Stratégie néerlandaise de cybersécurité. La coopération fait la force

Transcription

1 Stratégie néerlandaise de cybersécurité La coopération fait la force 1

2 2

3 1 Introduction Les Pays-Bas s engagent à la fois en faveur de TIC 1 sûres et fiables et d un Internet ouvert et libre. Sa dépendance toujours plus grande à l égard des TIC rend la société particulièrement vulnérable au risque de fraude et de dysfonctionnements de grande ampleur. C est pourquoi le gouvernement présente ci-dessous sa stratégie de cybersécurité, élaborée grâce aux contributions d un grand nombre d intervenants publics et privés, de centres d expertise et d organisations de la société civile. Il répond ainsi aux demandes formulées par deux motions parlementaires 2 et concrétise l approche intégrale en matière de cybercriminalité annoncée dans l accord de coalition. Présentation La présente stratégie se décompose en deux parties : la première (titres 2 à 4) analyse la problématique, définit les principes sous-tendant la politique de cybersécurité et fixe les objectifs à atteindre. La seconde (titre 5) contient un certain nombre de lignes d action, subdivisées en activités prioritaires, que le gouvernement souhaite mettre en œuvre, seul ou avec d autres parties, en vue de renforcer la cybersécurité. 2 Des évolutions qui poussent à agir Importance fondamentale des TIC pour la société et l économie Il est crucial, pour notre prospérité et notre bien-être, de disposer de TIC sûres et fiables, qui sont par ailleurs un important moteur de développement économique durable. En Europe, 50 % des gains de productivité sont le résultat de l application de TIC 3. Les Pays-Bas ont l ambition de faire partie des leaders mondiaux en termes d utilisation des TIC et de possibilités offertes par celles-ci dans la société, tout en garantissant la sécurité de la société numérique. L objectif est de devenir la «porte numérique de l Europe». Vulnérabilité de la société Si les TIC offrent de nombreuses possibilités, elles accroissent également la vulnérabilité d une société qui se caractérise par l interdépendance croissante de produits et de services vitaux. Un dérèglement du système, qu il soit intentionnel, consécutif à des manquements techniques ou humains ou à une catastrophe naturelle, peut déstabiliser la société. La complexité des TIC et notre dépendance croissante à leur égard génèrent de nouvelles formes de vulnérabilité, qui favorisent les abus et les perturbations. Ainsi, le développement rapide du nomadisme numérique et de l informatique en nuage ouvre de nouvelles failles de sécurité. Il en est de même de l usage grandissant des services par Internet réclamant la fourniture des données personnelles et de la popularité croissante des médias sociaux, qui comportent notamment le risque de vol d identité. 1 Par TIC (technologies de l information et de la communication), on entend ici de façon globale les informations numériques, les structures d information, les ordinateurs, les systèmes et les applications, ainsi que l interaction entre les technologies de l information et le monde physique concerné par la communication et l échange d informations. 2 Motion de R. Knops, Chambre des représentants, année parlementaire , X, no 66. Motion de M. Hernandez, Chambre des représentants, année parlementaire , X, no Discours d ouverture de N. Kroes, commissaire européenne, lors de la Conférence mondiale sur les technologies de l information (WCIT) à Amsterdam,

4 Exemples récents Quelques incidents récents permettent de prendre la mesure des risques. Au second semestre 2010 a été découvert Stuxnet, un programme malveillant très élaboré, qui vise à perturber l automatisation des processus industriels. L analyse a révélé que son élaboration avait dû être très coûteuse, ce qui laisse penser qu elle a été financée par un État afin de s attaquer aux infrastructures vitales d un autre État, avec des effets secondaires sensibles partout dans le monde au niveau d autres organisations essentielles. La même année, dans le cadre d une enquête coordonnée au niveau international, le Corps national des services de police (KLPD) a participé avec des partenaires néerlandais et étrangers au démantèlement d un large botnet : un réseau d ordinateurs actionnés à distance, en général à l insu de leurs propriétaires, pour perpétrer des activités parfois criminelles. Baptisé Bredolab, ce botnet dirigé depuis l Arménie concentrait l essentiel de ses opérations aux Pays-Bas et avait des ramifications dans divers autres pays. Au niveau mondial, il contrôlait des millions d ordinateurs, qu il utilisait pour diffuser des spams et effectuer des attaques de déni de service distribué (DDOS). Dernier exemple : suite aux mesures prises par certaines entreprises à l encontre de WikiLeaks, des partisans du site ont mené partout dans le monde des attaques de type DDOS contre, entre autres, Paypal, Mastercard, le ministère public et la police. Ils ont temporairement bloqué les sites de ces organisations, montrant ainsi la simplicité de l «hacktivisme». Cybersécurité : état caractérisé par l absence de danger ou de dommage causé par le dysfonctionnement ou l arrêt des TIC, ou par leur usage abusif. Ces dangers ou dommages peuvent compromettre la disponibilité et la fiabilité des TIC, ainsi que la confidentialité et l intégrité des données stockées. Nécessité de la coopération, y compris internationale, entre les acteurs de la société numérique Lors d une cyberattaque, il est souvent difficile d identifier le coupable. Il peut s agir d un individu, d une organisation, d un État ou d une combinaison de ces acteurs. Fréquemment, il est même malaisé de déterminer dans un premier temps le type de menace 4. En revanche, les cyberattaques utilisent généralement les mêmes techniques et méthodes 5. Il est donc crucial que les parties concernées par la cybersécurité renforcent leur coopération: organisations gouvernementales spécialisées dans certaines sortes de menaces, entreprises chargées de maintenir l infrastructure du réseau et des données, centres d expertise et citoyens. La société numérique ne connaît pas de frontières. Les attaques et les dérèglements dépassent instantanément les limites des pays, les cultures et les systèmes juridiques. Il est souvent difficile de déterminer quelle juridiction s applique et le respect effectif du droit reste incertain. Le gouvernement veut faciliter la lutte contre les abus dans le monde numérique, d où qu ils viennent. 4 Cybercriminalité, cyberterrorisme, cyberactivisme, cyberespionnage ou cyberconflit. 5 Programmes malveillants, botnets, spam, phishing, attaques ciblées, etc. 4

5 3 Principes Investir dans la cybersécurité revient à investir dans notre avenir, notre croissance économique et notre innovation non seulement en préservant la fiabilité des TIC aux Pays-Bas, mais aussi en faisant de ces derniers un acteur majeur en matière d expertise et de développement de la cybersécurité. L ensemble de la chaîne de la sécurité doit donner la priorité à la coopération dans ce domaine (entre parties civiles et militaires, publiques et privées, nationales et internationales) afin d aboutir aux résultats souhaités : une infrastructure des TIC résistante, des secteurs vitaux solides, une capacité de réaction rapide et efficace, et une protection juridique adéquate en matière numérique. Le gouvernement s appuie sur les principes suivants : Cohérence et renforcement des initiatives Le domaine de la cybersécurité voit fleurir de nombreuses initiatives, qui manquent cependant parfois de cohérence. C est ce que confirment les conclusions du Rapport national 2010 sur la cybercriminalité et la sécurité numérique, ainsi que du rapport Vulnérabilité des TIC et sécurité nationale, rédigé par le Groupe de réflexion sur la sécurité nationale. C est pourquoi les doublons seront supprimés et les initiatives regroupées. Les projets existants seront autant que possible prolongés et, si besoin, de nouvelles initiatives seront lancées. Partenariat public-privé En matière de TIC, c est le secteur privé qui fournit la grande majorité des infrastructures, des produits et des services. La continuité et la sécurité d approvisionnement sont cruciales non seulement pour la survie des entreprises mais aussi pour la société dans son ensemble, exposée à des risques de déstabilisation en cas de dysfonctionnement. La confiance mutuelle est une condition essentielle au travail en commun et au partage d informations; c est pourquoi pouvoirs publics et entreprises 5

6 coopèrent sur un pied d égalité. Chaque partie doit pouvoir retirer un avantage de sa participation à des initiatives communes, un objectif plus facilement réalisable si un modèle de coopération efficace est établi, précisant clairement les tâches, responsabilités, compétences et garanties. Responsabilité individuelle Tous les usagers (citoyens, entreprises, organisations et pouvoirs publics) doivent prendre les mesures adéquates pour protéger leurs propres systèmes et réseaux et prévenir les risques pour les tiers. Ils doivent aussi faire preuve de rigueur dans la sauvegarde et le partage d informations sensibles, et respecter les données et les systèmes des autres usagers. Partage des responsabilités entre les ministères Conformément à la Stratégie pour la sécurité nationale, le ministre de la Sécurité et de la Justice est responsable de la cohérence et de la coopération en ce qui concerne la cybersécurité. Chaque partie conserve par ailleurs ses propres tâches et responsabilités. Coopération internationale dynamique Vu le caractère transfrontalier des menaces, il est nécessaire de fortement s engager dans la coopération internationale afin d établir une situation de concurrence équitable. De nombreuses mesures ne peuvent être efficaces que si elles sont prises ou coordonnées au niveau international. Les Pays-Bas apportent leur soutien et contribuent activement aux efforts de l Union européenne (Stratégie numérique pour l Europe et Stratégie de sécurité intérieure), de l OTAN (élaboration d une politique de cyberdéfense dans le cadre du nouveau concept stratégique), du Forum sur la gouvernance de l Internet et d autres structures de coopération. Ils plaident pour la ratification et la mise en œuvre par de nombreux pays de la Convention sur la cybercriminalité du Conseil de l Europe. Proportionnalité des mesures Il est impossible d offrir des garanties totales en matière de sécurité. Les Pays-Bas déterminent leurs choix d action en fonction d une analyse de risque et sur la base d un certain nombre de valeurs fondamentales de notre société : respect de la vie privée, respect d autrui et des droits fondamentaux tels que la liberté d expression et le droit de s informer. Il s agit de trouver un équilibre acceptable entre, d une part, le souhait de garantir la sécurité publique et nationale, et, d autre part, la garantie des droits fondamentaux. Les mesures doivent donc être proportionnelles. À cet effet, nous utiliserons et, si besoin, renforcerons les dispositifs de garantie et les mécanismes de contrôle, dont les organes de surveillance existants. Autorégulation si possible, législation si nécessaire Entreprises et pouvoirs publics s attacheront à atteindre le degré de sécurité numérique souhaité en premier lieu grâce à l autorégulation. Si celle-ci s avère insuffisante, les possibilités d action par la voie législative seront explorées. Elles devront satisfaire à trois conditions : ne pas perturber inutilement le marché mais favoriser au contraire une situation de concurrence équitable, ne pas provoquer une hausse disproportionnée des charges administratives, et présenter un bilan coûtsavantages satisfaisant. Le rythme soutenu des évolutions peut rendre la législation rapidement obsolète. Le gouvernement étudiera la nécessité d adapter la législation aux évolutions dans le domaine numérique. 6

7 4 Objectif de la stratégie Sécurité et confiance en une société numérique ouverte et libre L objectif de cette stratégie est de renforcer la sécurité de la société numérique et, par là même, de consolider la confiance des citoyens, des entreprises et des pouvoirs publics à l égard de l usage des TIC. À cette fin, le gouvernement néerlandais veut coopérer plus efficacement avec les autres parties concernées pour assurer la sécurité et la fiabilité d une société numérique ouverte et libre. Ces efforts auront une influence positive sur l économie, la prospérité et le bien-être de la population. Ils permettront de garantir une protection juridique satisfaisante dans le domaine numérique, d écarter les risques de déstabilisation de la société et de réagir de façon adéquate en cas de problème. 7

8 5 Plan d action «Travaux en cours» Pour atteindre l objectif annoncé, les lignes d action suivantes ont été définies: approche intégrale menée conjointement par les parties publiques et privées; analyses de risques pertinentes et actuelles; renforcement de la résilience en cas de dysfonctionnement et de cyberattaques ; renforcement de la capacité de réaction en cas de dysfonctionnement et de cyberattaques; intensification des recherches et des poursuites en matière de cybercriminalité; soutien à la recherche et à l enseignement. Ces lignes d action sont traduites ci-dessous en activités concrètes. Travaux en cours Les Pays-Bas font déjà beaucoup en matière de cybersécurité. Ci-dessous sont précisées un certain nombre d activités prioritaires, nouvelles ou devant être renforcées. Le degré de détail varie. En effet, certaines activités se situant encore dans une phase préliminaire, leur contenu ne peut être décrit avec précision à l heure actuelle. On peut donc vraiment parler de «travaux en cours». Les points qui le nécessitent seront précisés avec les parties concernées après la publication du présent plan d action. 8

9 5.1 Mise en place d un Conseil pour la cybersécurité et d un Centre national de la cybersécurité De nombreux intervenants se partagent la responsabilité de la sécurité numérique aux Pays-Bas. À l heure actuelle, les initiatives stratégiques, les campagnes d information et la coopération opérationnelle manquent de cohérence globale. Aussi le gouvernement juge-t-il important d élaborer une approche commune avec les entreprises et les centres d expertise et de recherche afin de resserrer le réseau et de veiller à la coordination, autant au niveau stratégique qu opérationnel. En vue de parvenir à l approche intégrée et cohérente qu il ambitionne, le gouvernement estime nécessaire d établir une nouvelle forme de coopération en réseau. Il souhaite créer un Conseil pour la cybersécurité, qui regrouperait à un niveau stratégique des représentants de toutes les parties concernées et serait le lieu de la conclusion d accords sur le contenu et la mise en œuvre de la présente stratégie. Dans les mois à venir, le gouvernement précisera, en concertation avec les parties concernées, la forme à donner à ce Conseil, sachant qu il sera soutenu dans son fonctionnement par les pouvoirs publics. Le gouvernement souhaite que les acteurs publics et privés, chacun en fonction de ses propres missions et dans le cadre légal existant, mettent en commun informations, connaissances et expertise au sein d un futur Centre national de la cybersécurité en vue de mieux cerner les évolutions, les menaces et les tendances, et de fournir un appui lors de la gestion des incidents et des crises. Le gouvernement invite tous les intervenants du secteur à rejoindre ce Centre, pour lequel il établira un modèle de coopération. L organisation GOVCERT.NL 6 sera élargie, renforcée et intégrée au Centre national de la cybersécurité. Le gouvernement souhaite que le Conseil entame ses activités au 1er juillet 2011 et le Centre au 1er janvier Élaboration d analyses de risques Renforcer la sécurité suppose en premier lieu d identifier les faiblesses et les menaces actuelles et futures. Pour ce faire, il importe de recueillir et d analyser les connaissances et les informations détenues par les diverses organisations publiques et privées concernées 7, au niveau national comme international. Cette méthode rejoint celle utilisée dans le cadre de la Stratégie pour la sécurité nationale, à savoir : recenser les risques et identifier les capacités à renforcer afin de prévenir les 6 GOVCERT.NL s emploie à consolider la protection des informations au sein des pouvoirs publics néerlandais. Elle contrôle les sources sur Internet, émet des avis sur les vulnérabilités, prévient en cas de menace et soutient les pouvoirs publics dans la gestion des incidents liés aux TIC. 7 GOVCERT.NL, le Service des renseignements généraux et de la sécurité (AIVD), le Service de renseignement et de sécurité militaire (MIVD), la police, les services spéciaux d investigation (comme le FIOD dans le domaine fiscal et le SIOD en matière sociale), les organismes de contrôle (comme OPTA pour les télécommunications et l Autorité de défense des consommateurs), les inspections nationales (par exemple de la santé), les acteurs privés (fournisseurs d accès à Internet, éditeurs de sécurité), les centres d expertise et de recherche nationaux et internationaux, etc. 9

10 menaces et de réagir de façon adéquate en cas de problème. Armés de ce savoir, tous les groupes cibles peuvent prendre les mesures qui s imposent, de la prévention à la réaction et de l enquête à la poursuite. Le Centre national de la cybersécurité aura notamment pour mission d effectuer un recensement commun et intégral des menaces actuelles, sous la forme du Rapport national sur la cybercriminalité et la sécurité numérique, publié pour la première fois en L AIVD (Service des renseignements généraux et de la sécurité) et le MIVD (Service de renseignement et de sécurité militaire) 8 apporteront les informations dont ils disposent. Si besoin, ils renforceront leurs capacités en matière de cybersécurité. L Évaluation nationale des risques 9 a pour but d informer annuellement le gouvernement des menaces pour la sécurité nationale. Ce document accordera davantage d attention à la cybersécurité. 5.3 Renforcement de la résilience des infrastructures vitales Il faut éviter la déstabilisation de la société par des dysfonctionnements des TIC ou des cyberattaques. Cette responsabilité échoit à différents intervenants, du citoyen au fournisseur. L usager doit pouvoir utiliser en toute confiance un produit ou un service. S il revient au fournisseur de veiller à la sécurité de ce qu il livre, l usager doit aussi prendre les mesures de sécurité nécessaires. La loi sur les télécommunications sera mise à jour en Certains accords déjà passés avec les plus grandes entreprises de télécommunications sur la continuité de leurs infrastructures vitales y seront intégrés. Ils portent sur le signalement des perturbations ou des pannes, les exigences minimales pour la continuité du service, et l adaptation aux normes internationales. Sur ces thèmes, on cherchera autant que possible à s accorder à l approche commune européenne. Dans les années à venir, les activités du Point d information sur la cybercriminalité se poursuivront sous la bannière du CPNI10. Il faudra dès cette année préciser les modalités de la coopération entre ce dernier et le futur Centre national de la cybersécurité. En concertation avec les organisations vitales, le gouvernement stimulera l utilisation des normes minimales habituelles de protection, sur la base des bonnes pratiques. Il cherchera avec elles à mieux cerner les mesures à prendre en vue de prévenir d éventuelles perturbations de leurs dispositifs essentiels en matière de TIC, et les incitera à les mettre réellement en œuvre. Pensons par exemple au Dispositif de secours pour les télécommunications, qui remplace à compter du 1er mai 2011 l actuel dispositif d urgence et auquel les organisations vitales sont invitées à se raccorder. 8 Effectuant des enquêtes en vue d assurer la sécurité nationale, l AIVD et le MIVD constituent des sources d informations exceptionnelles en matière d espionnage numérique, de cyberterrorisme et de cyberextrémisme. 9 L Évaluation nationale des risques analyse différentes sortes de menaces pour la sécurité nationale selon une méthode uniforme d ébauche de scénarios à moyen terme, pondérés en fonction de leur probabilité et de leur impact. Elle formule ensuite des propositions visant à renforcer les capacités et à minimiser les effets des menaces. 10 Le Point d information sur la cybercriminalité offre une plateforme aux secteurs vitaux et aux pouvoirs publics pour échanger en toute confiance des informations sur les incidents, les menaces, les faiblesses et les bonne pratiques en matière de cybercriminalité et de cybersécurité. L objectif est de renforcer la résilience de ces parties prenantes. 10

11 Le gouvernement a préparé un ensemble de mesures spécifiquement destinées à lutter contre l espionnage, notamment numérique. Un guide est à la disposition des entreprises pour analyser leur vulnérabilité et renforcer leur protection face à l espionnage. Les pouvoirs publics doivent augmenter leur propre résilience : 80 % des organisations vitales des secteurs essentiels Administration publique et Ordre public et sécurité doivent disposer fin 2011 d un plan de continuité incluant le scénario d une grave perturbation des TIC et de l approvisionnement en électricité. Mi-2011, le gouvernement arrêtera un cadre unique pour la protection des informations dans l administration d État et publiera un nouveau règlement relatif à la protection des informations classées 11. Il instituera également un cycle d audit pour en contrôler la mise en œuvre dans l ensemble des services de l État. Dans le courant de 2011, le gouvernement prendra une décision concernant l intégration aux documents de voyage d une carte d identité électronique satisfaisant aux exigences de fiabilité les plus strictes pour les citoyens. Ceux-ci pourraient s identifier par Internet et apposer une signature électronique sécurisée garantissant la confidentialité. Les pouvoirs publics mettront en œuvre l obligation européenne de signalement des fuites de données dans le secteur des télécommunications. En outre, conformément à l accord de coalition, un projet sera déposé pour obliger tous les intervenants du secteur des TIC à signaler les cas de perte, vol ou détournement de données personnelles. Le gouvernement devra faire des choix dans le courant de 2011 sur la sécurité du traitement des données personnelles. Il se basera sur la législation européenne en matière de respect de la vie privée. Le gouvernement transmettra dans les meilleurs délais à la Chambre des représentants son point de vue sur le respect de la vie privée, y compris l obligation de signalement mentionnée plus haut. Le gouvernement consultera les fournisseurs de TIC pour trouver avec eux les moyens de renforcer la sécurité du matériel et des logiciels. Il s attachera à promouvoir la conclusion d accords internationaux à ce sujet. Les Pays-Bas apporteront leur contribution active au Forum sur la gouvernance de l Internet, soutenu par les Nations unies. Ils entendent ainsi profiter du dialogue ouvert et transparent qui a lieu au niveau mondial pour aborder des sujets pertinents pour cette stratégie, comme les règles du jeu sur Internet et la lutte contre les abus. En concertation avec les fournisseurs de TIC, le gouvernement veut améliorer l information à destination des usagers 12. Il continuera, avec ces mêmes partenaires, à élaborer des campagnes nationales ciblées à l attention des citoyens, des entreprises et des administrations et axées sur les développements récents et les vulnérabilités actuelles Partie intégrante de l AIVD, l Office national de la sécurité des communications (NBV) met à disposition des administrations des systèmes de protection agréés, voire développés en interne, et apporte son appui pour leur application. Il participe en outre à l élaboration de la politique et de la réglementation dans ce domaine et fournit des conseils en matière de protection des informations. 12 Il peut s inspirer d exemples réussis de campagnes menées aux Pays-Bas par les banques en direction de leurs clients, par les organisations professionnelles pour encourager les PME à effectuer des analyses de risques et protéger leurs données, mais aussi de la campagne Cybersafe yourself en direction des universités et écoles supérieures, et de la campagne menée par l organisation Bits of freedom. 13 L État néerlandais a déjà plusieurs campagnes à son actif pour sensibiliser les citoyens à un usage prudent d Internet et à la protection de leurs données personnelles. GOVCERT.NL a également un service d alerte pour les nouvelles menaces. 11

12 5.4 Renforcement de la capacité de réaction en cas de dysfonctionnement et de cyberattaques En cas de menace ou suite à une perturbation ou une attaque, divers éléments de réaction peuvent être déployés pour favoriser le retour à une situation stable. Les incidents qui perturbent la disponibilité, l intégrité ou l exclusivité de l infrastructure du réseau et des données doivent être résolus par l organisation concernée. Lorsqu ils peuvent conduire à la déstabilisation de la société ou toucher des objets, des processus ou des individus d une importance vitale, les pouvoirs publics agiront de manière appropriée. À l été 2011, le gouvernement publiera le Plan d action national de crise des TIC. Il inclura notamment un programme d harmonisation des exercices de simulation au niveau national et international. Le ICT Response Board (IRB), un organisme mixte de coopération qui conseille les organisations de gestion des crises sur les mesures à prendre pour lutter contre les perturbations majeures des TIC, sera opérationnel en 2011 et intégré au Centre national de la cybersécurité. Au niveau international, les Pays-Bas plaideront pour le renforcement de la coopération opérationnelle entre les CERT (Computer Emergency Response Teams) en Europe, ainsi que pour la consolidation du réseau IWWN (International Watch and Warning Network), qui joue le rôle informel de plateforme opérationnelle mondiale en cas d incident des systèmes d informations. L impact sur la société d une attaque terroriste de grande ampleur sur Internet ou par son intermédiaire peut être important. Aussi le système d alerte de la lutte antiterroriste sera-t-il complété par une composante numérique et fera-t-il l objet d exercices de simulation. Le ministère de la Défense renforcera son expertise et ses capacités pour être en mesure d opérer efficacement sur le terrain numérique. Les efforts porteront principalement sur l échange de connaissances et d expertise avec les partenaires civils et internationaux. En outre, le ministère cherchera les moyens de mettre ces savoirs et capacités au service de sa troisième mission dans le cadre des accords d intensification de la coopération civilo-militaire. Un centre de formation sur les réseaux de communication numérique sera créé. Dans les prochaines années, les missions du CERT de la Défense seront élargies afin de renforcer la résilience des réseaux et systèmes du ministère. Des actions seront entreprises pour sensibiliser le personnel aux questions de sécurité, et une accréditation des systèmes et des procédures sera mise en place. Une doctrine sera élaborée pour les cyberopérations en vue de protéger le matériel et les effectifs du ministère. 12

13 5.5 Intensification des recherches et des poursuites en matière de cybercriminalité En progression rapide, la cybercriminalité doit être combattue efficacement pour maintenir la confiance dans la société numérique. Les services chargés de cette lutte (principalement la police et les autres services d investigation, mais aussi le ministère public et la justice) doivent disposer de suffisamment de spécialistes en mesure de traiter autant les affaires très complexes (criminalité high tech) que celles plus simples mais importantes en volume qui érodent la confiance des citoyens et des entreprises dans les TIC. Les victimes doivent moins hésiter à porter plainte, et le risque, pour les criminels, d être arrêté et sévèrement puni doit augmenter. La coopération internationale doit aussi permettre de mieux s attaquer à la criminalité transfrontalière. Le gouvernement vise la création d un pool d experts provenant des secteurs public et privé et du monde universitaire, de sorte que l expertise très pointue puisse être partagée et que les spécialistes se voient offrir des perspectives de carrière intéressantes. Pour assurer le respect de la loi, le gouvernement entend favoriser la multiplication des enquêtes transfrontalières avec des pays européens et d autres partenaires internationaux. Il s emploiera par ailleurs à étoffer la législation internationale de lutte contre la cybercriminalité. Au niveau national, un groupe de pilotage sera créé pour les priorités en matière de lutte contre la criminalité. En ce qui concerne la cybercriminalité, il importe que l ensemble de la chaîne judiciaire soit dotée de suffisamment de spécialistes compétents. Le président de ce groupe de pilotage 13

14 participera au Conseil pour la cybersécurité. L Inspection de l ordre et de la sécurité publics effectuera une enquête sur les performances de la police dans la lutte contre la cybercriminalité. Dans les années à venir, la police va réorienter ses priorités dans les limites du cadre budgétaire existant : davantage de capacités seront affectées aux enquêtes, particulièrement à la recherche et à la poursuite des cybercriminels. Les régions seront dotées de spécialistes de la surveillance d Internet et le KLPD verra son équipe de lutte contre la criminalité high tech renforcée. Celle-ci devrait pouvoir traiter une vingtaine d affaires d ici Les services d enquête et de poursuites prendront part aux travaux du Centre national pour la cybersécurité. Le programme de lutte contre la cybercriminalité jouera dans les prochaines années un rôle central : mise en place d un centre d expertise au sein de la police, renforcement de l organisation policière et redéploiement des effectifs à capacités égales. Le ministère public et le pouvoir judiciaire bénéficieront d un nombre suffisant de procureurs, de chargés de mission, de juges et de juges d instruction spécialisés dans la cybercriminalité. 14

15 5.6 Soutien à la recherche et à l enseignement La cybersécurité passe par la recherche scientifique et appliquée, ainsi que par la recherche de solutions innovantes. Un bon degré de formation à tous les niveaux est nécessaire pour continuer à fournir des produits et des services fiables et pour résister aux menaces. Le professionnalisme du secteur est une condition essentielle à la croissance de l économie numérique aux Pays-Bas. Au sein du Conseil national pour la cybersécurité, le gouvernement veillera à ce que les programmes de recherche des institutions publiques et, si possible, des centres scientifiques et des entreprises soient davantage coordonnés. Le gouvernement accompagnera en outre ces acteurs dans leur recherche de fonds auprès de l Union européenne ou des eurorégions. L amélioration de la formation à tous les niveaux est nécessaire pour résister aux menaces, continuer à fournir des produits et services fiables, et favoriser la croissance de l économie numérique aux Pays-Bas. Un plan d action sera élaboré, avec les groupes professionnels et le monde de l enseignement, pour accroître l attention portée à la sécurité des TIC dans les formations pertinentes. Dans le prolongement d une enquête déjà réalisée, la certification des professionnels de la protection des données sera également envisagée, ce qui suppose la transparence sur le contenu des formations. L initiative de ces professionnels visant à détailler les caractéristiques des différentes formations est un exemple dont on pourra s inspirer. 6.0 Conséquences financières Les activités décrites ci-dessus seront mises en œuvre dans le cadre des budgets existants. 15

16 Publication Ministry of Security and Justice P.O.Box EH The Hague The Netherlands Oktober 2011 J-11237