Valentin Boullier

Située en Grèce (Crète), l’ENISA (European Union Agency for Network and Information Security) est une agence de l’Union européenne dont le rôle est de sensibiliser, conseiller et informer sur la sécurité informatique, en assurant « un niveau élevé de sécurité des réseaux et de l’information ». Si les particuliers peuvent librement accéder au site de l’ENISA, les entreprises et les États membres de l’UE sont plus particulièrement visés.

L’ENISA est-elle l’équivalente de l’ANSSI française ?

L’ANSSI a notamment pour mission de détecter, d’analyser et de contrer les menaces « cyber », mais également de sensibiliser les différents publics, et notamment les entreprises (voir, à ce titre, le guide des bonnes pratiques de l’informatique – .pdf – édités par l’ANSSI et la CGPME). L’ANSSI remplit donc une mission de sensibilisation et de réaction. Or, l’ENISA ne remplit qu’une mission d’information et de sensibilisation, et ne dispose pas de capacités de réaction ou de détection de menaces informatiques. En revanche, l’ENISA assure pleinement sa mission en participant à des conférences, en éditant des guides (notamment des guides relatifs au cloud, au secteur financier, aux CERT – Computer Emergency Response Teams), ou en organisant des exercices européens de cyberdéfense. L’agence rappelle par ailleurs qu’elle n’est pas une autorité de régulation et n’intervient pas de manière opérationnelle.

ENISA acts like a broker of knowledge and a switchboard of information.

Source : ENISA, faq.

L’ENISA tente également d’informer les institutions européennes, et notamment la Commission. De même, l’agence est récemment intervenue devant la Commission Sécurité et Défense du Parlement européen. Ainsi, lors de cette intervention, le directeur de l’agence a évoqué, parmi d’autres sujets, les exercices européens, le développement de rapports d’incidents européens, la sauvegarde des « infrastuctures informationelles essentielles », mais également « la nécessité d’une législation européenne protégeant la vie privée, en requérant aux développeurs et fournisseurs de services d’élaborer des mesures de protection des données depuis la phase de conception » (voir le communiqué de presse ici).

Ces défis pour le futur montrent que la cybersécurité et les cyber-attaques arborent différents aspects. Des actions fermes vont devoir être employées compte tenu d’une évolution notable attendue des menaces les plus importantes. Pour faire face à cela, une coopération entre les Etats Membres, les Institutions européennes et autres acteurs sera d’une priorité absolue. De plus, il sera nécessaire d’établir des moyens de prévention, de détection et des capacités de réaction à échelle européenne ainsi que la mise en oeuvre de systèmes d’alerte précoce.

ENISA, communiqué de presse du 16 mars 2015, EPR12/2015, « ENISA sur la cybersécurité de l’UE devant la Commission Sécurité et Défense (SEDE) du Parlement européen », disponible ici.

L’ENISA répertorie également sur son site web les stratégies étatiques de nombreux pays du monde, européens et non-européens. Le public peut ainsi librement lire les « National Cyber Security Strategies », et par exemple consulter le guide français, établi par l’ANSSI. Dans ce document, l’ANSSI indique notamment que :

Our legislative and regulatory framework must reflect recent developments in technology. Laws will be reviewed as new technologies and new pratices emerge in order to strengthen the security as individuals while at the same time ensuring a balance between the desire to minimise the impact on companies’ competitiveness and the need for the State to be able to intervene in the nation’s best interest ».

Information systems defense and security France’s strategy (.pdf), p. 18.

Pour aller plus loin :

• Regulation (EU), No 526/2013 of the European Parliament and of the Council of 21 May 2013 concerning the European Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004 (.pdf).
• Work Programme 2015 Including Multi-Annual Planning, Decision No MB/2014/12 of the Management Board of the European Union Agency for Network and Information Security (Adopted at the MB Meeting on 28 October 2014) (.pdf).
• Call for papers : Annual Privacy Forum 2015.

Si les regards sont actuellement tournés vers le Gouvernement français et la loi sur le renseignement, il est judicieux d’analyser également les actualités en provenance des États-Unis. Le site de l’ACLU (American Civil LIberties Union) est en effet très riche, et le moindre communiqué de presse permet d’en apprendre un peu plus sur la surveillance des communications électroniques.

Parlons donc du CISA (Cybersecurity Information Sharing Act), parent du défunt CISPA.

Le CISA (cf. la version du 7 mai 2012, ici, la version du 10 juillet 2014, et la version de 2015) était jusqu’à présent une proposition de loi provenant de deux sénateurs, dont l’un est membre de la commission du renseignement du Sénat. L’objectif du CISA est simple :

To provide for the sharing of certain cyber threat intelligence and cyber threat information between the intelligence community and cybersecurity entitites, and for other purposes (2012)

To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes (2014).

Or, le CISA a fait l’objet de nombreuses critiques, celui-ci, selon ses détracteurs, comportant un risque important de violation des libertés individuelles, que ce soit au niveau de la collecte d’informations ou au niveau du partage desdites informations avec les agences fédérales de renseignement. On peut par exemple relever que « en accord avec la protection des informations classifiées, des sources et méthodes de renseignement et la protection des libertés individuelles, le directeur national du renseignement, le secrétaire à la sécurité intérieure, le ministre de la défense et le ministre de la justice, après consultation des entités fédérales concernées, établiront et promulgueront des procédures en vue de faciliter et de promouvoir […] » le partage d’information relatives à la cybersécurité entre les acteurs privés et les agences fédérales. Ainsi, une entité privée pourra notamment contrôler les informations stockées ou traitées par ses systèmes. En revanche, l’entité devra notamment supprimer les informations permettant d’identifier une personne non liée à une « cyber menace ». Des lignes directrices visant à la protection des libertés individuelles devront être mises en place par le ministre de la justice. Pourtant présenté comme une évolution législative visant à davantage protéger les droits et libertés fondamentaux (le CISA fonctionnerait sur le volontariat), le CISA contient des dispositions alarmantes, notamment au niveau de la protection des acteurs privés partageant des informations avec les agences fédérales : ainsi,  les actions judiciaires intentées contre des acteurs ayant transmis des informations aux agences fédérales ne pourront être favorablement accueillies si le contrôle des systèmes d’informations est conforme aux dispositions du CISA. Des rapports d’informations doivent également être rendus au Congrès un an après l’entrée en vigueur du CISA, et tous les deux ans par la suite. Il est également intéressant de noter que le CISA ne peut permettre à l’entité privée d’empêcher un employé de devenir un lanceur d’alerte.

Le site de la sénatrice ayant participé à l’élaboration de cette proposition de loi mentionne notamment que le CISA a pour objet d’instaurer un cadre légal plus respectueux des libertés individuelles.

Devant l’opposition engendrée par le CISA, des amendements ont été adoptés afin de mieux protéger les libertés individuelles. L’opposition reste toutefois vive. En effet, le 12 mars 2015, le texte a été largement adopté par la commission du renseignement du Sénat, et n’a rencontré aucune opposition dans la commission. Comme le remarque le communiqué de presse du 12 mars 2015 en provenance du Sénat (trouvé sur le site web.archive.org par eff.org), le CISA a réussi à réunir les républicains et les démocrates. Les partisans du CISA soulignent notamment la nécessité de moderniser le cadre juridique afin de mieux protéger les acteurs publics et privés  contre la cybercriminalité. A ce titre, il  est utile de rappeler que le CISA autorise les acteurs du privé à mettre en place des contre-mesures afn d’assurer une protection de leurs systèmes et donc de leurs intérêts, notamment économiques.

Il est également intéressant de noter que les conseillers de Barack Obama s’étaient opposés à CISPA, parent de CISA, en 2012. Vous pouvez lire la déclaration de l’Administration ici. Celle-ci indique notamment que :

The American people expect their Government to enhance security without undermining their privacy and civil liberties.  Without clear legal protections and independent oversight, information sharing legislation will undermine the public’s trust in the Government as well as in the Internet by undermining fundamental privacy, confidentiality, civil liberties, and consumer protections.  

[…]

Legislation should address core critical infrastructure vulnerabilities without sacrificing the fundamental values of privacy and civil liberties for our citizens, especially at a time our Nation is facing challenges to our economic well-being and national security.  The Administration looks forward to continuing to engage with the Congress in a bipartisan, bicameral fashion to enact cybersecurity legislation to address these critical issues.

Le CISA 2015 a été adopté par la commission du renseignement du Sénat par une majorité écrasante (seul un sénateur a voté contre), et le président de la commission s’est félicité d’un texte bipartisan :

This bipartisan legislation is critical to securing our nation against escalating cyber threats.

SOURCES :

• NUSBAUM (R.), « CISA Isn’t About Cybersecurity, It’s About Surveillance », www.aclu.org, publié le 13 mars 2015, consulté le 23 mars 2015, disponible à l’adresse : <https://www.aclu.org/blog/national-security-technology-and-liberty/cisa-isnt-about-cybersecurity-its-about-surveillance>;
• JAYCOX (M.), « Senate Intelligence Committee Advances Terrible « Cybersecurity » Bill Surveillance Bill in Secret Session », www.eff.org, publié le 19 mars 2015, consulté le 23 mars 2015, disponible à l’adresse : <https://www.eff.org/fr/deeplinks/2015/03/senate-intelligence-committee-advances-terrible-cybersecurity-bill-surveillance>;
• GREEBERG (A.), « CISA Security Bill : an F for security but an A+ for spying », www.Wired.com, publié le 20 mars 2015, consulté le 23 mars 2015, disponible à l’adresse : <http://www.wired.com/2015/03/cisa-security-bill-gets-f-security-spying/>;
• COUTS (A.), « Big news : Obama threatens to veto CISPA », www.digitaltrends.com, publié le 25 avril 2012, consulté le 25 mars 2015, disponible à l’adresse : <http://www.digitaltrends.com/web/obama-threatens-to-veto-cispa/>.

Il est également judicieux de lire la lettre de contestation envoyée par l’ACLU au président et au vice-président (co-auteur du CISA) de la commission du renseignement du Sénat.