Logo: Business Software Alliancewww.bsa.org/security
  

Usted Está Aquí:    Página Principal | Recursos

Acerca del Tema
Temas Relacionados
Iniciatives de los Asociados
Presnsa
Recursos
Acerca de BSA


Contactese con BSA
Política de protección de datos
Vays a BSA.org

Ressources

Commentaires sur la communication de la Commission Européenne en matière de sécurité des réseaux et de l'information
septembre 2001

La vitesse à laquelle les avancées réalisées dans le domaine des technologies de l'information et du commerce électronique transforment les communications et les activités mondiales continue de stupéfier mêmes les analystes les plus optimistes du secteur. Au plan international, plus de 350 millions de personnes bénéficient aujourd'hui d'une connexion Internet, et selon les experts, l'utilisation de l'Internet dans le monde devrait doubler entre 2000 et 2003. Dans cette même période, l'e-commerce business-to-business devrait dépasser mille milliards d'euros avant 2003.

Avec la poursuite du développement de l'Internet en tant que support essentiel du commerce et de la communication, sa sécurité et sa fiabilité revêtent de plus en plus d'importance. Et pourtant, à bien des égards, la réussite de l'Internet dépend de la confiance que lui accordent les personnes privées, les entreprises et les pouvoirs publics. Pour que cette confiance persiste, il est impératif que les informations utilisateurs qui sont transmises sur les réseaux informatiques soient à l'abri des voleurs, pirates et autres espions.

La Business Software Alliance* accueille très favorablement la communication de la Commission Européenne en matière de sécurité des réseaux et de l'information (la " Communication "). La BSA et ses sociétés membres s'engagent à la défense de la sécurité en ligne et s'appuient exclusivement sur cette dimension. Avant tout, les membres de la BSA ont réalisé nombre de produits, réseaux et systèmes qui font fonctionner les infrastructures de l'information du monde entier. Nos membres, qui reconnaissent que ces infrastructures ne pourront réussir qu'à condition que les utilisateurs aient confiance en la sécurité des transactions en ligne, ont pris la décision de concevoir et de mettre en place une bonne partie des outils de sécurisation les plus connus et les plus appréciés actuellement disponibles sur le marché. Nous prenons très au sérieux la responsabilité qui est la nôtre de bien protéger les réseaux informatiques des cyber-menaces. En effet, la BSA a toujours proposé des solutions pilotées par l'industrie et propulsées par le marché qui protègent et assurent l'intégrité des systèmes d'information mondiaux. De même, la BSA s'engage à faire progresser la sécurité des réseaux dans la perspective de l'utilisateur. Nos membres ont été victimes de pirates informatiques qui ont attaqué nos systèmes et de malfaiteurs qui se sont emparés de nos logiciels. Ces expériences, associées aux connaissances techniques et à l'expertise dont disposent nos membres, nous ont apporté une compréhension poussée de l'importance et de la complexité des questions liées à la sécurité.

Sur la base de nos expériences dans ce domaine, la BSA et ses membres ont développé plusieurs principes relativement simples, et pourtant essentiels, concernant la sécurité des réseaux. Avant de commenter les propositions spécifiques de cette Communication, nous tenons à dessiner à grands traits les divers principes suivants :

  • La coopération est essentielle. Pour faire face aux défis posés par la sécurité, un effort de coopération s'impose entre les intervenants du secteur (en tant que développeurs de systèmes informatiques qui possèdent la connaissance et le savoir-faire requis pour en assurer la protection), les pouvoirs publics (chargés de veiller au développement économique et à la sécurité de la population), les utilisateurs et enfin les instances responsables de l'application de la loi. La cyber-sécurité ne peut être assurée de manière intelligente et efficace que par la coopération volontaire entre les diverses parties prenantes. À cette fin, la BSA a transmis une invitation à la Commission européenne pour que celle-ci rencontre les spécialistes en sécurité de nos membres, afin de discuter des dernières avancées du secteur, ainsi que la manière dont ces derniers réagissent par rapport aux travaux entrepris par les pouvoirs publics de divers pays dans ce domaine. C'est également dans cet esprit que nous demandons à la Commission de faire participer des associations (dont BSA), ainsi que des entreprises du secteur des technologies de l'information, au forum de l'Union Européenne sur la cyber-criminalité.
  • L'innovation conduit à des solutions. Il serait souhaitable que les pouvoirs publics adoptent une position de neutralité en matière de technologie, afin de laisser au marché la possibilité d'identifier et de développer les meilleures solutions technologiques, et de faire en sorte que les consommateurs disposent d'un vaste éventail de possibilités. Il serait préférable que les pouvoirs publics évitent d'imposer des technologies et d'édicter des normes : l'innovation risquerait d'en être étouffée, par blocage de la recherche et du développement et par le poids de nouvelles contraintes économiques.
  • Les solutions de sécurisation ne fonctionnent pas selon un modèle de type " passe-partout ". Dans le cadre de l'évaluation des solutions de sécurité, les entreprises et les personnes doivent disposer de la flexibilité requise pour faire appel aux solutions les plus efficaces actuellement disponibles, ainsi que de la liberté de les évaluer à la lumière de facteurs tels que le niveau de menace, le coût, et la facilité d'installation et d'utilisation. Par exemple, les mécanismes de sécurité requis pour protéger un individu qui effectue une transaction sur Internet d'un montant de 25 d'euros seront susceptibles de diverger de manière significative par rapport à ceux d'une banque engagée dans une transaction en ligne de 100 millions d'euros. Les mesures de sécurité développées par le marché sont pour ce motif les mieux placées pour proposer des choix inspirés par les besoins spécifiques des utilisateurs.
  • L'initiative individuelle est le meilleur moyen d'assurer la sécurité. Les personnes, les entreprises et les entités morales sont les mieux à même d'assurer la protection de leurs propres informations en mettant en place des technologies de protection de la vie privée et de sécurisation efficaces, ainsi qu'en faisant preuve de circonspection et de prudence concernant les informations qu'elles divulguent. A l'heure actuelle, des technologies telles que les dispositifs d'authentification, les logiciels anti-virus, les outils de cryptage, ainsi que les firewalls, fournissent des protections substantielles contre les intrusions indésirables. Le développement et la mise en place de ces outils de sécurisation doivent être déterminés par les avancées technologiques, les forces du marché, ainsi que les besoins des utilisateurs. En outre, la législation devrait rendre illégale toute fraude, piratage ou atteinte concernant ces mesures.

Dans la perspective de ces principes généraux, nous proposons les commentaires suivants sur la Communication :

  • La BSA soutient la demande émise par la Communication en faveur d'une meilleure formation des utilisateurs. En effet, bien que ceux-ci soient de plus en plus conscients de l'importance de la sécurité des réseaux (comme l'indique la demande croissante concernant ces technologies), les avantages d'une très forte sécurisation ne sont toujours pas pleinement appréciés sur le marché. Il est fréquent que les consommateurs prennent des décisions en matière de sécurité, sans pour autant avoir une compréhension adéquate des avantages de la mise en place de solutions de sécurisation. Les dimensions du coût, des effets et de la complexité des solutions de sécurité sont fréquemment mal comprises. Il est donc nécessaire de renforcer la formation du public à cet égard. Bien entendu, ce type d'initiative en matière de formation ne doit pas pour autant impliquer une surestimation des risques afférents aux transactions en ligne, ni même favoriser une approche technologique univoque. Il serait au contraire préférable que la formation du public soit centrée sur les risques réels impliqués dans les communications en réseau, fournisse des orientations concernant les divers types d'outils de sécurisation susceptibles d'être utilisés, et enfin mette en avant les meilleures pratiques dans ce domaine. La BSA et ses membres ont consacré de nombreuses années à éduquer les consommateurs au sujet de la technologie. Nous serions donc très heureux de prendre part à une campagne de ce type. L'une des approches possibles pourrait être forgée selon un modèle identique à celui qui a été adopté pour les programmes de technologie de protection de l'enfance : l'Union Européenne pourrait accorder des subventions à des entreprises de haute technologie pour la mise en œuvre d'efforts éducatifs dans le domaine de la sécurité.
  • Nous accueillons favorablement le soutien qu'apporte la Communication en faveur de plus amples recherches dans le domaine des solutions de sécurité. Les membres de la BSA ont consacré des ressources significatives à la recherche et au développement en matière de solutions de sécurité. Nous sommes très en faveur d'investissements supplémentaires de la part de l'UE dans ce domaine, qu'il s'agisse de soutiens financiers directs apportés aux chercheurs sur la sécurité, de l'apport de crédits d'impôts aux entreprises qui investissent dans la recherche et le développement à ce niveau, ou encore d'initiatives menées conjointement par les pouvoirs publics et l'industrie en matière de recherche. Pour être productif, ce type d'investissement doit impliquer une part de coopération et de collaboration entre le secteur et les pouvoirs publics. Ces investissements ne doivent toutefois pas être orientés vers des entreprises ou des secteurs spécifiques, ce qui pourrait avoir pour effet de fausser le marché. En outre, le fruit des recherches financées par les pouvoirs publics devraient être accessibles à tous, en des termes qui permettent de les exploiter pour le développement de nouveaux produits et services. Ce faisant, la Commission Européenne aura la garantie que les entreprises sont suffisamment motivées et qu'elles ont la capacité de tirer parti de ces recherches pour améliorer la sécurité de leurs produits et de leurs services, pour le bénéfice des utilisateurs.
  • Nous reconnaissons que les " meilleures pratiques " ont beaucoup d'importance et qu'elles doivent être mises en commun. En effet, il est essentiel que les pouvoirs publics donnent l'exemple, notamment en incluant des mesures de sécurité dans leurs applications d'administration et d'approvisionnement en ligne. En assurant la promotion des meilleures pratiques, il serait toutefois souhaitable que la Commission soit informée de l'importance de la flexibilité, la vitesse des innovations technologiques étant susceptible d'entraîner de fréquentes modifications. En raison de cette exigence de flexibilité, il serait préférable que les meilleures pratiques fassent l'objet de recommandations plutôt que de réglementations.
  • Nous félicitons la Commission pour son rôle de leader en matière de libre circulation des produits de cryptage - produits essentiels à la sécurité des réseaux. La Réglementation sur les technologies et les marchandises à double usage (EC/1334/2000), qui met fin de manière efficace aux obligations de demandes d'autorisations pour les expéditions intra-communautaires de produits de cryptage de grande consommation, répondait au besoin de lever un certain nombre d'obstacles à la libre-circulation des produits de sécurité. Cette mesure a de toute évidence eu un impact très positif sur la sécurité des réseaux, même au-delà des frontières de l'UE, comme l'indique la décision prise par l'administration américaine de libéraliser davantage sa propre politique d'exportation en matière de cryptage, et ce peu de temps après l'accord de l'UE en faveur de la Réglementation à double usage.
  • La Commission devrait encourager l'utilisation généralisée des Critères communs sur la base du volontariat. Ces Critères communs constituent un système internationalement reconnu permettant de définir des exigences concernant les produits de réseaux et informatiques en matière de sécurité, ainsi que d'évaluer si un produit donné répond bien à ces exigences. Les Critères communs V2.0 ont été accepté et publié en tant que norme internationale ISO-15408. Ils permettent aux usagers de procéder à des comparaisons très intéressantes au sujet des divers niveaux de sécurisation assurés par les divers produits. Il est à noter que les pays qui font appel à ces Critères communs reconnaissent mutuellement la plupart des mesures d'évaluations qu'ils ont impliquées, ce qui contribue à favoriser l'accès à des produits sécurisés au plan international. L'Accord de reconnaissance des critères communs (ARCC) a été signé par 14 pays. Six autres pays se préparent à le ratifier, et bien d'autres reconnaissent les résultats de cette évaluation sans avoir encore signé le document officiel. De plus, la France, l'Allemagne, les Pays-Bas et le Royaume-Uni ayant contribué à son élaboration, ces Critères communs reflètent les points de vue de l'Europe en matière de sécurité.

    Pour ces diverses raisons, la BSA soutient l'adoption globale des Critères communs. Nous faisons pression auprès de la Commission pour qu'elle favorise la généralisation de leur utilisation. Les Critères communs étant déjà largement acceptés, nous ne voyons aucune raison de les modifier à ce stade. Toutefois, nous encourageons vivement la Commission à travailler en collaboration avec d'autres organisations internationales afin d'étudier des manières d'améliorer les procédures par lesquelles les produits pourront faire l'objet d'évaluations au regard de ces Critères. À l'heure actuelle, il arrive que la procédure d'évaluation soit exagérément coûteuse et contraignante en termes de durée. Il n'est que trop fréquent qu'avant qu'un produit ait pu être évalué, une nouvelle version de ce même produit soit sur le point d'être commercialisée, la procédure étant dès lors à reprendre à zéro. Le recours à une démarche plus efficace et moins coûteuse permettrait de faire en sorte que les utilisateurs aient rapidement accès aux informations requises afin de prendre des décisions mieux informées en matière de sécurité.

    En dernier lieu, il nous faut rappeler que toute évaluation externe ou certification d'un produit doit se faire entièrement sur la base du volontariat. En effet, l'approche privilégiée dans de nombreux cas pourra être la Déclaration de conformité d'un fournisseur. La déclaration de conformité du fournisseur (une approche approuvée par les pouvoirs publics du monde entier dans divers contextes) permet aux fournisseurs d'apporter directement à leurs clients l'assurance qu'un produit est bien conforme aux spécifications en matière de sécurité. La procédure mise en œuvre pour cette Déclaration est à la fois efficace et d'un bon rapport qualité/prix. Les procédures d'évaluation externe entraîne fréquemment une hausse du coût du produit pour le consommateur, sans pour autant lui apporter la valeur ajoutée correspondante. Il est donc important qu'une seule définition globale de la Déclaration de conformité du fournisseur soit élaborée et validée par une organisation reconnue spécialisée dans la mise au point de normes internationales, ou bien incluse dans l'Accord de reconnaissance des critères communs.
  • Dans toutes les initiatives concernant la sécurité, il serait souhaitable que la Commission continue de respecter le principe de neutralité en matière de technologie et qu'elle n'impose ni contraintes, ni normes en ce domaine. Si les préférences en termes juridiques ou politiques favorisent certains produits ou services, les utilisateurs se voient infliger une " pénalité technologique " : l'industrie est moins encouragée à développer et à commercialiser des technologies certes " non-conformes ", mais peut-être de qualité supérieure. C'est pour cette raison que le principe de la neutralité technologique est à la base des politiques de la Commission européenne en matière d'e-commerce, comme en témoigne l'Etude sur les Télécommunications menée en 1999, ainsi que la Directive sur les signatures électroniques. Etant donné que chaque technologie présente des avantages et des risques qui lui sont propres, nous demandons à la Commission de respecter ce principe dans le domaine de la sécurité des réseaux. Il serait notamment préférable que la Commission s'abstienne de recommander des solutions spécifiques, comme elle semble le faire dans la Communication en demandant à des Etats Membres de promouvoir l'utilisation d'un cryptage " enfichable ". De même, il serait préférable que la Commission évite d'imposer des normes ou des technologies, une approche qui ne manquerait pas d'étouffer toute innovation dans un domaine où cette dimension est essentielle.
  • L'interopérabilité est déjà en cours de réalisation. Aucune norme autorisée n'a été nécessaire pour y parvenir. La Communication suggère qu'il sera nécessaire de faire appel à des normes afin de s'assurer que les produits sécurité soient interopérables. Nous ne sommes pas d'accord sur ce point. Le secteur est parvenu à obtenir l'interopérabilité entre des produits relevant de tout un ensemble de domaines, y compris en matière de sécurité. Le marché, par le biais de la demande des consommateurs, assure lui-même la promotion de l'interopérabilité. En effet, pour répondre à cette demande, les entreprises produisent des interfaces (désignées par le terme "interface de programmation d'application ", ou API) qui permettent à le fonctionnement d'autres programmes en interface avec leurs logiciels, d'où la valorisation de ceux-ci et l'accroissement de la demande à leur endroit. De plus, la plupart des fournisseurs commerciaux de solutions de sécurité apportent leur soutien aux normes volontaires pilotées par l'industrie. En conséquence, ils contribuent de manière significative aux efforts concernant les normes internationales. Ces normes pilotées par l'industrie répondent à la demande du marché et présentent la flexibilité requise pour s'adapter aux nouvelles technologies. Même les pouvoirs publics développent des solutions internes pour assurer l'interopérabilité, selon une approche orientée en fonction du marché. L'autorité américaine de certification des ponts fédéraux (" US Federal Bridge Certification Authority ") vérifie que les mécanismes d'authentification des agences fédérales sont bien interopérables, sans édicter de normes.

    Toujours en faveur de l'interopérabilité, la Directive de l'Union européenne sur les programmes informatiques de 1991 établit des règles à la fois fermes et fonctionnelles qui permettent aux entreprises de rendre leurs produits interopérables. Il n'est nul besoin d'introduire des règles supplémentaires propres à la sécurité en matière d'interopérabilité. En effet, l'existence de normes d'interopérabilité pesantes en termes de technologie aura pour effet d'entraver le développement de nouvelles solutions de sécurité, d'où une sécurité basée sur le " plus petit commun dénominateur ".
  • Nous saluons la coordination d'équipes CERT (" computer emergency response teams ") à la fois au niveau européen et au niveau international. La nécessité d'une coopération internationale s'impose impérativement, car en présence de réseaux interconnectés, les attaques peuvent se propager pratiquement instantanément d'un pays à l'autre. Les membres de la BSA participent activement à l'établissement et au fonctionnement de ces organismes de lutte d'urgence contre le piratage informatique, dont le UK-SAINT au Royaume-Uni. Si les CERT doivent travailler en étroite collaboration avec les pouvoirs publics, nous sommes convaincus que ces organisations doivent rester des identités indépendantes, afin d'être en mesure d'examiner de façon objective les conditions de sécurité des réseaux privés aussi bien que publics.
  • Il est nécessaire que les pouvoirs publics prennent fermement position contre la criminalité en ligne, tout en respectant simultanément la confidentialité de l'utilisateur. Si nous sommes convaincus que les utilisateurs ont un rôle premier à jouer dans la sécurisation de leurs propres réseaux, le principe de légalité doit impérativement lui-aussi être appliqué. La Commission a proposé des règles d'harmonisation en matière de piratage informatique, de refus de service, et autres actes de cyber-criminalité. Nous accueillons cette proposition favorablement. L'harmonisation de cette réglementation permettra de faire disparaître les " havres de piratage " au sein de l'UE. Bien entendu, il convient d'éviter que ces règles n'imposent de trop lourdes contraintes ou des coûts trop élevés au secteur, et qu'elles empêchent les opérateurs de réseau de tester leurs propres systèmes, ainsi que les logiciels et produits informatiques associés, afin d'en repérer les faiblesses.

    Il est tout aussi important que toute réglementation en matière de cyber-criminalité trouve un juste équilibre entre les exigences imposées par l'application de la loi et la protection de la vie privée des utilisateurs. La BSA est très attachée à la protection de la confidentialité dans l'environnement de l'Internet et des réseaux, en ce sens qu'elle constitue une composante vitale de la confiance du consommateur. Pour que le commerce électronique se développe pleinement, il est impératif que la confidentialité des transactions, aussi bien celles des consommateurs que celles des entreprises, soit parfaitement protégée. Les décideurs doivent naturellement trouver un bon équilibre entre l'exigence de protection de la vie privée des utilisateurs et cet autre objectif tout aussi important qui est celui de l'intérêt du public à empêcher les activités criminelles dans le cyber-espace. Nous sommes parvenus à un équilibre entre ces deux dimensions dans l'univers hors ligne. Nous pouvons très certainement l'atteindre également en ligne.

Comme le reconnaît la Commission à juste titre, il est indispensable que la sécurité des réseaux soit considérée comme une priorité pour que l'Internet et d'autres infrastructures d'information atteignent leur plein potentiel. La BSA est impatiente de travailler, en collaboration avec la Commission, au développement, à la mise en œuvre et à la promotion de solutions de sécurité.

Pour de plus amples informations, veuillez contacter Francisco Mingorance, Directeur des politiques publiques de la BSA pour l'Europe. Tél. : +32 (0)2.401.6808 ; e-mail : franciscom@bsa.org ou Mario Correa, Directeur de la politique de BSA en matière de sécurité de l'Internet et des réseaux. Tél. : +1 202.530.5135 ; e-mail : marioc@bsa.org.

*La Business Software Alliance est le " porte-parole " des professionnels du logiciel et de l'industrie de l'Internet auprès des pouvoirs publics et des consommateurs sur le marché international. Ses membres représentent le secteur qui connaît la croissance la plus rapide du monde. La BSA assure la formation des utilisateurs informatiques en matière de droits d'auteurs sur les logiciels. Elle défend les politiques publiques qui encouragent l'innovation et élargissent les opportunités commerciales. Elle lutte contre le piratage des logiciels. Les membres de la BSA incluent notamment Adobe, Aladdin Knowledge Systems B.V, Apple, Assintel, Autodesk, B&B Finanzsoftware, Bentley Systems, Betech Data A/S, Broadway Software, CAD Point AB, Computer Associates Finland Oy, CNC Software/Mastercam, Compaq, Dell Computers, Entrust, HiT Internet Technologies SPA, IBM, IKT Norge, Intel, Intergraph AG, Intuit, Jetform, Larkarnet AB, Macromedia, Microsoft, NESCY, Network Associates, Novell, Onderwijs Werk Group, Panda Software, Priority Data Systems, Progress Software, SAP, Skandinavian Online, Staff & Line, Sybase, Symantec, UGS et Visma ASA. Les sites Internet de BSA : www.bsa.org ; www.nopiracy.com

  Business Software Alliance Copyright ©