts sur les preuves électroniques, notamment la création de points de contact uniques aussi bien au niveau des États membres que des fournisseurs de services et la mise en place, pour les mesures d'enquête visant un fournisseur de services, d'un cadre juridique de l'UE qui permette aux autorités de demander ("demande de produire") ou d'imposer ("injonction de produire") à un fournisseur de service situé dans un autre État membre de divulguer des informations sur un utilisateur.

En outre, l'évaluation a mis en évidence que les actes de cybercriminalité impliquant des données stockées dans le "nuage" soulèvent généralement des problèmes pour les enquêtes et les poursuites en raison du fait que les informations dans le "nuage" ne sont pas facilement localisables par les services répressifs ni facilement accessibles pour ceux-ci.
Selon le cas concret, les preuves électroniques peuvent être situées dans la juridiction d'un ou plusieurs États, y compris simultanément à l'extérieur de l'UE. Des conflits de compétences peuvent donc survenir; dans ces circonstances, l'aide d'Eurojust et du réseau judiciaire européen (RJE) peut être sollicitée.
L'évaluation a souligné l'importance de relever ces défis au niveau de l'UE et au niveau international.

12e leçon : l’absence de généralisation des bases de données nationale d’identification des victimes en cas de pédopornographie

Les abus sexuels commis contre des enfants sur internet, sous différentes formes, ont considérablement augmenté ces dernières années.
Afin de lutter efficacement contre de telles formes de criminalité, un large éventail de mesures tant préventives (notamment des formations et des campagnes d'information à des fins de sensibilisation) que coercitives (blocage d'accès ou suppression des contenus illicites) associant à la fois le secteur public et le secteur privé est mis en œuvre, à des degrés divers, dans les États membres.

Plusieurs États membres ont établi une base de données nationale consacrée à l'identification des victimes aux fins de la lutte contre les abus sexuels commis contre des enfants, ou avaient entrepris de mettre en place une telle base de données au moment où l'évaluation a été menée.
Toutefois, la majorité des États membres ne dispose pas d'une telle base de données, ou alors celle-ci n'était pas suffisamment développée au moment où l'évaluation a été menée.

13e leçon : favoriser la procédure de notification en cas de cyberattaques

Les cyberattaques représentent une menace en constante évolution, les méthodes et les outils utilisés pour mener ces attaques sont de plus en plus sophistiqués et l'éventail de cyberattaques menaçant le cyberespace est très large.
Au moment où l'évaluation a été menée, la majorité des États membres avaient déjà mis en place un CSIRT ou étaient en train de le faire, tandis que quelques États membres ne l'avaient pas encore fait.  Les tâches principales des CSIRT consistent à surveiller les incidents de sécurité informatique et à y répondre, à émettre des alertes précoces et des alertes, à fournir des analyses des risques et des incidents, ainsi qu'à mettre en place une coopération avec le secteur privé.
Dans certains cas, malgré l'absence d'obligation formelle, la notification s'effectue sur une base volontaire; cependant, comme le montrent certains rapports, le sous-signalement est fréquent en raison de la réticence des fournisseurs de services, qui craignent pour leur réputation.
Selon les conclusions de l'évaluation, sans obligation de notification, il existe un réel danger que la plupart des cyberincidents ne soient pas portés à la connaissance des autorités.
C'est pourquoi les évaluateurs ont estimé que la mise en place d'un cadre juridique adéquat rendant obligatoire cette notification, comme c'est le cas dans certains États membres, constitue une bonne pratique.

(synthèse du texte par securiteinterieure.fr)


 A lire aussi :

A lire également sur securiteinterieure.fr :





Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?


mercredi 15 novembre 2017

Détection des drones utilisés à des fins terroristes, une des mesures du plan d’action de "sécurisation des espaces publics"


Deux ans tout juste après les attaques de Paris, l'Europe de l'antiterrorisme se renforce toujours davantage. Tirant les conséquences des attentats survenus à Barcelone, Berlin, Bruxelles, Londres, Manchester, Nice ou encore Stockholm, un plan d'action visant à améliorer la protection des espaces publics a été présenté récemment dans le sillage de la déclaration de Nice de 2017.
Le "risque zéro" n’existe pas, mais les mesures opérationnelles, les actions de coordination et les orientations présentées dans ce plan d’action peuvent aider les États membres à remédier aux sérieuses vulnérabilités mises en lumière par ces attentats.

Plusieurs mesures sont à retenir  à ce propos :  un financement conséquent mis à disposition de projets innovants concernant notamment la signature d’un nouveau partenariat autour de la sécurité dans les espaces publics, la tenue d’une réunion de haut niveau en présence des maires qui ont signé la déclaration de Nice et la création de 2 nouvelles structures : le réseau de sécurité pour la protection des espaces publics à haut risque («High Risk Security Network») et le Forum des exploitants d’espaces publics («Operators’ Forum»).
La Commission européenne examinera les progrès réalisés concernant ce plan d’action d’ici fin de 2018.

Les « cibles molles », de quoi parle-t-on ?

L’Europe a été touchée par des attentats complexes de «haute intensité» combinant l’utilisation d’explosifs et d’armes à feu, mais elle a aussi été frappée par un nombre croissant d’attaques «moins sophistiquées» menées dans l’espace public au moyen d’objets d’usage courant, telles que des attaques à la voiture-bélier ou à l’arme blanche.
Les espaces publics sont régulièrement visés par les terroristes, qui exploitent les vulnérabilités intrinsèques de ces cibles dites vulnérables du fait de leur caractère libre et public. Les cibles concernées sont les zones piétonnes, les sites touristiques, les plateformes de transport, les centres commerciaux, les lieux de culte, les marchés en plein air, les salles de concert et les places publiques. Les cibles sont souvent choisies dans l’intention de faire un grand nombre de victimes.

La protection des espaces publics pose des problèmes particuliers aux États membres en raison de :
  • la grande diversité des lieux publics qui ont été ou sont susceptibles d’être touchés, de leurs caractéristiques propres (espaces entièrement libres ou zones bénéficiant d’un certain type de protection) ;
  • la variété des acteurs impliqués dans la protection de ces lieux, du risque d'innombrables victimes ;
  • la nécessité impérative de trouver un équilibre entre renforcer la sécurité et préserver le caractère libre des espaces publics, tout en veillant à ce que la population puisse continuer à vivre normalement.

Une philosophie : une « sécurité dès la conception »

Comme annoncé dans la lettre d’intention adressée au Parlement européen et à la présidence du Conseil et dans la feuille de route pour une Union plus unie, plus forte et plus démocratique, le  plan d’action propose des mesures destinées à fournir des orientations et un soutien aux États membres aux niveaux national, régional et local pour les aider à protéger les espaces publics.
Il s’inscrit dans un ensemble plus large de mesures de lutte contre le terrorisme qui seront mises en œuvre au cours des 16 prochains mois.

Il existe des solutions techniques qui peuvent contribuer à renforcer la sécurité des espaces publics tout en préservant leur caractère libre et public.
La «sécurité dès la conception» devrait s’imposer comme un principe essentiel dès les premières phases du développement des espaces publics. Ainsi, les entrées des bâtiments pourraient être conçues de manière à empêcher les intrusions de terroristes (ex.: zones de contrôle d’accès pour diminuer les risques) et les périmètres des bâtiments pourraient être protégés contre le passage de véhicules.

Il importe, selon le plan d’action, de continuer à développer les travaux de recherche pratique, les tests et les orientations afin de trouver un juste équilibre entre préserver le caractère libre des espaces publics et garantir une protection efficace.
Les mesures de protection, telles que les barrières de sécurité ou les équipements de détection, devraient être mises en œuvre aussi discrètement que possible pour minimiser leur incidence sur la société et éviter de créer des vulnérabilités secondaires.

Mieux anticiper la menace : l’exemple des drones

Les organisations terroristes cherchent constamment à innover, qu’il s’agisse de leurs techniques ou de leurs modes opératoires, c’est pourquoi l’UE doit être aussi innovante dans sa réaction, tirer parti des technologies et mettre en commun l’expertise disponible à travers l’Union pour détecter et atténuer les menaces émergentes.
Il s’agit, par exemple, des éventuelles menaces que représentent les véhicules aériens sans pilote (UAV ou drones) qui pourraient être utilisés par des terroristes.
Ces menaces, ainsi que les mesures pour faciliter la détection drones utilisés à des fins hostiles, seront examinées dans le cadre des travaux en cours sur les règles de l’UE visant à garantir la sûreté et la sécurité des opérations civiles des systèmes d’aéronef sans pilote à bord (UAS).

1er axe : multiplier les subventions de l’UE

Pour répondre aux besoins immédiats et à court terme, la Commission lance aujourd’hui un appel à propositions de projets dans le cadre du Fonds pour la sécurité intérieure (FSI) – Police pour un montant total de 18,5 millions d’euros. Ce financement ira à des projets transnationaux visant à améliorer la protection des espaces publics.

Ce financement à court terme sera complété en 2018 par un financement au titre de l'initiative Actions innovatrices urbaines (AIU) dans le cadre du Fonds européen de développement régional. Les projets qui visent à garantir la résistance physique des bâtiments et la protection physique des lieux très fréquentés et à promouvoir la sécurité dès la conception peuvent prétendre à un financement.
Il peut s’agir de mesures prises dans le cadre d’initiatives de réhabilitation urbaine pour renforcer et promouvoir la sécurité publique par la conception des espaces publics, par l’éclairage et par des campagnes de sensibilisation du public.
En octobre 2018, la Commission lancera un appel au titre de l’initiative Actions innovatrices urbaines, qui sera doté d’un budget total d’au maximum 100 millions d’euros et qui portera essentiellement sur la sécurité.

Des recherches supplémentaires sont nécessaires pour améliorer la capacité de détecter l’introduction, dans les espaces publics, d’explosifs, d’armes à feu et d’autres armes ou matières chimiques, biologiques, radiologiques et nucléaires (CBRN).
Les travaux de recherche devraient également porter sur l’efficacité de diverses mesures d’atténuation et définir des stratégies visant à diminuer la vulnérabilité et à accroître la résistance de différentes cibles potentielles.
Les tests jouent un rôle particulier à cet égard. Des efforts seront déployés pour adapter les projets de recherche menés au titre du programme-cadre de recherche Horizon 2020 en fonction de ces besoins.

2e axe : encourager la création de réseaux et nouer un nouveau partenariat

La planification et la conception urbaines peuvent contribuer à protéger les espaces publics. Le pacte d’Amsterdam, convenu en 2016 entre les ministres de l'UE chargés des questions urbaines, a établi le programme urbain de l'UE, qui propose une approche intégrée et coordonnée afin de prendre en considération la dimension urbaine des politiques et des législations européennes et nationales .

Il prévoit actuellement 12 priorités. En octobre 2017, la Commission proposera aux États membres de former un « nouveau partenariat autour de la sécurité dans les espaces publics », qui sera axé sur l’amélioration des connaissances, de la réglementation et du financement. La Commission invite les États membres et les pouvoirs locaux à soutenir cette initiative.

Comme la menace qui pèse sur les espaces publics est en constante évolution, il importe de mieux comprendre les tendances, les risques et les mesures d’atténuation envisageables.
À ce jour, l’UE a financé 48 projets de recherche en matière de sécurité portant sur la protection des espaces publics au titre du septième programme-cadre et du programme-cadre Horizon 2020, pour un montant total de 195 millions d’euros . Bon nombre de ces projets donnent aujourd’hui des résultats qui doivent être diffusés et, le cas échéant, suivis d’investissements permettant de les traduire en mesures pratiques. Afin de faciliter l’adoption des résultats de la recherche liée à la protection des espaces publics, la Commission mettra en place un échange entre le Forum de praticiens («Practitioners' Forum») et le réseau européen des services technologiques de police (ENLETS), ainsi que le réseau de praticiens au titre d’Horizon 2020.

3e axe : favoriser l’émergence d’une gouvernance européenne experte

Au niveau politique, la Commission a récemment créé un Groupe de travail de l'UE sur la protection des cibles vulnérables afin d’intensifier la coopération et la coordination entre les États membres.
Le groupe réunira des décideurs politiques nationaux et aura pour tâche de recueillir, d’échanger et de diffuser de bonnes pratiques et de conseiller la Commission sur les mesures supplémentaires à prendre pour protéger les espaces publics.
Il orientera les travaux selon deux axes de travail: le Forum de praticiens et le Forum des exploitants d’espaces publics.

Le Forum de praticiens réunit des professionnels des services répressifs des États membres et des réseaux de services de police comme AIRPOL, ATLAS, ENLETS et RAILPOL  pour qu’ils échangent leurs connaissances spécialisées en matière de protection des espaces publics.
Il sera complété par le nouveau réseau de sécurité pour la protection des espaces publics à haut risque («High Risk Security Network»), qui réunira des représentants des unités de police spécialisées responsables de la protection des espaces publics à haut risque.
Le réseau proposera une plateforme de formations communes et d’exercices conjoints qui permettront aux États membres d’améliorer leur préparation et de renforcer leur capacité de réaction en cas d’attaque.

4e axe : la diffusion de bonne pratiques

La coopération européenne sur la protection des espaces publics peut  apporter une valeur ajoutée à travers l’élaboration d’orientations communes, les tests des équipements, l’harmonisation des normes et l’échange de bonnes pratiques.
Les documents d’orientation de l’UE seront fondés sur de bonnes pratiques établies dans les États membres et pourront porter sur un large éventail de questions liées à la protection des espaces publics: protection physique des bâtiments et lieux publics; orientations ciblées sur des événements particuliers (manifestations sportives et culturelles) et des lieux précis (zone côté ville d’un aéroport) pour étayer les évaluations de la vulnérabilité; ou encore renforcement de la capacité de détection et de réaction.

Les documents d’orientation de l’UE peuvent également aider les États membres à sensibiliser le grand public qui, s’il est mieux informé, sera plus à même de signaler rapidement tout comportement suspect. Certains États membres ont élaboré du matériel de sensibilisation efficace tel que des vidéos, des dépliants et des affiches.
Ces bonnes pratiques devraient être partagées avec les autres États membres.

Depuis de nombreuses années, le secteur des transports est aussi bien la cible d’actes terroristes qu’un moyen de perpétrer des attentats (ex.: détournement d’avions ou camions-béliers).
La Commission travaille à l’élaboration d’une boîte à outils d’orientations relatives aux bonnes pratiques en matière de sécurité pour le secteur du transport commercial par route.
Elle aura pour objectif d’améliorer la sécurité des poids lourds en atténuant le risque d’intrusion non autorisée, y compris de détournement ou de vol, afin de commettre une attaque terroriste au camion-bélier.
Cette boîte à outils sera disponible avant la fin de l’année 2017 et fournira des orientations aux secteurs nationaux du transport par route.
Il convient d’explorer les nouvelles solutions technologiques, telles que les systèmes anticollision, le freinage automatique d’urgence ou la possibilité pour les services de police d’arrêter des voitures à distance.

La protection des espaces publics étant un défi mondial, il importe d’échanger les bonnes pratiques en la matière dans les enceintes multilatérales et avec les pays partenaires extérieurs à l’UE.
Le Forum mondial de lutte contre le terrorisme (GCTF) a abordé la question de la protection des espaces publics et a élaboré des manuels de bonnes pratiques pour partager les enseignements tirés.
Il importe, selon le plan d’action, d’intensifier la coopération internationale pour approfondir ces travaux, notamment avec des partenaires clés tels que les États-Unis (par exemple la détection d’explosifs).

5e axe : une meilleure implication des acteurs locaux et du secteur privé

Les espaces publics tels que les centres commerciaux ou les salles de concerts sont souvent détenus ou exploités par des entités privées. Il est donc nécessaire d’impliquer celles-ci dans les efforts déployés pour renforcer la protection des espaces publics.
La Commission créera un Forum des exploitants d’espaces publics («Operators’ Forum») pour nouer le dialogue avec ces exploitants et d’autres parties prenantes du secteur privé comme, par exemple, les entreprises de location de voitures. Cette démarche facilitera une prise de conscience commune des défis actuels en matière de sécurité et encouragera les partenariats public-privé autour de la sécurité pour améliorer la protection des espaces publics.

Les autorités locales et régionales sont également des parties prenantes importantes dans ce domaine. La Commission intensifiera leur participation et entamera un dialogue avec les autorités régionales et locales, telles que les maires des grandes villes, pour partager des informations et de bonnes pratiques en matière de protection des espaces publics.

Faisant suite à la déclaration de Nice du 29 septembre 2017, la Commission organisera, au début de l’année prochaine et en collaboration avec le Comité des régions, une réunion de haut niveau en présence des maires qui ont signé la déclaration de Nice et d’autres représentants concernés des échelons locaux et régionaux afin de continuer à échanger de bonnes pratiques en matière de protection des espaces publics.

(synthèse du texte par securiteinterieure.fr)


A lire aussi :

A lire par ailleurs :

A lire également sur securiteinterieure.fr :


Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?


jeudi 9 novembre 2017

Les ministres de l’Intérieur rappellent l’importance de se concentrer sur la lutte contre le terrorisme, la criminalité organisée et la cybercriminalité


Si les « midterm » auront lieu aux États-Unis dans un an tout juste, pour l’Europe de la sécurité, c’est dès à présent. Les 28 ministres de l’Intérieur du Conseil ont approuvé, lors de leur dernière réunion, des conclusions sur l'examen à mi-parcours de la stratégie de sécurité intérieure renouvelée pour l'UE 2015-2020. Dans ce texte, ils insistent sur l’importance de recentrer l'action de l’UE et des États membres. Dans quel but ? Renforcer la capacité des services répressifs à prévenir la criminalité transfrontière. 

D’où vient-on ?

Les conclusions du Conseil de juin 2015 sur la stratégie 2015-2020 prévoient un examen à mi-parcours de la stratégie renouvelée.


Il y a peu, la Commission a présenté une communication relative à une union de la sécurité. Ce texte appelle à :
  • mettre en place des outils juridiques et pratiques permettant aux services répressifs nationaux des États membres de collaborer pour s'attaquer aux problèmes communs qui subsistent, à savoir les lacunes, la fragmentation et les limitations opérationnelles des outils d'échange d'informations existants ;
  • rendre les structures de coopération aussi efficaces que possible ;
  • faire en sorte que la législation européenne destinée à lutter contre les activités des terroristes et des criminels soit solide et à jour.

Ce texte présente des résultats de l'évaluation globale de la politique de l'UE en matière de sécurité menée par la Commission, dans laquelle y figurent les trois priorités du programme européen en matière de sécurité et de la stratégie de sécurité intérieure renouvelée pour l'Union européenne 2015-2020 .

Quelles sont les difficultés relevées ?

Les préoccupations qui ressortent de l'évaluation globale du fait que la politique européenne de sécurité intérieure n'est pas totalement mise en œuvre de manière effective, ce qui pourrait limiter l'incidence positive des instruments existants, en particulier en ce qui concerne:
  • les lacunes dans l'exploitation des systèmes d'information et des bases de données de l'UE ainsi que dans l'échange d'informations ;
  • la nécessité d'une réponse globale dans le domaine de la lutte contre le terrorisme, qui allie à un cadre pénal renforcé des mesures de prévention de la radicalisation et une plus grande efficacité dans l'échange d'informations concernant les infractions terroristes ;
  • l'exploitation pleine et entière des procédures d'enquête financière dans la lutte contre le financement du terrorisme ;
  • les possibilités d'amélioration qui existent encore en matière de recouvrement d'avoirs et de lutte contre le blanchiment d'argent et la criminalité financière ;
  • l'action de l'UE dans le domaine de la criminalité organisée, qui nécessite une approche horizontale et globale, plutôt qu'une approche fractionnée axée sur des formes particulières de criminalité ;
  • le renforcement de la lutte contre la cybercriminalité, en particulier en ce qui concerne l'accès transfrontière aux éléments de preuve, la coopération avec des acteurs privés, un tableau plus complet du renseignement criminel sur les menaces et une plus grande coordination entre tous les acteurs concernés.

Que faut-il dès retenir ?

Aux yeux des 28 ministres de l’Intérieur du Conseil, 3 domaines prioritaires méritent une action coordonnée forte :
  • lutte contre le terrorisme ;
  • la prévention de la grande criminalité organisée ;
  • la prévention  de la cybercriminalité.

Pour ce faire, les ministres de l’Intérieur du Conseil suggèrent :
  • de répondre aux questions soulevées par la radicalisation, notamment en ligne ;
  • de renforcer la résilience de l'UE dans des domaines tels que la protection des espaces publics,
  • de continuer d'améliorer la lutte contre la criminalité financière et le blanchiment d'argent, et de faciliter le recouvrement d'avoirs, en :
    • apportant un soutien à la coopération pratique effective entre les États membres ;
    • encourageant les États membres et le secteur privé à travailler en partenariat ;
  • d’assurer l'échange d'informations et l'interopérabilité entre les différentes bases de données dans le domaine de la justice et des affaires intérieures, y compris la simplification des procédures d'accès pour les services répressifs nationaux ;
  • de renforcer la lutte contre la cybercriminalité en :
    • analysant régulièrement le tableau des différentes menaces ainsi que le caractère évolutif de la criminalité ;
    • en ajustant les instruments politiques en conséquence, l'accent étant mis sur la prévention et une meilleure coopération opérationnelle ;
    • en veillant à la disponibilité d'outils d'investigation performants, qui soient adaptés à l'ère numérique, notamment en traitant le rôle du chiffrement dans les enquêtes pénales;
  • de renforcer encore le lien entre sécurité intérieure et extérieure pour progresser dans la mise en œuvre de la stratégie globale et d'une union de la sécurité réelle et effective.

Des rapports plus étroits entre sécurité intérieure/sécurité extérieure

Les conclusions sur la stratégie de sécurité intérieure renouvelée pour l'Union européenne 2015-2020 :
  • appellent à veiller à la cohérence avec la communication conjointe de la Commission et de la haute représentante sur la lutte contre les menaces hybrides ;
  • insistent sur le fait qu'il conviendrait de suivre une approche rapide et souple, fondée sur le renseignement, qui permette à l'Union européenne de réagir de manière globale et coordonnée à des menaces émergentes, y compris des menaces hybrides.
Au regard de ces conclusions et de l'importance de l'imbrication entre sécurité intérieure et sécurité extérieure, le Conseil  notamment en renforçant la coopération avec des pays tiers, en particulier les pays des Balkans occidentaux, la Turquie, les pays de la région du Proche-Orient et de l'Afrique du Nord (MENA) et les pays du partenariat oriental.

Il s’agit notamment :
  • de s'attaquer aux causes profondes des problèmes de sécurité
  • d’améliorer l'échange d'informations avec ces pays.
La coopération avec ces pays s'étendrait à la lutte contre le terrorisme et à la prévention de la diffusion de l'extrémisme violent et de la radicalisation; à la lutte contre la grande criminalité organisée transfrontière, y compris le trafic de migrants et la traite des êtres humains, le trafic d'armes et de biens, ainsi qu'à la lutte contre la cybercriminalité et les menaces hybrides.

Une gouvernance de la sécurité intérieure approfondie

Le Conseil :
  • réaffirme le rôle central du comité permanent de coopération opérationnelle en matière de sécurité intérieure (COSI) dans :
    • le renforcement de la coopération opérationnelle entre les autorités des États membres ;
    • la mise en œuvre et le suivi de la stratégie de sécurité intérieure 2015-2020 ;
  • souligne le rôle important que joue le cycle politique de l'UE en vue de :
    • renforcer la coopération opérationnelle ;
    • contribuer  de manière notable à la mise en œuvre de la stratégie 2015-2020 ;
    • garantir à cet égard le recours à l'approche proactive axée sur le renseignement en matière pénale ;
  • considère qu'il est important d'adopter une approche plus analytique et plus simple à la fois de la programmation et de l'établissement de rapports lors de la mise en œuvre de la stratégie 2015-2020.

(synthèse du texte par Pierre Berthelet, auteur de securiteinterieure.fr)


A lire également sur securiteinterieure.fr :
A lire également les travaux par l'auteur de securiteinterieure.fr :


Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?


vendredi 3 novembre 2017

La directive « sécurité des réseaux », des standards de cybersécurité à appliquer sans modération !


Toujours dans le volumineux « parquet cybersécurité » présenté ce trimestre, figure une très intéressante une évaluation de la directive relative à la sécurité des réseaux et des systèmes d’information dans l’Union («directive SRI»).
L’objectif de cette directive de 2016 est d’atteindre un niveau élevé commun de sécurité dans ces domaines.
Une telle directive constitue, au regard de  cette évaluation, un premier pas : pour faire face aux menaces et aux risques cyber, les Etats membres sont invités à étendre les standards de ce texte aux secteurs non couverts.

De quoi parle-t-on ?

La directive SRI, adoptée le 6 juillet 2016, est la première législation horizontale de l’Union européenne qui aborde les défis liés à la cybersécurité.
Le délai de transposition fixé au 9 mai 2018 et de la date limite du 9 novembre 2018 déterminée pour l’identification des opérateurs de services essentiels (OSE).  Cette directive  comporte trois objectifs principaux:
  • améliorer les capacités nationales en matière de cybersécurité;
  • renforcer la coopération au niveau de l’Union européenne; et
  • promouvoir une culture de la gestion des risques et du signalement des incidents parmi les principaux acteurs économiques.
Sa mise en œuvre est une composante essentielle du paquet «cybersécurité» présenté le 13 septembre 2017.
Pour la Commission européenne, l’efficacité de la réponse de l’UE sera limitée tant que la directive SRI ne sera pas pleinement transposée dans tous les États membres de l’Union.

L’ANSSI, l’exemple français de l’ « autorité nationale en matière de sécurité des réseaux »

La directive SRI exige des États membres qu’ils désignent des autorités nationales en matière de sécurité des réseaux et des systèmes d’information.
Ils sont libres de désigner une seule autorité centrale. Lorsqu’ils décident de cette approche, ils peuvent s’inspirer de l’expérience tirée des approches nationales utilisées dans le contexte de la législation en vigueur sur la protection des infrastructures d’information critiques (PIIC).
Les États membres peuvent également opter pour un modèle décentralisé ou pour diverses formules hybrides comportant des éléments d’approches centralisées et décentralisées.

La France est un bon exemple d’État membre de l’Union doté d’une approche centralisée. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été désignée comme la principale autorité nationale de défense des systèmes d’information en 2011.
Elle joue un rôle de supervision fort à l’égard des «opérateurs d’importance vitale» (OIV): l’agence peut ordonner aux OIV de se conformer aux mesures de sécurité et est habilitée à effectuer des audits de sécurité à leur égard. En outre, il s’agit du principal point de contact unique pour les OIV, qui sont tenus de signaler les incidents de sécurité à l’agence.

En cas d’incidents de sécurité, l’ANSSI agit en tant qu’agence de secours pour la PIIC et décide des mesures que les opérateurs doivent prendre pour répondre à la crise.
Les actions gouvernementales sont coordonnées au sein du centre opérationnel de l’ANSSI. La détection des menaces et la réponse aux incidents au niveau opérationnel sont effectuées par le CERT-FR, qui fait partie de l’ANSSI.
La France a mis en place un cadre juridique complet pour la PIIC. En 2006, le premier ministre a ordonné l’établissement d’une liste de secteurs d’infrastructures critiques. Sur la base de cette liste, qui recense douze secteurs vitaux, le gouvernement a défini environ 250 OIV.
En 2013, la loi de programmation militaire (LPM)  a été promulguée. Elle fixe différentes obligations pour les OIV, telles que le signalement des incidents ou la mise en œuvre de mesures de sécurité.

Quant à la Suède, elle est un bon exemple de pays qui suit une approche décentralisée dans le cadre de la PIIC.
Parmi ces agences figurent l’Agence suédoise pour les contingences civiles (MSB), l’Agence suédoise des postes et télécommunications (PTS) et plusieurs agences suédoises, militaires de défense et de maintien de l’ordre. Afin de coordonner les actions entre les différentes agences et entités publiques, le gouvernement suédois a mis en place un réseau coopératif composé d’autorités «dotées de responsabilités sociétales spécifiques en matière de sécurité de l’information».
Ce groupe de coopération pour la sécurité de l’information (SAMFI) est composé de représentants des différentes autorités et se réunit plusieurs fois par an.
Les domaines d’intervention de la SAMFI se situent principalement dans des domaines politico-stratégiques et couvrent des thèmes tels que les questions techniques et la normalisation, le développement national et international dans le domaine de la sécurité de l’information ou la gestion et la prévention des incidents informatiques.

1er chantier : étendre les « Stratégie nationale en matière de sécurité des réseaux et des systèmes d’information » (SNCS)


La fonction d’une stratégie nationale est de définir les objectifs stratégiques et les mesures politiques et réglementaires appropriées en matière de cybersécurité.
L’obligation d’adopter une SNCS ne s’applique qu’aux secteurs de l’énergie, transports,  banques, marché financier, santé,  fourniture et  distribution d’eau potable, et infrastructures numériques, de marché en ligne, moteurs de recherche en ligne et service d’informatique en nuage.

Bien que la directive se concentre naturellement sur les entreprises et les services qui revêtent une importance critique particulière, c’est la cybersécurité de l’économie et de la société dans son ensemble qui doit être abordée de manière globale et cohérente.
Par conséquent, pour la Commission européenne, l’adoption de stratégies nationales globales allant au-delà des exigences minimales de la directive SRI augmenterait le niveau global de sécurité des réseaux et des systèmes d’information.
Pour ce qui est de la France, il s'agit de la stratégie de 2015.

2e chantier : renforcer les capacités des réponse aux incidents de sécurité informatique (CSIRT)  nationaux


Faute de CSIRT nationaux efficaces et dotés de ressources suffisantes dans toute l’UE, celle-ci restera trop vulnérable face aux menaces cybernétiques transfrontalières. Plus exactement, les CSIRT assurent :
  • le suivi des incidents au niveau national;
  • l’activation du mécanisme d’alerte précoce et diffusion de messages d’alerte ;
  • l’intervention en cas d’incident;
  • l’analyse dynamique des risques et incidents ;
  • la participation au réseau des CSIRT nationaux (réseau des CSIRT) ;
  • de manière optionnelle, les notifications d’incidents.

Le programme du mécanisme pour l’interconnexion en Europe (MIE) relatif aux infrastructures de services numériques (DSI) dans le domaine de la cybersécurité peut fournir un financement européen important pour aider les CSIRT des États membres à améliorer leurs capacités et à coopérer entre eux par le biais d’un mécanisme de coopération en matière d’échange d’informations.

En outre, un CSIRT nouvellement créé peut compter sur les conseils et l’expertise de l’ENISA.
Cette agence a publié un certain nombre de documents et d’études décrivant les bonnes pratiques et formulant des recommandations au niveau technique.
En outre, les conseils et les bonnes pratiques ont également été partagés par des réseaux de CSIRT tant au niveau mondial (FIRST) qu’européen (Trusted Introducer, TI).

Pour la Commission européenne, les États membres pourraient donc envisager d’étendre les compétences des CSIRT au-delà des secteurs et services couverts par la directive.
Cela permettrait aux CSIRT nationaux d’apporter un soutien opérationnel en cas de cyberincidents dans des entreprises et des organisations qui ne relèvent pas du champ d’application de la directive mais qui sont également importantes pour la société et l’économie.

3e chantier : opérer une cohérence du processus d’identification des OSE

Comme les fournisseurs de service numérique (FSN), les opérateurs de services essentiels (OSE) sont soumises à des obligations concernant les exigences de sécurité et les notifications d’incidents. Ils sont tenus de prendre des mesures de sécurité appropriées et de notifier les incidents graves aux autorités nationales.

Pour la plupart des opérateurs qui appartiennent aux «secteurs traditionnels», la législation de l’Union contient des définitions bien développées.
Toutefois, ce n’est pas le cas pour le secteur des infrastructures numériques, y compris les points d’échange internet, les systèmes de noms de domaine et les registres de noms de domaine de haut niveau.
C’est pourquoi, dans le but de clarifier ces définitions, l’annexe fournit une explication détaillée les concernant.

Pour la Commission européenne, il serait très utile d’harmoniser les approches nationales en matière d’identification des opérateurs de services essentiels, notamment ces définitions. Cela contribuerait à une application plus harmonisée des dispositions de la directive et réduirait ainsi le risque de fragmentation du marché. Ceci favoriserait ainsi un effet de marché unique.

En outre, la Commission européenne estime qu’il serait judicieux que les États membres envisagent d’inclure certaines administrations publiques dans le champ de la directive, au-delà de la prestation de services essentiels : le secteur postal, le secteur alimentaire (pour englober des services essentiels tels que la sécurité alimentaire),  l’industrie chimique et nucléaire (le stockage et le traitement de produits chimiques/matières nucléaires), le secteur de l’environnement (surveillance et le contrôle de la pollution et des phénomènes météorologiques), et la protection civile.

Par ailleurs, les États membres pourraient envisager d’aligner leurs approches nationales afin de pouvoir fournir dès que possible des informations pertinentes fondées sur ces notifications aux autorités compétentes ou au CSIRT des autres États membres concernés.
Des informations précises et exploitables seraient essentielles pour réduire le nombre d’infections ou remédier aux vulnérabilités avant qu’elles ne soient exploitées.

Dans un esprit de partenariat visant à tirer le meilleur parti de la directive SRI, la Commission européenne a l’intention d’accorder un soutien au titre du mécanisme pour l’interconnexion en Europe à toutes les parties prenantes concernées par cette législation.

(synthèse du texte par securiteinterieure.fr)


 A lire aussi :

A lire également sur securiteinterieure.fr :




Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?