Vers une obligation européenne générale d'information en cas de piratage
La Commission européenne a dévoilé une partie de ses ambitions de lutte contre la cybersécurité en proposant notamment d'élargir l'obligation d'information en cas de cyberattaques aux entreprises et aux administrations.
L'Union européenne a présenté les prochaines règles concernant la sécurité informatique. La stratégie de la Commission européenne en matière de cybersécurité repose sur une proposition de directive sur la sécurité des réseaux et de l'information.
Selon un document de la Commission, les précédents efforts sur la cybersécurité ont laissé de nombreuses lacunes. Ainsi, aujourd'hui, seuls les opérateurs de télécommunications sont tenus de signaler les incidents de sécurité importants. La prochaine directive étendrait cette obligation aux grandes sociétés du web, comme les fournisseurs de cloud, les réseaux sociaux, les plateformes d'e-commerce et les moteurs de recherche, mais aussi au secteur bancaire, aux services d'infrastructures essentielles, à l'énergie, les transports, à la santé et aux administrations publiques. Toutes ces organisations devront signaler tout incident qui a « un impact significatif sur la sécurité des services de base » à une autorité nationale. Cette dernière pourra « exiger que le public soit informé », mais sans qu'une annonce publique soit obligatoire.
Pour Neelie Kroes, « l'ouverture et la transparence de vos expériences va se traduire par un meilleur environnement pour tous ». La commissaire s'en est pris aux dirigeants d'entreprises qui nient les cyber-attaques, car ils sont trop préoccupés par leur réputation. « Le secret n'est pas la voie à suivre », a-t-elle dit. Les statistiques montrent qu'en 2012, jusqu'à 93% des grandes entreprises ont connu au moins une cyberattaque
