Anda di halaman 1dari 24

1

COMMUNICATION DE LA COMMISSION AU CONSEIL, AU PARLEMENT


EUROPEN, AU COMITE ECONOMIQUE ET SOCIAL ET AU COMITE DES
REGIONS
Scurit des rseaux et de linformation:
Proposition pour une approche politique europenne
2
Scurit des rseaux et de linformation:
une approche politique europenne
Table des matires
1. Introduction
2. Analyse des problmes de scurit des rseaux et de linformation
2.1. Dfinition de la scurit des rseaux et de linformation
2.2. Aperu des menaces pour la scurit
2.2.1. Interception des communications
2.2.2. Accs non autoris aux ordinateurs et aux rseaux d'ordinateurs
2.2.3. Perturbation des rseaux
2.2.4. Excution de logiciels malveillants modifiant ou dtruisant des donnes
2.2.5. Dclarations mensongres
2.2.6. Evnements environnementaux et non intentionnels
2.3. Nouveaux dfis
3. Une approche politique europenne
3.1. Justification d'une action publique
3.2. Sensibilisation
3.3. Un systme europen d'alerte et d'information
3.4. Soutien technologique
3.5. Soutien une normalisation et une certification orientes vers les besoins du
march
3.6. Cadre juridique
3.7. Scurit dans les administrations publiques
3.8. Coopration internationale
4. Prochaines tapes
3
1. Introduction
La scurit des rseaux lectroniques et des systmes dinformation suscite de plus en plus de
proccupations paralllement l'augmentation rapide du nombre d'utilisateurs et du montant de
leurs transactions. La scurit a maintenant atteint un point critique o elle reprsente une
ncessit pour la croissance du commerce lectronique et le fonctionnement de toute lconomie.
La combinaison de plusieurs facteurs explique que la scurit de l information et des
communications se trouve maintenant en tte des priorits politiques de l'Union europenne:
Les gouvernements se sont rendu compte de la mesure dans laquelle leur conomie et leurs
citoyens sont dpendants d'un fonctionnement efficace des rseaux de communication et
plusieurs d'entre eux ont commenc revoir leurs dispositions en matire de scurit.
L'internet a cr une connectivit mondiale permettant de relier entre eux des millions de
rseaux, petits et grands, et des centaines de millions d'ordinateurs individuels, et de plus en
plus d'autres appareils, incluant les tlphones portables. Ceci a grandement facilit l'accs
illgal et distance des informations conomiques prcieuses.
On a assist une large propagation de virus informatiques sur l'internet, virus qui ont caus
d'importants dommages en dtruisant des informations et en interdisant l'accs aux rseaux.
De tels problmes de scurit ne se confinent pas un pays de manire individuelle mais
stendent rapidement travers les Etats membres.
En lanant le plan d'action eEurope 2002, les Conseils europens de Lisbonne et de Feira ont
estim que l'internet constitue l'un des moteurs essentiels de la productivit des conomies de
l'UE.
Dans ce contexte, le Conseil europen de Stockholm des 23 et 24 mars 2001 a conclu: "leConseil,
en concertation avec la Commission, mettra au point unevastestratgieen matiredescuritdes rseaux
lectroniques, prvoyant des mesures demiseen uvrepratique. Cettestratgiedevrait treprte temps pour le
Conseil europen deGteborg." La prsente communication constitue la rponse de la Commission
europenne cette demande du Conseil.
Un environnement en mutation
Tandis que la scurit est devenue l'un des principaux dfis auxquels sont confronts les
responsables politiques, la recherche d'une rponse adquate ce problme devient une tche de
plus en plus complexe. Il y a quelques annes seulement, la scurit des rseaux tait
essentiellement un problme pour les monopoles d'tat offrant des services spcialiss bass sur
des rseaux publics, notamment le rseau tlphonique. La scurit des systmes dordinateurs
tait limite aux grandes organisations et se focalisait sur le contrle de laccs. L'laboration
d'une politique de scurit tait une tche relativement aise. La situation a chang radicalement
la suite d'une srie de dveloppements intervenus sur l'ensemble des marchs, notamment la
libralisation, la convergence et la mondialisation.
Les rseaux sont maintenant dtenus et grs principalement par des entreprises prives.
Les services de communication sont ouverts la concurrence et la scurit fait partie de l'offre du
march. Toutefois, de nombreux clients ignorent l'ampleur des risques auxquels ils sont exposs
quand ils se connectent un rseau et prennent donc leur dcision sans tre parfaitement
informs.
Les rseaux et les systmes dinformation convergent. Ils sont de plus en plus
interconnects, offrant le mme type de services personnaliss et sans coutures (seamless),et
4
partageant dans une certaine mesure, la mme infrastructure. Les quipements terminaux (PC,
tlphones portables, etc.) sont devenus des lments actifs dans l'architecture des rseaux et
peuvent tre connects diffrents rseaux.
Les rseaux sont internationaux. Une partie importante des communications d'aujourd'hui
traverse les frontires ou transite par des pays tiers ( parfois sans que lutilisateur final ne sen
rende compte), de sorte que toute solution un risque de scurit doit en tenir compte. La
plupart des rseaux sont constitus de produits commerciaux provenant de fournisseurs
internationaux. Les produits de scurit doivent tre compatibles avec des normes
internationales.
Importance politique
Ces dveloppements restreignent la capacit des gouvernements d'influencer le niveau de scurit
des communications lectroniques des citoyens et des entreprises. Cela ne signifie pas cependant
que le secteur public n'a plus un rle jouer pour un certain nombre de raisons :
Premirement, il existe plusieurs mesures juridiques en vigueur au niveau communautaire
ayant des implications spcifiques en matire de scurit des rseaux et de linformation.
En particulier, le cadre europen des tlcommunications et de la protection des donnes
contient des dispositions obligeant les oprateurs et les fournisseurs de services d'assurer un
niveau de scurit adquat par rapport aux risques en question.
Deuximement, la scurit nationale suscite des proccupations croissantes dans la mesure o
les systmes d'information et les rseaux de tlcommunications sont devenus un facteur critique
pour d'autres infrastructures (l'approvisionnement en eau et en lectricit, par exemple) et
d'autres marchs (le march mondial des finances, par exemple).
Enfin, l'action gouvernementale en rponse aux imperfections du march se justifie plusieurs
gards. Les prix du march ne refltent pas toujours exactement les cots et les bnfices des
investissements dans l'amlioration de la scurit des rseaux, et ni les fournisseurs ni les
utilisateurs ne supportent toujours toutes les consquences de leur comportement. Le contrle
du rseau est dispers et la faiblesse dun systme peut tre utilise pour en attaquer un autre. La
complexit des rseaux fait que les utilisateurs ont du mal valuer les dangers potentiels.
La prsente communication a donc pour objectif de dterminer la ncessit dune action
publique additionnelle ou amliore au niveau europen ou national.
Le chapitre 2 dfinit la scurit des rseaux et de linformation, dcrit les principales menaces
pour la scurit et value les solutions existantes . Il entend fournir les donnes ncessaires en
matire de scurit des rseaux et de linformation pour une bonne comprhension des solutions
proposes. Il ne s'agit pas de donner un aperu technique exhaustif des problmes de scurit des
rseaux.
Le chapitre 3 propose une approche politique europenne visant amliorer la scurit des
rseaux et de linformation. Il repose sur une analyse de la ncessit de complter les solutions du
march avec des actions au niveau politique. Il prsente une srie de mesures concrtes, suite la
demande du Conseil europen de Stockholm. La politique propose doit tre vue comme une
partie intgrante du cadre existant pour les services de communication lectronique, la protection
des donnes et - plus rcemment - la politique en matire de cybercriminalit.
2. Analyse des problmes de scurit des rseaux et de linformation
5
2.1. Dfinition de la scurit des rseaux et de linformation
Les rseaux sont des systmes de stockage, de traitement et de circulation des donnes. Ils sont
constitus de composants de transmission (cbles, connexions radio, satellites, routeurs,
passerelles, commutateurs, etc.), et de services de soutien (systme de noms de domaine incluant
le serveur de base, service d'identification de l'appelant, services dauthentification etc.). Il
existeun nombre surprenant dapplications lies aux rseaux (systme de distribution de-mails,
logiciel de navigation, etc.) et d'quipements terminaux (tlphones, ordinateurs htes, PCs,
tlphones mobiles, organisateurs personnels, appareils domestiques, machines industrielles, etc.).
Les exigences gnriques de scurit des rseaux et de linformation prsentent les
caractristiques interdpendantes suivantes:
i) Disponibilit Signifie que les donnes sont accessibles et les services oprationnels,
mme en cas d'vnements perturbants tels que des pannes de courant, des catastrophes
naturelles, des accidents ou des attaques. Cette caractristique est particulirement
importante lorsqu'une une dfaillance du rseau de communication peut provoquer des
pannes dans d'autres rseaux critiques tels que les transports ariens ou la fourniture
d'lectricit.
ii) Authentification Confirmation de l'identit suppose dentits ou dutilisateurs. Des
mthodes d'authentification appropries sont ncessaires pour de nombreux services et
applications, comme la conclusion d'un contrat en ligne, le contrle de l'accs certains
services et donnes (pour les tltravailleurs, par exemple) et l'authentification des sites
Web (pour les banques Internet, par exemple). Lauthentification doit galement inclure la
possibilit de rester anonyme, dans la mesure o de nombreux services ne ncessitent pas
lidentit de lutilisateur, mais seulement la confirmation de certains critres (pices
justificatives anonymes), telle la capacit de payement .
iii) Intgrit Confirmation que les donnes qui ont t envoyes, reues ou stockes sont
compltes et n'ont pas t modifies. Ceci est particulirement important pour
l'authentification en vue de la conclusion de contrats ou quand lexactitude des donnes est
ncessaires (donnes mdicales, design industriel, etc).
iv) Confidentialit Protection des communications ou des donnes stockes contre
l'interception et la lecture par des personnes non autorises. La confidentialit est
particulirement ncessaire pour la transmission des donnes sensibles et constitue une des
exigences pour aborder les problmes de protection de la vie prive des utilisateurs des
rseaux de communication.
Il convient de tenir compte de tous les vnements qui menacent la scurit et pas uniquement
ceux de nature malveillante. Du point de vue dun utilisateur, les menaces telles que les incidents
environnementaux ou les erreurs humaines qui perturbent le rseau sont potentiellement aussi
coteuses que les attaques malveillantes. La scurit des rseaux et de linformation peut
donc tre comprise comme la capacit dun rseau ou dun systme dinformation de
rsister, un niveau de confiance donn, aux vnements accidentels ou aux actions
malveillantes qui compromettent la disponibilit, l'authenticit, l'intgrit et la
confidentialit des donnes stockes ou transmises et des services connexes que ces
rseaux et systmes offrent ou qu'ils rendent accessibles.
2.2. Aperu des menaces pour la scurit
Les entreprises qui utilisent le rseau pour vendre leurs produits ou organiser leurs livraisons
peuvent tre paralyses par une attaque de type "refus de service". Des informations personnelles
6
et financires peuvent tre interceptes en vue d'un usage frauduleux. La scurit nationale peut
tre menace. Ces exemples donnent une indication des menaces que reprsente une scurit
insuffisante. Une distinction est faite entre les attaques intentionnelles (sections 2.2.1 2.2.5) et
les vnements non intentionnels (section 2.2.6). Lobjectif de ces sections est de spcifier les
types de risques affectant la scurit en vue de prparer l'tablissement d'un cadre politique pour
amliorer la scurit au chapitre 3.
2.2.1. Interception des communications
Les communications lectroniques peuvent tre interceptes et des donnes peuvent tre copies
ou modifies. L'interception peut se faire de diffrentes manires, de l'accs physique aux lignes
de rseau, par exemple coutes tlphoniques, et la surveillance des transmissions radio. Les
points les plus critiques pour l'interception du trafic des communications sont les points de
gestion et de concentration du rseau, comme les routeurs, les passerelles, les commutateurs et les
serveurs d'exploitation du rseau.
Il convient de faire une distinction entre l interception malveillante ou illgale des
communications et les activits lgales d'interception. L'interception des communications pour
des raisons de scurit publique est autorise dans des cas particuliers et des fins limites dans
tous les tats membres de l'UE. Il existe un cadre juridique permettant aux organes chargs de
faire respecter la loi d'obtenir une ordonnance judiciaire ou, dans le cas de deux tats membres,
une autorisation dlivre personnellement par un ministre occupant un rang lev dans la
hirarchie ministrielle, pour intercepter des communications.
Dommages potentiels L'interception illgale peut causer des dommages la fois par
l'intrusion dans la vie prive des personnes et par l'exploitation des donnes interceptes comme
les mots de passe ou les dtails des cartes de crdit, en vue d'obtenir un gain commercial ou des
fins de sabotage. On estime qu'il s'agit l d'un des principaux freins au dveloppement du
commerce lectronique en Europe.
Solutions envisageables La dfense contre l'interception peut tre assure par les
oprateurs, qui doivent veiller la scurit du rseau, conformment entre autre la directive
97/ 66/ CE
1
, et par les utilisateurs, qui peuvent chiffrer les donnes transmises sur le rseau.
Pour les oprateurs, la protection du rseau contre l'interception est une tche complexe et
coteuse. La mthode classique utilise par les oprateurs de services de tlcommunications
pour scuriser le rseau consistait contrler l'accs physique aux installations et donner des
instructions leur personnel. Le chiffrement du trafic n'tait utilis qu'occasionnellement. Dans le
cas des solutions sans fil, il s'agit de veiller ce que les transmissions radio soient
convenablement chiffres. Les oprateurs de services de communication mobile chiffrent le trafic
entre le tlphone mobile et la station de base. Dans la plupart des pays de l'UE, l'efficacit du
chiffrement est plus faible que ce qui est techniquement faisable en raison de la ncessit de
faciliter les interceptions lgales. Pour la mme raison, le chiffrement peut tre actionn ou
dsactionn partir des stations de base sans que lutilisateur nen soit inform.
Les utilisateurs peuvent dcider de chiffrer eux-mmes les donnes ou les communications
vocales indpendamment des dispositions de scurit du rseau. Mme si elles sont interceptes,
les donnes correctement chiffres sont incomprhensibles pour tout le monde, sauf le
destinataire autoris. Des logiciels et du matriel de chiffrement sont largement disponibles pour

1
Directive sur la protection des donnes dans le secteur des tlcommunications (JO L 24 du 30.1.1998)
7
pratiquement tous les types de communications
2
. Des produits spciaux peuvent chiffrer une
conversation tlphonique ou une transmission par tlcopie. Les courriers lectroniques peuvent
tre chiffrs l'aide d'un logiciel spcial ou d'un logiciel intgr dans un programme de traitement
de texte ou la fentre active de lutilisateur du courrier lectronique . Pour l'utilisateur, le
problme rside dans le fait que s'il chiffre le courrier lectronique ou les communications
vocales, le destinataire doit tre en mesure de les dchiffrer. Les quipements ou les logiciels
doivent tre interoprables. Il est ncessaire aussi de connatre la cl de dchiffrement, ce qui
signifie qu'il doit y avoir un mcanisme pour recevoir la cl, incluant lauthentification de celle-ci.
Le cot du chiffrement en termes dargent et defforts est considrable et les utilisateurs
manquent souvent dinformations sur les risques de scurit et les bnfices, ce qui les empche
de prendre les meilleures dcisions.
Un systme de scurit couramment utilis sur l'internet, le SecureSocket Layer (SSL), chiffre la
communication entre un serveur Web et le navigateur Web de l'utilisateur. Le dveloppement de
cette technologie, en particulier la version la plus robuste (128 bits), a t frein par les
dispositions restrictives prises par les tats-Unis dans le pass en matire des contrles
desexportations. Les Etats-Unis ont rvis leur rgime de contrle des exportations suite
ladoption en Europe du rglement double usage, qui cr un rgime communautaire plus libral
en matire de contrle des exportations de produits et de technologies pouvant avoir un double
usage
3
. Les statistiques indiquent que les serveurs Web scuriss en Europe sont beaucoup moins
nombreux qu'aux tats-Unis (voir graphique).
Serveurs Web scuriss
(par 100 000 personnes)
0
5
10
15
20
25
30
EU USA
Source: OCDE (enqute netcraft - juillet 2000)
Les oprateurs, les utilisateurs et les producteurs sont confronts au problme de normes
concurrentes et non interoprables. Par exemple, dans le domaine du courrier lectronique
scuris, deux normes
4
se font concurrence. L'influence de l'Europe dans ce domaine est limite.
Le rsultat est une profusion de produits non europens qui mettent en oeuvre ces normes et
dont l'utilisation par les utilisateurs europens dpend de la politique du contrle lexportation
des tats-Unis. Alors que le niveau de scurit offert par un grand nombre de ces produits (cf.
Echelon
5
) suscite des proccupations, certains gouvernements de l'UE envisagent l'usage de

2
Cf. la communication de la Commission "Assurer la scurit et la confiance dans la communication
lectronique", 8 octobre 1997, COM (1997) 503 final.
3
Rglement CE n1334/2000 du Conseil instituant un rgime communautaire de contrles des exportations de
biens et technologies double usage (JO L 159 du 30.06.2000).
4
S-MIME (secure multiple Internet mail extensions) et OpenPGP (Pretty Good Privacy) sont tous les deux des
normes du groupe de travail IETF (Internet Engineering Task Force).
5
Le systme ECHELON est soit-disant utilis pour intercepter les courriers lectroniques, les tlcopies, le tlex et
les communications tlphoniques passant par les rseaux mondiaux de tlcommunications. Voir galement les
8
logiciels source ouverte pour renforcer la confiance dans les produits de chiffrement. Ces
initiatives restent encore l'tat d'actions pilotes
6
, elles ne sont pas encore coordonnes et il se
pourrait que les forces du march soient tout simplement plus fortes que les efforts isols des
gouvernements. La meilleure manire d'aborder ce problme consiste en une valuation
approfondie des produits commerciaux et des logiciels source ouverte.
2.2.2. Accs non autoris aux ordinateurs et aux rseaux d'ordinateurs
L'accs non autoris un ordinateur ou un rseau d'ordinateurs relve gnralement d'une
intention malveillante de copier, modifier ou dtruire des donnes. Dans le jargon technique, le
terme technique employ pour dsigner cette pratique est "intrusion". L'intrusion peut avoir lieu
de plusieurs manires: exploitation d'informations internes, attaques dclenches par mots cl,
attaques brutales (exploitation de la tendance des gens utiliser des mots de passe prvisibles),
ingnierie sociale (exploitation de la tendance des gens divulguer linformation aux personnes
inspirant la confiance) et interception de mots de passe. Elle se fait souvent lintrieur mme d
organisations (attaques internes).
Dommages potentiels Certaines intrusions non autorises sont motives par un dfi
intellectuel plutt que par un gain pcuniaire. Cependant, ce qui a commenc comme une activit
irritante (souvent appele hacking) a mis en vidence les points vulnrables des rseaux
d'information et a incit les personnes ayant des intentions criminelles ou malveillantes
exploiter ces faiblesses. La protection contre l'accs non autoris leurs informations
confidentielles, y compris leurs donnes financires, leurs comptes en banque et leurs donnes
mdicales, est un droit des individus. Pour le secteur public et les entreprises, les menaces vont de
l'espionnage conomique la modification des donnes internes ou publiques, y compris le
dtournement des sites internet.
Solutions envisageables Les mthodes les plus couramment utilises pour se protger contre
l'accs non autoris sont le contrle des mots de passe et l'installation de logiciels coupe-feu
(firewalls). Ces solutions ne procurent toutefois qu'une protection limite et doivent tre
compltes par d'autres contrles de scurit, par exemple la reconnaissance d'attaques, la
dtection d'intrusions et les contrles au niveau des applications (incluant celles utilisant les cartes
puce). L'efficacit des contrles dpend de la faon dont leur fonctionnalit correspond aux
risques lis un environnement spcifique. Il faut arriver un quilibre entre la protection du
rseau et les avantages du libre accs. En raison de l'volution rapide de la technologie et des
nouvelles menaces qui en rsultent pour les rseaux, les contrles de la scurit des rseaux
doivent tre revus de manire indpendante en permanence. Tant que les utilisateurs et les
fournisseurs ne sont pas entirement conscients de la vulnrabilit potentielle de leur rseau, les
solutions potentielles resteront inexplores. Le graphique ci-dessus donne un aperu de
l'utilisation actuelle des produits de scurit dans l'Union europenne (les statistiques sont bases
sur une enqute ralise en fvrier 2001 dans le cadre de l'exercice d'valuation de l'initiative
eEurope 2002).

activits de la Commission temporaire du Parlement europen sur le systme ECHELON l'adresse
http:/ / www.europarl.eu.int/ committees/ echelon_home.htm
6
Le gouvernement allemand finance un projet bas sur la norme OpenPGP appel GNUPG
(http:/ / www.gnupg.org ).
9
Utilisation de produits de scurit dans lUE
(en % d'utilisateurs de linternet)
0%
20%
40%
60%
80%
100%
logiciel anti-virus lecteur carte puce logiciel chiffrement logiciel coupe feu logiciel signature
lectronique
Source: Eurobaromtre (fvrier 2001)
2.2.3. Perturbation des rseaux
Les rseaux sont actuellement largement numriss et contrls par des ordinateurs. Dans le
pass, la cause frquente de perturbation d'un rseau tait une dfaillance du systme
informatique qui le contrle et les attaques sur les rseaux taient principalement diriges contre
ces ordinateurs. De nos jours, lattaque la plus disruptive vise exploiter la faiblesse et la
vulnrabilit des composants dun rseau (routeurs, systmes dexploitation, etc).
Alors que les attaques disruptives sur le rseau tlphonique n'ont pas caus de problmes
significatifs dans le pass, les attaques sur l'internet sont assez frquentes. Cela s'explique par le
fait que les signaux de contrle tlphoniques sont spars du trafic et peuvent tre protgs,
alors que l'internet permet aux utilisateurs d'atteindre les ordinateurs cls qui assurent la gestion
du trafic. Le rseau tlphonique pourrait toutefois devenir plus vulnrable l'avenir dans la
mesure o il intgrera les lments cls de linternet et son plan de contrle s'ouvrira d'autres
rseaux.
Les attaques peuvent se prsenter sous diffrentes formes:
Attaques contre des serveurs de noms de domaine: l'internet est dpendant du
fonctionnement du systme de noms de domaine (DNS) par lequel des noms conviviaux
(europa.eu.int) sont traduits en adresses de rseau abstraites (IP n 147.67.36.16, par
exemple) et vice versa. En cas de dfaillance dune partie du DNS, il n'est plus possible de
situer certains sites Web et les systmes de livraison du courrier lectronique peuvent cesser
de fonctionner. Les dysfonctionnements induits au niveau des serveurs DNS de base ou
d'autres serveurs de noms de niveau suprieur pourrait conduire une perturbation tendue.
Au dbut de cette anne, certaines vulnrabilits ont t dcouvertes dans les logiciels utiliss
par la plupart des serveurs de noms de domaine.
7
Attaques contre le systme de routage: sur l'internet, le routage est hautement dcentralis.
Chaque routeur informe priodiquement les routeurs voisins des rseaux qu'il connat et de la
manire de les atteindre. Le point faible rside dans le fait que ces informations ne peuvent
pas tre vrifies car, en raison de la conception du systme, la connaissance par chaque
routeur de la topologie du rseau est minimale. En consquence, tout routeur peut se faire
passer pour le meilleur chemin vers une destination dans le but d'intercepter, de bloquer ou
de modifier le trafic se dirigeant vers cette destination.

7
Source: CERT/ CC l'adresse http:/ / www.cert.org/ advisories/ CA-2001-02.html.
10
Attaques par saturation et par refus de services: ces formes d'attaque perturbent le rseau
en le surchargeant avec des messages artificiels qui bloquent ou rduisent l'accs lgitime.
Cela s'apparente la situation o un tlcopieur est bloqu par des messages longs et rpts.
Les attaques par saturation tentent de surcharger les serveurs Web ou la capacit de
traitement des fournisseurs de services internet avec des messages gnrs automatiquement.
Dommages potentiels Les interruptions ont t prjudiciables pour certains sites Web
prestigieux. D'aprs certaines tudes, une attaque rcente a caus des dommages estims
plusieurs centaines de millions d'euros, sans compter le prjudice non quantifiable en termes de
rputation. Les entreprises comptent de plus en plus sur la disponibilit de leur site Web pour
leurs affaires et celles qui en dpendent pour la fourniture just in time sont particulirement
vulnrables.
Solutions envisageables Les attaques contre les serveurs DNS sont en principe faciles
combattre en tendant les protocoles DNS, par exemple l'aide d'extensions DNS scurises
bases sur le chiffrement cl publique. Cette mthode exige toutefois l'installation de nouveaux
logiciels sur les machines clientes et n'a pas t largement dploye. En outre, le processus
administratif ncessaire pour accrotre la confiance entre les domaines DNS doit devenir plus
efficace.
Les attaques contre le systme de routage sont beaucoup plus difficiles combattre. L'internet a
t conu pour maximiser la flexibilit du routage afin de rduire la probabilit dune rupture de
service en cas de dfaillance d'une partie de l'infrastructure de rseau. Il n'existe aucun moyen
efficace de scuriser les protocoles de routage, en particulier sur les routeurs du rseau principal.
Le volume des donnes transmises ne permet pas un filtrage dtaill, tant donn qu'une telle
vrification conduirait l'arrt des rseaux. C'est la raison pour laquelle les rseaux ne comportent
que des fonctions de filtrage et de contrle d'accs de base, tandis que les fonctions de scurit
plus spcifiques (authentification, intgrit, chiffrement, par exemple) sont places aux limites des
rseaux, c'est--dire sur les serveurs de rseau qui servent de points terminaux.
2.2.4. Excution de logiciels malveillants modifiant ou dtruisant des donnes
Les ordinateurs fonctionnent avec des logiciels. Les logiciels peuvent malheureusement tre
utiliss aussi pour dsactiver un ordinateur, pour effacer ou modifier des donnes. Comme les
descriptions ci-dessus le montrent, si un tel ordinateur participe la gestion d'un rseau, son
dysfonctionnement peut avoir des effets d'une porte considrable. Un virus est une forme de
logiciel malveillant. C'est un programme qui reproduit son propre code en s'attachant d'autres
programmes de telle sorte que le code du virus est excut lors de l'excution du programme
dordinateur infect.
Il existe divers autres types de logiciels malveillants: certains endommagent uniquement
l'ordinateur sur lequel ils sont copis, alors que d'autres se propagent d'autres ordinateurs relis
en rseau. Par exemple, il existe des programmes (appels "logicbombs") qui restent inactifs jusqu'
ce qu'ils soient dclenchs par un vnement tel qu'une date dtermine (vendredi 13, par
exemple). D'autres programmes semblent tre bnins, mais lorsqu'on les lance ils dclenchent
une attaque malveillante (c'est pourquoi on les appelle "chevaux de Troie"). D'autres programmes
(appels "vers") n'infectent pas d'autres programmes comme un virus, mais crent des copies
d'eux-mmes, ces copies crant par consquent encore plus de copies qui finissent par inonder le
systme.
Dommages potentiels Les virus peuvent avoir des effets destructeurs considrables, comme
en tmoigne le cot lev rsultant de certaines attaques rcentes (par exemple, "I Love You",
11
"Melissa" et "Kournikova"). Le graphique ci-dessus donne un aperu de l'augmentation du
nombre de virus que les utilisateurs de l'internet de l'UE ont rencontrs entre octobre 2000 et
fvrier 2001 (par tat membre). En moyenne, environ 11 % des utilisateurs europens de
l'internet ont attrap un virus sur leur PC domicile .
Solutions envisageables Les logiciels antivirus constituent la principale dfense. Ils sont
disponibles sous diffrentes formes. Par exemple les scanners et dsinfecteurs de virus identifient
et effacent les virus connus. Leur principal point faible rside dans le fait qu'ils ne trouveront pas
facilement les nouveaux virus mme sils sont mis jour rgulirement. Un autre exemple de la
dfense antivirus est le contrleur d'intgrit. Pour qu'un virus infecte un ordinateur, il doit
apporter des modifications au systme quelque chose sur ce systme. Le contrle d'intgrit doit
identifier ces modifications mme lorsqu'elles sont causes par des virus inconnus.
Malgr l'existence de produits de dfense relativement au point, les problmes dus aux logiciels
malveillants ont augment, et ce principalement pour deux raisons. Premirement, le caractre
ouvert de l'internet permet aux pirates d'apprendre les uns des autres et de mettre au point des
mthodes pour contourner les mcanismes de protection. Deuximement, l'internet se dveloppe
et relie un nombre de plus en plus lev d'utilisateurs dont beaucoup ne se rendent pas compte de
la ncessit de prendre des prcautions. La scurit dpendra de ltendue de lutilisation des
logiciels de protection.
2.2.5. Dclarations mensongres
Lors de l'tablissement d'une connexion de rseau ou de la rception de donnes, l'utilisateur
dduit l'identit de son interlocuteur sur la base du contexte de la communication. Le rseau offre
certains indicateurs, mais le plus grand risque d'attaque vient des personnes qui connaissent le
contexte, c'est--dire les initis. Quand un utilisateur compose un numro ou tape une adresse
internet sur l'ordinateur, il devrait atteindre la destination escompte. Ceci est suffisant pour un
grand nombre d'applications, mais pas pour les transactions commerciales importantes, les
interactions mdicales, financires ou officielles, qui exigent un niveau plus lev
dauthentification, d'intgrit et de confidentialit.
Dommages potentiels Les dclarations mensongres faites par des personnes physiques ou
morales peuvent causer des dommages de diffrentes faons. Des clients peuvent tlcharger des
logiciels malveillants d'un site Web qui se fait passer pour une source fiable. Des sites de ce type
peuvent transmettre des informations confidentielles la mauvaise personne. La dclaration
mensongre peut conduire la dnonciation d'un contrat, etc. Le principal dommage est sans
doute le fait que le manque d'authentification constitue un frein pour des transactions
commerciales potentielles. De nombreuses tudes ont mis en vidence que les proccupations en
matire de scurit constituent une des raisons principales de ne pas commercer sur l'internet. Si
Virus
( % d'utilisateurs de l'internet ayant eu des problmes)
0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
B DK D EL E F IRL I L NL A P FIN S UK EU
oct-2000
Feb 2001
Source: Eurobaromtre
12
les gens taient certains de l'identit de leurs interlocuteurs, la confiance dans les transactions sur
l'internet augmenterait.
Solutions envisageables Les efforts faits pour introduire l'authentification dans les rseaux,
conjointement avec l'introduction du protocole SSL, sont dj utiles pour assurer un certain
niveau de confidentialit. Les rseaux privs virtuels (VPN) utilisent les protocoles SSL et IPsec
pour permettre les communications sur linternet et sur les canaux ouverts tout en maintenant un
certain niveau de scurit. L'utilit de ces solutions est toutefois limite dans la mesure o elles
reposent sur des certificats lectroniques et il n'y a aucune garantie que ces certificats ne sont pas
des faux. Un tiers, souvent appel "autorit de certification" ou, dans la directive sur les
signatures lectroniques
8
, "prestataire de service de certification", peut offrir une telle garantie.
L'adoption grande chelle de cette solution est confronte au mme problme que le
chiffrement - le besoin dinteroprabilit et de gestion des cls. Ceci n'est pas un problme dans
un VPN car il est possible de mettre au point des solutions de proprit. Par contre, il s'agit d'un
obstacle majeur pour les rseaux publics.
La directive sur les signatures lectroniques constitue la base juridique pour faciliter
l'authentification lectronique dans l'UE. Elle fournit un cadre dans lequel le march peut se
dvelopper librement, mais qui comporte aussi des dispositions visant encourager l'laboration
de signatures plus sres pour la reconnaissance juridique. La transposition de la directive dans le
droit national est en cours.
2.2.6. vnements environnementaux et non intentionnels
De nombreux incidents de scurit sont dus des vnements imprvus et non intentionnels
causs par :
Les catastrophes naturelles ( par exemple temptes, inondations, incendies, tremblements de
terre)
Une tierce partie nayant aucune relation contractuelle avec loprateur ou lutilisateur (par
exemple interruption de services due des travaux de construction)
Une tierce partie ayant une relation contractuelle avec loprateur ou lutilisateur (par exemple
dfaillance du matriel et des logiciels dans les composants ou les programmes qui ont t
livrs)
Une erreur humaine ou une mauvaise gestion de loprateur (incluant le fournisseur de
services) ou de lutilisateur (par exemple problmes dans la gestion du rseau, mauvaise
installation des logiciels).
Dommages potentiels Les incidents environnementaux perturbent la disponibilit des
rseaux. C'est malheureusement lors de tels vnements qu'il est primordial de disposer de lignes
de communication en bon tat de fonctionnement. Les dfaillances de lquipement et des
logiciels de mauvaise qualit peuvent crer des vulnrabilits qui causent une interruption
soudaine ou sont exploites pas des attaquants. Une mauvaise gestion de la capacit du rseau
peut entraner une congestion qui ralentit ou interrompt les canaux de communication.

8
Directive 1999/ 93/ CE, du 13 dcembre 1999, sur un cadre commun pour les signatures lectroniques (JO L 13
du 19.1.2000, p. 12).
13
Dans ce contexte, la rpartition des responsabilits entre les parties est la question cruciale. Dans
la plupart des cas, les utilisateurs nencourront pas de responsabilit mais pourront se trouver
eux-mmes avec peu ou pas de possibilits de rclamations en responsabilit.
Solutions envisageables Les risques dincidents environnementaux sont connus des
oprateurs de tlcommunications et ils ont introduit des redondances dans leurs rseaux ainsi
que des mesures de protection de linfrastructure Laugmentation de la concurrence pourrait
avoir un impact ambivalent sur le comportement des oprateurs. Dun ct, des considrations
de prix peuvent conduire les oprateurs rduire ces redondances ,de lautre ct, lexistence
dun nombre plus lev doprateurs sur le march du fait de la libralisation permet aux
utilisateurs dtre commuts vers un autre oprateur en cas dindisponibilit (tout comme un
passager arien passe sur une autre ligne arienne lorsquun vol est annul). Cependant, le droit
communautaire requiert que les Etats membres prennent toutes les mesures ncessaires pour
assurer la disponibilit des rseaux publics en cas de coupure du rseau due une catastrophe
naturelle ( Directive Interconnexion 97/ 33/ CE
9
et Directive Tlphonie vocale 98/ 10/ CE
10
).
Dans lensemble, dans ce domaine, on en sait peu sur le niveau de scurit en raison du nombre
grandissant de rseaux interconnects.
La concurrence entre les vendeurs de matriel et de logiciels devrait exercer une pression pour
augmenter la scurit de leurs produits. Cependant, la concurrence nest pas assez forte pour
conduire des investissements dans la scurit et la scurit nest pas toujours un lment cl
dans la dcision dachat. Les failles de la scurit sont souvent dcouvertes trop tard quand le mal
est dj fait. La prservation de comportements concurrentiels loyaux sur les marchs des
technologies de linformation crera de meilleures conditions pour la scurit.
Le risque derreur humaine et les erreurs de manipulation peuvent tre rduites en amliorant les
actions de formation et de sensibilisation. Ltablissement dune politique de scurit approprie
au niveau dune entreprise devrait aider rduire ces risques.
2.3. Nouveaux dfis
La scurit des rseaux et de linformation est susceptible de devenir un facteur cl dans le
dveloppement de la socit de l'information tant donn que les rseaux jouent un rle plus
important dans la vie conomique et sociale. Deux questions principales doivent tre prises en
compte :l'augmentation des dommages potentiels et les nouveaux dveloppements
technologiques.
i. Les systmes dinformation et de communication brassent de plus en plus de donnes
sensibles et dinformations conomiques de valeur ce qui augmentera lincitation aux
attaques. Ces attaques peuvent tre de faible envergure et sans gravit l'chelle nationale
- par exemple, dans le cas de la dgradation d'un site Web personnel ou du reformatage d'un
disque dur par un virus. La perturbation peut toutefois aussi tre de nature beaucoup plus
critique, allant jusqu' une interfrence avec les communications trs sensibles, de graves
pannes de courant ou d'importantes pertes commerciales en raison d'attaques par refus de
service ou de violations de la confidentialit.
L'tendue exacte des dommages rels et potentiels dus aux violations de la scurit des
rseaux est difficile valuer. Il n'existe pas de systme d'information systmatique et
beaucoup d'entreprises prfrent ne pas admettre les attaques par crainte d'une publicit
ngative. Les preuves qui existent sont donc essentiellement anecdotiques. Les cots

9
JO L 199 du 26.07.1997
10
JO L 101 du 01.04.1998
14
impliqus comprennent non seulement les cots directs (perte de revenu, perte
d'informations prcieuses, cots de main-d'uvre pour rtablir le rseau), mais aussi
d'importants cots intangibles - en particulier la perte de rputation - qui sont difficiles
valuer.
ii. La scurit des rseaux et de linformation est un problme dynamique. En raison de
sa rapidit, l'volution technologique lance en permanence de nouveaux dfis : les
problmes d'hier sont rsolus et les solutions ces problmes sont caduques. Presque
quotidiennement, des applications, des services et des produits nouveaux sont offerts sur le
march. Mais il est vident que certains dveloppements prsenteront des dfis majeurs
pour une politique de la scurit prive et publique:
Diffrents objets numriques seront transmis sur les rseaux avec des politiques de
scurit intgres ,comme les objets multimdias, les logiciels tlcharger ou les
agents mobiles. La notion de disponibilit telle quelle est perue aujourdhui comme
la disponibilit utiliser les rseaux voluera en termes dusage autoris, par exemple
le droit dutiliser un jeu vido pour une certaine priode de temps, le droit de crer
une simple copie dun logiciel, etc
Dans le futur, les oprateurs de rseaux IP voudront sans doute augmenter la scurit
en analysant en continu le trafic du rseau en vue de permettre seulement le trafic
autoris. Toutefois, de telles mesures doivent respecter les rgles qui sappliquent en
matire de protection des donnes.
Les utilisateurs passeront aux connexions internet actives en permanence, ce qui
multiplie les occasions de piratage, cre des vulnrabilits pour les terminaux non
protgs, et permet aux pirates d'viter plus aisment la dtection.
Les rseaux domestiques reliant une srie d'appareils se gnraliseront, ce qui ouvrira
de nouvelles possibilits d'attaque et augmentera la vulnrabilit des utilisateurs
(dsactivation d'alarmes distance, par exemple).
L'introduction grande chelle de rseaux sans fil ( par exemple la boucle locale sans
fil, les rseaux locaux sans fil, la troisime gnration de mobiles) ncessitera un
chiffrement efficace des donnes transmises par les signaux radio. Il sera ds lors de
plus en plus difficile dimposer juridiquement un faible degr de chiffrement.
Les rseaux et les systmes dinformation seront partout, avec une combinaison de
systmes fixes et sans fil, et offriront l'"intelligence ambiante", c'est--dire des
fonctions auto-organisationnelles actives automatiquement et qui prennent des
dcisions qui auparavant taient prises par l'utilisateur. Le dfi sera d'viter des
vulnrabilits inacceptables et d'intgrer l'architecture de scurit.
3. Une approche europenne
3.1. Justification d'une action publique
La protection des rseaux de communication est considre de plus en plus comme une priorit
pour les dcideurs politiques, principalement pour des raisons de protection des donnes, de
fonctionnement de lconomie, de scurit national et du dsir de promouvoir le commerce
15
lectronique. Ceci est la base dun ensemble substantiel de garanties juridiques dans les
directives de lUE sur la protection des donnes et dans le cadre rglementaire pour les
tlcommunications (tel que dmontr dans la section 3.6). Toutefois, ces mesures doivent tre
mises en uvre dans lenvironnement en volution rapide des nouvelles technologies, des
marchs concurrentiels, de la convergence des rseaux et de la mondialisation. Ces dfis sont
accentus par le fait que le march aura tendance investir insuffisamment dans la scurit pour
les raisons analyses ci-dessous.
La scurit des rseaux et de linformation est une marchandise achete et vendue sur le march
et elle fait partie des clauses contractuelles entre parties . Le march des produits de scurit a
connu une croissance substantielle au cours des dernires annes. Selon certaines tudes, le
march mondial des logiciels de scurit pour l'internet valait environ 4,4 milliards de dollars la
fin de 1999
11
et augmentera de 23% par an pour atteindre 8,3 milliards de dollars en 2004. En
Europe, on estime que le march de la scurit des communications lectroniques passera de 465
millions de dollars en 2000 5,3 milliards de dollars en 2006
12
, le march de la scurit pour les
technologies de l'information passant de 490 millions de dollars en 1999 2,74 milliards de
dollars en 2006
13
.
L'hypothse implicite gnralement faite est que le mcanisme des prix tablira un quilibre entre
le cot de la scurisation et le besoin spcifique de scurit. Certains utilisateurs rclameront un
haut niveau de scurit, tandis que d'autres se satisferont d'un niveau moins lev bien que
l'tat puisse prvoir un niveau de scurit minimal. Leurs prfrences se reflteront dans le prix
qu'ils sont disposs payer pour la scurit. Toutefois, comme le montre l'analyse au chapitre 2,
de nombreux risques pour la scurit subsistent ou les solutions arrivent lentement sur le march
en raison de certaines imperfections de celui-ci.
i) Cots et bnfices sociaux: les investissements dans une meilleure scurit des rseaux
engendrent des cots et des bnfices sociaux qui ne sont pas correctement reflts dans les
prix du march. En ce qui concerne les cots, les acteurs du march ne sont pas tenus
d'assumer toutes les responsabilits rsultant de leur comportement en matire de scurit.
Les utilisateurs et les fournisseurs qui disposent d'un faible niveau de scurit ne doivent pas
payer pour l'inconsquence de tiers. La situation s'apparente celle d'un conducteur
ngligent qui n'est pas jug responsable du cot de l'embouteillage qui s'est produit la suite
de son accident. De mme, sur l'internet, plusieurs attaques ont t montes grce aux
machines mal protges d'utilisateurs relativement ngligents. Les bnfices de la scurit
ne se rpercutent pas non plus entirement sur les prix du march. Lorsque des
oprateurs, des fournisseurs ou des prestataires de services amliorent la scurit de leurs
produits, une bonne partie des bnfices de ces investissements vont non seulement leurs
clients mais tous ceux qui sont directement ou indirectement concerns par la
communication lectronique - en fait l'ensemble de l'conomie.
ii) Asymtrie de l'information: les rseaux deviennent de plus en plus complexes et atteignent
un march plus large comprenant de nombreux utilisateurs qui connaissent mal la
technologie ou ses dangers potentiels. Cela signifie que les utilisateurs ne seront pas
totalement conscients de tous les risques de scurit tandis quun grand nombre
d'oprateurs, de vendeurs ou de fournisseurs de services ont du mal valuer l'existence et
lampleur des vulnrabilits. De nombreux services, applications et logiciels nouveaux offrent

11
IDC: Internet securitymarket forecast andanalysis, 2000-2004 Report #W23056 - octobre 2000.
12
Frost & Sullivan: TheEuropeanInternet communicationsecuritymarkets, report 3717 - novembre 2000.
13
Frost & Sullivan: TheEuropeanInternet systemsecuritymarkets, report 3847 - juillet 2000.
16
des caractristiques attrayantes, mais celles-ci sont souvent la source de nouvelles
vulnrabilits (par exemple, le succs du World Wide Web est partiellement d l'ventail
des applications multimdias qui peuvent tre facilement tlcharges, mais ces "plug-ins"
constituent aussi une porte d'entre pour les attaques). Alors que les bnfices sont visibles,
les risques ne le sont pas, et les fournisseurs sont plus enclins offrir de nouvelles
caractristiques qu'une plus grande scurit.
iii) Les problmes de l'action publique: les oprateurs adoptent de plus en plus les normes
de linternet ou relient d'une manire ou d'une autre leur rseau l'internet. Celui-ci n'a
toutefois pas t conu dans un esprit de scurit, mais a au contraire t dvelopp pour
assurer l'accs aux informations et faciliter leur change. Cest le fondement mme de son
succs. L'internet est devenu un rseau mondial de rseaux d'une richesse et dune diversit
sans pareilles. L'investissement dans la scurit n'est rentable que si un nombre suffisant de
personnes adopte la mme dmarche. Par consquent, la recherche de solutions en matire
de scurit doit passer par la coopration. Mais la coopration ne fonctionne que si une
masse critique d'acteurs y prend part, ce qui est difficile raliser parce que certains
oprateurs voudront faire cavalier seul. Linteroprabilit entre produits et services mettra en
concurrence les solutions de scurit. Toutefois, , les cots de coordination sont levs dans
la mesure o des solutions globales pourraient tre ncessaires et o certains acteurs seront
tents d'imposer une solution propritaire sur le march. Dans la mesure o une multitude
de produits et de services continue utiliser des solutions propritaires, il n'y a aucun
avantage recourir des normes sres qui ne donnent une scurit supplmentaire que si
elles sont offertes par tout le monde.
Une des consquences de ces imperfections est que le cadre des tlcommunications et de la
protection des donnes impose dores et dj aux oprateurs et aux prestataires de service
dassurer un certain niveau de scurit dans les systmes dinformation et de communication. La
justification dune politique europenne de la scurit des rseaux et de linformation peut tre
dcrite comme suit. Premirement, les dispositions juridiques au niveau de lUE doivent tre
mises en uvre de manire efficace, ce qui ncessite une comprhension commune des
questions de scurit sous-jacentes et des mesures spcifiques mettre en uvre. Le
cadre juridique sera galement amen voluer dans lavenir, comme le montrent dj la
proposition dun nouveau cadre rglementaire pour les communications lectroniques et les
propositions venir lies la discussion sur la cybercriminalit. Deuximement, certaines
imperfections du march amnent conclure que les forces du march ne permettent pas de
gnrer un niveau dinvestissement suffisant dans les technologies et la pratique de la scurit.
Des mesures politiques sont mme de renforcer le processus du march tout en
amliorant le fonctionnement du cadre juridique. Enfin, les services de communication et
dinformation sont offerts par-del les frontires. Cest pourquoi une approche politique
europenne est requise pour assurer le march intrieur pour ces services, pour bnficier
de solutions communes et pour agir de manire plus efficace au niveau mondial.
Les mesures politiques proposes pour la scurit des rseaux et de linformation ne doivent pas
seulement tre perues dans le contexte de la lgislation existante des tlcommunications et de la
protection des donnes, mais galement en relation avec les politiques plus rcentes en matire de
cybercriminalit. La Commission a rcemment publi une communication sur la
cybercriminalit
14
qui prvoit, entre autres initiatives, la cration dun Forum de lUE sur la

14
Crer une socit de l'information plus sre en renforant la scurit des infrastructures de l'information et en
luttant contre la cybercriminalit, COM (2000), 890,
http:/ / europa.eu.int/ ISPO/ eif/ internetPoliciesSite/ Crime/ crime1.html
17
cybercriminalit qui visera amliorer la comprhension mutuelle et la coopration au niveau de
lUE entre toutes les parties concernes. Une politique en matire de scurit des rseaux et de
linformation fournira le chanon manquant dans ce cadre politique. Le diagramme ci-dessous
montre ces trois domaines politiques et illustre leur interdpendance travers quelques exemples.
3.2. Sensibilisation
Trop d'utilisateurs (privs/ publics) ne sont toujours pas conscients des problmes lis
l'utilisation des communications lectroniques ni des solutions qui tentent de les rsoudre. Les
questions de scurit sont complexes et les risques sont souvent difficiles valuer, mme pour
des experts. Le manque d'information est l'une des imperfections du march laquelle la
politique de scurit devrait remdier. Certains utilisateurs, alarms par les nombreux cas
rapports de menaces sur la scurit , choisissent tout simplement de renoncer compltement au
commerce lectronique. D'autres utilisateurs, qui ne sont pas informs ou sous-estiment les
risques, peuvent tre trop ngligents. Certaines entreprises peuvent avoir intrt minimiser les
risques potentiels, par crainte de perdre des clients.
Paradoxalement, une quantit norme d'informations sur la scurit des rseaux et de
linformation est disponible sur l'internet et ce thme est largement couvert par les revues
informatiques. Le problme pour les utilisateurs est de trouver des informations appropries qui
soient comprhensibles, jour et rpondent leurs besoins particuliers. L'industrie automobile
fournit un bon exemple de la manire dont des spcifications complexes en matire de scurit
peuvent se transformer en important atout de marketing. Enfin, le droit communautaire oblige
les fournisseurs de services de tlcommunications offerts au public d'informer leurs abonns sur
les risques particuliers de violation de la scurit des rseaux et les remdes possibles, ainsi que
sur les cots qui en rsultent (cf. article 4 de la directive 97/ 66/ CE).
Le but d'une initiative de sensibilisation des citoyens, des administrations et des entreprises
seraitdonc de fournir des informations accessibles, objectives et fiables sur la scurit des rseaux
et de linformation. Une discussion ouverte sur la scurit est requise. Lorsque cette
sensibilisation aura eu lieu, les personnes seront libres de faire leurs propres choix quant au
niveau de protection qui leur convient.
Actions proposes:
Les tats membres doivent lancer une campagne d'information et d'ducation du public et il
convient de renforcer les travaux en cours l'aide d'une campagne mdiatique et des actions
s'adressant toutes les parties intresses. Une campagne d'information bien conue et
efficace est coteuse. L'laboration d'un contenu qui dcrit le risque sans alarmer inutilement
le public et sans encourager les pirates potentiels exige une planification rigoureuse.
La Commission europenne facilitera l change des meilleures pratiques et assurera un
certain niveau de coordination entre les diffrentes campagnes d'information nationales au
niveau communautaire, en particulier en ce qui concerne la substance de linformation
fournir. Un des lments . de cette action pourrait tre un portail pour les sites Web au
niveau tant national qu'europen. Des liens entre ces portails et des sites Web fiables de
partenaires internationaux pourraient galement tre envisags.
Les tats membres devraient promouvoir l'utilisation des meilleures pratiques en matire de
scurit sur la base des mesures existantes telles que la norme ISO/ IEC DIS 17799 (codeof
practice for information security management, www.iso.ch). Il convient de cibler plus
18
particulirement les petites et moyennes entreprises. La Commission soutiendra les efforts
des Etats membres.
Les systmes ducatifs des Etats membres devraient mettre davantage laccent sur les cours
sur la scurit. L'laboration de programmes ducatifs tous les niveaux, comme par
exemple la formation en matire de risques pour la scurit sur les rseaux ouverts et les
solutions efficaces, devrait faire partie de l'enseignement de l'informatique dans les coles.
Les enseignants doivent eux aussi tre forms en matire de scurit dans le cadre de leurs
propres programmes de formation. La Commission europenne soutient l'laboration de
nouveaux modules pour les programmes d'tudes dans le cadre de son programme de
recherche.
3.3. Un systme europen d'alerte et d'information
Mme lorsque les utilisateurs sont conscients des risques pour la scurit, il faudra toujours les
avertir de nouvelles menaces. Les pirates trouveront presque invitablement de nouvelles
vulnrabilits pour contourner les meilleures mthodes de protection. L'industrie dveloppe
constamment de nouveaux services et logiciels offrant une meilleure qualit, rendant l'internet
plus attrayant, mais crant en mme temps involontairement des vulnrabilits et des risques
nouveaux.
Mme les ingnieurs de rseau expriments et les experts en scurit sont souvent tonns par la
nouveaut de certaines attaques. Par consquent, il est ncessaire de disposer d'un systme de
dtection prcoce qui peut rapidement alerter tous les utilisateurs, ainsi que d'une source de
conseils rapides et fiables sur la manire de lutter contre les attaques. Quant aux entreprises, elles
ont besoin dun mcanisme confidentiel leur permettant de rendre compte des attaques sans
risquer de perdre la confiance du public cela doit s'ajouter une analyse de scurit prospective
plus complte, qui rassemble des donnes et value les risques, avec l'avantage d'une vision plus
large.
Beaucoup d'efforts sont faits dans ce domaine par les quipes publiques et prives d'intervention
en cas d'urgence informatique (CERT) ou les organismes semblables. En Belgique, par exemple,
a t tabli un systme d'alerte aux virus permettant aux citoyens belges d'tre informs des
menaces de virus dans un dlai de deux heures. Toutefois, la nature des CERT varie dans les
diffrents tats membres, ce qui rend la coopration complexe. Les CERT existantes ne sont pas
toujours bien quipes et leurs tches ne sont souvent pas clairement dfinies. La coordination
l'chelle mondiale est assure par la CERT/ CC, qui est finance en partie par le gouvernement
amricain, et les CERT en Europe sont dpendantes de la politique de diffusion des informations
de la CERT/ CC.
En raison de cette complexit, la coopration europenne tait jusqu'ici limite. La coopration
est essentielle pour garantir la dtection prcoce dans toute l'Union par l'change instantan
d'informations sur les premiers signes d'attaque dans un pays. C'est la raison pour laquelle il est
urgent que la coopration avec le systme CERT soit renforce dans l'Union europenne. Une
premire action visant renforcer la coopration entre les secteurs public et priv dans le
domaine de la fiabilit des infrastructures de linformation (y compris le dveloppement de
systmes de dtection prcoce) et amliorer la coopration entre les CERT a t approuve
dans le cadre du plan daction eEurope.
Actions proposes:
Les tats membres devraient revoir leur systme CERT afin de renforcer l'quipement et les
comptences des CERT existantes. l'appui des efforts nationaux, la Commission
19
europenne laborera une proposition concrte en vue d'un renforcement de la coopration
dans lUnion europenne. Cette proposition comprendra un projet dans le cadre du
programme RTE tlcom destin assurer une mise en rseau efficace ainsi que des mesures
d'accompagnement dans le cadre du programme IST pour faciliter l'change d'informations et
la mise en rseau.
Une fois le rseau CERT tabli au niveau de lUE, il devrait tre connect des organismes
similaires dans le monde entier , par exemple le systme de communication d'incidents
propos par le G8.
La Commission propose dexaminer avec les Etats membres la meilleure faon dorganiser au
niveau europen, la collecte des donnes, lanalyse et le planning des rponses donner aux
menaces de scurit actuelles et futures. La nature organisationnelle dun ventuelle structure
devra tre discute avec les Etats membres..
3.4. Soutien technologique
Actuellement, l'investissement dans les solutions de scurit des rseaux et de linformation n'est
pas optimal. Ceci est vrai non seulement en termes d'adoptiondes technologies mais aussi en ce
qui concerne la recherche de solutions nouvelles. Dans un contexte o les nouvelles technologies
naissantes comportent invitablement de nouveaux risques, il est essentiel que la recherche se
poursuive sans relche.
La scurit des rseaux et de linformation est dj un des thmes du programme "Technologies
de la socit de l'information" du 5
me
programme-cadre de recherche de l'UE (budget de 3,6
milliards d'euros sur quatre ans), dont quelque 30 millions d'euros seront consacrs la recherche
en collaboration sur les technologies relatives la scurit en 2001/ 2002.
La recherche au niveau technique sur la cryptographie est trs avance en Europe. Lalgorithme
belge Rijndael a remport le concours AdvancedEncryption Standardorganis par linstitution de
normalisation des Etats-Unis (NIST). Le projet du programme IST intitul NESSIE (New
European Schemefor Signature, Integrity andEncryption) a lanc un concours largi sur les algorithmes
rpondant aux exigences des nouvelles applications multimdias, du commerce mobile et des
cartes puce.
Actions proposes:
La Commission propose d'inclure la scurit dans le futur 6
me
programme-cadre, qui est
actuellement l'tude au Conseil et au Parlement. Pour optimiser ces dpenses, il faut tablir
un lien avec une stratgie plus large en matire de scurit des rseaux et de linformation. La
recherche soutenu par ce programme devrait relever les dfis que reprsentent, en matire de
scurit, le "tout numrique" et la ncessit de sauvegarder les droits des individus et des
communauts. Elle sera centre sur des mcanismes de scurit fondamentaux et leur
interoprabilit, des processus dynamiques de scurisation, des mthodes de cryptographie
avances, le renforcement du respect de la vie prive, des technologies de traitement des
actifs numriques et des technologies garantissant la fiabilit l'appui de fonctions
conomiques et organisationnelles au sein de systmes dynamiques et mobiles.
Les Etats membres devraient activement promouvoir lusage de produits de chiffrement
encastrables
15
(pluggable). Les solutions de scurit bases sur le chiffrement de type
plug in doivent tre offertes comme alternative aux produits intgrs dans les systmes
oprationnels.

15
Encastrable signifie quun produit logiciel de chiffrement peut tre aisment install dans les systmes
oprationnels et tre pleinement oprationnel.
20
3.5. Soutien une normalisation et une certification orientes vers les besoins du march
Pour que les solutions visant amliorer la scurit soient efficaces, elles doivent tre mises en
uvre en commun par les acteurs du march et tre de prfrence bases sur des normes
internationales ouvertes. L'un des principaux obstacles l'adoption de nombreuses solutions de
scurisation, par exemple les signatures lectroniques, est le manque d'interoprabilit entre
diffrentes manires de procder. Si deux utilisateurs souhaitent communiquer de manire sre
travers diffrents environnements, linteroprabilit doit tre assure. Il convient donc
d'encourager l'utilisation de protocoles et d'interfaces normaliss, y compris les essais de
conformit, ainsi que la tenue dvnements consacrs linteroprabilit. Les normes ouvertes,
de prfrence bases sur des logiciels source ouverte, peuvent contribuer une rparation plus
rapide des dfauts ainsi qu' une plus grande transparence.
En outre, l'valuation de la scurit de linformation contribue accrotre la confiance des
utilisateurs. L'utilisation de critres communs a facilit le recours la reconnaissance mutuelle
comme mthode d'valuation dans de nombreux pays
16
, ceux-ci ayant galement conclu un
accord de reconnaissance mutuelle avec les USA et le Canada pour les certificats de scurit des
TI.
La certification des processus d'entreprise et des systmes de gestion de la scurit des
informations est soutenu par le Guide de coopration europenne pour l'accrditation EA
17
.
Laccrditation des organismes de certification renforce la confiance dans leur comptence et leur
impartialit, ce qui favorise lacceptation des certificats travers le march intrieur.
Outre la certification, il convient aussi d'effectuer des essais d'interoprabilit. Un exemple de
cette approche est l'initiative europenne de normalisation des signatures lectroniques (EESSI),
qui labore des solutions bases sur un consensus, en soutien la directive de lUE sur les
signatures lectroniques. Dautres exemples sont linitiative en faveur des cartes puce dans le
cadre de eEurope et les initiatives de mise en uvre dinfrastructures cl publique (PKI) lances
dans le cadre du programme pour lchange lectronique de donnes entre administrations
(IDA).
Il ny a donc pas un manque defforts en matire de normalisation mais un trop grand nombre de
normes et de spcifications en concurrence, ce qui entrane une fragmentation du march ainsi
que des solutions qui ne sont pas interoprables.
Cest pourquoi les activits actuelles de normalisation et de certification doivent tre mieux
coordonnes afin de suivre l'introduction de nouvelles solutions pour la scurit. Lharmonisation
des spcifications entranera la fois une plus grande interoprabilit et une mise en uvre
acclre par les acteurs du march.
Actions proposes:
Les organismes europens de normalisation sont invits acclrer leur travail sur les
produits et services interoprables et scuriss selon un calendrier ambitieux et bien dfini.
De nouvelles formes de deliverables et de nouvelles procdures devraient tre suivies l o cela
savre ncessaire afin dacclrer le travail en cours et de renforcer la fois la coopration
avec les reprsentants des consommateurs et lengagement des acteurs du march.
La Commission continuera soutenir, notamment travers ses programmes IST et IDA,
lutilisation des signatures lectroniques, la mise en uvre de solutions PKI interoprables et

16
Recommandation du Conseil 95/ 114/ CE concernant des critres communs dvaluation de la scurit des
technologies de linformation.
17
Coopration europenne pour laccrditation entre organismes daccrditations de 25 pays de lUE, de lAELE et
des pays candidats.
21
conviviales, ainsi que la poursuite du dveloppement des protocoles Ipv6 et IPSec
18
(conformment au plan daction eEurope).
Les tats membres sont invits promouvoir le recours la certification et aux procdures
daccrditation pour les normes europennes et internationales gnralement acceptes qui
concourent la reconnaissance mutuelle des certificats. La Commission valuera le besoin
dune initiative juridique dans le domaine de la reconnaissance mutuelle des certificats dici la
fin de 2001.
Les acteurs du march sont encourags participer plus activement aux activits europennes
(CEN, Cenelec, ETSI) et internationales (Internet EngineeringTask Force(IETF), WorldWide
WebConsortium(W3C)) de normalisation.
Les Etats membres devraient passer en revue toutes les normes de scurit pertinentes Des
concours devraient tre organiss avec le soutien de la Commission pour des solutions
europennes de chiffrement et de scurit dans une perspective du dveloppement de normes
acceptes internationalement. .
3.6. Cadre juridique
Parmi les diffrents textes juridiques qui ont une influence sur la scurit des rseaux de
communication et des systmes dinformation, le cadre rglementaire pour les
tlcommunications est le plus complet. En raison de la convergence des rseaux, les questions
de scurit conduisent maintenant un rapprochement de rglementations et de traditions
rglementaires de divers secteurs. Il s'agit des tlcommunications (englobant tous les rseaux
de communication), qui ont t rglementes et drglementes en mme temps, de l'industrie
informatique, en grande partie non rglemente
19
, de l'internet, qui a fonctionn principalement
sur la base d'une approche sans intervention des pouvoirs publics, et du commerce
lectronique, qui fait de plus en plus l'objet d'une rglementation spcifique. En outre, les
dispositions en matire de responsabilit des tiers, de cybercriminalit, de signatures
lectroniques, de protection des donnes et de rglementation des exportations comportent des
lments qui se rapportent la scurit. Parmi ces diffrentes dispositions, les directive sur la
protection des donnes, le cadre rglementaire des tlcommunications et plusieurs initiatives
juridiques en cours de prparation dans le cadre de la communication sur la cybercriminalit,
revtent une importance particulire.
La protection de la vie prive est un objectif politique essentiel de l'Union europenne.
Elle a t reconnue comme un droit fondamental en vertu de l'article 8
20
de la Convention
europenne des droits de l'homme. Les articles 7 et 8 de la Charte des droits fondamentaux de
l'Union europenne
21
prvoient aussi le droit au respect de la vie prive et familiale, du domicile,
des communications et des donnes caractre personnel.

18
Ipv6 est un protocole pour linternet qui augmente le nombre total possible dadresses IP, optimise le routage
du trafic de messages et amliore les possibilits de dployer Ipsec. Ipsec est un autre protocole pour
linternet qui vise assurer la confidentialit, empcher les paquets de donnes dtre vus par quelquun
dautre que le destinataire, et de fournir une authentification et une intgrit garantissant que les donnes
contenues dans le paquet sont la fois authentiques et en provenance du bon expditeur.
19
Il existe des exigences en matire de scurit concernant les composants lectriques d'un ordinateur, mais pas
d'exigence quant la scurit des donnes traites par un ordinateur.
20
http:/ / europa.eu.int/ comm/ internal_market/ en/ media/ dataprot/ inter/ con10881.htm#HD_NM_15
21
JO C 364 du 18 .12.2000, http:/ / europa.eu.int/ comm/ justice_home/ unit/ charte/ pdf/ charter_fr.pdf
22
Les directives sur la protection des donnes
22
, et plus particulirement l'article 5 de la directive sur
la protection des donnes dans le secteur des tlcommunications
23
, obligent les tats membres
garantir la confidentialit sur les rseaux publics de tlcommunications, ainsi que pour les
services de tlcommunication accessibles au public. D'autre part, en vue de l'application de
l'article 5 dans la pratique, l'article 4 de la mme directive stipule que les fournisseurs de services
et de rseaux publics doivent prendre les mesures d'ordre technique et organisationnel
appropries pour garantir la scurit de leurs services. Toujours en vertu de cet article, ces
mesures doivent garantir un niveau de scurit adapt au risque existant, compte tenu des
possibilits techniques les plus rcentes et du cot de leur mise en uvre. Cela signifie que tous
les oprateurs de rseau ont une obligation lgale de protger les communications contre les
interceptions illgales. La nature paneuropenne des services et une concurrence transfrontire
accrue ncessiteront une plus grande harmonisation de ces dispositions.
Larticle 17 de la directive gnrale sur la protection des donnes 95/ 46/ CE impose aux
responsables du contrle et du traitement de mettre en uvre des mesures contre les risques
reprsents par le traitement et la nature des donnes protger, en particulier si ce traitement
inclue la transmission de donnes sur un rseau. ( Ils doivent mettre en uvre les mesures
techniques et dorganisation appropries contre la destruction accidentelle ou illicite, la perte
accidentelle, l'altration, la diffusion ou l'accs non autoriss, notamment lorsque le traitement
comporte des transmissions de donnes dans un rseau, ainsi que contre toute autre forme de
traitement illicite.. Ces dispositions ont des implications pour les exigences de scurit concernant
les rseaux et les systmes dinformation utiliss par ces personnes et ces organisations, par
exemple les fournisseurs de services de commerce lectronique. La nature pan-europenne des
services et la concurrence trans-frontire de plus en plus marque, conduisent accrotre le
besoin de spcifications des moyens mettre en place pour se conformer ces dispositions.
La directive cadre de lUE sur les services de tlcommunications contient plusieurs
dispositions concernant la scurit de fonctionnement du rseau (cest dire la disponibilit
du rseau public en cas d'urgence) et lintgrit du rseau (cest dire le fonctionnement
normal et l'interconnexion des rseaux publics)
24
. En juillet 2000, la Commission a propos un
nouveau cadre rglementaire pour les services de communications lectroniques, (actuellement
sujet la procdure de co-dcision, et donc en cours de discussion au Parlement europen et au
Conseil). Les propositions de la Commission reprennent mais avec des modifications
lessence des dispositions concernant la scurit et lintgrit des rseaux.
Le cadre juridique existant, au-del de la couverture de sujets spcifiques contenus dans chaque
texte lgislatif, sattache aussi certains aspects de la scurit des rseaux et de linformation qui
forment le sujet de la prsente communication.
La communication sur la cybercriminalit a suscit un dbat dans l'Union europenne
concernant la manire de ragir aux activits criminelles bases sur lutilisation des ordinateurs et
des rseaux lectroniques. Le droit pnal des tats membres devrait couvrir l'accs non autoris

22
Directives 95/ 46/ CE (JO L281 du 23.11.1995) et 97/ 66/ CE (JO L24 du 30.1.1998)
http:/ / europa.eu.int/ ISPO/ infosoc/ telecompolicy/ fr/ 9766fr.pdf
23
"Les tats membres garantissent, au moyen de rglementations nationales, la confidentialit des communications
effectues au moyen d'un rseau public de tlcommunications ou de services de tlcommunications accessibles
au public. En particulier, ils interdisent toute autre personne que les utilisateurs, sans le consentement des
utilisateurs concerns, d'couter, d'intercepter, de stocker les communications ou de les soumettre quelque autre
moyen d'interception ou de surveillance, sauf lorsque ces activits sont lgalement autorises, conformment
l'article 14 paragraphe 1."
24
Directive 90/388/CEE de la Commission relative la concurrence dans les marchs des services de
tlcommunication, Directive 97/33/CE relative l'interconnexion et Directive 98/10/CE relative la
tlphonie vocale.
23
aux rseaux informatiques, y compris la violation de la scurit des donnes personnelles.. Les
discussions entre parties concernes se poursuivront dans le cadre dun forum de lUE crer
dans les meilleurs dlais, comme annonc dans la communication de la Commission sur la
cybercriminalit. Actuellement, il n'y a aucun rapprochement des lgislations dans ce domaine au
niveau de l'Union europenne, ce qui peut entraner des problmes lors d'enqutes menes pour
des dlits de ce type et ne permet pas de dissuader suffisamment ceux qui envisagent le piratage
ou des attaques similaires. Le rapprochement des droits pnaux contre l'intrusion dans les rseaux
informatiques est galement important pour faciliter la coopration juridique entre tats
membres.
Les interrogations intrt lgitime sur la cybercriminalit ncessitent des enqutes de police
efficaces. Toutefois, ces questions juridiques ne devraient pas gnrer de solutions lgales qui
entranent un affaiblissement de la scurit des systmes de communication et dinformation.
Actions proposes:
Une comprhension commune des implications juridiques de la scurit des communications
lectroniques est ncessaire. cet effet, la Commission dressera un inventaire des mesures
nationales arrtes conformment la lgislation communautaire applicable.
Les tats membres et la Commission devraient continuer soutenir la libre circulation des
produits et des services de chiffrement par une harmonisation plus troite des procdures
administratives d'exportation et une libralisation plus pousse des contrles l'exportation.
La Commission proposera une mesure lgislative sous le titre VI du trait instituant l'Union
europenne, en vue du rapprochement des droits pnaux nationaux en matire d'attaques
contre les systmes informatiques, y compris le piratage et les attaques par refus de service.
3.7. Scurit dans les administrations publiques
Le plan d'action eEurope 2002 vise encourager une interaction relle et plus efficace entre les
citoyens et l'administration publique. Comme une grande partie des informations changes entre
les citoyens et les administrations ont un caractre personnel ou confidentiel (mdical, financier,
juridique, etc.), la scurit est essentielle pour assurer le succs de cette initiative. D'autre part, en
raison du dveloppement du gouvernement en ligne, les administrations publiques sont la fois
des exemples potentiels pour dmontrer l'efficacit de solutions de scurit et des acteurs du
march capables d'influencer les dveloppements par leurs dcisions d'achat.
Pour les administrations publiques, il ne s'agit pas seulement de pratiquer une politique d'achats
de systmes de technologies de linformation et de la communication rpondant des
spcifications de scurit, mais aussi de dvelopper une culture de la scurit. Cet objectif peut
tre atteint par l'laboration de "politiques de scurit organisationnelle" adaptes aux besoins des
institutions.
Actions proposes:
Les tats membres devraient incorporer des solutions efficaces et interoprables de scurit
de l informations comme exigence fondamentale dans leurs activits de gouvernement en
ligne et de passation de marchs publics par voie lectronique.
Les tats membres devraient introduire les signatures lectroniques dans les services publics
quils offrent en ligne.
24
Dans le cadre de la E-Commission, la Commission prendra une srie de mesures visant
renforcer le niveau de scurit de ses propres systmes dinformation et de communication.
3.8. Coopration internationale
Les communications faisant appel aux rseaux, de mme que les problmes de scurit qui leur
sont associs, traversent les frontires en une fraction de seconde. La scurit dun rseau est
quivalente celle de son maillon le plus faible, et lEurope ne peut sisoler du reste du rseau
mondial. Par consquent, rpondre aux problmes de scurit exige une coopration au plan
international.
La Commission europenne contribue aux travaux des forums internationaux tels que le G8,
l'OCDE et les Nations unies. Le secteur priv traite des questions de scurit au sein de ses
propres organisations telles que le Global Business Dialogue(www.GBDe.org) ou le Global Internet
Project (www.GIP.org). Un dialogue permanent entre ces organisations est essentiel pour assurer
la scurit au niveau mondial.
Action propose:
La Commission renforcera le dialogue sur la scurit des rseaux avec les organisations et les
partenaires internationaux, en particulier en matire de fiabilit des rseaux lectroniques.
4. Prochaines tapes
La prsente communication indique les grandes lignes stratgiques pour l'action dans le domaine
concern. Il ne s'agit que d'une premire tape et non pas encore dun plan d'action dfinitif pour
la scurit des rseaux en Europe. Toutefois, elle prsente dj des suggestions pour des actions
afin d'tablir un cadre pour une approche europenne commune.
L'tape suivante est la discussion par les tats membres et le Parlement europen du cadre et des
actions proposs. Le Conseil europen de Gteborg des 15 et 16 juin pourra formuler des
orientations pour l'avenir.
La Commission propose de lancer une discussion approfondie avec l'industrie, les utilisateurs et
les autorits charges de la protection des donnes sur les modalits pratiques de mise en uvre
des actions proposes. Les ractions peuvent tre envoyes dici la fin du mois daot 2001
ladresse suivante : eeurope@cec.eu.int. Cette communication est donc une invitation pour les
parties concernes prsenter leurs commentaires en vue d'tablir un ensemble final d'actions
concrtes. Celui-ci pourrait prendre la forme d'un calendrier daction labor dici la fin de lanne
2001.
***

Anda mungkin juga menyukai