Infrastructures critiques [FR]

Résumé

Les événements qui ont frappé New York le 11 septembre 2001, les attentats à la bombe visant les trains de Madrid en 2004 et les attaques contre le métro londonien en juillet 2005 ont clairement montré la volonté des terroristes de viser les infrastructures telles que les transports, l'énergie et les communications. La Commission souhaite coordonner les efforts des Etats membres et rassurer ses citoyens en leur garantissant que des systèmes d'information et d'alerte efficaces sont en place et protègent les principaux éléments des infrastructures critiques. Dans son principal document politique de 2004, intitulé "Protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme", la Commission propose une définition large :

"Les infrastructures critiques sont les installations physiques et des technologies de l’information, les réseaux, les services et les actifs qui, en cas d’arrêt ou de destruction, peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-être économique des citoyens ou encore le travail des gouvernements des États membres. Les infrastructures critiques se trouvent dans de nombreux secteurs de l’économie, y compris les secteurs bancaire et financier, les transports et la distribution, l’énergie, les services de base, la santé, l’approvisionnement en denrées alimentaires et les communications, ainsi que certains services administratifs de base".

Dans le Livre vert sur les infrastructures critiques publié le 24 novembre 2005, la Commission aborde des questions essentielles comme la protection que devrait offrir le "programme européen de protection des infrastructures critiques" (PEPIC), la définition d'une infrastructures critique européenne et d'une infrastructure critique nationale ainsi que le rôle des propriétaires et des opérateurs d'infrastructures. 

Le programme européen de protection des infrastructures critiques identifie les secteurs d'infrastructure critiques européennes suivants :

• Energie
• Installations nucléaires
• Technologies de l'information et de la communication
• Eau
• Alimentation
• Santé
• Finances
• Transports
• Industrie chimique
• Espace
• Laboratoires de recherche

Enjeux

Le programme européen de protection des infrastructures critiques (PEPIC) inclut : 

• Une directive du Conseil portant sur l'identification et la désignation des IC ainsi qu'un recensement des besoins pour améliorer leur protection. La directive met en place une procédure pour identifier et désigner ces IC ainsi qu'une approche commune pour en améliorer la protection selon les besoins recensés.
• Des mesures destinées à faciliter la mise en place du PEPIC, incluant un plan d'action sur le PEPIC, un réseau d'alerte concernant les IC, des groupes d'experts identifiant et étudiant les interdépendances.
• Un soutien communautaire aux IC nationales des Etats membres.
• Des mesures financières d'accompagnement, notamment à travers le programme européen proposé pour la période 2007-2013 : "La lutte contre le terrorisme : préparation et gestion des conséquences et autres risques liés à la sécurité", qui permettront d'accorder un financement communautaire aux projets portant sur les IC et potentiellement utiles au niveau européen.

Compétence : 

Les infrastructures dites "critiques" peuvent appartenir soit au secteur public, soit au secteur privé ; elles peuvent parfois être la propriété des pouvoirs publics mais être gérées par un opérateur privé. Quel que soit le cas de figure, le renforcement des mesures visant à assurer la sécurité de ces installations doit, selon la Commission, "être assumé par l'autorité publique". Compte tenu de la dimension transnationale inhérente à certaines de ces infrastructures (centrales nucléaires, réseaux de communication transfrontaliers, etc.), les autorités des Etats membres directement concernés sont amenées à coopérer avec celles de leurs voisins, ce qui implique que l'UE assume un rôle de coordination. 

Dans les secteurs du transport aérien et maritime, la Commission européenne a créé des services d'inspection chargés de veiller, au sein des Etats membres, à la bonne application de la législation adoptée au niveau européeen en matière de normes de sécurité. Une étape supplémentaire est actuellement franchie avec la mise en place de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Initiatives politiques :

Dans le cadre du futur "Programme européen de protection des infrastructures critiques" (EPCIP), la Commission devra publier chaque année une communication dressant un bilan des progrès enregistrés et énumérant les différentes tâches restant à accomplir. De leur côté, les Etats membres continueront à développer et à tenir à jour des bases de données sur les infrastructures critiques les plus importantes présentes sur leur territoire ; ils seront également chargés d'assurer le développement, la validation et l'évaluation de projets destinés à renforcer la sécurité de ces installations, et à garantir la continuité des services fournis en cas d'attaque.

Dans le courant de l'année 2005, la Commission entend également créer un réseau d'alerte pour la protection des infrastructures critiques (CIWIN), lequel doit réunir différents spécialistes nationaux de la protection des infrastructures critiques dont la mission sera d'aider la Commission à définir un programme d'échange d'information sur les menaces et les faiblesses communes dans l'ensemble de l'UE, ainsi que sur les stratégies les plus appropriées pour atténuer les risques. Les Etats-Unis sont déjà dotés d'un réseau de ce type, le Critical infrastructure Warning Information Network (CWIN ), opérationnel depuis 2003. 

Transport aérien :

Le projet SAFEE  ("Security of Aircraft in the Future European Environment"), qui vise à améliorer la sécurité à bord des vols commerciaux, a été lancé en 2004. Il doit permettre de mieux contrer les tentatives de détournements d'avions et les opérations terroristes menées selon un scénario de type "11 septembre", mais aussi différentes formes d'attaques plus futuristes impliquant des manoeuvres de brouillage électronique et de piratage informatique. Différents sous-projets doivent servir à financer des innovations technologiques en matière de détection des menaces présentes à bord, de programmes intégrés de prévention et de gestion des menaces et de protection des vols vis-à-vis d'attaques extérieures. 

Transport maritime : 

Les nouvelles mesures adoptées au niveau européen sont basées sur le Code international pour la sûreté des navires et des installations portuaires (ISPS), entré en vigueur au 1er juillet 2004. Le code ISPS oblige les autorités portuaires et les propriétaires de navires à mettre en place des systèmes de sécurité adaptés à la nature des risques. Le code fournit un cadre harmonisé et cohérent pour l'évaluation et la gestion des risques dans le domaine du transport maritime. 

Cyberespace : 

L'UE a mis en place une taskforce chargée d'évaluer les actions de ses 25 Etats membres en matière de lutte contre les cyber-menaces pesant sur certains types d'infrastructures critiques. Créée dans le cadre du projet CI2RCO  (dévoilé en avril 2005), la taskforce doit s'appuyer sur les résultats des travaux de différents groupes de recherche, actifs notamment sur les questions de sécurité des systèmes électroniques présents dans des installations telles que les réseaux énergétiques et de télécommunications. La taskforce doit inclure des spécialistes américains, canadiens, australiens et russes. 

Réactions

• Au démarrage des nouvelles mesures, le commissaire à la Justice et aux affaires intérieures, Franco Frattini a déclaré : "La sécurité et l'économie de l'Union européenne, ainsi que le bien-être de nos citoyens, sont liés à certaines infrastructures et aux services offerts par celles-ci. L'arrêt de ces infrastructures pourrait provoquer des pertes en vies humaines et en biens matériels ainsi que l’effondrement de la confiance des citoyens dans l’Union européenne. Le train de mesures que nous présentons aujourd'hui vise à garantir que tout arrêt ou manipulation des infrastructures critiques soit aussi court, exceptionnel, gérable et géographiquement isolé que possible et à en minimiser les conséquences néfastes".
• Le rapporteur du parlement sur la communication de la Commission, Stavros Lambrinidis, souligne qu'il est crucial que les différentes autorités détenant des informations sensibles (au niveau national, européen et international) comprennent la nécessité de coopérer étroitement entre elles.
• Victor M. Aguado, directeur-général d'Eurocontrol, organisme chargé du suivi de l'évolution des politiques de gestion du trafic aérien en Europe et aux Etats-Unis, estime que l'interopérabilité (et non l'uniformisation des systèmes en place) est la solution à retenir pour assurer une meilleure compatibilité et une plus grande efficacité des systèmes de sécurité aérienne en place de part et d'autre de l'Atlantique.
• Tim Robinson, vice-président exécutif de la branche "Sécurité" du groupe Thales, juge que le marché de la sécurité intérieure est aujourd'hui en cours de mutation : "Je perçois actuellement une évolution aboutissant à un meilleur équilibre entre le domaine de la défense et celui de la sécurité intérieure. Le terme de 'sécurité' permet de décrire de façon politiquement plus acceptable ce qui relevait traditionellement du domaine de la défense."
• Bill Mawer, responsable de la stratégie et de l'innovation technologique au sein de la société Smiths Detection (un groupe de défense britannique), souligne que l'émergence de nouvelles menaces est à l'origine de transferts technologiques, de l'armée vers les forces de police : "La sécurité des installations aéroportuaires est complètement détachée du domaine militaire. Lorsque les gens ont commencé à s'inquiéter de possibles 'attaques asymétriques' et de scénarios de guerre chimique, il s'est passé une chose simple : la technologie militaire s'est trouvée mise entre les mains de la police."
• Paul Friessem, directeur du  "Fraunhofer Institute  for Secure Information Technology", évoque en ces termes l'avenir de la taskforce CI2RCO : "Même si la plupart des Etats membres de l'UE sont conscients que leurs infrastructures critiques peuvent être en proie à la menace de cyber-attaques, certains sont moins résolus [à agir]. Nous espérons pouvoir surmonter ces obstacles."
• Bruce Schneier, fondateur de la société de sécurité britannique Counterpane, estime que les risques liés au cyber-terrorisme sont largement exagérés par ceux qui espèrent faire de cette menace un argument pour obtenir le financement de projets de sécurité électronique : "Personne ne risque d'être pulvérisé. Ce n'est pas du vrai terrorisme. Mais en ajoutant le mot 'terrorisme' vous obtenez davantage de financements", analyse M. Schneier. 

Liens externes

European Union

• Kommission:Prevention, preparedness and response in the fight against terrorism: the Commission launches a Green Paper on “Critical Infrastructure Protection”(24. November 2005)
• Kommission:Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen(17. November 2005)
• Kommission, Pressemitteilung:Terrorismusbekämpfung: 15 Millionen € für neue Sicherheitsforschung(2. August 2005)
• Kommission:Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung(20. Oktober 2004)
• Kommission, Pressemitteilung:Neue Maßnahmen zur Terrorismusbekämpfung - Schutz kritischer Infrastrukturen vor Terroranschlägen(20. Oktober 2004)
• Ratsvorsitz und Anti-Terrorkoordinator:Fight against terrorism: Programme and priorities for 2005(14. März 2005)
• Rat:EU Solidarity Programme on the consequences of terrorist threats and attacks(1. Dezember 2004)
• Parlament:Empfehlungsentwurf zum Schutz kritischer Infrastrukturen im Rahmes des Kampfes gegen den Terrorismus(April 2005)
• Parlament:Änderungsanträge zur Empfehlung des Europäischen Parlaments zum Schutz kritischer Infrastrukturen(Mai 2005)
• Europäische Agentur für Netz- und Informationssicherheit (ENISA):Work Programme 2005
• Kommission, GD Energie & Verkehr:GALILEO: Europäisches Satellitennavigationssystem - Civil Protection
• Eurocontrol:The need for civil-military co-operation in ATM
• Kommission:Security of aircraft in the future European environment (SAFEE)
• Europol:An Overview of the Counter Terrorism Unit Activities

International Organisations

• Internationale Zivilluftfahrtsorganisation (ICAO):Aviation Security and AVSEC-MCP
• International Maritime Organisation (IMO):FAQ on the ISPS code and maritime security

Governments

• Großbritannien:Protection of critical infrastructure against terrorism
• Großbritannien:Welcome to the National Infrastructure Security Co-ordination Centre
• USA:Homeland Security
• USA:Homeland Security Fact Sheet: Protecting America's Critical Infrastructure--Chemical Security
• Deutsches Bundesamt für Sicherheit in der Informationstechnik:Bericht zur Lage der IT-Sicherheit in Deutschland: IT-Sicherheitslage erfordert weitere Schutzmaßnahmen(19. August 2005)
• Deutsches Bundesinnenministerium:Akademie für Krisenmanagement, Notfallplanung und Zivilschutz (AKNZ): Jahresprogramm 2005

Business & Industry

• Counterpane:Internet security
• Thales Group:Securing your future
• SAGEM:Sagem Défense Sécurité
• Smiths:Smiths detection
• Zentralorganisation der deutschen Wirtschaft (ASW):Anliegen an Staat und Politik(Januar 2005)

NGOs and Think-Tanks

• European Conference on Disaster ManagemenrEarly Warning Alerting Coordination
• Fraunhofer-Institut für Sichere Informationstechnologie SIT.Sichere Prozesse und Infrastrukturen
• CSIS:Critical Infrastructure Protection Series
• European Union Institute for Security Studies (EUISS)::Information security:A new challenge for the EU
• Deutsche Bundeszentrale für politische Bildung:Angriffe auf Informationstechnik und Infrastrukturen. Realität oder Science Fiction?

Press articles

• Financial Times:Worldwide security 2005