Jeudi 20 novembre, le Conseil de l'Union Européenne a donné son accord sur la création d'une Agence européenne pour la sécurité des réseaux et de l'information (ENISA, pour European Network and information security agency). Cette décision fait suite au vote favorable du Parlement européen obtenu la veille.
Il n'aura donc fallu que neuf mois pour que la proposition initiale rédigée par la Commission européenne ne se transforme en réalité. « Je suis très satisfait que le Parlement et les États membres aient compris l'urgence de mettre en place cette agence » a déclaré Erkki Liikanen, commissaire européen à l'entreprise et à la société de l'information.
L'agence verra le jour au début de l'année 2004, prendra ses quartiers temporairement à Bruxelles et sera dotée d'un budget de 24,3 millions d'euros pour la période 2004-2008 (dont 2,5 millions pour la seule année 2004).
Indiquer les meilleures pratiques.
Concrètement, l'ENISA ne sera pas le bras armé de l'Europe face à la cybercriminalité. Il s'agira plutôt d'un centre d'expertise chargé « d'assister la Commission, les Etats membres et le milieu des affaires pour les aider à satisfaire aux exigences de sécurité des réseaux et de l'information, de manière à veiller au bon fonctionnement du marché intérieur » .
Vertement critiqué par les spécialistes en sécurité informatique et par les associations de consommateurs lors de sa première présentation, le texte fondateur de l'Agence a subi quelques aménagements qui précisent son périmètre d'action. Il lui est désormais demandé de « fournir des conseils sur les meilleures pratiques en matière de sensibilisation, de formation et de cours » à destination « du grand public, des PME, des sociétés, des administrations publiques, des écoles et de l'université » de manière à développer une « culture de la sécurité des réseaux » .
Sur la question très conversée de l`évaluation des systèmes de sécurité, il est précisé qu'elle devra « faciliter l'élaboration, en collaboration avec l'industrie, d'un label et d'un système de classement européens, reconnus et acceptés pour l'évaluation qualitative de la sécurité des TIC » . « Faciliter » , « encourager » , « assister » ... Nous sommes loin d'un rôle opérationnel. Elle « assiste » certes la Commission lors de l'élaboration de textes, « collecte » des informations, « organise » régulièrement des consultations, mais décide peu.
Sur la mise au point des normes, elle ne fera notamment que suivre leur mise au point et « contribuer à l'élaboration de critères communs en ce qui concerne les fonctionnalités de sécurité des produits et des services » . Du côté des équipes d'urgence intervenant en cas de crise informatique, on voit néanmoins d'un bon oeil la création de l'Agence. « Pour aborder des sujets législatifs ou techniques à l'échelle européenne, il sera de toute façon utile d'avoir ce nouvel étage de coordination » , explique Frédéric Martinez du CERT-IST .
Contribuer à la création d'équipes d'urgence.
Le texte accepté par le Parlement lui permet également de lancer des programmes de recherche dans le domaine de la sécurité des réseaux et de participer au développement des technologies de préventions des risques. L'Agence devrait aussi contribuer à la création d'autres équipes semblables au CERT .
Enfin, il est prévu qu'elle noue des liens étroits avec les entreprises et les organisations de consommateurs. Une volonté qui se retrouve dans la nouvelle composition de son conseil d'administration composé désormais de dix-huit représentants : cinq nommés par le Conseil, cinq par la Commission, deux par le Parlement européen, quatre représentants des secteurs professionnels et deux représentants des consommateurs. Reste à le voir à l'oeuvre.
Source de cet article:01.NET