LogoMeilleurAvocats.fr
AvocatsAssistant IABlogPrix
ConnexionDéposer ma demande

Vous avez un problème juridique ?

Décrivez votre situation en 2 minutes — un avocat spécialisé vous répond sous 24h.

Déposer ma demandeJe suis avocat
Logo MeilleurAvocats.frMeilleurAvocats.fr

Mise en relation avocat–client par l'IA. Gratuit pour les particuliers.

Particuliers

  • Déposer une demande
  • Trouver un avocat
  • Assistant IA gratuit
  • Bibliothèque juridique
  • Guides pratiques
  • Jurisprudence

Avocats

  • Pour les avocats
  • Espace avocat
  • Tarifs et formules
  • Recevoir des leads
  • Programme d'affiliation
  • Contact commercial

Spécialités

  • Droit général
  • Droit du travail
  • Droit de la sécurité sociale et de la protection sociale
  • Droit fiscal et droit douanier
  • Droit de la famille, des personnes et de leur patrimoine
  • Droit immobilier

Légal

  • Mentions légales
  • Confidentialité
  • CGU
  • Cookies
  • Contact

Newsletter juridique hebdomadaire

Décisions clés, évolutions législatives, conseils pratiques — chaque semaine.

© 2026 MeilleurAvocats.fr— KONSEIL SAS. Tous droits réservés.

Mentions légales|Confidentialité|Cookies

BOB★La messagerie française & cryptée pour des échanges confidentiels entre avocats et clients.

En savoir +TéléchargerBOB
AccueilDroit européen52014IE1488
Initiative législative52014IE1488

Avis du Comité économique et social européen sur les cyberattaques dans l'UE — (avis d'initiative)

CELEX52014IE1488
TypeInitiative législative
Datejeudi 10 juillet 2014

Résumé IA

Cet avis d'initiative du CESE propose une stratégie européenne globale pour lutter contre les cyberattaques, en préconisant un cadre juridique harmonisé et des mécanismes de coopération renforcés entre les États membres. Il souligne la nécessité d'une définition commune des cyberattaques et de sanctions pénales dissuasives, tout en insistant sur la protection des droits fondamentaux et des données personnelles. Pour un professionnel du droit français, ce texte anticipe les évolutions normatives de l'UE en matière de cybersécurité, influençant potentiellement le droit pénal et la responsabilité des opérateurs.

Texte intégral

16.12.2014

FR

Journal officiel de l'Union européenne

C 451/31

Avis du Comité économique et social européen sur les cyberattaques dans l'UE

(avis d'initiative)

(2014/C 451/05)

Rapporteur:

M. McDONOGH

Le 27 février 2014, le Comité économique et social européen a décidé, conformément à l'article 29, paragraphe 2, de son règlement intérieur, d'élaborer un avis d'initiative sur les:

«Cyberattaques dans l'UE».

La section spécialisée «Transports, énergie, infrastructures, société de l'information», chargée de préparer les travaux du Comité en la matière, a adopté son avis le 18 juin 2014.

Lors de sa 500e session plénière des 9 et 10 juillet 2014 (séance du 10 juillet 2014), le Comité économique et social européen a adopté le présent avis par 135 voix pour et une voix contre.

1. Conclusions et recommandations

1.1

Le Comité souhaiterait que soit créée une autorité européenne de la cybersécurité, analogue à l'Agence européenne de la sécurité aérienne (EASA), afin de garantir la force de leadership nécessaire au niveau de l'UE pour gérer la mise en œuvre complexe d'une politique paneuropéenne efficace en matière de cybersécurité.

1.2

Des citoyens informés et autonomes sont indispensables à une cybersécurité forte en Europe. L'éducation des citoyens à la cybersécurité personnelle et à la protection des données devrait être une composante essentielle des programmes scolaires et des programmes de formation en entreprise. En outre, sur l'ensemble de son territoire, l'UE devrait mener des campagnes et des initiatives d'information publique consacrées à ces questions.

1.3

Les entreprises devraient avoir l'obligation légale d'adopter une approche préventive afin de se protéger des cyberattaques, ce qui implique notamment le recours à des technologies de l'information et de la communication (TIC) sûres et résilientes et la formation de leur personnel aux politiques de sécurité, comme elles le font pour les questions de santé et de sécurité au travail.

1.4

Chaque État membre devrait disposer d'un organisme chargé d'informer, de former et de soutenir le secteur des PME pour les questions liées aux bonnes pratiques en matière de cybersécurité. Les grandes entreprises peuvent facilement obtenir l'expertise dont elles ont besoin, alors que les PME ont besoin d'être aidées.

1.5

Il convient d'étendre le mandat de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et de lui fournir les financements nécessaires pour qu'elle assume une responsabilité plus directe des programmes d'éducation et de sensibilisation à la cybersécurité spécifiquement destinés aux citoyens et aux petites et moyennes entreprises (PME).

1.6

Les organes de direction des entreprises et organisations doivent être davantage sensibilisés à la responsabilité en matière de cybersécurité. Il convient d'informer explicitement les directeurs de toute organisation de la responsabilité potentielle que devra assumer chaque personne morale ayant mené une politique et des actions de cybersécurité inadéquates.

1.7

En raison du rôle critique qu'ils jouent dans la fourniture de services en ligne, tous les fournisseurs d'accès à Internet de l'UE devraient avoir une responsabilité spécifique, celle de protéger leurs clients des cyberattaques. Il convient de définir cette responsabilité et de l'inscrire dans la législation européenne.

1.8

Afin de garantir la concrétisation rapide de l'important potentiel de croissance économique lié à l'expansion dynamique de l'informatique en nuage (1), il convient également d'imposer au niveau de l'UE des exigences et obligations spécifiques en matière de sécurité aux fournisseurs de services en nuage.

1.9

Le Comité considère que les mesures volontaires sont insuffisantes et qu'il est nécessaire d'imposer des obligations réglementaires rigoureuses aux États membres pour garantir l'harmonisation, la gouvernance et l'application d'une cybersécurité européenne. Il y a également lieu de légiférer afin de rendre obligatoire la signalisation des incidents majeurs touchant la cybersécurité pour toutes les entreprises et organisations, et pas uniquement les fournisseurs d'infrastructures critiques. Cela permettrait de renforcer la réponse qu'apporte l'Europe aux menaces, tout en améliorant les connaissances sur les cyberattaques et leur compréhension, grâce auxquelles de meilleures défenses pourraient être mises en place.

1.10

Le Comité recommande fermement que l'UE opte pour une approche axée sur la conception pour lutter contre la menace que représentent les cyberattaques, en s'assurant que l'ensemble des technologies et des services utilisés en Europe pour fournir l'accès à Internet et les services en ligne sont conçus d'une manière qui garantit les meilleurs niveaux de protection contre ces cyberattaques. Les critères de conception devraient mettre tout particulièrement l'accent sur l'interface homme-machine.

1.11

Le CESE souhaite que des normes solides de cybersécurité soient définies et mises en œuvre par les organismes européens de normalisation afin de régir l'ensemble des technologies et des services de TIC en réseau. Parmi ces normes devrait figurer un code de bonnes pratiques juridiquement contraignant grâce auquel l'ensemble des équipements de TIC et des services internet vendus aux citoyens européens seraient conformes aux normes les plus exigeantes.

1.12

L'UE doit immédiatement s'assurer que chaque État membre possède une équipe d'intervention en cas d'urgence informatique (CERT) pleinement opérationnelle afin de se protéger et de protéger l'Europe des cyberattaques.

1.13

Le Comité demande que le Centre européen de lutte contre la cybercriminalité (EC3) au sein d'Europol reçoive les fonds supplémentaires dont il a besoin pour lutter contre la cybercriminalité et pour renforcer la coopération entre les forces de police au sein de l'UE et avec celles des pays tiers, afin de renforcer la capacité de l'Europe à appréhender et à poursuivre les cybercriminels.

1.14

En résumé, le CESE considère que la politique de l'UE en matière de cybersécurité doit en particulier réaliser les objectifs suivants: un rôle moteur pour l'UE; des stratégies de cybersécurité améliorant la sécurité tout en préservant la vie privée et d'autres droits fondamentaux; une sensibilisation des citoyens et l'encouragement des approches de protection préventives; une gouvernance globale des États membres; une action bien informée et responsable des entreprises; un partenariat approfondi entre les gouvernements, le secteur privé et les citoyens; des niveaux d'investissement appropriés; de bonnes normes techniques et des investissements suffisants dans la recherche, le développement et l'innovation; un engagement international. À cet effet, le Comité renouvelle ses recommandations relatives à la politique en matière de cybersécurité qu'il a exprimées dans nombre d'avis antérieurs (2) et invite la Commission à donner suite aux actions qu'il préconise.

2. Champ d'application de l'avis

2.1

L'économie de l'internet génère plus d'un cinquième de la croissance du PIB dans l'UE et 200 millions d'Européens font des achats en ligne chaque année. Nous dépendons de l'internet et de la technologie numérique connectée pour soutenir nos services en ligne vitaux dans les domaines de l'énergie, de la santé, de l'administration et des finances. Toutefois, cette infrastructure et ces services numériques cruciaux, qui jouent un rôle d'une telle importance dans notre vie économique et sociale, sont exposés à un risque croissant de cyberattaques menaçant notre prospérité et notre qualité de vie.

2.2

Le Comité estime que compte tenu de la dépendance croissante de l'Union à l'égard de l'internet et de la technologie numérique, les pratiques et politiques actuelles ne sont pas suffisantes pour fournir, aujourd'hui comme demain, un niveau approprié de cybersécurité dans toute l'Europe. Le présent avis vise à souligner les lacunes que le Comité constate dans la politique européenne en matière de cybersécurité et à recommander des améliorations qui permettraient de mieux atténuer les risques de cyberattaques.

2.3

Les motifs des cyberattaques sont très variés; il peut s'agir de raisons très personnelles (se venger d'un individu, d'une entreprise) mais aussi de cyber-espionnage au niveau étatique, ou encore de cyberguerre entre pays. Lors de l'élaboration du présent avis, il a été décidé d'en limiter la portée aux cyberattaques dont le motif est purement criminel, afin que les recommandations portent uniquement sur des problèmes qui correspondent aux principales préoccupations de la majorité des membres du Comité. Le débat politique, fort complexe, que suscitent les cyberattaques menées par les États membres contre les citoyens et contre d'autres États pourrait faire l'objet d'un prochain avis.

2.4

L'avis ne porte que sur les cyberattaques perpétrées par des cybercriminels animés par des motifs pécuniaires, c'est-à-dire la grande majorité des attaques. La mise en place de politiques et pratiques de cybersécurité visant à lutter efficacement contre la cybercriminalité permet de réduire également les risques de cyberattaques motivées par des considérations politiques ou plus personnelles.

2.5

Même si l'UE a bien progressé dans la mise en œuvre des actions relevant du pilier «Confiance et sécurité» de la stratégie numérique et a élaboré une vaste stratégie de cybersécurité reprenant la plupart des objectifs évoqués ci-dessus, il reste du pain sur la planche.

3. Cyberattaques et cybersécurité

3.1

Par cyberattaque, on entend tout type d'action offensive visant des systèmes informatiques, des infrastructures, des réseaux informatiques et/ou des appareils numériques personnels par divers moyens malveillants dans le but de voler, modifier ou détruire une cible spécifique. Cette cible peut être de l'argent, des données ou une technologie informatique.

3.2

Les cybercriminels lancent des cyberattaques pour voler de l'argent ou des données, pour commettre des actes frauduleux, d'espionnage criminel ou d'extorsion. La cybercriminalité peut endommager des réseaux et services essentiels dont nous dépendons pour notre santé, notre sécurité et notre prospérité économique, notamment au niveau des administrations, des transports et des réseaux énergétiques.

3.3

La menace de cyberattaques croît à mesure que notre dépendance de l'Internent et des technologies numériques augmente. Selon un rapport récent de Symantec, le nombre total de violations de données dans le monde a augmenté de 62 % en 2013, ce qui représente plus de 552 millions d'identités exposées, c'est-à-dire des noms, dates de naissances, numéros d'identification nationaux, des dossiers médicaux ou des informations financières. En outre, 38 % des utilisateurs de téléphones portables ont fait l'objet d'actes de cybercriminalité au cours des douze derniers mois.

3.4

Les cyberattaques peuvent avoir de graves incidences sur les entreprises prises isolément et sur l'économie européenne dans son ensemble:

—

Un rapport sectoriel de 2011 indique que les cyberattaques entraînent pour les victimes des pertes d'environ 290 milliards d'euros chaque année dans le monde, et constituent ainsi une activité plus lucrative que le trafic mondial de marijuana, de cocaïne et d'héroïne réunies.

—

Les citoyens subissent en permanence la menace d'un vol d'identité dans le cadre des cyberattaques. En mai 2014, une base contenant les données personnelles de 145 millions d'utilisateurs titulaires d'un compte sur eBay a été pillée lors d'une seule et même attaque. Une étude consacrée en 2013 à la cybersécurité par l'université du Kent indique qu'au Royaume-Uni, en une année (2012-2013), les comptes en ligne de plus de 9 millions d'adultes ont été piratés; la cybercriminalité a fait perdre de l'argent à 8 % de la population et plus de 10 000 livres sterling (GBP) à 2,3 % des Britanniques.

—

En 2011, un rapport du gouvernement britannique affirmait que le coût global de la cybercriminalité pour l'économie du Royaume-Uni s'élevait à 2,7 milliards GBP, dont:

—

la fraude en ligne (1,4 milliard GBP),

—

l'usurpation d'identité (1,7 milliard GBP),

—

le vol de la propriété intellectuelle (9,2 milliards GBP),

—

l'espionnage (7,6 milliards GBP),

—

les pertes de données clients (1 milliard GBP),

—

le vol (direct) en ligne visant les entreprises (1,3 milliard GBP),

—

l'extorsion (2,2 milliards GBP),

—

la fraude fiscale (2,3 milliards GBP).

—

Chaque année, en Europe, les cyberattaques causent des dommages économiques considérables. Le coût doit prendre en compte:

—

la perte de droits de propriété intellectuelle et de données sensibles;

—

les coûts d'opportunité, y compris les perturbations que subissent les services et l'emploi;

—

les dommages infligés à l'image de marque et à la réputation de l'entreprise concernée;

—

les pénalités et les paiements compensatoires qui doivent être versés aux consommateurs (pour les inconvénients ou les dommages subis) ou les indemnisations contractuelles (dues en cas de retard, etc.);

—

le coût des contre-mesures et le prix des assurances;

—

le coût qu'engendrent la lutte contre les cyberattaques et la réparation de leur impact;

—

la perte de clientèle et de compétitivité;

—

les distorsions dans les échanges; et

—

les pertes d'emplois.

—

Selon l'étude sur les violations de la sécurité des informations (Information Security Breaches Survey) publiée par le gouvernement britannique, 81 % des grandes entreprises et 60 % des PME ont subi une atteinte à la sécurité en 2013.

—

Ce même rapport gouvernemental estimait que la plus grave des cyberattaques pourrait coûter en moyenne 1 4 00 000 euros à une grande entreprise et 1 40 000 euros à une PME.

—

Même si les attaques se soldent par des échecs, le fait de lutter contre elles coûte de plus en plus cher et cette tendance s'accélère. En 2014, la croissance du marché mondial de la sécurité de l'information atteindra 8,6 %, et représentera plus de 73 milliards de dollars des États-Unis (USD).

3.5

Les techniques de cyberattaques ne cessent d'évoluer:

—

Une cyberattaque implique habituellement le recours à un vecteur d'attaque permettant au cybercriminel d'accéder à des justificatifs d'identité en ligne, à un ordinateur ou à un serveur de réseau afin de commettre des actions malveillantes. Périphériques USB, fichiers joints aux courriels, pages web, fenêtres intruses («pop-ups»), messages instantanés, sites de discussion en ligne et techniques de tromperie telles que le hameçonnage («phishing») comptent parmi les vecteurs d'attaques couramment utilisés.

—

Les formes les plus courantes de cyberattaques impliquent le déploiement de logiciels malveillants. Un logiciel malveillant (ou maliciel) est un programme capable de détourner un dispositif numérique pour atteindre un objectif criminel, par exemple le vol d'identifiants ou d'argent, ou sa propagation à d'autres dispositifs. Les maliciels englobent les virus informatiques (y compris les vers et les chevaux de Troie), les virus-rançon (ransomeware), les logiciels espions et publicitaires, les scareware et autres programmes malveillants. À titre d'exemple, le virus-rançon est un maliciel spécifique qui bloque l'accès au système informatique qu'il a infecté et qui demande qu'une rançon soit versée afin de le déverrouiller.

—

Un maliciel peut également transformer un ordinateur en entité informatique indépendante connectée à réseau zombie, par le biais duquel le criminel attaque ses victimes.

—

Lors d'une attaque de spams (pourriels), l'auteur du crime envoie massivement des courriels non sollicitées, souvent dans le but de duper la victime en lui faisant acheter des produits de contrefaçon. La plupart des pourriels sont envoyés par les réseaux zombies.

—

Les attaques par hameçonnage sont des tentatives de vol des identifiants, des mots de passe et des données de carte de crédit d'une personne; en se faisant passer pour une institution fiable, le cybercriminel peut prendre le contrôle des comptes de messagerie électronique, du réseau social et des comptes bancaires de la victime. Les attaques par hameçonnage sont particulièrement efficaces étant donné que 70 % des internautes choisissent le même mot de passe pour la plupart des services internet qu'ils utilisent.

—

Les cybercriminels utilisent parfois les attaques par déni de service (DoS) pour extorquer de l'argent à des entreprises ou organisations. Une attaque DoS a pour but de rendre indisponibles une machine ou une ressource réseau pour les personnes censées les utiliser, en inondant la cible de demandes de communication externes de sorte qu'elle ne puisse pas répondre au trafic légitime de données, ou qu'elle y réponde avec une telle lenteur que le service devient pratiquement indisponible. D'une manière générale, les criminels utilisent les réseaux zombies pour se livrer aux attaques Dos.

3.6

Les organisations de cybersécurité s'accordent sur les mesures prioritaires à prendre par les citoyens et les entreprises pour se protéger contre les cyberattaques. Tout programme de sensibilisation et d'éducation à la cybersécurité devrait recommander les pratiques suivantes:

a.

Citoyens

—

utiliser des mots de passe fiables et faciles à retenir;

—

installer des antivirus sur les nouveaux appareils;

—

vérifier les paramètres de confidentialité sur les réseaux sociaux;

—

acheter en ligne en toute sécurité, toujours vérifier la fiabilité des sites de vente en ligne; et

—

télécharger les correctifs logiciels proposés.

b.

Entreprises

—

établir une «liste blanche» des applications;

—

utiliser des configurations de système standard et sûres;

—

appliquer les correctifs logiciels dans les 48 heures;

—

appliquer les correctifs du système d'exploitation dans les 48 heures;

—

réduire le nombre d'utilisateurs ayant les droits d'administrateur.

3.7

Les petites sociétés ne disposent souvent pas d'un soutien informatique suffisant pour se tenir au courant des cyberattaques potentielles, et ont donc besoin d'une aide spécifique pour pouvoir se protéger contre les cyberattaques.

3.8

La communication d'informations sur les cyberattaques et les vulnérabilités de systèmes est essentielle pour lutter contre les cyberattaques, en particulier lorsqu'il s'agit d'une attaque dite «du jour zéro», c'est-à-dire un nouveau type d'attaque jusque-là inconnue du monde de la cybersécurité. Toutefois, il n'est pas rare que les entreprises passent sous silence des cyberattaques en raison de craintes liées à leur bonne réputation et à une prise de responsabilités. Cette absence d'information nuit à la capacité de l'Europe à réagir rapidement et efficacement aux menaces informatiques, et à améliorer la cybersécurité générale par un apprentissage partagé.

3.9

Les citoyens et les entreprises achètent l'accès à l'internet et les services par l'intermédiaire des fournisseurs d'accès à internet. Compte tenu du rôle crucial qu'ils jouent en fournissant des services en ligne, ces prestataires doivent impérativement garantir à leurs clients un niveau de protection maximum contre les cyberattaques. De plus, en s'assurant que leurs propres services et infrastructures sont conçus et mis à jour pour garantir les meilleurs niveaux de cybersécurité, les fournisseurs d'accès à internet doivent apporter à leurs clients d'excellents conseils en matière de cybersécurité et mettre en place des protocoles spécifiques afin d'aide à identifier et à combattre les cyberattaques dont sont victimes ces mêmes clients. Il convient de définir cette responsabilité et de l'inscrire dans la législation européenne.

3.10

Pour l'économie de l'UE, il est primordial d'accélérer l'adoption de l'informatique en nuage par les citoyens et les entreprises d'Europe (3). Avec le renforcement de la dépendance vis-à-vis des services informatiques en nuage destinés à des applications à usage personnel ou professionnel, il devient important pour l'Europe de garantir notamment la cybersécurité des fournisseurs de services en nuage. L'incertitude liée à la sécurité des services en nuage a un impact très négatif sur le taux d'adoption de cette technologie dynamique. Le Comité souhaiterait que l'UE prévoie des exigences et obligations de sécurité spécifiques pour les fournisseurs de services en nuage afin d'encourager l'essor de l'informatique en nuage en Europe.

3.11

Des efforts particuliers doivent être fournis pour recruter du personnel dans le secteur européen de la cybersécurité. Selon les prévisions, la hausse de la demande en spécialistes de la sécurité de l'information de niveau universitaire devrait être plus de deux fois supérieure à celle de la main-d'œuvre de l'ensemble du secteur informatique. Dans ce contexte, le Comité attire également l'attention de la Commission sur l'importance des concours aux États-Unis et dans certains États membres pour la sensibilisation à la cybersécurité et la constitution d'une pépinière de futurs professionnels de ce secteur.

3.12

Une des meilleures stratégies de protection contre les cyberattaques consiste à opter pour une approche fondée sur la conception, en s'assurant que l'ensemble des technologies et des services utilisés en Europe pour fournir l'accès à internet et aux services en ligne sont conçus d'une manière qui garantit les meilleurs niveaux de protection contre ces cyberattaques. Les critères de conception devraient mettre tout particulièrement l'accent sur l'interface homme-machine. Cela nécessiterait une collaboration entre les fabricants d'équipements technologiques, les fournisseurs d'accès à internet, l'industrie de la cybersécurité, le Centre européen de lutte contre la cybercriminalité (EC3), l'ENISA, les agences nationales de défense et de sécurité des États membres et les citoyens. Une telle approche fondée sur la conception en matière de cybersécurité pourrait être orchestrée au niveau de l'UE par la Commission, et éventuellement coordonnée par l'ENISA.

4. Politique de l'UE en matière de cybersécurité

4.1

L'UE met actuellement au point une stratégie globale (4) visant à accroître la cybersécurité des citoyens européens:

—

Le pilier «Confiance et sécurité» de la stratégie numérique comporte quatorze actions visant à accroître la cybersécurité et la protection des données.

—

La directive «Cyberattaques» (5), qui doit être transposée dans le droit des États membres avant le 4 septembre 2015, fixe des règles concernant la définition des infractions pénales en la matière et les sanctions applicables aux auteurs de telles infractions.

—

Afin d'étendre les connaissances en matière de cybersécurité et de faciliter la coopération transfrontalière entre les États membres, l'UE a renforcé le mandat de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

—

Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé au sein d'Europol pour lutter contre la cybercriminalité.

—

L'initiative politique relative à la protection des infrastructures d'information critiques (PIIC) est centrée sur la protection de l'Europe contre les perturbations informatiques, y compris les attaques, par le renforcement de la cybersécurité et de la résilience dans toute l'UE.

—

La stratégie pour un internet mieux adapté aux enfants vise à créer un environnement internet sûr pour les enfants et à lutter contre la diffusion en ligne de matériel pédopornographique et l'exploitation sexuelle des enfants.

—

La proposition de directive relative à la sécurité des réseaux et de l'information (SRI) invite les États membres à mettre en place un ensemble de moyens de SRI, par exemple une équipe d'intervention en cas d'urgence informatique (CERT) qui soit opérationnelle. Elle précise également les exigences en matière de sécurité des réseaux et d'établissement de rapports pour les fournisseurs d'infrastructures critiques.

4.2

Le CESE a réagi avec force à la proposition de la Commission relative à la sécurité des réseaux et de l'information (SRI) (6) car il considérait que les mesures proposées n'étaient pas assez fermes et n'inciteraient pas suffisamment les États membres à protéger leurs citoyens et entreprises contre les cyberattaques. Toutefois, au moment de l'adoption de la directive proposée, le Parlement a encore réduit son utilité en limitant son champ d'application aux fournisseurs «d'infrastructures critiques», et en excluant dès lors les moteurs de recherche, les médias sociaux, les passerelles de paiement par internet et les fournisseurs de services en nuage.

4.3

Maintenant, la directive SRI proposée ne suffira pas à garantir la mise en place de la législation nécessaire pour améliorer la sensibilisation à la menace et la capacité de réaction aux cyberattaques dans l'Union. Le Comité souhaiterait voir adopter une nouvelle législation qui rendrait obligatoire la signalisation de tous les incidents majeurs touchant la cybersécurité, et pas uniquement pour les fournisseurs d'infrastructures critiques. L'absence d'une telle obligation de signalisation contribue à la prospérité des cybercriminels qui profitent de l'ignorance des cibles vulnérables.

4.4

L'UE devrait envisager d'étendre le mandat de l'ENISA afin d'accroître la sensibilisation à la menace de cyberattaques et d'améliorer la capacité de réaction dans toute l'Union. Peut-être pourrait-on étendre le rôle de l'ENISA afin de lui confier la responsabilité directe des programmes d'éducation et de sensibilisation à la cybersécurité spécifiquement destinés aux citoyens et aux PME?

4.5

Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé au sein d'Europol en 2013 pour accroître la capacité de l'Europe à lutter contre la cybercriminalité. EC3 fait office de plaque tournante des renseignements sur la criminalité en Europe et soutient les opérations et les enquêtes des États membres concernant des cyberattaques. Toutefois, dans son premier rapport annuel, EC3 prévient que ses ressources actuelles limitent d'ores et déjà la progression des enquêtes et qu'il ne sera pas en mesure de faire face aux enquêtes de grande envergure qui lui seront confiées.

4.6

L'UE devrait demander aux organisations européennes de normalisation — CEN, CENELEC et ETSI — de mettre au point des normes en matière de cybersécurité, applicables à tout logiciel, matériel informatique ou services basés sur internet en vente dans l'Union. Ces normes devraient être actualisées en permanence afin de tenir compte des nouvelles menaces.

4.7

Il y a lieu de légiférer afin de rendre obligatoire la signalisation des incidents majeurs touchant la cybersécurité pour toutes les entreprises et organisations, et pas uniquement les fournisseurs d'infrastructures critiques. Cela permettrait d'améliorer les stratégies d'atténuation des menaces «en direct» ainsi que les connaissances sur les cyberattaques commises et leur compréhension, afin d'aider les autorités, le secteur de la cybersécurité, les entreprises et les citoyens à améliorer la cybersécurité et à lutter contre les menaces. Pour encourager le partage des informations sur les cyberattaques, toute législation devrait prévoir un anonymat approprié pour les entreprises et les organisations signalant une attaque. Il conviendrait également d'envisager, le cas échéant, une protection de responsabilité.

4.8

En dépit des initiatives de l'UE, le niveau de capacités et de préparation diffère fortement d'un État membre à l'autre, ce qui entraîne des réactions en ordre dispersé aux cyberattaques dans l'UE. Étant donné l'interconnexion des réseaux et des systèmes, les États membres qui ont une approche très lâche de la cybersécurité affaiblissent la capacité d'ensemble de l'UE à affronter les cyberattaques. Des mesures doivent être prises pour amener tous les États membres à un niveau acceptable en matière de cybersécurité. Il convient d'accorder une attention particulière au fait que chaque État membre possède une équipe d'intervention en cas d'urgence informatique (CERT) pleinement opérationnelle.

4.9

Comme il l'avait déjà indiqué dans de précédents avis (7), le CESE estime que les mesures volontaires ne fonctionnent pas, et que des obligations réglementaires rigoureuses doivent être imposées aux États membres pour garantir l'harmonisation, la gouvernance et l'application d'une cybersécurité européenne.

4.10

En somme, afin d'être en mesure d'apporter aux citoyens et aux entreprises une protection réelle et actualisée contre les cyberattaques, la politique de l'UE en matière de cybersécurité doit se concentrer sur les mesures suivantes:

—

un rôle moteur pour l'UE de manière à pouvoir mettre en place les politiques, lois et institutions à même de favoriser des niveaux élevés de cybersécurité dans toute l'Union;

—

des politiques de cybersécurité améliorant la sécurité individuelle et collective tout en préservant le droit des citoyens à la vie privée ainsi que d'autres valeurs et libertés fondamentales;

—

une sensibilisation élevée des citoyens aux risques liés à l'utilisation de l'internet, et encouragement d'une approche préventive de protection de leurs dispositifs numériques, identités, données privées et transactions en ligne;

—

une gouvernance globale par tous les États membres afin de garantir la sécurité et la résilience des infrastructures d'information critiques;

—

une action bien informée et responsable de toutes les entreprises de manière à assurer la sécurité et la résilience de leurs systèmes informatiques, afin de protéger leurs opérations et les intérêts de leurs clients;

—

une approche volontariste des fournisseurs d'accès à internet visant à protéger leurs clients contre les cyberattaques;

—

une approche approfondie de partenariat en matière de cybersécurité dans toute l'UE, entre les gouvernements, le secteur privé et les citoyens, aux niveaux stratégique et opérationnel;

—

une approche fondée sur la conception afin d'intégrer la cybersécurité lors du développement des technologies et des services internet;

—

des niveaux appropriés d'investissements dans les connaissances et le développement des compétences en matière de cybersécurité afin de se doter d'une solide main-d'œuvre dans ce domaine;

—

de bonnes normes techniques de cybersécurité et des investissements suffisants dans la recherche, le développement et l'innovation, afin de soutenir le développement d'un secteur fort de la cybersécurité et de solutions de premier ordre;

—

un engagement international actif avec les pays tiers pour développer une politique et une réaction coordonnées à l'échelle mondiale face aux menaces de cybersécurité.

Bruxelles, le 10 juillet 2014.

Le Président du Comité économique et social européen

Henri MALOSSE

(1) JO C 24 du 28.1.2012, p. 40; JO C 76 du 14.3.2013, p. 59.

(2) JO C 97 du 28.4.2007, p. 21;

JO C 175 du 28.7.2009, p. 92;

JO C 255 du 22.9.2010, p. 98;

JO C 54 du 19.2.2011, p. 58;

JO C 107 du 6.4.2011, p. 58;

JO C 229 du 31.7.2012, p. 90;

JO C 218 du 23.7.2011, p. 130;

JO C 24 du 28.1.2012, p. 40;

JO C 229 du 31.7.2012, p. 1;

JO C 351 du 15.11.2012, p. 73;

JO C 76 du 14.3.2013, p. 59;

JO C 271 du 19.9.2013, p. 127;

JO C 271 du 19.9.2013, p. 133.

(3) JO C 24 du 28.1.2012, p. 40; JO C 76 du 14.3.2013, p. 59.

(4) JOIN/2013/01 final.

(5) JO L 218 du 14.8.2013, pp. 8-14.

(6) JO C 271 du 19.9.2013, p. 133.

(7) JO C 255 du 22.9.2010, p. 98; JO C 218 du 23.7.2011, p. 130; JO C 271 du 19.9.2013, p. 133.

Documents similaires

Initiative législative52014IP0107

Résolution du Parlement européen du 18 décembre 2014 sur la Mauritanie, et en particulier le cas de Biram Dah Abeid (2014/2999(RSP))

18/12/2014

Initiative législative52014IP0110

Résolution non législative du Parlement européen du 18 décembre 2014 sur le projet de décision du Conseil relative à la conclusion, au nom de l'Union européenne, de l'accord d'association entre l'Union européenne et la Communauté européenne de l'énergie atomique et leurs États membres, d'une part, et la Géorgie, d'autre part (09827/2014 — C8-0129/2014 — 2014/0086(NLE) — 2014/2816(INI))

18/12/2014

Initiative législative52014IP0108

Résolution du Parlement européen du 18 décembre 2014 sur le Soudan: la situation d'Amin Mekki Medani (2014/3000(RSP))

18/12/2014

Initiative législative52014IP0106

Résolution du Parlement européen du 18 décembre 2014 sur la persécution de l'opposition démocratique au Venezuela (2014/2998(RSP))

18/12/2014

← Retour au droit européenVoir aussi sur EUR-Lex →