1
COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENTEUROPÉEN, AU COMITE ECONOMIQUE ET SOCIAL ET AU COMITE DES
REGIONS
Sécurité des réseaux et de l’information:
Proposition pour une approche politique européenne
2
Sécurité des réseaux et de l’information:une approche politique européenne
Table des matières
1. Introduction
2. Analyse des problèmes de sécurité des réseaux et de l’information
2.1. Définition de la sécurité des réseaux et de l’information
2.2. Aperçu des menaces pour la sécurité
2.2.1. Interception des communications
2.2.2. Accès non autorisé aux ordinateurs et aux réseaux d'ordinateurs
2.2.3. Perturbation des réseaux
2.2.4. Exécution de logiciels malveillants modifiant ou détruisant des données
2.2.5. Déclarations mensongères
2.2.6. Evénements environnementaux et non intentionnels
2.3. Nouveaux défis
3. Une approche politique européenne
3.1. Justification d'une action publique
3.2. Sensibilisation
3.3. Un système européen d'alerte et d'information
3.4. Soutien technologique
3.5. Soutien à une normalisation et une certification orientées vers les besoins dumarché
3.6. Cadre juridique
3.7. Sécurité dans les administrations publiques
3.8. Coopération internationale
4. Prochaines étapes
3
1. Introduction
La sécurité des réseaux électroniques et des systèmes d’information suscite de plus en plus depréoccupations parallèlement à l'augmentation rapide du nombre d'utilisateurs et du montant deleurs transactions. La sécurité a maintenant atteint un point critique où elle représente unenécessité pour la croissance du commerce électronique et le fonctionnement de toute l’économie.La combinaison de plusieurs facteurs explique que la sécurité de l’ information et descommunications se trouve maintenant en tête des priorités politiques de l'Union européenne:
Ø Les gouvernements se sont rendu compte de la mesure dans laquelle leur économie et leurscitoyens sont dépendants d'un fonctionnement efficace des réseaux de communication etplusieurs d'entre eux ont commencé à revoir leurs dispositions en matière de sécurité.
Ø L'internet a créé une connectivité mondiale permettant de relier entre eux des millions deréseaux, petits et grands, et des centaines de millions d'ordinateurs individuels, et de plus enplus d'autres appareils, incluant les téléphones portables. Ceci a grandement facilité l'accèsillégal et à distance à des informations économiques précieuses.
Ø On a assisté à une large propagation de virus informatiques sur l'internet, virus qui ont causéd'importants dommages en détruisant des informations et en interdisant l'accès aux réseaux.De tels problèmes de sécurité ne se confinent pas à un pays de manière individuelle maiss’étendent rapidement à travers les Etats membres.
Ø En lançant le plan d'action eEurope 2002, les Conseils européens de Lisbonne et de Feira ontestimé que l'internet constitue l'un des moteurs essentiels de la productivité des économies del'UE.
Dans ce contexte, le Conseil européen de Stockholm des 23 et 24 mars 2001 a conclu: "le Conseil,en concertation avec la Commission, mettra au point une vaste stratégie en matière de sécurité des réseauxélectroniques, prévoyant des mesures de mise en œuvre pratique. Cette stratégie devrait être prête à temps pour leConseil européen de Göteborg." La présente communication constitue la réponse de la Commissioneuropéenne à cette demande du Conseil.
Un environnement en mutation
Tandis que la sécurité est devenue l'un des principaux défis auxquels sont confrontés lesresponsables politiques, la recherche d'une réponse adéquate à ce problème devient une tâche deplus en plus complexe. Il y a quelques années seulement, la sécurité des réseaux étaitessentiellement un problème pour les monopoles d'État offrant des services spécialisés basés surdes réseaux publics, notamment le réseau téléphonique. La sécurité des systèmes d’ordinateursétait limitée aux grandes organisations et se focalisait sur le contrôle de l’accès. L'élaborationd'une politique de sécurité était une tâche relativement aisée. La situation a changé radicalement àla suite d'une série de développements intervenus sur l'ensemble des marchés, notamment lalibéralisation, la convergence et la mondialisation.
Les réseaux sont maintenant détenus et gérés principalement par des entreprises privées.Les services de communication sont ouverts à la concurrence et la sécurité fait partie de l'offre dumarché. Toutefois, de nombreux clients ignorent l'ampleur des risques auxquels ils sont exposésquand ils se connectent à un réseau et prennent donc leur décision sans être parfaitementinformés.
Les réseaux et les systèmes d’information convergent. Ils sont de plus en plusinterconnectés, offrant le même type de services personnalisés et sans coutures (seamless),et
4
partageant dans une certaine mesure, la même infrastructure. Les équipements terminaux (PC,téléphones portables, etc.) sont devenus des éléments actifs dans l'architecture des réseaux etpeuvent être connectés à différents réseaux.
Les réseaux sont internationaux. Une partie importante des communications d'aujourd'huitraverse les frontières ou transite par des pays tiers ( parfois sans que l’utilisateur final ne s’enrende compte), de sorte que toute solution à un risque de sécurité doit en tenir compte. Laplupart des réseaux sont constitués de produits commerciaux provenant de fournisseursinternationaux. Les produits de sécurité doivent être compatibles avec des normesinternationales.
Importance politique
Ces développements restreignent la capacité des gouvernements d'influencer le niveau de sécuritédes communications électroniques des citoyens et des entreprises. Cela ne signifie pas cependantque le secteur public n'a plus un rôle à jouer pour un certain nombre de raisons :
Premièrement, il existe plusieurs mesures juridiques en vigueur au niveau communautaireayant des implications spécifiques en matière de sécurité des réseaux et de l’information.En particulier, le cadre européen des télécommunications et de la protection des donnéescontient des dispositions obligeant les opérateurs et les fournisseurs de services d'assurer unniveau de sécurité adéquat par rapport aux risques en question.
Deuxièmement, la sécurité nationale suscite des préoccupations croissantes dans la mesure oùles systèmes d'information et les réseaux de télécommunications sont devenus un facteur critiquepour d'autres infrastructures (l'approvisionnement en eau et en électricité, par exemple) etd'autres marchés (le marché mondial des finances, par exemple).
Enfin, l'action gouvernementale en réponse aux imperfections du marché se justifie à plusieurségards. Les prix du marché ne reflètent pas toujours exactement les coûts et les bénéfices desinvestissements dans l'amélioration de la sécurité des réseaux, et ni les fournisseurs ni lesutilisateurs ne supportent toujours toutes les conséquences de leur comportement. Le contrôledu réseau est dispersé et la faiblesse d’un système peut être utilisée pour en attaquer un autre. Lacomplexité des réseaux fait que les utilisateurs ont du mal à évaluer les dangers potentiels.
La présente communication a donc pour objectif de déterminer la nécessité d’une actionpublique additionnelle ou améliorée au niveau européen ou national.
Le chapitre 2 définit la sécurité des réseaux et de l’information, décrit les principales menacespour la sécurité et évalue les solutions existantes . Il entend fournir les données nécessaires enmatière de sécurité des réseaux et de l’information pour une bonne compréhension des solutionsproposées. Il ne s'agit pas de donner un aperçu technique exhaustif des problèmes de sécurité desréseaux.
Le chapitre 3 propose une approche politique européenne visant à améliorer la sécurité desréseaux et de l’information. Il repose sur une analyse de la nécessité de compléter les solutions dumarché avec des actions au niveau politique. Il présente une série de mesures concrètes, suite à lademande du Conseil européen de Stockholm. La politique proposée doit être vue comme unepartie intégrante du cadre existant pour les services de communication électronique, la protectiondes données et - plus récemment - la politique en matière de cybercriminalité.
2. Analyse des problèmes de sécurité des réseaux et de l’information
5
2.1. Définition de la sécurité des réseaux et de l’information
Les réseaux sont des systèmes de stockage, de traitement et de circulation des données. Ils sontconstitués de composants de transmission (câbles, connexions radio, satellites, routeurs,passerelles, commutateurs, etc.), et de services de soutien (système de noms de domaine incluantle serveur de base, service d'identification de l'appelant, services d’authentification etc.). Ilexisteun nombre surprenant d’applications liées aux réseaux (système de distribution d’e-mails,logiciel de navigation, etc.) et d'équipements terminaux (téléphones, ordinateurs hôtes, PCs,téléphones mobiles, organisateurs personnels, appareils domestiques, machines industrielles, etc.).
Les exigences génériques de sécurité des réseaux et de l’information présentent lescaractéristiques interdépendantes suivantes:
i) Disponibilité – Signifie que les données sont accessibles et les services opérationnels,même en cas d'événements perturbants tels que des pannes de courant, des catastrophesnaturelles, des accidents ou des attaques. Cette caractéristique est particulièrementimportante lorsqu'une une défaillance du réseau de communication peut provoquer despannes dans d'autres réseaux critiques tels que les transports aériens ou la fournitured'électricité.
ii) Authentification – Confirmation de l'identité supposée d’entités ou d’utilisateurs. Desméthodes d'authentification appropriées sont nécessaires pour de nombreux services etapplications, comme la conclusion d'un contrat en ligne, le contrôle de l'accès à certainsservices et données (pour les télétravailleurs, par exemple) et l'authentification des sitesWeb (pour les banques Internet, par exemple). L’authentification doit également inclure lapossibilité de rester anonyme, dans la mesure où de nombreux services ne nécessitent pasl’identité de l’utilisateur, mais seulement la confirmation de certains critères (piècesjustificatives anonymes), telle la capacité de payement .
iii) Intégrité – Confirmation que les données qui ont été envoyées, reçues ou stockées sontcomplètes et n'ont pas été modifiées. Ceci est particulièrement important pourl'authentification en vue de la conclusion de contrats ou quand l’exactitude des données estnécessaires (données médicales, design industriel, etc… ).
iv) Confidentialité – Protection des communications ou des données stockées contrel'interception et la lecture par des personnes non autorisées. La confidentialité estparticulièrement nécessaire pour la transmission des données sensibles et constitue une desexigences pour aborder les problèmes de protection de la vie privée des utilisateurs desréseaux de communication.
Il convient de tenir compte de tous les événements qui menacent la sécurité et pas uniquementceux de nature malveillante. Du point de vue d’un utilisateur, les menaces telles que les incidentsenvironnementaux ou les erreurs humaines qui perturbent le réseau sont potentiellement aussicoûteuses que les attaques malveillantes. La sécurité des réseaux et de l’information peutdonc être comprise comme la capacité d’un réseau ou d’un système d’information derésister, à un niveau de confiance donné, aux événements accidentels ou aux actionsmalveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et laconfidentialité des données stockées ou transmises et des services connexes que cesréseaux et systèmes offrent ou qu'ils rendent accessibles.
2.2. Aperçu des menaces pour la sécurité
Les entreprises qui utilisent le réseau pour vendre leurs produits ou organiser leurs livraisonspeuvent être paralysées par une attaque de type "refus de service". Des informations personnelles
6
et financières peuvent être interceptées en vue d'un usage frauduleux. La sécurité nationale peutêtre menacée. Ces exemples donnent une indication des menaces que représente une sécuritéinsuffisante. Une distinction est faite entre les attaques intentionnelles (sections 2.2.1 à 2.2.5) etles événements non intentionnels (section 2.2.6). L’objectif de ces sections est de spécifier lestypes de risques affectant la sécurité en vue de préparer l'établissement d'un cadre politique pouraméliorer la sécurité au chapitre 3.
2.2.1. Interception des communications
Les communications électroniques peuvent être interceptées et des données peuvent être copiéesou modifiées. L'interception peut se faire de différentes manières, de l'accès physique aux lignesde réseau, par exemple écoutes téléphoniques, et la surveillance des transmissions radio. Lespoints les plus critiques pour l'interception du trafic des communications sont les points degestion et de concentration du réseau, comme les routeurs, les passerelles, les commutateurs et lesserveurs d'exploitation du réseau.
Il convient de faire une distinction entre l’ interception malveillante ou illégale descommunications et les activités légales d'interception. L'interception des communications pourdes raisons de sécurité publique est autorisée dans des cas particuliers et à des fins limitées danstous les États membres de l'UE. Il existe un cadre juridique permettant aux organes chargés defaire respecter la loi d'obtenir une ordonnance judiciaire ou, dans le cas de deux États membres,une autorisation délivrée personnellement par un ministre occupant un rang élevé dans lahiérarchie ministérielle, pour intercepter des communications.
Dommages potentiels – L'interception illégale peut causer des dommages à la fois parl'intrusion dans la vie privée des personnes et par l'exploitation des données interceptées commeles mots de passe ou les détails des cartes de crédit, en vue d'obtenir un gain commercial ou à desfins de sabotage. On estime qu'il s'agit là d'un des principaux freins au développement ducommerce électronique en Europe.
Solutions envisageables – La défense contre l'interception peut être assurée par lesopérateurs, qui doivent veiller à la sécurité du réseau, conformément entre autre à la directive97/66/CE1, et par les utilisateurs, qui peuvent chiffrer les données transmises sur le réseau.
Pour les opérateurs, la protection du réseau contre l'interception est une tâche complexe etcoûteuse. La méthode classique utilisée par les opérateurs de services de télécommunicationspour sécuriser le réseau consistait à contrôler l'accès physique aux installations et à donner desinstructions à leur personnel. Le chiffrement du trafic n'était utilisé qu'occasionnellement. Dans lecas des solutions sans fil, il s'agit de veiller à ce que les transmissions radio soientconvenablement chiffrées. Les opérateurs de services de communication mobile chiffrent le traficentre le téléphone mobile et la station de base. Dans la plupart des pays de l'UE, l'efficacité duchiffrement est plus faible que ce qui est techniquement faisable en raison de la nécessité defaciliter les interceptions légales. Pour la même raison, le chiffrement peut être actionné oudésactionné à partir des stations de base sans que l’utilisateur n’en soit informé.
Les utilisateurs peuvent décider de chiffrer eux-mêmes les données ou les communicationsvocales indépendamment des dispositions de sécurité du réseau. Même si elles sont interceptées,les données correctement chiffrées sont incompréhensibles pour tout le monde, sauf ledestinataire autorisé. Des logiciels et du matériel de chiffrement sont largement disponibles pour
1 Directive sur la protection des données dans le secteur des télécommunications (JO L 24 du 30.1.1998)
7
pratiquement tous les types de communications2. Des produits spéciaux peuvent chiffrer uneconversation téléphonique ou une transmission par télécopie. Les courriers électroniques peuventêtre chiffrés à l'aide d'un logiciel spécial ou d'un logiciel intégré dans un programme de traitementde texte ou la fenêtre active de l’utilisateur du courrier électronique . Pour l'utilisateur, leproblème réside dans le fait que s'il chiffre le courrier électronique ou les communicationsvocales, le destinataire doit être en mesure de les déchiffrer. Les équipements ou les logicielsdoivent être interopérables. Il est nécessaire aussi de connaître la clé de déchiffrement, ce quisignifie qu'il doit y avoir un mécanisme pour recevoir la clé, incluant l’authentification de celle-ci.Le coût du chiffrement en termes d’argent et d’efforts est considérable et les utilisateursmanquent souvent d’informations sur les risques de sécurité et les bénéfices, ce qui les empêchede prendre les meilleures décisions.
Un système de sécurité couramment utilisé sur l'internet, le Secure Socket Layer (SSL), chiffre lacommunication entre un serveur Web et le navigateur Web de l'utilisateur. Le développement decette technologie, en particulier la version la plus robuste (128 bits), a été freiné par lesdispositions restrictives prises par les États-Unis dans le passé en matière des contrôlesdesexportations. Les Etats-Unis ont révisé leur régime de contrôle des exportations suite àl’adoption en Europe du règlement double usage, qui créé un régime communautaire plus libéralen matière de contrôle des exportations de produits et de technologies pouvant avoir un doubleusage3. Les statistiques indiquent que les serveurs Web sécurisés en Europe sont beaucoup moinsnombreux qu'aux États-Unis (voir graphique).
Serveurs Web sécurisés(par 100 000 personnes)
0
5
10
15
20
25
30
EU USA
Source: OCDE (enquête netcraft - juillet 2000)
Les opérateurs, les utilisateurs et les producteurs sont confrontés au problème de normesconcurrentes et non interopérables. Par exemple, dans le domaine du courrier électroniquesécurisé, deux normes 4 se font concurrence. L'influence de l'Europe dans ce domaine est limitée.Le résultat est une profusion de produits non européens qui mettent en oeuvre ces normes etdont l'utilisation par les utilisateurs européens dépend de la politique du contrôle à l’exportationdes États-Unis. Alors que le niveau de sécurité offert par un grand nombre de ces produits (cf.Echelon5) suscite des préoccupations, certains gouvernements de l'UE envisagent l'usage de
2 Cf. la communication de la Commission "Assurer la sécurité et la confiance dans la communication
électronique", 8 octobre 1997, COM (1997) 503 final.3 Règlement CE n°1334/2000 du Conseil instituant un régime communautaire de contrôles des exportations de
biens et technologies à double usage (JO L 159 du 30.06.2000).4 S-MIME (secure multiple Internet mail extensions) et OpenPGP (Pretty Good Privacy) sont tous les deux des
normes du groupe de travail IETF (Internet Engineering Task Force).5 Le système ECHELON est soit-disant utilisé pour intercepter les courriers électroniques, les télécopies, le télex et
les communications téléphoniques passant par les réseaux mondiaux de télécommunications. Voir également les
8
logiciels à source ouverte pour renforcer la confiance dans les produits de chiffrement. Cesinitiatives restent encore à l'état d'actions pilotes6, elles ne sont pas encore coordonnées et il sepourrait que les forces du marché soient tout simplement plus fortes que les efforts isolés desgouvernements. La meilleure manière d'aborder ce problème consiste en une évaluationapprofondie des produits commerciaux et des logiciels à source ouverte.
2.2.2. Accès non autorisé aux ordinateurs et aux réseaux d'ordinateurs
L'accès non autorisé à un ordinateur ou à un réseau d'ordinateurs relève généralement d'uneintention malveillante de copier, modifier ou détruire des données. Dans le jargon technique, leterme technique employé pour désigner cette pratique est "intrusion". L'intrusion peut avoir lieude plusieurs manières: exploitation d'informations internes, attaques déclenchées par mots clé,attaques brutales (exploitation de la tendance des gens à utiliser des mots de passe prévisibles),ingénierie sociale (exploitation de la tendance des gens à divulguer l’information aux personnesinspirant la confiance) et interception de mots de passe. Elle se fait souvent à l’intérieur même d’organisations (attaques internes).
Dommages potentiels – Certaines intrusions non autorisées sont motivées par un défiintellectuel plutôt que par un gain pécuniaire. Cependant, ce qui a commencé comme une activitéirritante (souvent appelée hacking) a mis en évidence les points vulnérables des réseauxd'information et a incité les personnes ayant des intentions criminelles ou malveillantes àexploiter ces faiblesses. La protection contre l'accès non autorisé à leurs informationsconfidentielles, y compris leurs données financières, leurs comptes en banque et leurs donnéesmédicales, est un droit des individus. Pour le secteur public et les entreprises, les menaces vont del'espionnage économique à la modification des données internes ou publiques, y compris ledétournement des sites internet.
Solutions envisageables – Les méthodes les plus couramment utilisées pour se protéger contrel'accès non autorisé sont le contrôle des mots de passe et l'installation de logiciels « coupe-feu »(firewalls). Ces solutions ne procurent toutefois qu'une protection limitée et doivent êtrecomplétées par d'autres contrôles de sécurité, par exemple la reconnaissance d'attaques, ladétection d'intrusions et les contrôles au niveau des applications (incluant celles utilisant les cartesà puce). L'efficacité des contrôles dépend de la façon dont leur fonctionnalité correspond auxrisques liés à un environnement spécifique. Il faut arriver à un équilibre entre la protection duréseau et les avantages du libre accès. En raison de l'évolution rapide de la technologie et desnouvelles menaces qui en résultent pour les réseaux, les contrôles de la sécurité des réseauxdoivent être revus de manière indépendante en permanence. Tant que les utilisateurs et lesfournisseurs ne sont pas entièrement conscients de la vulnérabilité potentielle de leur réseau, lessolutions potentielles resteront inexplorées. Le graphique ci-dessus donne un aperçu del'utilisation actuelle des produits de sécurité dans l'Union européenne (les statistiques sont baséessur une enquête réalisée en février 2001 dans le cadre de l'exercice d'évaluation de l'initiativeeEurope 2002).
activités de la Commission temporaire du Parlement européen sur le système ECHELON à l'adressehttp://www.europarl.eu.int/committees/echelon_home.htm
6 Le gouvernement allemand finance un projet basé sur la norme OpenPGP appelé GNUPG(http://www.gnupg.org ).
9
Utilisation de produits de sécurité dans l’UE
(en % d'utilisateurs de l’internet)
0%
20%
40%
60%
80%
100%
logiciel anti-virus lecteur carte à puce logiciel chiffrement logiciel coupe feu logiciel signatureélectronique
Source: Eurobaromètre (février 2001)
2.2.3. Perturbation des réseaux
Les réseaux sont actuellement largement numérisés et contrôlés par des ordinateurs. Dans lepassé, la cause fréquente de perturbation d'un réseau était une défaillance du systèmeinformatique qui le contrôle et les attaques sur les réseaux étaient principalement dirigées contreces ordinateurs. De nos jours, l’attaque la plus disruptive vise à exploiter la faiblesse et lavulnérabilité des composants d’un réseau (routeurs, systèmes d’exploitation, etc… ).
Alors que les attaques disruptives sur le réseau téléphonique n'ont pas causé de problèmessignificatifs dans le passé, les attaques sur l'internet sont assez fréquentes. Cela s'explique par lefait que les signaux de contrôle téléphoniques sont séparés du trafic et peuvent être protégés,alors que l'internet permet aux utilisateurs d'atteindre les ordinateurs clés qui assurent la gestiondu trafic. Le réseau téléphonique pourrait toutefois devenir plus vulnérable à l'avenir dans lamesure où il intégrera les éléments clés de l’internet et son plan de contrôle s'ouvrira à d'autresréseaux.
Les attaques peuvent se présenter sous différentes formes:
Ø Attaques contre des serveurs de noms de domaine: l'internet est dépendant dufonctionnement du système de noms de domaine (DNS) par lequel des noms conviviaux(europa.eu.int) sont traduits en adresses de réseau abstraites (IP n° 147.67.36.16, parexemple) et vice versa. En cas de défaillance d’une partie du DNS, il n'est plus possible desituer certains sites Web et les systèmes de livraison du courrier électronique peuvent cesserde fonctionner. Les dysfonctionnements induits au niveau des serveurs DNS de base oud'autres serveurs de noms de niveau supérieur pourrait conduire à une perturbation étendue.Au début de cette année, certaines vulnérabilités ont été découvertes dans les logiciels utiliséspar la plupart des serveurs de noms de domaine.7
Ø Attaques contre le système de routage: sur l'internet, le routage est hautement décentralisé.Chaque routeur informe périodiquement les routeurs voisins des réseaux qu'il connaît et de lamanière de les atteindre. Le point faible réside dans le fait que ces informations ne peuventpas être vérifiées car, en raison de la conception du système, la connaissance par chaquerouteur de la topologie du réseau est minimale. En conséquence, tout routeur peut se fairepasser pour le meilleur chemin vers une destination dans le but d'intercepter, de bloquer oude modifier le trafic se dirigeant vers cette destination.
7 Source: CERT/CC à l'adresse http://www.cert.org/advisories/CA-2001-02.html.
10
Ø Attaques par saturation et par refus de services: ces formes d'attaque perturbent le réseauen le surchargeant avec des messages artificiels qui bloquent ou réduisent l'accès légitime.Cela s'apparente à la situation où un télécopieur est bloqué par des messages longs et répétés.Les attaques par saturation tentent de surcharger les serveurs Web ou la capacité detraitement des fournisseurs de services internet avec des messages générés automatiquement.
Dommages potentiels – Les interruptions ont été préjudiciables pour certains sites Webprestigieux. D'après certaines études, une attaque récente a causé des dommages estimés àplusieurs centaines de millions d'euros, sans compter le préjudice non quantifiable en termes deréputation. Les entreprises comptent de plus en plus sur la disponibilité de leur site Web pourleurs affaires et celles qui en dépendent pour la fourniture just in time sont particulièrementvulnérables.
Solutions envisageables – Les attaques contre les serveurs DNS sont en principe faciles àcombattre en étendant les protocoles DNS, par exemple à l'aide d'extensions DNS sécuriséesbasées sur le chiffrement à clé publique. Cette méthode exige toutefois l'installation de nouveauxlogiciels sur les machines clientes et n'a pas été largement déployée. En outre, le processusadministratif nécessaire pour accroître la confiance entre les domaines DNS doit devenir plusefficace.
Les attaques contre le système de routage sont beaucoup plus difficiles à combattre. L'internet aété conçu pour maximiser la flexibilité du routage afin de réduire la probabilité d’une rupture deservice en cas de défaillance d'une partie de l'infrastructure de réseau. Il n'existe aucun moyenefficace de sécuriser les protocoles de routage, en particulier sur les routeurs du réseau principal.
Le volume des données transmises ne permet pas un filtrage détaillé, étant donné qu'une tellevérification conduirait à l'arrêt des réseaux. C'est la raison pour laquelle les réseaux ne comportentque des fonctions de filtrage et de contrôle d'accès de base, tandis que les fonctions de sécuritéplus spécifiques (authentification, intégrité, chiffrement, par exemple) sont placées aux limites desréseaux, c'est-à-dire sur les serveurs de réseau qui servent de points terminaux.
2.2.4. Exécution de logiciels malveillants modifiant ou détruisant des données
Les ordinateurs fonctionnent avec des logiciels. Les logiciels peuvent malheureusement êtreutilisés aussi pour désactiver un ordinateur, pour effacer ou modifier des données. Comme lesdescriptions ci-dessus le montrent, si un tel ordinateur participe à la gestion d'un réseau, sondysfonctionnement peut avoir des effets d'une portée considérable. Un virus est une forme delogiciel malveillant. C'est un programme qui reproduit son propre code en s'attachant à d'autresprogrammes de telle sorte que le code du virus est exécuté lors de l'exécution du programmed’ordinateur infecté.
Il existe divers autres types de logiciels malveillants: certains endommagent uniquementl'ordinateur sur lequel ils sont copiés, alors que d'autres se propagent à d'autres ordinateurs reliésen réseau. Par exemple, il existe des programmes (appelés "logic bombs") qui restent inactifs jusqu'àce qu'ils soient déclenchés par un événement tel qu'une date déterminée (vendredi 13, parexemple). D'autres programmes semblent être bénins, mais lorsqu'on les lance ils déclenchentune attaque malveillante (c'est pourquoi on les appelle "chevaux de Troie"). D'autres programmes(appelés "vers") n'infectent pas d'autres programmes comme un virus, mais créent des copiesd'eux-mêmes, ces copies créant par conséquent encore plus de copies qui finissent par inonder lesystème.
Dommages potentiels – Les virus peuvent avoir des effets destructeurs considérables, commeen témoigne le coût élevé résultant de certaines attaques récentes (par exemple, "I Love You",
11
"Melissa" et "Kournikova"). Le graphique ci-dessus donne un aperçu de l'augmentation dunombre de virus que les utilisateurs de l'internet de l'UE ont rencontrés entre octobre 2000 etfévrier 2001 (par État membre). En moyenne, environ 11 % des utilisateurs européens del'internet ont attrapé un virus sur leur PC à domicile .
Solutions envisageables – Les logiciels antivirus constituent la principale défense. Ils sontdisponibles sous différentes formes. Par exemple les scanners et désinfecteurs de virus identifientet effacent les virus connus. Leur principal point faible réside dans le fait qu'ils ne trouveront pasfacilement les nouveaux virus même s’ils sont mis à jour régulièrement. Un autre exemple de ladéfense antivirus est le contrôleur d'intégrité. Pour qu'un virus infecte un ordinateur, il doitapporter des modifications au système quelque chose sur ce système. Le contrôle d'intégrité doitidentifier ces modifications même lorsqu'elles sont causées par des virus inconnus.
Malgré l'existence de produits de défense relativement au point, les problèmes dus aux logicielsmalveillants ont augmenté, et ce principalement pour deux raisons. Premièrement, le caractèreouvert de l'internet permet aux pirates d'apprendre les uns des autres et de mettre au point desméthodes pour contourner les mécanismes de protection. Deuxièmement, l'internet se développeet relie un nombre de plus en plus élevé d'utilisateurs dont beaucoup ne se rendent pas compte dela nécessité de prendre des précautions. La sécurité dépendra de l’étendue de l’utilisation deslogiciels de protection.
2.2.5. Déclarations mensongères
Lors de l'établissement d'une connexion de réseau ou de la réception de données, l'utilisateurdéduit l'identité de son interlocuteur sur la base du contexte de la communication. Le réseau offrecertains indicateurs, mais le plus grand risque d'attaque vient des personnes qui connaissent lecontexte, c'est-à-dire les initiés. Quand un utilisateur compose un numéro ou tape une adresseinternet sur l'ordinateur, il devrait atteindre la destination escomptée. Ceci est suffisant pour ungrand nombre d'applications, mais pas pour les transactions commerciales importantes, lesinteractions médicales, financières ou officielles, qui exigent un niveau plus élevéd’authentification, d'intégrité et de confidentialité.
Dommages potentiels – Les déclarations mensongères faites par des personnes physiques oumorales peuvent causer des dommages de différentes façons. Des clients peuvent télécharger deslogiciels malveillants d'un site Web qui se fait passer pour une source fiable. Des sites de ce typepeuvent transmettre des informations confidentielles à la mauvaise personne. La déclarationmensongère peut conduire à la dénonciation d'un contrat, etc. Le principal dommage est sansdoute le fait que le manque d'authentification constitue un frein pour des transactionscommerciales potentielles. De nombreuses études ont mis en évidence que les préoccupations enmatière de sécurité constituent une des raisons principales de ne pas commercer sur l'internet. Si
Virus( % d'utilisateurs de l'internet ayant eu des problèmes)
0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
B DK D EL E F IRL I L NL A P FIN S UK EU
oct-2000Feb 2001
Source: Eurobaromètre
12
les gens étaient certains de l'identité de leurs interlocuteurs, la confiance dans les transactions surl'internet augmenterait.
Solutions envisageables – Les efforts faits pour introduire l'authentification dans les réseaux,conjointement avec l'introduction du protocole SSL, sont déjà utiles pour assurer un certainniveau de confidentialité. Les réseaux privés virtuels (VPN) utilisent les protocoles SSL et IPsecpour permettre les communications sur l’internet et sur les canaux ouverts tout en maintenant uncertain niveau de sécurité. L'utilité de ces solutions est toutefois limitée dans la mesure où ellesreposent sur des certificats électroniques et il n'y a aucune garantie que ces certificats ne sont pasdes faux. Un tiers, souvent appelé "autorité de certification" ou, dans la directive sur lessignatures électroniques8, "prestataire de service de certification", peut offrir une telle garantie.L'adoption à grande échelle de cette solution est confrontée au même problème que lechiffrement - le besoin d’interopérabilité et de gestion des clés. Ceci n'est pas un problème dansun VPN car il est possible de mettre au point des solutions de propriété. Par contre, il s'agit d'unobstacle majeur pour les réseaux publics.
La directive sur les signatures électroniques constitue la base juridique pour faciliterl'authentification électronique dans l'UE. Elle fournit un cadre dans lequel le marché peut sedévelopper librement, mais qui comporte aussi des dispositions visant à encourager l'élaborationde signatures plus sûres pour la reconnaissance juridique. La transposition de la directive dans ledroit national est en cours.
2.2.6. Événements environnementaux et non intentionnels
De nombreux incidents de sécurité sont dus à des événements imprévus et non intentionnelscausés par :
Ø Les catastrophes naturelles ( par exemple tempêtes, inondations, incendies, tremblements deterre)
Ø Une tierce partie n’ayant aucune relation contractuelle avec l’opérateur ou l’utilisateur (parexemple interruption de services due à des travaux de construction)
Ø Une tierce partie ayant une relation contractuelle avec l’opérateur ou l’utilisateur (par exempledéfaillance du matériel et des logiciels dans les composants ou les programmes qui ont étélivrés)
Ø Une erreur humaine ou une mauvaise gestion de l’opérateur (incluant le fournisseur deservices) ou de l’utilisateur (par exemple problèmes dans la gestion du réseau, mauvaiseinstallation des logiciels).
Dommages potentiels – Les incidents environnementaux perturbent la disponibilité desréseaux. C'est malheureusement lors de tels événements qu'il est primordial de disposer de lignesde communication en bon état de fonctionnement. Les défaillances de l’équipement et deslogiciels de mauvaise qualité peuvent créer des vulnérabilités qui causent une interruptionsoudaine ou sont exploitées pas des attaquants. Une mauvaise gestion de la capacité du réseaupeut entraîner une congestion qui ralentit ou interrompt les canaux de communication.
8 Directive 1999/93/CE, du 13 décembre 1999, sur un cadre commun pour les signatures électroniques (JO L 13
du 19.1.2000, p. 12).
13
Dans ce contexte, la répartition des responsabilités entre les parties est la question cruciale. Dansla plupart des cas, les utilisateurs n’encourront pas de responsabilité mais pourront se trouvereux-mêmes avec peu ou pas de possibilités de réclamations en responsabilité.
Solutions envisageables – Les risques d’incidents environnementaux sont connus desopérateurs de télécommunications et ils ont introduit des redondances dans leurs réseaux ainsique des mesures de protection de l’infrastructure L’augmentation de la concurrence pourraitavoir un impact ambivalent sur le comportement des opérateurs. D’un côté, des considérationsde prix peuvent conduire les opérateurs à réduire ces redondances ,de l’autre côté, l’existenced’un nombre plus élevé d’opérateurs sur le marché du fait de la libéralisation permet auxutilisateurs d’être commutés vers un autre opérateur en cas d’indisponibilité (tout comme unpassager aérien passe sur une autre ligne aérienne lorsqu’un vol est annulé). Cependant, le droitcommunautaire requiert que les Etats membres prennent toutes les mesures nécessaires pourassurer la disponibilité des réseaux publics en cas de coupure du réseau due à une catastrophenaturelle ( Directive Interconnexion 97/33/CE9 et Directive Téléphonie vocale 98/10/CE10).Dans l’ensemble, dans ce domaine, on en sait peu sur le niveau de sécurité en raison du nombregrandissant de réseaux interconnectés.
La concurrence entre les vendeurs de matériel et de logiciels devrait exercer une pression pouraugmenter la sécurité de leurs produits. Cependant, la concurrence n’est pas assez forte pourconduire à des investissements dans la sécurité et la sécurité n’est pas toujours un élément clédans la décision d’achat. Les failles de la sécurité sont souvent découvertes trop tard quand le malest déjà fait. La préservation de comportements concurrentiels loyaux sur les marchés destechnologies de l’information créera de meilleures conditions pour la sécurité.
Le risque d’erreur humaine et les erreurs de manipulation peuvent être réduites en améliorant lesactions de formation et de sensibilisation. L’établissement d’une politique de sécurité appropriéeau niveau d’une entreprise devrait aider à réduire ces risques.
2.3. Nouveaux défis
La sécurité des réseaux et de l’information est susceptible de devenir un facteur clé dans ledéveloppement de la société de l'information étant donné que les réseaux jouent un rôle plusimportant dans la vie économique et sociale. Deux questions principales doivent être prises encompte :l'augmentation des dommages potentiels et les nouveaux développementstechnologiques.
i. Les systèmes d’information et de communication brassent de plus en plus de donnéessensibles et d’informations économiques de valeur ce qui augmentera l’incitation auxattaques. Ces attaques peuvent être de faible envergure et sans gravité à l'échelle nationale- par exemple, dans le cas de la dégradation d'un site Web personnel ou du reformatage d'undisque dur par un virus. La perturbation peut toutefois aussi être de nature beaucoup pluscritique, allant jusqu'à une interférence avec les communications très sensibles, de gravespannes de courant ou d'importantes pertes commerciales en raison d'attaques par refus deservice ou de violations de la confidentialité.
L'étendue exacte des dommages réels et potentiels dus aux violations de la sécurité desréseaux est difficile à évaluer. Il n'existe pas de système d'information systématique etbeaucoup d'entreprises préfèrent ne pas admettre les attaques par crainte d'une publiciténégative. Les preuves qui existent sont donc essentiellement anecdotiques. Les coûts
9 JO L 199 du 26.07.199710 JO L 101 du 01.04.1998
14
impliqués comprennent non seulement les coûts directs (perte de revenu, perted'informations précieuses, coûts de main-d'œuvre pour rétablir le réseau), mais aussid'importants coûts intangibles - en particulier la perte de réputation - qui sont difficiles àévaluer.
ii. La sécurité des réseaux et de l’information est un problème dynamique. En raison desa rapidité, l'évolution technologique lance en permanence de nouveaux défis : lesproblèmes d'hier sont résolus et les solutions à ces problèmes sont caduques. Presquequotidiennement, des applications, des services et des produits nouveaux sont offerts sur lemarché. Mais il est évident que certains développements présenteront des défis majeurspour une politique de la sécurité privée et publique:
Ø Différents objets numériques seront transmis sur les réseaux avec des politiques desécurité intégrées ,comme les objets multimédias, les logiciels à télécharger ou lesagents mobiles. La notion de disponibilité telle qu’elle est perçue aujourd’hui commela disponibilité à utiliser les réseaux évoluera en termes d’usage autorisé, par exemplele droit d’utiliser un jeu vidéo pour une certaine période de temps, le droit de créerune simple copie d’un logiciel, etc…
Ø Dans le futur, les opérateurs de réseaux IP voudront sans doute augmenter la sécuritéen analysant en continu le trafic du réseau en vue de permettre seulement le traficautorisé. Toutefois, de telles mesures doivent respecter les règles qui s’appliquent enmatière de protection des données.
Ø Les utilisateurs passeront aux connexions internet actives en permanence, ce quimultiplie les occasions de piratage, crée des vulnérabilités pour les terminaux nonprotégés, et permet aux pirates d'éviter plus aisément la détection.
Ø Les réseaux domestiques reliant une série d'appareils se généraliseront, ce qui ouvrirade nouvelles possibilités d'attaque et augmentera la vulnérabilité des utilisateurs(désactivation d'alarmes à distance, par exemple).
Ø L'introduction à grande échelle de réseaux sans fil ( par exemple la boucle locale sansfil, les réseaux locaux sans fil, la troisième génération de mobiles) nécessitera unchiffrement efficace des données transmises par les signaux radio. Il sera dès lors deplus en plus difficile d’imposer juridiquement un faible degré de chiffrement.
Ø Les réseaux et les systèmes d’information seront partout, avec une combinaison desystèmes fixes et sans fil, et offriront l'"intelligence ambiante", c'est-à-dire desfonctions auto-organisationnelles activées automatiquement et qui prennent desdécisions qui auparavant étaient prises par l'utilisateur. Le défi sera d'éviter desvulnérabilités inacceptables et d'intégrer l'architecture de sécurité.
3. Une approche européenne
3.1. Justification d'une action publique
La protection des réseaux de communication est considérée de plus en plus comme une prioritépour les décideurs politiques, principalement pour des raisons de protection des données, defonctionnement de l’économie, de sécurité national et du désir de promouvoir le commerce
15
électronique. Ceci est à la base d’un ensemble substantiel de garanties juridiques dans lesdirectives de l’UE sur la protection des données et dans le cadre réglementaire pour lestélécommunications (tel que démontré dans la section 3.6). Toutefois, ces mesures doivent êtremises en œuvre dans l’environnement en évolution rapide des nouvelles technologies, desmarchés concurrentiels, de la convergence des réseaux et de la mondialisation. Ces défis sontaccentués par le fait que le marché aura tendance à investir insuffisamment dans la sécurité pourles raisons analysées ci-dessous.
La sécurité des réseaux et de l’information est une marchandise achetée et vendue sur le marchéet elle fait partie des clauses contractuelles entre parties . Le marché des produits de sécurité aconnu une croissance substantielle au cours des dernières années. Selon certaines études, lemarché mondial des logiciels de sécurité pour l'internet valait environ 4,4 milliards de dollars à lafin de 199911 et augmentera de 23% par an pour atteindre 8,3 milliards de dollars en 2004. EnEurope, on estime que le marché de la sécurité des communications électroniques passera de 465millions de dollars en 2000 à 5,3 milliards de dollars en 200612, le marché de la sécurité pour lestechnologies de l'information passant de 490 millions de dollars en 1999 à 2,74 milliards dedollars en 200613.
L'hypothèse implicite généralement faite est que le mécanisme des prix établira un équilibre entrele coût de la sécurisation et le besoin spécifique de sécurité. Certains utilisateurs réclameront unhaut niveau de sécurité, tandis que d'autres se satisferont d'un niveau moins élevé – bien quel'État puisse prévoir un niveau de sécurité minimal. Leurs préférences se refléteront dans le prixqu'ils sont disposés à payer pour la sécurité. Toutefois, comme le montre l'analyse au chapitre 2,de nombreux risques pour la sécurité subsistent ou les solutions arrivent lentement sur le marchéen raison de certaines imperfections de celui-ci.
i) Coûts et bénéfices sociaux: les investissements dans une meilleure sécurité des réseauxengendrent des coûts et des bénéfices sociaux qui ne sont pas correctement reflétés dans lesprix du marché. En ce qui concerne les coûts, les acteurs du marché ne sont pas tenusd'assumer toutes les responsabilités résultant de leur comportement en matière de sécurité.Les utilisateurs et les fournisseurs qui disposent d'un faible niveau de sécurité ne doivent paspayer pour l'inconséquence de tiers. La situation s'apparente à celle d'un conducteurnégligent qui n'est pas jugé responsable du coût de l'embouteillage qui s'est produit à la suitede son accident. De même, sur l'internet, plusieurs attaques ont été montées grâce auxmachines mal protégées d'utilisateurs relativement négligents. Les bénéfices de la sécuriténe se répercutent pas non plus entièrement sur les prix du marché. Lorsque desopérateurs, des fournisseurs ou des prestataires de services améliorent la sécurité de leursproduits, une bonne partie des bénéfices de ces investissements vont non seulement à leursclients mais à tous ceux qui sont directement ou indirectement concernés par lacommunication électronique - en fait l'ensemble de l'économie.
ii) Asymétrie de l'information: les réseaux deviennent de plus en plus complexes et atteignentun marché plus large comprenant de nombreux utilisateurs qui connaissent mal latechnologie ou ses dangers potentiels. Cela signifie que les utilisateurs ne seront pastotalement conscients de tous les risques de sécurité tandis qu’un grand nombred'opérateurs, de vendeurs ou de fournisseurs de services ont du mal à évaluer l'existence etl’ampleur des vulnérabilités. De nombreux services, applications et logiciels nouveaux offrent
11 IDC: Internet security market forecast and analysis, 2000-2004 Report #W23056 - octobre 2000.12 Frost & Sullivan: The European Internet communication security markets, report 3717 - novembre 2000.13 Frost & Sullivan: The European Internet system security markets, report 3847 - juillet 2000.
16
des caractéristiques attrayantes, mais celles-ci sont souvent la source de nouvellesvulnérabilités (par exemple, le succès du World Wide Web est partiellement dû à l'éventaildes applications multimédias qui peuvent être facilement téléchargées, mais ces "plug-ins"constituent aussi une porte d'entrée pour les attaques). Alors que les bénéfices sont visibles,les risques ne le sont pas, et les fournisseurs sont plus enclins à offrir de nouvellescaractéristiques qu'une plus grande sécurité.
iii) Les problèmes de l'action publique: les opérateurs adoptent de plus en plus les normesde l’internet ou relient d'une manière ou d'une autre leur réseau à l'internet. Celui-ci n'atoutefois pas été conçu dans un esprit de sécurité, mais a au contraire été développé pourassurer l'accès aux informations et faciliter leur échange. C’est le fondement même de sonsuccès. L'internet est devenu un réseau mondial de réseaux d'une richesse et d’une diversitésans pareilles. L'investissement dans la sécurité n'est rentable que si un nombre suffisant depersonnes adopte la même démarche. Par conséquent, la recherche de solutions en matièrede sécurité doit passer par la coopération. Mais la coopération ne fonctionne que si unemasse critique d'acteurs y prend part, ce qui est difficile à réaliser parce que certainsopérateurs voudront faire cavalier seul. L’interopérabilité entre produits et services mettra enconcurrence les solutions de sécurité. Toutefois, , les coûts de coordination sont élevés dansla mesure où des solutions globales pourraient être nécessaires et où certains acteurs seronttentés d'imposer une solution propriétaire sur le marché. Dans la mesure où une multitudede produits et de services continue à utiliser des solutions propriétaires, il n'y a aucunavantage à recourir à des normes sûres qui ne donnent une sécurité supplémentaire que sielles sont offertes par tout le monde.
Une des conséquences de ces imperfections est que le cadre des télécommunications et de laprotection des données impose d’ores et déjà aux opérateurs et aux prestataires de serviced’assurer un certain niveau de sécurité dans les systèmes d’information et de communication. Lajustification d’une politique européenne de la sécurité des réseaux et de l’information peut êtredécrite comme suit. Premièrement, les dispositions juridiques au niveau de l’UE doivent êtremises en œuvre de manière efficace, ce qui nécessite une compréhension commune desquestions de sécurité sous-jacentes et des mesures spécifiques à mettre en œuvre. Lecadre juridique sera également amené à évoluer dans l’avenir, comme le montrent déjà laproposition d’un nouveau cadre réglementaire pour les communications électroniques et lespropositions à venir liées à la discussion sur la cybercriminalité. Deuxièmement, certainesimperfections du marché amènent à conclure que les forces du marché ne permettent pas degénérer un niveau d’investissement suffisant dans les technologies et la pratique de la sécurité.Des mesures politiques sont à même de renforcer le processus du marché tout enaméliorant le fonctionnement du cadre juridique. Enfin, les services de communication etd’information sont offerts par-delà les frontières. C’est pourquoi une approche politiqueeuropéenne est requise pour assurer le marché intérieur pour ces services, pour bénéficierde solutions communes et pour agir de manière plus efficace au niveau mondial.
Les mesures politiques proposées pour la sécurité des réseaux et de l’information ne doivent passeulement être perçues dans le contexte de la législation existante des télécommunications et de laprotection des données, mais également en relation avec les politiques plus récentes en matière decybercriminalité. La Commission a récemment publié une communication sur lacybercriminalité14 qui prévoit, entre autres initiatives, la création d’un Forum de l’UE sur la
14 Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en
luttant contre la cybercriminalité, COM (2000), 890,http://europa.eu.int/ISPO/eif/internetPoliciesSite/Crime/crime1.html
17
cybercriminalité qui visera à améliorer la compréhension mutuelle et la coopération au niveau del’UE entre toutes les parties concernées. Une politique en matière de sécurité des réseaux et del’information fournira le chaînon manquant dans ce cadre politique. Le diagramme ci-dessousmontre ces trois domaines politiques et illustre leur interdépendance à travers quelques exemples.
3.2. Sensibilisation
Trop d'utilisateurs (privés/publics) ne sont toujours pas conscients des problèmes liés àl'utilisation des communications électroniques ni des solutions qui tentent de les résoudre. Lesquestions de sécurité sont complexes et les risques sont souvent difficiles à évaluer, même pourdes experts. Le manque d'information est l'une des imperfections du marché à laquelle lapolitique de sécurité devrait remédier. Certains utilisateurs, alarmés par les nombreux casrapportés de menaces sur la sécurité , choisissent tout simplement de renoncer complètement aucommerce électronique. D'autres utilisateurs, qui ne sont pas informés ou sous-estiment lesrisques, peuvent être trop négligents. Certaines entreprises peuvent avoir intérêt à minimiser lesrisques potentiels, par crainte de perdre des clients.
Paradoxalement, une quantité énorme d'informations sur la sécurité des réseaux et del’information est disponible sur l'internet et ce thème est largement couvert par les revuesinformatiques. Le problème pour les utilisateurs est de trouver des informations appropriées quisoient compréhensibles, à jour et répondent à leurs besoins particuliers. L'industrie automobilefournit un bon exemple de la manière dont des spécifications complexes en matière de sécuritépeuvent se transformer en important atout de marketing. Enfin, le droit communautaire obligeles fournisseurs de services de télécommunications offerts au public d'informer leurs abonnés surles risques particuliers de violation de la sécurité des réseaux et les remèdes possibles, ainsi quesur les coûts qui en résultent (cf. article 4 de la directive 97/66/CE).
Le but d'une initiative de sensibilisation des citoyens, des administrations et des entreprisesseraitdonc de fournir des informations accessibles, objectives et fiables sur la sécurité des réseauxet de l’information. Une discussion ouverte sur la sécurité est requise. Lorsque cettesensibilisation aura eu lieu, les personnes seront libres de faire leurs propres choix quant auniveau de protection qui leur convient.
Actions proposées:
Ø Les États membres doivent lancer une campagne d'information et d'éducation du public et ilconvient de renforcer les travaux en cours à l'aide d'une campagne médiatique et des actionss'adressant à toutes les parties intéressées. Une campagne d'information bien conçue etefficace est coûteuse. L'élaboration d'un contenu qui décrit le risque sans alarmer inutilementle public et sans encourager les pirates potentiels exige une planification rigoureuse.
La Commission européenne facilitera l’ échange des meilleures pratiques et assurera uncertain niveau de coordination entre les différentes campagnes d'information nationales auniveau communautaire, en particulier en ce qui concerne la substance de l’information àfournir. Un des éléments . de cette action pourrait être un portail pour les sites Web auniveau tant national qu'européen. Des liens entre ces portails et des sites Web fiables departenaires internationaux pourraient également être envisagés.
Ø Les États membres devraient promouvoir l'utilisation des meilleures pratiques en matière desécurité sur la base des mesures existantes telles que la norme ISO/IEC DIS 17799 (code ofpractice for information security management, www.iso.ch). Il convient de cibler plus
18
particulièrement les petites et moyennes entreprises. La Commission soutiendra les effortsdes Etats membres.
Ø Les systèmes éducatifs des Etats membres devraient mettre davantage l’accent sur les courssur la sécurité. L'élaboration de programmes éducatifs à tous les niveaux, comme parexemple la formation en matière de risques pour la sécurité sur les réseaux ouverts et lessolutions efficaces, devrait faire partie de l'enseignement de l'informatique dans les écoles.
Les enseignants doivent eux aussi être formés en matière de sécurité dans le cadre de leurspropres programmes de formation. La Commission européenne soutient l'élaboration denouveaux modules pour les programmes d'études dans le cadre de son programme derecherche.
3.3. Un système européen d'alerte et d'information
Même lorsque les utilisateurs sont conscients des risques pour la sécurité, il faudra toujours lesavertir de nouvelles menaces. Les pirates trouveront presque inévitablement de nouvellesvulnérabilités pour contourner les meilleures méthodes de protection. L'industrie développeconstamment de nouveaux services et logiciels offrant une meilleure qualité, rendant l'internetplus attrayant, mais créant en même temps involontairement des vulnérabilités et des risquesnouveaux.
Même les ingénieurs de réseau expérimentés et les experts en sécurité sont souvent étonnés par lanouveauté de certaines attaques. Par conséquent, il est nécessaire de disposer d'un système dedétection précoce qui peut rapidement alerter tous les utilisateurs, ainsi que d'une source deconseils rapides et fiables sur la manière de lutter contre les attaques. Quant aux entreprises, ellesont besoin d’un mécanisme confidentiel leur permettant de rendre compte des attaques sansrisquer de perdre la confiance du public À cela doit s'ajouter une analyse de sécurité prospectiveplus complète, qui rassemble des données et évalue les risques, avec l'avantage d'une vision pluslarge.
Beaucoup d'efforts sont faits dans ce domaine par les équipes publiques et privées d'interventionen cas d'urgence informatique (CERT) ou les organismes semblables. En Belgique, par exemple,a été établi un système d'alerte aux virus permettant aux citoyens belges d'être informés desmenaces de virus dans un délai de deux heures. Toutefois, la nature des CERT varie dans lesdifférents États membres, ce qui rend la coopération complexe. Les CERT existantes ne sont pastoujours bien équipées et leurs tâches ne sont souvent pas clairement définies. La coordination àl'échelle mondiale est assurée par la CERT/CC, qui est financée en partie par le gouvernementaméricain, et les CERT en Europe sont dépendantes de la politique de diffusion des informationsde la CERT/CC.
En raison de cette complexité, la coopération européenne était jusqu'ici limitée. La coopérationest essentielle pour garantir la détection précoce dans toute l'Union par l'échange instantanéd'informations sur les premiers signes d'attaque dans un pays. C'est la raison pour laquelle il esturgent que la coopération avec le système CERT soit renforcée dans l'Union européenne. Unepremière action visant à renforcer la coopération entre les secteurs public et privé dans ledomaine de la fiabilité des infrastructures de l’information (y compris le développement desystèmes de détection précoce) et à améliorer la coopération entre les CERT a été approuvéedans le cadre du plan d’action eEurope.
Actions proposées:
Ø Les États membres devraient revoir leur système CERT afin de renforcer l'équipement et lescompétences des CERT existantes. À l'appui des efforts nationaux, la Commission
19
européenne élaborera une proposition concrète en vue d'un renforcement de la coopérationdans l’Union européenne. Cette proposition comprendra un projet dans le cadre duprogramme RTE télécom destiné à assurer une mise en réseau efficace ainsi que des mesuresd'accompagnement dans le cadre du programme IST pour faciliter l'échange d'informations etla mise en réseau.
Ø Une fois le réseau CERT établi au niveau de l’UE, il devrait être connecté à des organismessimilaires dans le monde entier , par exemple le système de communication d'incidentsproposé par le G8.
Ø La Commission propose d’examiner avec les Etats membres la meilleure façon d’organiser auniveau européen, la collecte des données, l’analyse et le planning des réponses à donner auxmenaces de sécurité actuelles et futures. La nature organisationnelle d’un éventuelle structuredevra être discutée avec les Etats membres..
3.4. Soutien technologique
Actuellement, l'investissement dans les solutions de sécurité des réseaux et de l’information n'estpas optimal. Ceci est vrai non seulement en termes d'adoptiondes technologies mais aussi en cequi concerne la recherche de solutions nouvelles. Dans un contexte où les nouvelles technologiesnaissantes comportent inévitablement de nouveaux risques, il est essentiel que la recherche sepoursuive sans relâche.
La sécurité des réseaux et de l’information est déjà un des thèmes du programme "Technologiesde la société de l'information" du 5ème programme-cadre de recherche de l'UE (budget de 3,6milliards d'euros sur quatre ans), dont quelque 30 millions d'euros seront consacrés à la rechercheen collaboration sur les technologies relatives à la sécurité en 2001/2002.
La recherche au niveau technique sur la cryptographie est très avancée en Europe. L’algorithmebelge « Rijndael » a remporté le concours Advanced Encryption Standard organisé par l’institution denormalisation des Etats-Unis (NIST). Le projet du programme IST intitulé NESSIE (NewEuropean Scheme for Signature, Integrity and Encryption) a lancé un concours élargi sur les algorithmesrépondant aux exigences des nouvelles applications multimédias, du commerce mobile et descartes à puce.
Actions proposées:
Ø La Commission propose d'inclure la sécurité dans le futur 6ème programme-cadre, qui estactuellement à l'étude au Conseil et au Parlement. Pour optimiser ces dépenses, il faut établirun lien avec une stratégie plus large en matière de sécurité des réseaux et de l’information. Larecherche soutenu par ce programme devrait relever les défis que représentent, en matière desécurité, le "tout numérique" et la nécessité de sauvegarder les droits des individus et descommunautés. Elle sera centrée sur des mécanismes de sécurité fondamentaux et leurinteropérabilité, des processus dynamiques de sécurisation, des méthodes de cryptographieavancées, le renforcement du respect de la vie privée, des technologies de traitement desactifs numériques et des technologies garantissant la fiabilité à l'appui de fonctionséconomiques et organisationnelles au sein de systèmes dynamiques et mobiles.
Ø Les Etats membres devraient activement promouvoir l’usage de produits de chiffrement« encastrables15 » (pluggable). Les solutions de sécurité basées sur le chiffrement de typeplug in doivent être offertes comme alternative aux produits intégrés dans les systèmesopérationnels.
15 Encastrable signifie qu’un produit logiciel de chiffrement peut être aisément installé dans les systèmes
opérationnels et être pleinement opérationnel.
20
3.5. Soutien à une normalisation et une certification orientées vers les besoins du marché
Pour que les solutions visant à améliorer la sécurité soient efficaces, elles doivent être mises enœuvre en commun par les acteurs du marché et être de préférence basées sur des normesinternationales ouvertes. L'un des principaux obstacles à l'adoption de nombreuses solutions desécurisation, par exemple les signatures électroniques, est le manque d'interopérabilité entredifférentes manières de procéder. Si deux utilisateurs souhaitent communiquer de manière sûre àtravers différents environnements, l’interopérabilité doit être assurée. Il convient doncd'encourager l'utilisation de protocoles et d'interfaces normalisés, y compris les essais deconformité, ainsi que la tenue d’évènements consacrés à l’interopérabilité. Les normes ouvertes,de préférence basées sur des logiciels à source ouverte, peuvent contribuer à une réparation plusrapide des défauts ainsi qu'à une plus grande transparence.
En outre, l'évaluation de la sécurité de l’information contribue à accroître la confiance desutilisateurs. L'utilisation de critères communs a facilité le recours à la reconnaissance mutuellecomme méthode d'évaluation dans de nombreux pays16, ceux-ci ayant également conclu unaccord de reconnaissance mutuelle avec les USA et le Canada pour les certificats de sécurité desTI.
La certification des processus d'entreprise et des systèmes de gestion de la sécurité desinformations est soutenu par le Guide de coopération européenne pour l'accréditation EA17.L’accréditation des organismes de certification renforce la confiance dans leur compétence et leurimpartialité, ce qui favorise l’acceptation des certificats à travers le marché intérieur.
Outre la certification, il convient aussi d'effectuer des essais d'interopérabilité. Un exemple decette approche est l'initiative européenne de normalisation des signatures électroniques (EESSI),qui élabore des solutions basées sur un consensus, en soutien à la directive de l’UE sur lessignatures électroniques. D’autres exemples sont l’initiative en faveur des cartes à puce dans lecadre de eEurope et les initiatives de mise en œuvre d’infrastructures à clé publique (PKI) lancéesdans le cadre du programme pour l’échange électronique de données entre administrations(IDA).
Il n’y a donc pas un manque d’efforts en matière de normalisation mais un trop grand nombre denormes et de spécifications en concurrence, ce qui entraîne une fragmentation du marché ainsique des solutions qui ne sont pas interopérables.
C’est pourquoi les activités actuelles de normalisation et de certification doivent être mieuxcoordonnées afin de suivre l'introduction de nouvelles solutions pour la sécurité. L’harmonisationdes spécifications entraînera à la fois une plus grande interopérabilité et une mise en œuvreaccélérée par les acteurs du marché.
Actions proposées:
Ø Les organismes européens de normalisation sont invités à accélérer leur travail sur lesproduits et services interopérables et sécurisés selon un calendrier ambitieux et bien défini.De nouvelles formes de deliverables et de nouvelles procédures devraient être suivies là où celas’avère nécessaire afin d’accélérer le travail en cours et de renforcer à la fois la coopérationavec les représentants des consommateurs et l’engagement des acteurs du marché.
Ø La Commission continuera à soutenir, notamment à travers ses programmes IST et IDA,l’utilisation des signatures électroniques, la mise en œuvre de solutions PKI interopérables et
16 Recommandation du Conseil 95/114/CE concernant des critères communs d’évaluation de la sécurité des
technologies de l’information.17 Coopération européenne pour l’accréditation entre organismes d’accréditations de 25 pays de l’UE, de l’AELE et
des pays candidats.
21
conviviales, ainsi que la poursuite du développement des protocoles Ipv6 et IPSec18(conformément au plan d’action eEurope).
Ø Les États membres sont invités à promouvoir le recours à la certification et aux procéduresd’accréditation pour les normes européennes et internationales généralement acceptées quiconcourent à la reconnaissance mutuelle des certificats. La Commission évaluera le besoind’une initiative juridique dans le domaine de la reconnaissance mutuelle des certificats d’ici lafin de 2001.
Ø Les acteurs du marché sont encouragés à participer plus activement aux activités européennes(CEN, Cenelec, ETSI) et internationales (Internet Engineering Task Force (IETF), World WideWeb Consortium (W3C)) de normalisation.
Ø Les Etats membres devraient passer en revue toutes les normes de sécurité pertinentes Desconcours devraient être organisés avec le soutien de la Commission pour des solutionseuropéennes de chiffrement et de sécurité dans une perspective du développement de normesacceptées internationalement. .
3.6. Cadre juridique
Parmi les différents textes juridiques qui ont une influence sur la sécurité des réseaux decommunication et des systèmes d’information, le cadre réglementaire pour lestélécommunications est le plus complet. En raison de la convergence des réseaux, les questionsde sécurité conduisent maintenant à un rapprochement de réglementations et de traditionsréglementaires de divers secteurs. Il s'agit des télécommunications (englobant tous les réseauxde communication), qui ont été réglementées et déréglementées en même temps, de l'industrieinformatique, en grande partie non réglementée19, de l'internet, qui a fonctionné principalementsur la base d'une approche sans intervention des pouvoirs publics, et du commerceélectronique, qui fait de plus en plus l'objet d'une réglementation spécifique. En outre, lesdispositions en matière de responsabilité des tiers, de cybercriminalité, de signaturesélectroniques, de protection des données et de réglementation des exportations comportent deséléments qui se rapportent à la sécurité. Parmi ces différentes dispositions, les directive sur laprotection des données, le cadre réglementaire des télécommunications et plusieurs initiativesjuridiques en cours de préparation dans le cadre de la communication sur la cybercriminalité,revêtent une importance particulière.
La protection de la vie privée est un objectif politique essentiel de l'Union européenne.Elle a été reconnue comme un droit fondamental en vertu de l'article 820 de la Conventioneuropéenne des droits de l'homme. Les articles 7 et 8 de la Charte des droits fondamentaux del'Union européenne21 prévoient aussi le droit au respect de la vie privée et familiale, du domicile,des communications et des données à caractère personnel.
18 Ipv6 est un protocole pour l’internet qui augmente le nombre total possible d’adresses IP, optimise le routage
du trafic de messages et améliore les possibilités de déployer Ipsec. Ipsec est un autre protocole pourl’internet qui vise à assurer la confidentialité, à empêcher les paquets de données d’être vus par quelqu’und’autre que le destinataire, et de fournir une authentification et une intégrité garantissant que les donnéescontenues dans le paquet sont à la fois authentiques et en provenance du bon expéditeur.
19 Il existe des exigences en matière de sécurité concernant les composants électriques d'un ordinateur, mais pasd'exigence quant à la sécurité des données traitées par un ordinateur.
20 http://europa.eu.int/comm/internal_market/en/media/dataprot/inter/con10881.htm#HD_NM_1521 JO C 364 du 18 .12.2000, http://europa.eu.int/comm/justice_home/unit/charte/pdf/charter_fr.pdf
22
Les directives sur la protection des données22, et plus particulièrement l'article 5 de la directive surla protection des données dans le secteur des télécommunications23, obligent les États membres àgarantir la confidentialité sur les réseaux publics de télécommunications, ainsi que pour lesservices de télécommunication accessibles au public. D'autre part, en vue de l'application del'article 5 dans la pratique, l'article 4 de la même directive stipule que les fournisseurs de serviceset de réseaux publics doivent prendre les mesures d'ordre technique et organisationnelappropriées pour garantir la sécurité de leurs services. Toujours en vertu de cet article, cesmesures doivent garantir un niveau de sécurité adapté au risque existant, compte tenu despossibilités techniques les plus récentes et du coût de leur mise en œuvre. Cela signifie que tousles opérateurs de réseau ont une obligation légale de protéger les communications contre lesinterceptions illégales. La nature paneuropéenne des services et une concurrence transfrontièreaccrue nécessiteront une plus grande harmonisation de ces dispositions.
L’article 17 de la directive générale sur la protection des données 95/46/CE impose auxresponsables du contrôle et du traitement de mettre en œuvre des mesures contre les risquesreprésentés par le traitement et la nature des données à protéger, en particulier si ce traitementinclue la transmission de données sur un réseau. ( Ils doivent mettre en œuvre les mesurestechniques et d’organisation appropriées contre la destruction accidentelle ou illicite, la perteaccidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitementcomporte des transmissions de données dans un réseau, ainsi que contre toute autre forme detraitement illicite.. Ces dispositions ont des implications pour les exigences de sécurité concernantles réseaux et les systèmes d’information utilisés par ces personnes et ces organisations, parexemple les fournisseurs de services de commerce électronique. La nature pan-européenne desservices et la concurrence trans-frontière de plus en plus marquée, conduisent à accroître lebesoin de spécifications des moyens à mettre en place pour se conformer à ces dispositions.
La directive cadre de l’UE sur les services de télécommunications contient plusieursdispositions concernant la « sécurité de fonctionnement du réseau » (c’est à dire la disponibilitédu réseau public en cas d'urgence) et « l’intégrité du réseau » (c’est à dire le fonctionnementnormal et l'interconnexion des réseaux publics)24. En juillet 2000, la Commission a proposé unnouveau cadre réglementaire pour les services de communications électroniques, (actuellementsujet à la procédure de co-décision, et donc en cours de discussion au Parlement européen et auConseil). Les propositions de la Commission reprennent – mais avec des modifications –l’essence des dispositions concernant la sécurité et l’intégrité des réseaux.
Le cadre juridique existant, au-delà de la couverture de sujets spécifiques contenus dans chaquetexte législatif, s’attache aussi à certains aspects de la sécurité des réseaux et de l’information quiforment le sujet de la présente communication.
La communication sur la cybercriminalité a suscité un débat dans l'Union européenneconcernant la manière de réagir aux activités criminelles basées sur l’utilisation des ordinateurs etdes réseaux électroniques. Le droit pénal des États membres devrait couvrir l'accès non autorisé
22 Directives 95/46/CE (JO L281 du 23.11.1995) et 97/66/CE (JO L24 du 30.1.1998)
http://europa.eu.int/ISPO/infosoc/telecompolicy/fr/9766fr.pdf23 "Les États membres garantissent, au moyen de réglementations nationales, la confidentialité des communications
effectuées au moyen d'un réseau public de télécommunications ou de services de télécommunications accessiblesau public. En particulier, ils interdisent à toute autre personne que les utilisateurs, sans le consentement desutilisateurs concernés, d'écouter, d'intercepter, de stocker les communications ou de les soumettre à quelque autremoyen d'interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées, conformément àl'article 14 paragraphe 1."
24 Directive 90/388/CEE de la Commission relative à la concurrence dans les marchés des services detélécommunication, Directive 97/33/CE relative à l'interconnexion et Directive 98/10/CE relative à latéléphonie vocale.
23
aux réseaux informatiques, y compris la violation de la sécurité des données personnelles.. Lesdiscussions entre parties concernées se poursuivront dans le cadre d’un forum de l’UE à créerdans les meilleurs délais, comme annoncé dans la communication de la Commission sur lacybercriminalité. Actuellement, il n'y a aucun rapprochement des législations dans ce domaine auniveau de l'Union européenne, ce qui peut entraîner des problèmes lors d'enquêtes menées pourdes délits de ce type et ne permet pas de dissuader suffisamment ceux qui envisagent le piratageou des attaques similaires. Le rapprochement des droits pénaux contre l'intrusion dans les réseauxinformatiques est également important pour faciliter la coopération juridique entre Étatsmembres.
Les interrogations intérêt légitime sur la cybercriminalité nécessitent des enquêtes de policeefficaces. Toutefois, ces questions juridiques ne devraient pas générer de solutions légales quientraînent un affaiblissement de la sécurité des systèmes de communication et d’information.
Actions proposées:
Ø Une compréhension commune des implications juridiques de la sécurité des communicationsélectroniques est nécessaire. À cet effet, la Commission dressera un inventaire des mesuresnationales arrêtées conformément à la législation communautaire applicable.
Ø Les États membres et la Commission devraient continuer à soutenir la libre circulation desproduits et des services de chiffrement par une harmonisation plus étroite des procéduresadministratives d'exportation et une libéralisation plus poussée des contrôles à l'exportation.
Ø La Commission proposera une mesure législative sous le titre VI du traité instituant l'Unioneuropéenne, en vue du rapprochement des droits pénaux nationaux en matière d'attaquescontre les systèmes informatiques, y compris le piratage et les attaques par refus de service.
3.7. Sécurité dans les administrations publiques
Le plan d'action eEurope 2002 vise à encourager une interaction réelle et plus efficace entre lescitoyens et l'administration publique. Comme une grande partie des informations échangées entreles citoyens et les administrations ont un caractère personnel ou confidentiel (médical, financier,juridique, etc.), la sécurité est essentielle pour assurer le succès de cette initiative. D'autre part, enraison du développement du gouvernement en ligne, les administrations publiques sont à la foisdes exemples potentiels pour démontrer l'efficacité de solutions de sécurité et des acteurs dumarché capables d'influencer les développements par leurs décisions d'achat.
Pour les administrations publiques, il ne s'agit pas seulement de pratiquer une politique d'achatsde systèmes de technologies de l’information et de la communication répondant à desspécifications de sécurité, mais aussi de développer une culture de la sécurité. Cet objectif peutêtre atteint par l'élaboration de "politiques de sécurité organisationnelle" adaptées aux besoins desinstitutions.
Actions proposées:
Ø Les États membres devraient incorporer des solutions efficaces et interopérables de sécuritéde l’ informations comme exigence fondamentale dans leurs activités de gouvernement enligne et de passation de marchés publics par voie électronique.
Ø Les États membres devraient introduire les signatures électroniques dans les services publicsqu’ils offrent en ligne.
24
Ø Dans le cadre de la E-Commission, la Commission prendra une série de mesures visant àrenforcer le niveau de sécurité de ses propres systèmes d’information et de communication.
3.8. Coopération internationale
Les communications faisant appel aux réseaux, de même que les problèmes de sécurité qui leursont associés, traversent les frontières en une fraction de seconde. La sécurité d’un réseau estéquivalente à celle de son maillon le plus faible, et l’Europe ne peut s’isoler du reste du réseaumondial. Par conséquent, répondre aux problèmes de sécurité exige une coopération au planinternational.
La Commission européenne contribue aux travaux des forums internationaux tels que le G8,l'OCDE et les Nations unies. Le secteur privé traite des questions de sécurité au sein de sespropres organisations telles que le Global Business Dialogue (www.GBDe.org) ou le Global InternetProject (www.GIP.org). Un dialogue permanent entre ces organisations est essentiel pour assurerla sécurité au niveau mondial.
Action proposée:
Ø La Commission renforcera le dialogue sur la sécurité des réseaux avec les organisations et lespartenaires internationaux, en particulier en matière de fiabilité des réseaux électroniques.
4. Prochaines étapes
La présente communication indique les grandes lignes stratégiques pour l'action dans le domaineconcerné. Il ne s'agit que d'une première étape et non pas encore d’un plan d'action définitif pourla sécurité des réseaux en Europe. Toutefois, elle présente déjà des suggestions pour des actionsafin d'établir un cadre pour une approche européenne commune.
L'étape suivante est la discussion par les États membres et le Parlement européen du cadre et desactions proposés. Le Conseil européen de Göteborg des 15 et 16 juin pourra formuler desorientations pour l'avenir.
La Commission propose de lancer une discussion approfondie avec l'industrie, les utilisateurs etles autorités chargées de la protection des données sur les modalités pratiques de mise en œuvredes actions proposées. Les réactions peuvent être envoyées d’ici la fin du mois d’août 2001 àl’adresse suivante : [email protected]. Cette communication est donc une invitation pour lesparties concernées à présenter leurs commentaires en vue d'établir un ensemble final d'actionsconcrètes. Celui-ci pourrait prendre la forme d'un calendrier d’action élaboré d’ici la fin de l’année2001.
***
Recommended
