24.3.2007   

FR

Journal officiel de l'Union européenne

C 68/1

1.

la résolution du Conseil du 28 janvier 2002 relative à une approche commune et à des actions spécifiques dans le domaine de la sécurité des réseaux et de l'information (1);

2.

la résolution du Conseil du 18 février 2003 relative à une approche européenne axée sur une culture de la sécurité des réseaux et de l'information (2);

3.

les conclusions du Conseil des 8 et 9 mars 2004 sur les communications non sollicitées à des fins de prospection commerciale directe et celles des 9 et 10 décembre 2004 sur la lutte contre le «pourriel»;

4.

les conclusions du Conseil européen de mars 2005 relançant la stratégie de Lisbonne et celles du Conseil européen de mars 2006 invitant la Commission et les États membres à mettre en œuvre énergiquement la nouvelle stratégie i2010;

5.

le cadre réglementaire pour les communications électroniques de l'Union européenne (3), en particulier les dispositions relatives à la sécurité, au caractère privé et à la confidentialité des communications, qui ont contribué à garantir un niveau élevé de protection des données à caractère personnel et de la vie privée, ainsi que l'intégrité et la sécurité des réseaux publics de communication;

6.

le règlement (CE) no 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (4) (ENISA);

7.

l'Agenda de Tunis et l'engagement de Tunis adoptés lors du sommet mondial sur la société de l'information (SMSI), qui mettent l'accent sur la nécessité de poursuivre la lutte contre la cybercriminalité et le pollupostage, tout en assurant la protection de la vie privée et la liberté d'expression, et de continuer à encourager, développer et mettre en œuvre une culture mondiale de la cybersécurité, en coopération avec toutes les parties prenantes;

8.

les conclusions de la présidence à la suite de la conférence annuelle sur la société de l'information européenne intitulée «i2010 — Vers une société de l'information européenne omniprésente», qui s'est tenue à Espoo, en Finlande, les 27 et 28 septembre 2006;

1.

nos sociétés entrent rapidement dans une nouvelle phase de développement qui les conduit vers une société de l'information omniprésente, dans laquelle les citoyens ont de plus en plus recours, dans leurs activités quotidiennes, aux technologies de l'information et de la communication (TIC), ainsi qu'aux réseaux de communications électroniques; il convient d'envisager la sécurité des réseaux et de l'information comme un moteur déterminant de cette évolution et de sa réussite;

2.

la confiance est primordiale pour le succès de la nouvelle société de l'information; elle est également liée aux expériences des utilisateurs et à la nécessité de respecter leur vie privée; il convient donc de ne pas considérer la sécurité des réseaux et de l'information comme une question purement technique;

3.

la sécurité des réseaux et de l'information est un élément essentiel dans la création d'un espace européen de l'information dans le cadre de l'initiative i2010; cette sécurité contribuera ainsi à la réussite de la stratégie de Lisbonne renouvelée; les TIC sont aussi une composante fondamentale de l'innovation, de la croissance économique et de l'emploi dans toute l'économie;

4.

les nouvelles technologies qui nous feront entrer dans la société de l'information omniprésente sont déjà en préparation; du fait de l'émergence de technologies novatrices [telles que les réseaux sans fil à haut débit, les dispositifs de radio-identification (RFID), les réseaux de capteurs] et de services innovants et riches en contenus [tels que la télévision par Internet (IPTV), la téléphonie par Internet (VoIP), la télévision mobile et d'autres services mobiles], les réseaux et l'information doivent bénéficier de niveaux de sécurité adaptés dès le début de la phase de conception afin d'atteindre une véritable valeur commerciale; l'adoption rapide des innovations prometteuses est essentielle au développement de la société de l'information et à la compétitivité de l'Europe; il convient que les instances gouvernementales et les entreprises adoptent dès que possible les nouvelles technologies et les nouveaux services sûrs afin d'en accélérer l'implantation à grande échelle;

5.

du point de vue stratégique, il est essentiel pour l'UE que son industrie soit à la fois un utilisateur exigeant et un fournisseur compétitif de produits et de services dans le domaine des réseaux et de la sécurité; la diversité, l'ouverture et l'interopérabilité font partie intégrante de la sécurité et il convient à ce titre de les promouvoir;

6.

les connaissances et compétences en matière de sécurité des réseaux et de l'information doivent également faire partie intégrante de la vie quotidienne de chaque individu et de chaque partie prenante de la société; plusieurs campagnes de sensibilisation ont eu lieu tant au niveau national qu'au niveau de l'UE, mais il reste encore à faire dans ce domaine, notamment en ce qui concerne les utilisateurs et les petites et moyennes entreprises (PME); il convient d'accorder une attention particulière aux utilisateurs handicapés ou qui sont peu sensibilisés aux questions de sécurité des réseaux et de l'information; il importe que toutes les parties prenantes aient conscience d'être des maillons de la chaîne de sécurité planétaire et qu'elles aient le pouvoir d'agir en tant que tels; les questions de sécurité des réseaux et de l'information devraient être prises en compte dans tout enseignement et toute formation liés aux TIC;

7.

la création de l'ENISA a constitué une étape majeure dans les efforts déployés par l'UE pour relever les défis de la sécurité des réseaux et de l'information; le champ d'application, les objectifs, les tâches, ainsi que la durée pour laquelle l'agence a été créée, sont énoncés dans le règlement (CE) no 460/2004;

8.

les ressources consacrées à la recherche et au développement (R&D) ainsi qu'à l'innovation tant au niveau national qu'au niveau de l'UE sont un élément essentiel pour le renforcement du niveau de sécurité de l'information et des réseaux dans les nouveaux systèmes, applications et services; il convient d'intensifier les efforts déployés au niveau de l'UE pour la recherche et l'innovation dans le domaine de la sécurité, en particulier par l'intermédiaire du septième programme-cadre et du programme-cadre pour la compétitivité et l'innovation; il convient en outre d'axer les efforts sur des mesures destinées à diffuser et à promouvoir l'exploitation commerciale des résultats obtenus, y compris l'évaluation de leur utilité pour la communauté toute entière; les fournisseurs européens seront alors mieux à même de proposer des solutions de sécurité répondant aux besoins spécifiques du marché européen;

9.

la société de l'information omniprésente offre de grands avantages, mais elle pose aussi des défis majeurs et fait apparaître toute une série de nouveaux dangers potentiels; les risques pour la sécurité et la vie privée sont de plus en plus sérieux, notamment l'interception et l'exploitation illicites des données de manière ciblée et à des fins clairement commerciales; il importe d'innover pour apporter de nouvelles réponses aux menaces émergentes ou existantes et traiter les problèmes liés à la complexité des systèmes, aux erreurs, aux incidents ou à l'imprécision des indications; il convient d'encourager et de promouvoir la mise en place d'instances nationales d'intervention en cas d'urgence informatique à l'intention des différents acteurs et la coopération de ces instances entre elles ainsi qu'avec les autres parties prenantes concernées;

10.

dans la politique de sécurité des réseaux et de l'information de l'UE, la normalisation et à la certification, en particulier par les organismes existants, des produits, des services et des systèmes de gestion, devrait faire l'objet d'une attention particulière afin d'assurer la diffusion de bonnes pratiques et le professionnalisme dans le domaine de la sécurité des réseaux et de l'information; en particulier, les technologies émergentes, comme le RFID ou la télévision mobile, tireraient avantage de l'adoption rapide d'éventuelles normes émergentes ouvertes et interopérables; il convient d'encourager l'action des instances européennes de normalisation dans ce domaine;

11.

les réseaux et systèmes d'information électroniques jouent un rôle de plus en plus fondamental dans le fonctionnement global d'infrastructures critiques; leur disponibilité et leur intégrité sont donc primordiales, tant pour la sécurité et la qualité de vie des administrations, des entreprises et des citoyens que pour le fonctionnement global des sociétés;

12.

coopération et approches pratiques sont plus que jamais nécessaires; il convient que les différentes parties prenantes définissent et reconnaissent leur rôle, leurs responsabilités et leurs droits respectifs;

1.

à soutenir l'organisation de programmes de formation et à faire œuvre de sensibilisation aux questions de sécurité des réseaux et de l'information, notamment au travers de campagnes d'information à l'intention de l'ensemble des citoyens/utilisateurs et de tous les secteurs de l'économie, en particulier des PME et des utilisateurs handicapés ou qui sont peu sensibilisés; d'ici 2008, une date commune pourrait être arrêtée pour une journée européenne de sensibilisation (par exemple «Journée de la sécurité de l'information et des réseaux»), qui serait organisée chaque année dans les États membres qui le souhaitent;

2.

à renforcer la contribution à la recherche et au développement liés à la sécurité et à améliorer l'utilisation et la diffusion des résultats obtenus; à encourager la mise en place de partenariats innovants afin de dynamiser la croissance du secteur européen de la sécurité des TIC et à favoriser le plus tôt possible l'utilisation des nouvelles technologies et des nouveaux services en matière de sécurité des réseaux et de l'information afin d'en stimuler la commercialisation;

3.

à accorder l'attention qui convient à la nécessité de prévenir et de combattre les menaces émergentes ou existantes qui pèsent sur la sécurité des réseaux de communications électroniques, y compris l'interception et l'utilisation illicites de données, à identifier et traiter les risques connexes et à encourager, s'il y a lieu en coopération avec l'ENISA, des échanges effectifs d'informations et une coopération entre les organisations et agences concernées au niveau national; à s'engager à lutter contre le pollupostage, les logiciels espions et les logiciels malveillants, notamment par l'amélioration de la coopération entre les autorités compétentes aux niveaux national et international;

4.

à renforcer leur coopération dans le cadre de l'initiative i2010 pour recenser les pratiques efficaces et novatrices afin d'améliorer la sécurité des réseaux et de l'information et à diffuser, s'ils le souhaitent, la connaissance de ces pratiques dans toute l'UE;

5.

à encourager le perfectionnement constant des instances nationales d'intervention en cas d'urgence informatique;

6.

à promouvoir un environnement qui incite les fournisseurs de services et les opérateurs de réseaux à proposer à leurs clients des services performants, à faire preuve de capacité d'adaptation et à offrir à leurs clients un choix dans leurs services et leurs solutions de sécurité; à encourager ou, le cas échéant, à obliger les opérateurs de réseaux et les fournisseurs de services à assurer à leurs clients un niveau adapté de sécurité des réseaux et de l'information;

7.

à poursuivre les discussions stratégiques dans le cadre du groupe de haut niveau i2010, tout en tenant compte des évolutions en cours dans la société de l'information, et à veiller à une approche cohérente entre les aspects relatifs à la régulation, à la corégulation, à la R&D et à l'administration en ligne, en lien avec la communication et la formation;

8.

conformément au Plan d'action i2010 pour l'e-gouvernement, à préparer la mise en place de services intégrés d'administration en ligne, à promouvoir des solutions de gestion d'identité interopérables et à opérer tous les changements nécessaires dans l'organisation du secteur public; les gouvernements et les administrations devraient montrer l'exemple en matière de bonnes pratiques en proposant à l'ensemble des citoyens des services d'administration en ligne sûrs;

1.

de poursuivre l'élaboration d'une stratégie complète et dynamique à l'échelle de l'UE concernant la sécurité des réseaux et de l'information; l'approche globale proposée par la Commission revêt à cet égard une importance particulière;

2.

d'inclure la sécurité des réseaux et de l'information parmi les objectifs du réexamen du cadre réglementaire pour les communications électroniques de l'UE;

3.

de continuer à jouer son rôle afin de sensibiliser plus largement à la nécessité d'un engagement politique général dans la lutte contre le pollupostage, les logiciels espions et les logiciels malveillants, de renforcer le dialogue et la coopération avec les pays tiers, notamment dans le cadre d'accords incluant la question de la lutte contre le pollupostage, les logiciels espions et les logiciels malveillants;

4.

de renforcer la participation de l'ENISA dans le soutien à la stratégie pour une société de l'information sûre en Europe, telle qu'elle est définie dans la présente résolution, conformément aux objectifs et tâches énoncés dans le règlement (CE) no 460/2004, dans le cadre d'une coopération et de relations de travail plus étroites avec les États membres et les parties prenantes;

5.

dans le cadre de l'initiative i2010 et en coopération avec les États membres et l'ensemble des parties prenantes, en particulier les experts en statistiques et les experts en sécurité de l'information des États membres, de définir des indicateurs pour les études communautaires relatives aux questions liées la sécurité et à la confiance;

6.

d'encourager les États membres à examiner, grâce à un débat associant différents acteurs, les mesures économiques, entrepreneuriales et sociétales d'une politique sectorielle spécifique des TIC pour améliorer la sécurité et la résistance des réseaux et des systèmes d'information, ce qui pourrait contribuer au futur programme européen de protection des infrastructures critiques;

7.

en coordination avec les États membres, de poursuivre ses efforts visant à promouvoir le dialogue avec les partenaires et organisations internationaux concernés afin de stimuler la coopération à l'échelle mondiale en matière de sécurité des réseaux et de l'information, notamment par la mise en œuvre des lignes d'action du SMSI et par des rapports réguliers au Conseil;

1.

l'ENISA à continuer de travailler en étroite coopération avec les États membres, la Commission et les autres parties prenantes concernées afin d'atteindre les objectifs et d'accomplir les tâches définis dans le règlement (CE) no 460/2004 et à apporter son aide à la Commission et aux États membres dans les efforts qu'ils déploient en vue de satisfaire aux exigences en matière de sécurité des réseaux et de l'information, et contribuer ainsi à la mise en œuvre et au développement de la stratégie pour une société de l'information sûre en Europe, telle qu'elle est définie dans la présente résolution;

2.

toutes les parties prenantes à améliorer la sécurité des logiciels, ainsi que la sécurité et la résistance des réseaux et des systèmes d'information, conformément à la stratégie pour une société de l'information sûre en Europe, telle qu'elle est définie dans la présente résolution, et à engager un débat structuré associant différents acteurs et visant à examiner la manière d'utiliser au mieux les outils et réglementations existants;

3.

les entreprises à adopter une attitude positive à l'égard de la sécurité de l'information et des réseaux afin de concevoir des produits et des services plus perfectionnés et plus sûrs et de considérer les investissements dans de tels produits et services comme un avantage concurrentiel;

4.

les fabricants et les fournisseurs de services à tenir compte, le cas échéant, des exigences en matière de sécurité, de respect de la vie privée et de confidentialité dans la conception de leurs produits et services, le déploiement d'infrastructures, d'applications et de logiciels de réseaux, ainsi qu'à mettre en œuvre et à contrôler des solutions de sécurité;

5.

les parties prenantes à coopérer pour créer des environnements expérimentaux afin de permettre l'essai et le pilotage de nouvelles technologies et de nouveaux services dans de bonnes conditions de sécurité; à adopter rapidement les nouvelles technologies et les nouveaux services sûrs commercialisés;

6.

toutes les parties prenantes à redoubler d'efforts pour lutter contre le pollupostage et les autres pratiques malveillantes en ligne et à coopérer activement avec les autorités nationales et internationales compétentes;

7.

les fournisseurs de services et le secteur des TIC à s'attacher à renforcer la sécurité, le respect de la vie privée et la facilité d'utilisation des produits, des processus et des services, dans un souci de fiabilité et afin de prévenir et de combattre l'usurpation d'identité et d'autres attaques contre la vie privée;

8.

les opérateurs de réseaux, les fournisseurs de services et le secteur privé à échanger et à mettre en œuvre des bonnes pratiques en matière de sécurité et à favoriser une culture de l'analyse et de la gestion des risques dans les organisations et les entreprises en encourageant des programmes de formation adaptés et en élaborant des plans d'urgence, et à inclure des solutions de sécurité dans les services qu'ils proposent à leurs clients.