Dans le cadre de sa stratégie européenne de lutte contre la cybercriminalité, la commission européenne a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux de l’information dans l’Union. Les organisations concernées doivent :

• Prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI)
• Notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d’un système d’information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles
• Être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant de donner des instructions contraignantes et d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale

Si les réseaux informatiques des grandes banques, des opérateurs de télécommunications, des aéroports, d’EDF, de la SNCF (…) étaient victimes d’une cyberattaque, les conséquences pour la France pourraient être dramatiques. Des villes plongées dans l’obscurité, des services d’urgence impossibles à joindre, des avions cloués au sol, une activité économique au ralenti… Le pays serait paralysé, ses citoyens en danger.