Etat de l’art de l’ENISA sur la sécurité de l’information et des réseaux en Europe

Date : 04 Mars 2009

Objectifs

De juin à décembre 2008, l’ENISA (European Network and Information Security Agency) a dirigé des travaux de recherche, visant à produire une série de rapports par pays présentant un état de l’art sur la sécurité de l’information et des réseaux (NIS : Network and Information Security). Les pays concernés sont les 27 pays membres de l’Union Européenne et les 3 pays (Islande, Liechtenstein et Norvège) non membres de l’EU, mais membres de la Communauté Economique Européenne.


Organisation du rapport

Le rapport présente pour chaque pays les informations collectées, divisées en plusieurs sections : informations générales sur le pays, facteurs clés du pays, points clés sur les acteurs, revue détaillée des acteurs, activités, évènements et tendances actuelles. La catégorisation et les relations entre les différents acteurs étaient l’un des objectifs principaux du projet. Les diagrammes par pays représentent les domaines les plus importants pour lesquels les organismes nationaux ont un impact sur la sécurité de l’information et des réseaux (NIS) : développement et implémentation de politique de sécurité, protection de la vie privée et des données, communications électroniques, protection des infrastructures d’information critique (CIP/CIIP) et "Computer Emergency Response Team" (CERT).

Tendances générales

 Les résultats obtenus montrent que les institutions et responsabilités varient de manière substantielle d’un pays à l’autre. Les tendances suivantes peuvent néanmoins être dégagées :

Organismes gouvernementaux :

Les organismes les plus impliqués dans la définition des politiques de stratégie NIS sont : le Ministère de la Communication, l’Agence de Régulation Nationale pour les communications électroniques, l’Office National pour la protection des données, le Ministère de l’Intérieur, le Ministère de la Défense, le Ministère (ou Département) pour les administrations publiques.

Entités NIS publiques :

Leur objectif principal est de promouvoir la sécurité de l’information au niveau national, de fournir des conseils et recommandations, d’analyser la situation de la sécurité nationale et de définir des plans et initiatives. Ces entités ont généralement des responsabilités très larges. Leurs tâches principales touchent la collecte d’information pour les problèmes de sécurité majeurs, le développement d’expertises technique et scientifique et la fourniture de données pour les principales politiques gouvernementales. Ces entités doivent en particulier garantir, approuver et certifier le niveau de sécurité des systèmes d’information nationaux. Elles participent également au développement de produits et logiciels sécurité pour le secteur public. Elles sont présentes dans environ un tiers des pays faisant partie de l’étude.

CERT :

Il y a environ 100 CERT actifs dans l’Union Européenne, mais leur répartition géographique est très inégale. Presque tous les pays ont un ou deux CERT dans le secteur public, responsables des réseaux gouvernementaux ou universitaires/recherche. Dans la majorité des pays, un CERT joue le point de contact pour la sécurité NIS au niveau national, en collaborant avec ses homologues d’autres pays et en gérant les crises et autres activités avec les autres CERT du pays. Ce rôle est en général tenu par le CERT gouvernemental.

 
Le cas de la France

 Une vue générale de l’adoption des technologies de l’information en France est fondamentale pour bien appréhender cette étude NIS. En effet, plus un pays repose sur ce type de technologies pour ses activités commerciales et gouvernementales, ainsi que pour des activités privées, plus les risques liés à la sécurité augmentent.

Parmi les indicateurs choisis (pourcentage de la population ayant des connaissances Internet, pourcentage d’acheteurs sur Internet et taux de pénétration Internet), la France est au-dessus de la moyenne européenne. La France est aussi un des pays leader en terme d’initiatives e-gouvernementales.

Les acteurs NIS en France mentionnés dans le rapport :

La DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) est reconnue comme l’agence de sécurité nationale responsable du développement et de l’implémentation de la politique de sécurité de l’information nationale.

 La CNIL (Commission Nationale de l’Informatique et des Libertés) a la responsabilité du respect des lois relatives à la protection des données.

 Les trois CERT mentionnés dans le rapport sont le CERTA, le Cert-RENATER et le Cert-IST.

 Les incidents de sécurité :

Le rapport souligne, pour la plupart des pays étudiés, l’insuffisance des statistiques et le manque d’approche commune, empêchant d’étudier les incidents de sécurité récents. La fréquence de ces derniers est néanmoins en hausse constante en Europe (vol/perte de données sensibles, erreur humaine, défaillance d’équipement, sinistre, piratage et problème lié au contrôle d’accès).

 Dans les 12 mois précédents, aucun incident de sécurité n’a été rapporté en France.

 
Conclusion

Ce rapport permet d’appréhender l’état de la sécurité de l’information et des réseaux en Europe et de mieux connaître les atouts et les points faibles de chaque pays ayant fait partie de l’étude.


Pour plus d’information :

Rapport de l’ENISA : http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_country_reports_2009.pdf

Précedent Précedent Suivant Suivant Imprimer Imprimer