Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Fiche d'information

État de l'Union 2017: la Commission renforce sa capacité de réaction face aux cyberattaques

Bruxelles, le 19 septembre 2017

Questions et réponses

Pourquoi l'UE doit-elle prendre des mesures en matière de cybersécurité? 

Depuis 2013, le paysage de l'Union européenne en matière de technologies et de sécurité a évolué à un rythme très rapide. Les technologies numériques font désormais partie intégrante de notre vie quotidienne et constituent l'épine dorsale de notre économie. La révolution de l'internet des objets est devenue une réalité et des dizaines de milliards de dispositifs devraient être connectés à l'internet d'ici à 2020. Dans le même temps, le nombre et la diversité des cybermenaces ne cessent de progresser.

Dans un contexte marqué par les récentes attaques au rançongiciel, la hausse spectaculaire de la cybercriminalité, l'utilisation croissante que font les acteurs étatiques des cyberoutils pour atteindre leurs objectifs géopolitiques et la diversification des incidents liés à la cybersécurité, l'Union européenne doit renforcer sa résistance aux cyberattaques et mettre en place une cyberdissuasion efficace, en recourant notamment au droit pénal, afin de mieux protéger ses citoyens, ses entreprises et ses institutions publiques. Comme l'a annoncé le président Juncker le 13 septembre dans son discours sur l'état de l'Union, la Commission et la Haute Représentante proposent donc aujourd'hui de renforcer la résilience et la capacité de réaction de l'UE face aux cyberattaques en renforçant l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA) et en établissant un cadre de certification de cybersécurité à l'échelle de l'UE, un plan d'action relatif aux modalités de réaction aux crises et incidents de grande ampleur en matière de cybersécurité, ainsi qu'un Centre européen de recherche et de compétences en matière de cybersécurité. Les propositions présentées aujourd'hui comprennent également une nouvelle directive sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, visant à fournir des moyens d'action pénale plus efficaces pour réagir aux cyberattaques, ainsi qu'un cadre pour une réponse diplomatique conjointe de l'UE aux actes de cybermalveillance et que des mesures visant à renforcer la coopération internationale en matière de cybersécurité.

Ce vaste train de mesures en matière de cybersécurité s'appuie sur les instruments existants et contient de nouvelles initiatives visant à améliorer encore la cyber-résilience et la capacité de réaction de l'UE dans trois secteurs clés:

  • la consolidation de la résilience de l'UE aux cyberattaques et le renforcement de sa capacité de réaction en matière de cybersécurité,
  • la mise en œuvre d'une répression efficace par le droit pénal,
  • le renforcement de la stabilité à l'échelle mondiale grâce à la coopération internationale.

Faits et chiffres

L'ampleur du problème accroît encore l'urgence d'agir. Il ressort de statistiques récentes que les cybermenaces évoluent rapidement: depuis le début de l'année 2016, plus de 4 000 attaques au rançongiciel ont eu lieu chaque jour dans le monde, ce qui correspond à une augmentation de 300 % depuis 2015; par ailleurs, 80 % des entreprises européennes ont été touchées au cours de l'année écoulée. Des études montrent que l'incidence économique de la cybercriminalité a quintuplé entre 2013 et 2017, et pourrait encore quadrupler d'ici à 2019. On note une progression particulière des attaques au rançongiciel, dont les récents épisodes témoignent d'une spectaculaire amplification de la cybercriminalité. Toutefois, les rançongiciels sont loin d'être la seule menace.

Selon une enquête Eurobaromètre, un nombre croissant d'Européens considèrent également la cybercriminalité comme une menace importante pour l'Union européenne. Les répondants sont 87 % à juger que la lutte contre la cybercriminalité est un défi majeur à relever pour la sécurité intérieure de l'UE et la majorité d'entre eux craignent d'être victimes de différentes formes de cybercriminalité. En pourcentages de répondants, les plus fortes préoccupations exprimées concernent la découverte d'un logiciel malveillant sur son terminal (69 %), les usurpations d'identité (69 %) et la fraude en ligne à la carte bancaire ou de crédit (66 %). Les deux inquiétudes les plus communément exprimées en ce qui concerne les paiements en ligne sont l'utilisation frauduleuse des données à caractère personnel (citée par 45 % des personnes interrogées), et la sécurité des transactions elles-mêmes (42 %). Ces préoccupations ont incité de nombreuses personnes à agir pour mieux assurer leur sécurité en ligne: 62 % des répondants ont ainsi modifié leurs mots de passe au cours des six derniers mois et 45 % installé des logiciels antivirus. Toutefois, certains répondants sont allés jusqu'à renoncer aux transactions en ligne, 12 % ont réduit leurs achats en ligne et 10 % ont abandonné tout système de banque en ligne.

1. Renforcer la résilience de l'UE face aux cyberattaques

Pourquoi la Commission propose-t-elle une puissante Agence de cybersécurité de l'UE?

Le mandat actuel de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), établie en Grèce, vient à expiration en juin 2020. À la lumière des changements significatifs intervenus en matière de cybersécurité depuis l'adoption du règlement ENISA, la Commission a décidé d'avancer l'évaluation et le réexamen du mandat de l'Agence. 

Jusqu'ici, le rôle de l'ENISA a essentiellement consisté à fournir une expertise et des conseils, plutôt qu'à agir sur le plan opérationnel en matière de cybersécurité. Cela a déjà commencé à changer. La directive sur la sécurité des réseaux et des systèmes d'information (SRI) a officiellement créé un réseau de centres de réponse aux incidents de sécurité informatique (CSIRT), dont le secrétariat est assuré par l'ENISA.

La Commission propose à présent de réformer l'ENISA en en faisant une Agence de cybersécurité de l'UE dotée de compétences renforcées et d'un mandat permanent, qui disposerait de ressources opérationnelles supérieures et constituerait un socle de stabilité pour l'avenir. Le principal objectif de l'Agence est d'aider les États membres à mettre en œuvre la directive SRI. De nouvelles missions et des ressources supplémentaires lui seront attribuées dans des domaines tels que la coopération opérationnelle et la certification de cybersécurité des technologies de l'information et des communications (TIC), en phase avec la nouvelle donne et les nouveaux besoins en matière de cybersécurité. L'ENISA jouera donc un rôle important dans la politique de l'Union européenne en matière de certification de cybersécurité, en élaborant, en coopération avec les autorités de certification des États membres, des projets de systèmes européens de certification de cybersécurité. Les nouveaux mandat, objectifs et missions de l'Agence feront l'objet de réexamens périodiques.

Pourquoi la Commission propose-t-elle un cadre européen de certification de cybersécurité pour les produits et les services des TIC?

La certification de cybersécurité des TIC joue un rôle important lorsqu'il s'agit de susciter davantage la confiance des utilisateurs et d'accroître la sécurité des produits et des services essentiels pour le marché unique numérique. À l'heure actuelle, différents systèmes de certification de cybersécurité pour les produits associés aux TIC coexistent dans l'UE (comme la Certification Sécuritaire de Premier Niveau en France ou la Commercial Product Assurance au Royaume-Uni). Certes, ces initiatives confirment l'importance de la certification, mais le risque est que la multiplicité des initiatives en la matière conduise à l'apparition de barrières au sein du marché unique et à la fragmentation de ce marché. Par exemple, les compteurs intelligents doivent aujourd'hui se conformer à trois procédures de certification distinctes: une pour la France, une pour le Royaume-Uni et une pour l'Allemagne.

D'un autre côté, vu la grande diversité des produits et services des TIC, aucune approche «passe-partout» ne pourra fonctionner dans tous les cas de figure. C'est pourquoi la Commission propose de créer un cadre européen de certification de cybersécurité, de nature à permettre la mise en place de nombreux systèmes individuels de certification de cybersécurité, c'est-à-dire des descriptifs clairs des exigences de sécurité auxquelles doivent satisfaire les produits, systèmes ou services concernés. Les certificats attestant la conformité à ces exigences seront reconnus dans tous les États membres, ce qui facilitera la tâche aux entreprises désireuses de faire du commerce transfrontière et aux acquéreurs souhaitant comprendre les caractéristiques de sécurité des produits ou services en question.

Les acteurs du marché seront libres d'utiliser ou non les systèmes de certification. Des normes élevées en matière de cybersécurité – reconnues par un système de certification – pourraient ainsi devenir un avantage concurrentiel pour les entreprises désireuses de garantir aux consommateurs que leurs produits et services présentent un certain niveau de cybersécurité. Ce programme permettra dès lors d'encourager le concept de «cybersécurité intégrée à la conception».

Qui bénéficiera du cadre de certification et selon quelles modalités?

La possibilité de faire confiance aux systèmes ou dispositifs numériques dont nous dépendons est directement liée à la capacité à comprendre si un produit, système ou service répond à des exigences spécifiques. Le cadre sera donc utile:

  • aux citoyens et aux utilisateurs finaux (par exemple, les fournisseurs de services essentiels), qui seront en mesure de faire des choix mieux informés en ce qui concerne les achats de produits et services liés aux TIC qu'ils utilisent tous les jours;
  • aux vendeurs et fournisseurs de produits et services liés aux TIC (y compris les PME et les jeunes entreprises), qui n'auront qu'une seule procédure à suivre afin d'obtenir un certificat européen valable dans tous les États membres. Cela implique également, pour les PME et les jeunes entreprises, l'élimination des éventuelles entraves à l'entrée sur les marchés. Libérées de l'obligation de passer par plusieurs procédures de certification, dont le coût peut varier considérablement en fonction du produit ou du service, du niveau d'évaluation de sécurité souhaité et d'autres éléments encore, les entreprises pourront faire des économies substantielles. Pour le certificat «Smart Meter Gateway» (passerelle de compteur intelligent) du BSI (Institut de normalisation britannique), par exemple, le coût est supérieur à 1 million d'euros (niveau le plus élevé de test et d'assurance, qui ne porte pas sur un seul produit mais sur l'ensemble de l'infrastructure qui l'entoure), alors que le coût de la certification pour des compteurs intelligents au Royaume-Uni et en France est d'environ 150 000 euros. Enfin, étant donné que la demande de solutions mieux sécurisées devrait augmenter dans le monde entier, les vendeurs et fournisseurs bénéficieront également d'un avantage concurrentiel pour satisfaire les besoins correspondants.
  • Les pouvoirs publics seront eux aussi en mesure de faire des choix d'achat mieux informés et disposeront parallèlement d'un cadre institutionnel leur permettant de recenser et de désigner les domaines prioritaires nécessitant une certification de cybersécurité.

Comment le cadre européen s'articulera-t-il avec les procédures existantes ou les procédures internationales?

Les systèmes proposés dans le futur cadre européen s'appuieront autant que possible sur des normes internationales, de manière à éviter de créer des entraves aux échanges et à garantir la cohérence avec les procédures internationales. Nous continuerons de collaborer avec nos plus proches partenaires commerciaux à l'élaboration de normes mondiales dans ce domaine.

2. Doter l'UE d'une capacité accrue en matière de cybersécurité

Quel est l'objectif de la recommandation en vue d'une réponse coordonnée de l'UE aux cyberattaques (le plan d'action)?

La recommandation décrit comment les principes et mécanismes existants et bien établis en matière de gestion de crise tirent pleinement parti des entités chargées de la cybersécurité au niveau de l'UE et des mécanismes de coopération entre les États membres; elle rationalise également toutes les procédures et tous les acteurs existants en les intégrant à un seul et même processus et précise leurs rôles respectifs, sur les plans technique, opérationnel et stratégique, et en cas d'incident majeur lié à la cybersécurité. L'objectif de la recommandation est que l'Union européenne dispose d'un plan en cas de cyberattaque ou de crise transfrontières à grande échelle. Elle fixe les objectifs et les modalités de la coopération entre les États membres et les institutions de l'UE dans le cadre de la réaction à ce type d'événements et expose la façon dont les mécanismes existants de gestion des crises peuvent interagir avec les entités actuellement chargées de la cybersécurité au niveau de l'UE.

La recommandation demande également aux États membres et aux institutions de l'UE de créer un cadre de l'UE pour la réaction aux crises de cybersécurité afin de traduire le plan d'action en mesures concrètes. Ce plan sera ensuite régulièrement éprouvé dans le cadre d'exercices de gestion de crise dans le domaine de la cybersécurité et dans d'autres domaines.

Quels organismes seront impliqués dans la gestion de crise? Comment se coordonneront-ils?

La gestion de crise associera des acteurs au niveau des États membres et au niveau européen. Y participeront, dans les États membres, les autorités nationales compétentes et les points de contact uniques établis par la directive SRI, les centres de réponse aux incidents de sécurité informatique (CSIRT) et les agences de cybersécurité. Au niveau européen, les entités concernées seront l'ENISA et Europol/EC3 (le centre européen de lutte contre la cybercriminalité d'Europol), la Commission européenne, le Service européen pour l'action extérieure (et notamment ses services de gestion de crise), ainsi que le Conseil. Elles coopéreront sur les plans technique, opérationnel et stratégique.

Comment est-il prévu de traiter des cyberattaques comme WannaCry et (Not)Petya dans le cadre du plan d'action?

De nombreux pays, tant à l'intérieur qu'à l'extérieur de l'UE, subissent des cyberattaques de grande envergure, comme ce fut le cas pour les attaques WannaCry et (Not)Petya. L'objectif du plan d'action est que l'UE mette en place un plan soigneusement préparé pour réagir aux crises ou cyberincidents impliquant une coopération aux niveaux européen et international. Il permettra d'assurer une communication rapide entre les différents acteurs et une réaction coordonnée aux cyberattaques de grande envergure. Il permettra également de mettre en place des mécanismes visant à déterminer l'origine de ces attaques, afin d'atténuer et de gérer efficacement les causes du problème. C'est cependant aux États membres qu'il appartiendra, dans le cadre du dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR), de décider à quel moment le plan d'action est activé.

Pourquoi faut-il un réseau et un Centre européen de recherche et de compétences en matière de cybersécurité et quand seront-ils mis en place?

L'Union européenne a besoin d'investissements considérables dans les technologies, les produits, les procédures et l'expertise liés à la cybersécurité pour parvenir à l'autonomie technologique dans ce domaine et protéger son économie numérique, la société et la démocratie. Ces capacités sont également essentielles pour contribuer aux efforts internationaux visant à créer un cyberespace sécurisé pour tous. En s'appuyant sur les travaux des États membres et le partenariat public-privé, lancé en 2016, la Commission propose maintenant de passer à une nouvelle étape en vue de renforcer la capacité de l'UE en matière de cybersécurité. Il s'agit notamment de créer un réseau de compétences en cybersécurité, au cœur duquel se trouvera un Centre européen de recherche et de compétences en matière de cybersécurité.

Ce dernier contribuera à la mise au point et au déploiement des outils et des technologies nécessaires pour nous permettre de nous adapter à une menace en constante évolution et à faire en sorte que nos moyens de défense restent à un niveau aussi avancé que les armes employées par les cybercriminels. Il complétera aussi les efforts de renforcement des capacités dans ce domaine au niveau national et au niveau de l'Union.

La Commission procédera à une analyse d'impact afin d'examiner les différentes possibilités envisageables – et notamment la création d'une entreprise commune – en vue de mettre en place cette structure dans les meilleurs délais. Elle propose en outre de lancer une phase pilote au titre d'Horizon 2020 afin de donner un nouvel élan aux investissements dans la cybersécurité. À cette fin, la Commission envisage de mettre à disposition à court terme un financement de 50 millions d'euros.

3. la mise en œuvre d'une répression efficace par le droit pénal,

Une dissuasion efficace implique la mise en place d'un cadre de mesures qui soient à la fois crédibles et dissuasives pour les cybercriminels et agresseurs en puissance. Tant que les auteurs de cyberattaques, qu'ils agissent ou non pour le compte d'un État, n'ont rien à craindre hormis l'échec, on voit mal ce qui les freinerait dans leurs tentatives. Une réponse plus percutante sur le plan pénal et de la part des services répressifs, axée sur la détection, la traçabilité et la poursuite des cybercriminels devant les tribunaux, est indispensable à l'établissement d'une dissuasion efficace.

Une étape dans l'amélioration de la réponse pénale aux cyberattaques a été franchie en 2013 avec l'adoption de la directive relative aux attaques contre les systèmes d'information, qui instaure des règles minimales en ce qui concerne la qualification des infractions pénales et la définition des sanctions correspondantes en matière d'attaques contre les systèmes d'information, et prévoit des mesures opérationnelles visant à améliorer la coopération entre autorités.

Comme cela ressort du rapport d'évaluation des mesures prises pour transposer la directive, présenté aujourd'hui, il reste de la marge pour que la directive réalise pleinement son potentiel, pour autant que les États membres mettent intégralement en œuvre l'ensemble de ses dispositions. D'après les conclusions de l'évaluation, la directive a conduit à d'importants progrès vers l'objectif consistant à ériger les cyberattaques en infractions pénales de niveau comparable dans tous les États membres. Toutefois, des efforts supplémentaires sont nécessaires, notamment en ce qui concerne l'utilisation de définitions et de normes communes en matière de sanctions applicables aux cyberattaques. La Commission veillera sans relâche à ce que la directive fasse l'objet d'une mise en œuvre correcte et intégrale; à cette fin, elle continuera à fournir le soutien nécessaire aux États membres. Elle ne voit à ce stade aucune nécessité de proposer des modifications de la directive.

La Commission souhaite renforcer la dissuasion et propose à cet effet une nouvelle directive sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, qui vise à fournir des moyens d'action pénale plus efficaces pour réagir à la cybercriminalité.

Qu'est-ce que la «fraude sur les moyens de paiement autres que les espèces»?

Les moyens de paiement autres que les espèces les plus courants sont les cartes de paiement (cartes de crédit et de débit), les virements, les prélèvements automatiques, l'argent électronique, les monnaies virtuelles, ainsi que les bons, coupons et cartes de fidélité. Les transactions faisant intervenir des moyens de paiement autres que les espèces n'ont cessé d'augmenter en Europe au cours de ces dernières années, à la fois en nombre et en valeur.

La fraude sur les moyens de paiement autres que les espèces peut prendre différentes formes. Les délinquants peuvent déclencher l'exécution de paiements grâce aux données relatives au donneur d'ordre obtenues, par exemple, par hameçonnage, écumage ou obtention d'informations sur des sites web spécialisés commercialisant sur le darknet des données relatives à des cartes de crédit volées. Des paiements frauduleux peuvent également être exécutés à l'aide de cartes volées ou contrefaites utilisées pour payer dans les magasins ou retirer de l'argent à des distributeurs automatiques, ou après avoir piraté des systèmes informatiques de traitement des paiements (par exemple, en manipulant les terminaux de points de vente destinés aux transactions par carte) ou encore après avoir illégalement relevé les plafonds des cartes de crédit pour éviter la détection des dépenses excédentaires Les statistiques en matière de fraude à la carte montrent que dans 66 % des cas, la fraude est commise sans disposer de la carte elle-même, en utilisant les données de la carte obtenues frauduleusement.

Pourquoi la fraude sur les moyens de paiement autres que les espèces constitue-t-elle une menace pour la sécurité?

La fraude sur les moyens de paiement autres que les espèces et la contrefaçon de ces moyens de paiement sont une menace pour la sécurité car elles constituent une source de revenus importante pour la criminalité organisée et rendent possibles d'autres activités criminelles, telles que le terrorisme, le trafic de drogue et la traite des êtres humains.

Europol indique que le marché criminel de la fraude sur les cartes de paiement dans l'Union européenne est dominé par des groupes criminels bien structurés, actifs à l'échelon mondial, qui réalisent des gains frauduleux estimés à au moins 1,44 milliard d'euros par an (montant de la fraude sur les cartes de paiement, selon les estimations de la Banque centrale européenne). Ce montant a toutes les chances d'augmenter, à la faveur, principalement, de la numérisation croissante de l'économie et de l'émergence de nouveaux instruments de paiement issus d'innovations technologiques.

En outre, les paiements autres qu'en espèces sont essentiels pour les transactions en ligne et l'établissement d'un marché unique numérique nécessite que ces paiements soient sécurisés. À l'inverse, la fraude sur les moyens de paiement autres que les espèces provoque d'importantes pertes économiques directes (par exemple, à l'échelle mondiale, la fraude sur les cartes de paiement coûte près d'un milliard de dollars par an aux compagnies aériennes) et réduit la confiance des consommateurs, ce qui peut entraîner une baisse de l'activité économique et restreindre l'engagement dans le marché unique numérique.

Pourquoi la Commission propose-t-elle une nouvelle directive relative à la fraude sur les paiements autres qu'en espèces?

Les évolutions technologiques, telles que l'utilisation croissante des paiements mobiles ou des monnaies virtuelles, ont fortement modifié le paysage des paiements autres qu'en espèces et suscité une augmentation de la fraude en ligne. Pour faire en sorte que les crimes et délits commis en recourant aux nouveaux instruments de paiement puissent effectivement faire l'objet de poursuites, il importe que le cadre pénal de l'UE reste à jour, notamment en ce qui concerne le rapprochement du niveau des sanctions. En particulier, le fait que la fraude sur les moyens de paiement autres que les espèces se déroule fréquemment en ligne fait pièce au concept traditionnel de territorialité, étant donné que les systèmes informatiques peuvent être utilisés et contrôlés à distance depuis n'importe où. Par conséquent, il convient que la compétence soit reconnue pour les infractions commises, indépendamment de la nationalité de leur auteur et même si celui-ci est physiquement absent, sur la seule base du préjudice résultant de l'infraction commise sur le territoire de l'État membre concerné.

Bien que l'actuelle décision-cadre sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces ait contribué à la création d'un cadre commun de l'UE en matière de droit pénal, le niveau d'harmonisation actuel n'est pas suffisant pour soutenir de manière adéquate les enquêtes et poursuites transfrontières.

Comment la nouvelle directive contribuera-t-elle à la lutte contre la fraude sur les moyens de paiement autres que les espèces?

La Commission propose de renforcer la dissuasion en adoptant une nouvelle directive relative à la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces. Dans la ligne du programme européen en matière de sécurité et de la stratégie de cybersécurité de l'Union européenne, ainsi que de la stratégie pour un marché unique numérique, la nouvelle directive permettra de renforcer la capacité des États membres à poursuivre et sanctionner la fraude sur les moyens de paiement autres que les espèces. À cette fin, elle permettra:

  • de renforcer la capacité des services répressifs à lutter contre cette forme de criminalité en élargissant le champ des infractions liées aux systèmes d'information pour y inclure toutes les opérations de paiement, y compris celles réalisées au moyen de monnaies virtuelles;
  • d'introduire des règles communes relatives au niveau des peines, notamment en fixant un niveau minimal pour les sanctions les plus élevées que peuvent imposer les États membres, et qui peuvent aller de deux à cinq ans en fonction de l'infraction. Les nouvelles règles érigent en infraction autonome le fait de posséder, de vendre ou d'acquérir, en vue de l'utiliser, de l'importer ou de le distribuer, un instrument de paiement volé, obtenu illégalement, contrefait ou falsifié;
  •  de clarifier l'étendue de la compétence juridictionnelle en veillant à ce que les États membres disposent de la compétence juridictionnelle à la fois dans les cas où l'infraction a été commise au moyen d'un système d'information situé sur leur territoire, même si l'auteur de l'infraction ne s'y trouve pas nécessairement, et dans les cas où l'auteur de l'infraction se trouve sur leur territoire, mais que le système d'information est susceptible d'être situé hors de ce territoire. Les nouvelles dispositions clarifient également l'étendue de la compétence en ce qui concerne les effets de l'infraction en veillant à ce que les États membres puissent exercer la compétence dès lors que l'infraction engendre un préjudice sur leur territoire, et notamment des dommages liés à l'usurpation de l'identité d'une personne;
  • de faire en sorte que les victimes de la cybercriminalité aient un droit d'accès aux informations disponibles en matière d'assistance et de soutien. En outre, les nouvelles règles amélioreront les incitations, pour les victimes et entités privées, à signaler les crimes et délits, ainsi que les conditions dans lesquelles elles pourront le faire;
  • d'introduire des mesures visant à améliorer la coopération à l'échelle de l'Union en matière de justice pénale en consolidant la structure existante et l'utilisation des points de contact opérationnels;
  • de répondre à la nécessité de fournir des données statistiques sur la fraude et la contrefaçon des moyens de paiement autres que les espèces.

Pour accroître l'efficacité des enquêtes et des poursuites en matière de criminalité facilitée par les technologies de l'information et de la communication, la Commission soumettra également, au début de l'année 2018, des propositions visant à faciliter l'accès transfrontière aux preuves électroniques. Dans le même temps, la Commission a entrepris de mettre en œuvre des mesures concrètes visant à améliorer l'accès transfrontière aux preuves électroniques dans les enquêtes pénales, notamment en finançant la formation en matière de coopération transfrontière, en élaborant une plateforme électronique pour l'échange d'informations au sein de l'UE et en standardisant les modalités de la coopération judiciaire entre États membres. La Commission étudie par ailleurs différents moyens de renforcer les capacités criminalistiques dans l'ensemble des États membres. Une étape possible consisterait à poursuivre le développement d'Europol et de son centre européen de lutte contre la cybercriminalité. Par ailleurs, la Commission présentera, d'ici à octobre, les résultats de ses réflexions sur le rôle du cryptage dans les enquêtes pénales. Enfin, la Commission consacrera 10,5 millions d'euros au titre du Fonds pour la sécurité intérieure (FSI) au renforcement de l'appui aux États membres et au développement de leurs capacités d'investigation en matière de cybercriminalité.

4. Renforcer la coopération internationale en matière de cybersécurité

La politique internationale de l'UE en matière de cybersécurité vise à relever un défi en perpétuelle évolution, à savoir promouvoir la cyberstabilité à l'échelle mondiale et contribuer à l'autonomie stratégique de l'Europe et à sa sécurité dans le cyberespace, dans le respect sans faille des valeurs fondamentales de l'UE et des droits fondamentaux qu'elle a énoncés. Dans ses engagements bilatéraux, régionaux, multipartites et multilatéraux, l'UE accordera la priorité à la mise en place d'un cadre stratégique pour la prévention des conflits et la stabilité dans le cyberespace. Au titre du cadre stratégique pour la prévention des conflits, l'UE promeut l'application dans le cyberespace du droit international, et en particulier de la Charte des Nations unies. En outre, l'UE soutient l'élaboration de normes volontaires, à caractère non contraignant, en ce qui concerne le comportement des États et les mesures destinées à renforcer la confiance dans la cybersécurité.

Compte tenu du caractère mondial de la menace, il est capital de nouer et d'entretenir des alliances et des partenariats solides avec les pays tiers pour la prévention et la dissuasion des cyberattaques, démarches dont l'importance devient cruciale pour la stabilité et la sécurité internationales. L'UE a engagé des dialogues spécifiquement consacrés à la cybersécurité avec les États-Unis, le Japon, l'Inde, la Corée du Sud et la Chine. Une étroite concertation a aussi été engagée avec des organisations internationales telles que l'OTAN, le Forum régional de l'ANASE, l'OSCE, le Conseil de l'Europe et l'OCDE.

Quelle réponse diplomatique l'UE peut-elle apporter pour contrer les actes de cybermalveillance?

Le 19 juillet 2017, le Conseil a approuvé les conclusions du Conseil relatives à un cadre pour une réponse diplomatique conjointe de l'UE face aux actes de cybermalveillance («boîte à outils cyberdiplomatique») qui permettent à l'UE et à ses États membres de prévenir les actes informatiques malveillants et d'y répliquer. Par le recours à des mesures relevant de la politique étrangère et de sécurité commune, l'UE et ses États membres cherchent à encourager la coopération, à faciliter l'atténuation des menaces immédiates et à long terme et à influencer sur le long terme le comportement des agresseurs potentiels. Cette démarche doit être considérée comme complémentaire de l'action actuelle de l'UE et, bien entendu, des États membres, en matière de cyberdiplomatie, qu'elle n'a pas vocation à remplacer.

Comment l'Union européenne contribuera-t-elle au renforcement des cybercapacités mondiales?

La stabilité mondiale du cyberespace repose sur la capacité des collectivités locales et nationales de tous les pays à prévenir les cyberincidents et à réagir à ces incidents, ainsi qu'à mener des enquêtes et des poursuites dans les affaires de cybercriminalité. Le soutien aux efforts visant à forger la résilience nationale des pays tiers permettra de renforcer la cybersécurité à l'échelle mondiale, ce qui aura des effets positifs pour l'UE.

Depuis 2013, l'Union européenne montre la voie en ce qui concerne le renforcement des capacités internationales en matière de cybersécurité et associe systématiquement ces efforts à son action de coopération au développement. Afin d'améliorer la capacité de l'UE à mobiliser son expertise collective pour soutenir ce développement des capacités, il conviendra de mettre en place un réseau de renforcement des cybercapacités réunissant la Commission européenne, le Service européen pour l'action extérieure, les autorités des États membres chargées des questions de cybersécurité, les agences de l'UE, le monde universitaire et la société civile. Des lignes directrices de l'UE sur le renforcement des cybercapacités seront élaborées afin de contribuer à améliorer l'orientation stratégique et la hiérarchisation des efforts déployés par l'UE pour aider les pays tiers.

L'UE coopérera également avec d'autres bailleurs de fonds dans ce domaine, afin d'éviter toute duplication des efforts et de faciliter un renforcement mieux ciblé des capacités dans les différentes régions.

5. La coopération en matière de cyberdéfense

Les cybermenaces étant une des principales menaces pour la sécurité de notre époque, il est nécessaire d'accroître rapidement les capacités de cyberdéfense au sein de l'UE afin de réduire les risques et de réagir de manière adéquate aux cyberopérations malveillantes. Les initiatives nouvelles et existantes, comme le Fonds européen de la défense, joueront un rôle essentiel pour soutenir de nouveaux efforts dans le domaine de la cyberdéfense, tels que la création d'une plateforme de formation et d'enseignement en matière de cyberdéfense.

Le Service européen pour l'action extérieure et l'Agence européenne de défense (AED) sont mobilisés aux côtés des États membres sur les questions de cyberdéfense depuis 2013, année où l'équipe responsable du projet de cyberdéfense de l'AED a été mise en place en coopération avec ces derniers. Une nouvelle impulsion sera donnée au cadre stratégique de cyberdéfense de l'UE, adopté en 2014, qui vise à renforcer les capacités des États membres, à rationaliser leurs procédures, à accroître les possibilités en matière de formation et d'exercices, à promouvoir la recherche à double usage et à protéger les missions et opérations relevant de la politique de sécurité et de défense commune.

Les États membres sont en première ligne en matière de cyberdéfense, mais l'Union européenne peut compléter leurs efforts en favorisant le développement industriel au service de la défense, en encourageant la coordination politique en matière de cyberdéfense entre États membres, au niveau stratégique, et en recherchant les synergies civiles et militaires qui sont de son ressort. La recherche-développement à double usage et l'expansion des capacités relatives aux principes, aux technologies et à la formation en matière de cyberdéfense seront des priorités.

Avec le soutien de la Haute Représentante, de la Commission et de l'Agence européenne de défense, les États membres intéressés pourraient mettre en commun leurs capacités pour concevoir des projets en matière de cybersécurité dans le cadre d'une coopération structurée permanente (CSP).

Où en est la coopération entre l'UE et l'OTAN en matière de cybersécurité?

Dans le prolongement des progrès accomplis récemment, l'UE renforcera sa coopération avec l'OTAN sur la cybersécurité, les menaces hybrides et la défense, comme annoncé dans la déclaration commune du 8 juillet 2016. Les deux partenaires entendent également intensifier le partage d'informations entre leurs organismes de cybersécurité, à savoir le Centre de réponse aux incidents de sécurité informatique (CERT-UE) pour les institutions de l'UE et la Capacité OTAN de réaction aux incidents informatiques (NCIRC). Autre action clé de leur coopération, les deux institutions participeront conjointement à des exercices parallèles et coordonnés et s'emploieront à améliorer l'interopérabilité des normes en matière de cybersécurité. Pour la première fois, l'OTAN et l'UE effectueront en 2017 et en 2018 des exercices parallèles et coordonnés en réponse à un scénario hybride.

Pour de plus amples informations

Communiqué de presse – État de l'Union en 2017 – Cybersécurité: La Commission renforce sa capacité de réaction face aux cyberattaques

Fiche d'information sur les propositions en matière de cybersécurité

Fiche d'information sur l'Agence de cybersécurité de l'UE

Fiche d'information sur la lutte contre la fraude et la contrefaçon concernant les moyens de paiement autres que les espèces

Textes adoptés

MEMO/17/3194

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar