Sécurité des réseaux et de l'information: Proposition pour une

  • View
    213

  • Download
    0

Embed Size (px)

Transcript

  • 1

    COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENTEUROPEN, AU COMITE ECONOMIQUE ET SOCIAL ET AU COMITE DES

    REGIONS

    Scurit des rseaux et de linformation:

    Proposition pour une approche politique europenne

  • 2

    Scurit des rseaux et de linformation:une approche politique europenne

    Table des matires

    1. Introduction

    2. Analyse des problmes de scurit des rseaux et de linformation

    2.1. Dfinition de la scurit des rseaux et de linformation

    2.2. Aperu des menaces pour la scurit

    2.2.1. Interception des communications

    2.2.2. Accs non autoris aux ordinateurs et aux rseaux d'ordinateurs

    2.2.3. Perturbation des rseaux

    2.2.4. Excution de logiciels malveillants modifiant ou dtruisant des donnes

    2.2.5. Dclarations mensongres

    2.2.6. Evnements environnementaux et non intentionnels

    2.3. Nouveaux dfis

    3. Une approche politique europenne

    3.1. Justification d'une action publique

    3.2. Sensibilisation

    3.3. Un systme europen d'alerte et d'information

    3.4. Soutien technologique

    3.5. Soutien une normalisation et une certification orientes vers les besoins dumarch

    3.6. Cadre juridique

    3.7. Scurit dans les administrations publiques

    3.8. Coopration internationale

    4. Prochaines tapes

  • 3

    1. Introduction

    La scurit des rseaux lectroniques et des systmes dinformation suscite de plus en plus deproccupations paralllement l'augmentation rapide du nombre d'utilisateurs et du montant deleurs transactions. La scurit a maintenant atteint un point critique o elle reprsente unencessit pour la croissance du commerce lectronique et le fonctionnement de toute lconomie.La combinaison de plusieurs facteurs explique que la scurit de l information et descommunications se trouve maintenant en tte des priorits politiques de l'Union europenne:

    Les gouvernements se sont rendu compte de la mesure dans laquelle leur conomie et leurscitoyens sont dpendants d'un fonctionnement efficace des rseaux de communication etplusieurs d'entre eux ont commenc revoir leurs dispositions en matire de scurit.

    L'internet a cr une connectivit mondiale permettant de relier entre eux des millions derseaux, petits et grands, et des centaines de millions d'ordinateurs individuels, et de plus enplus d'autres appareils, incluant les tlphones portables. Ceci a grandement facilit l'accsillgal et distance des informations conomiques prcieuses.

    On a assist une large propagation de virus informatiques sur l'internet, virus qui ont causd'importants dommages en dtruisant des informations et en interdisant l'accs aux rseaux.De tels problmes de scurit ne se confinent pas un pays de manire individuelle maisstendent rapidement travers les Etats membres.

    En lanant le plan d'action eEurope 2002, les Conseils europens de Lisbonne et de Feira ontestim que l'internet constitue l'un des moteurs essentiels de la productivit des conomies del'UE.

    Dans ce contexte, le Conseil europen de Stockholm des 23 et 24 mars 2001 a conclu: "le Conseil,en concertation avec la Commission, mettra au point une vaste stratgie en matire de scurit des rseauxlectroniques, prvoyant des mesures de mise en uvre pratique. Cette stratgie devrait tre prte temps pour leConseil europen de Gteborg." La prsente communication constitue la rponse de la Commissioneuropenne cette demande du Conseil.

    Un environnement en mutation

    Tandis que la scurit est devenue l'un des principaux dfis auxquels sont confronts lesresponsables politiques, la recherche d'une rponse adquate ce problme devient une tche deplus en plus complexe. Il y a quelques annes seulement, la scurit des rseaux taitessentiellement un problme pour les monopoles d'tat offrant des services spcialiss bass surdes rseaux publics, notamment le rseau tlphonique. La scurit des systmes dordinateurstait limite aux grandes organisations et se focalisait sur le contrle de laccs. L'laborationd'une politique de scurit tait une tche relativement aise. La situation a chang radicalement la suite d'une srie de dveloppements intervenus sur l'ensemble des marchs, notamment lalibralisation, la convergence et la mondialisation.

    Les rseaux sont maintenant dtenus et grs principalement par des entreprises prives.Les services de communication sont ouverts la concurrence et la scurit fait partie de l'offre dumarch. Toutefois, de nombreux clients ignorent l'ampleur des risques auxquels ils sont expossquand ils se connectent un rseau et prennent donc leur dcision sans tre parfaitementinforms.

    Les rseaux et les systmes dinformation convergent. Ils sont de plus en plusinterconnects, offrant le mme type de services personnaliss et sans coutures (seamless),et

  • 4

    partageant dans une certaine mesure, la mme infrastructure. Les quipements terminaux (PC,tlphones portables, etc.) sont devenus des lments actifs dans l'architecture des rseaux etpeuvent tre connects diffrents rseaux.

    Les rseaux sont internationaux. Une partie importante des communications d'aujourd'huitraverse les frontires ou transite par des pays tiers ( parfois sans que lutilisateur final ne senrende compte), de sorte que toute solution un risque de scurit doit en tenir compte. Laplupart des rseaux sont constitus de produits commerciaux provenant de fournisseursinternationaux. Les produits de scurit doivent tre compatibles avec des normesinternationales.

    Importance politique

    Ces dveloppements restreignent la capacit des gouvernements d'influencer le niveau de scuritdes communications lectroniques des citoyens et des entreprises. Cela ne signifie pas cependantque le secteur public n'a plus un rle jouer pour un certain nombre de raisons :

    Premirement, il existe plusieurs mesures juridiques en vigueur au niveau communautaireayant des implications spcifiques en matire de scurit des rseaux et de linformation.En particulier, le cadre europen des tlcommunications et de la protection des donnescontient des dispositions obligeant les oprateurs et les fournisseurs de services d'assurer unniveau de scurit adquat par rapport aux risques en question.

    Deuximement, la scurit nationale suscite des proccupations croissantes dans la mesure oles systmes d'information et les rseaux de tlcommunications sont devenus un facteur critiquepour d'autres infrastructures (l'approvisionnement en eau et en lectricit, par exemple) etd'autres marchs (le march mondial des finances, par exemple).

    Enfin, l'action gouvernementale en rponse aux imperfections du march se justifie plusieursgards. Les prix du march ne refltent pas toujours exactement les cots et les bnfices desinvestissements dans l'amlioration de la scurit des rseaux, et ni les fournisseurs ni lesutilisateurs ne supportent toujours toutes les consquences de leur comportement. Le contrledu rseau est dispers et la faiblesse dun systme peut tre utilise pour en attaquer un autre. Lacomplexit des rseaux fait que les utilisateurs ont du mal valuer les dangers potentiels.

    La prsente communication a donc pour objectif de dterminer la ncessit dune actionpublique additionnelle ou amliore au niveau europen ou national.

    Le chapitre 2 dfinit la scurit des rseaux et de linformation, dcrit les principales menacespour la scurit et value les solutions existantes . Il entend fournir les donnes ncessaires enmatire de scurit des rseaux et de linformation pour une bonne comprhension des solutionsproposes. Il ne s'agit pas de donner un aperu technique exhaustif des problmes de scurit desrseaux.

    Le chapitre 3 propose une approche politique europenne visant amliorer la scurit desrseaux et de linformation. Il repose sur une analyse de la ncessit de complter les solutions dumarch avec des actions au niveau politique. Il prsente une srie de mesures concrtes, suite lademande du Conseil europen de Stockholm. La politique propose doit tre vue comme unepartie intgrante du cadre existant pour les services de communication lectronique, la protectiondes donnes et - plus rcemment - la politique en matire de cybercriminalit.

    2. Analyse des problmes de scurit des rseaux et de linformation

  • 5

    2.1. Dfinition de la scurit des rseaux et de linformation

    Les rseaux sont des systmes de stockage, de traitement et de circulation des donnes. Ils sontconstitus de composants de transmission (cbles, connexions radio, satellites, routeurs,passerelles, commutateurs, etc.), et de services de soutien (systme de noms de domaine incluantle serveur de base, service d'identification de l'appelant, services dauthentification etc.). Ilexisteun nombre surprenant dapplications lies aux rseaux (systme de distribution de-mails,logiciel de navigation, etc.) et d'quipements terminaux (tlphones, ordinateurs htes, PCs,tlphones mobiles, organisateurs personnels, appareils domestiques, machines industrielles, etc.).

    Les exigences gnriques de scurit des rseaux et de linformation prsentent lescaractristiques interdpendantes suivantes:

    i) Disponibilit Signifie que les donnes sont accessibles et les services oprationnels,mme en cas d'vnements perturbants tels que des pannes de courant, des catastrophesnaturelles, des accidents ou des attaques. Cette caractristique est particulirementimportante lorsqu'une une dfaillance du rseau de communication peut provoquer despannes dans d'autres rseaux critiques tels que les transports ariens ou la fournitured'lectricit.

    ii) Authentification Confirmation de l'identit suppose dentits ou dutilisateurs. Desmthodes d'authentification appropries sont ncessaires pour de nombreux services etapplications, comme la conclusion d'un contrat en ligne, le contrle de l'accs certainsservices et donnes (pour les tltravailleurs, par exemple) et l'authentification des sitesWeb (pour les banques Internet, par exemple). Lauthentification doit galement inc