lundi 19 septembre 2016

Cybersécurité : préparation à un cyberincident majeur, refonte de l’agence de sécurité des réseaux, évaluation du risque... l’UE veut aller vite et fort !


Deuxième volet de la communication sur la cybersécurité (pour le premier volet, lire sur securiteinterieure.fr : Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité) : la Commission a présenté dans ce texte une panoplie de mesures dans la perspective de l’adoption prochaine de la directive sur la sécurité des réseaux et de l’information (SRI).
Préparation à un cyberincident majeur, refonte de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), évaluation de grande ampleur évaluation européenne du risque résultant de cyberincidents dans des secteurs stratégiques… l’UE veut aller vite et fort en matière de cybersécurité/cyber-résilience.
Comme en matière de lutte contre le financement du terrorisme, l’UE ne veut pas perdre de temps. L’encre est à peine sèche que se dessinent de nouvelles perspectives.

Quel est l’enjeu actuel ?

L’UE reste vulnérable en cas de cyberincident, ce qui pourrait nuire au marché unique numérique et à la vie économique et sociale dans son ensemble. Des cyberincidents peuvent aussi avoir des répercussions au-delà du secteur économique. En cas de menaces hybrides, les cyberattaques peuvent être utilisées en coordination avec d’autres activités pour déstabiliser un pays ou contester les institutions politiques.

Quel est le contexte juridique ?

La stratégie de cybersécurité de l’Union européenne pour 2013 et sa composante principale, la directive sur la sécurité des réseaux et de l’information (SRI) qui doit être adoptée prochainement, forment, avec la directive 2013/40/UE relative aux attaques visant les systèmes d’information, le noyau dur des mesures prises à ce jour par l’Union européenne pour répondre à ces défis en matière de cybersécurité.

L’UE a également à sa disposition des entités spécialisées telles que l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), le Centre européen de lutte contre la cybercriminalité (EC3) au sein d’Europol et l’équipe d’intervention en cas d’urgence informatique de l'UE (CERT-UE).
Récemment, plusieurs initiatives sectorielles ont également été lancées (par exemple, dans le domaine de l’énergie et des transports) afin de renforcer la cybersécurité dans différents secteurs cruciaux.

La mesure phare du texte : un plan d'action en matière de préparation à un cyberincident de grande ampleur

Étant donné la nature et la multitude des cybermenaces, une coopération transfrontalière en matière de préparation à un cyberincident de grande ampleur plus poussée en vue d'un cyberincident majeur bénéficierait d’une approche coordonnée de la coopération en cas de crise entre les différents éléments du cyberécosystème.
Une telle approche peut être définie dans un «plan d'action», qui devrait également garantir des synergies et une cohérence avec les mécanismes existants de gestion des crises. Ce plan d'action devrait ensuite être régulièrement éprouvé dans le cadre d'exercices de gestion de crises dans le domaine de la cybersécurité et autres.

Il préciserait le rôle des organismes européens tels que l’ENISA, la CERT-EU et le Centre européen de lutte contre la cybercriminalité (EC3, au sein d'Europol), ainsi que l'utilisation d'outils développés dans le cadre du réseau des CSIRT. Au premier semestre 2017, la Commission présentera ce plan de coopération pour examen au groupe de coopération, au réseau des CSIRT et aux autres parties intéressées.

Les perspectives ?

Garantir, dans le même temps, la résilience des cyberinfrastructures critiques dans l’ensemble de l’UE exigera des efforts soutenus pour trouver des synergies intersectorielles et intégrer les exigences en matière de cybersécurité dans toutes les politiques pertinentes de l’UE.
La Commission réfléchira à la nécessité d'une mise à jour prochaine de la stratégie de cybersécurité de l’UE de 2013.

S’orienter vers l'agence européenne de sécurité des réseaux de 2e génération (ENISA 2.0)

Actuellement, les connaissances et l’expertise en matière de cybersécurité existent au niveau de l’Union, mais d’une manière dispersée et non structurée.
Pour soutenir les mécanismes de coopération prévus par la directive sur la sécurité des réseaux et de l’information, les informations devraient être regroupées au sein d'un «pôle d’information» de façon que tous les États membres puissent y accéder rapidement sur demande.
Ce «pôle» deviendrait un point central permettant aux institutions de l’UE et aux États membres d’échanger au besoin des informations.

La réflexion sur le mandat de l’ENISA tiendrait également compte des nouvelles responsabilités dévolues à l’Agence en vertu de la directive sur la sécurité des réseaux et de l’information, des nouveaux objectifs stratégiques de soutien à l’industrie de la cybersécurité (la stratégie pour le marché unique numérique et, en particulier, le partenariat public-privé contractuel), de l’évolution des besoins dans la sécurisation des secteurs critiques et des nouveaux défis liés à des incidents transfrontières, y compris une réponse coordonnée aux cybercrises.

La Commission entend:
  • présenter pour examen un plan de coopération pour la gestion des cyberincidents de grande ampleur au niveau de l’UE au cours du premier semestre de 2017;
  • faciliter la création d’un «pôle d’information», afin de favoriser l’échange d’informations entre les organes de l’UE et les États membres;
  • créer un groupe consultatif de haut niveau sur la cybersécurité; et
  • finaliser l'évaluation de l'ENISA d'ici la fin de 2017. Cette évaluation portera sur la nécessité de modifier ou de prolonger le mandat de l'ENISA en vue de présenter une éventuelle proposition dès que possible. 

Intensifier les efforts dans le domaine de la formation

Les compétences et la formation adéquates, en ce qui concerne à la fois la prévention des cyberincidents ainsi que leur gestion et l'atténuation de leurs impacts, font partie des aspects fondamentaux pour parvenir à la résilience en matière de cybersécurité.

La Commission entend:
  • travailler en étroite coopération avec les États membres, l’ENISA, le service européen d’action extérieure (SEAE) et les autres organes compétents de l’UE en vue de la mise en place d'une plateforme de formation en matière de cybersécurité.

Favoriser la résilience des infrastructures de réseau publiques essentielles 

La capacité de chaque secteur à détecter les cyberincidents, à s'y préparer et à y réagir est, par ailleurs, une condition préalable et nécessaire pour faire face aux risques intersectoriels.
La Commission évaluera le risque résultant de cyberincidents dans des secteurs hautement interdépendants à l'intérieur et au-delà des frontières nationales, en particulier dans les secteurs couverts par la directive sur la sécurité des réseaux et de l’information.
Une fois cette évaluation effectuée, la Commission déterminera s'il est nécessaire d’établir des dispositions spécifiques et/ou des lignes directrices supplémentaires concernant la préparation aux cyber-risques pour ces secteurs cruciaux.

La Commission étudiera dès lors les conditions juridiques et organisationnelles requises pour permettre aux autorités réglementaires nationales, en coopération avec les autorités nationales compétentes en matière de cybersécurité, de demander aux CSIRT de procéder régulièrement à des contrôles de vulnérabilité des infrastructures de réseau publiques.
Les CSIRT nationaux devraient être encouragés à coopérer, dans le cadre du réseau des CSIRT, sur les meilleures pratiques en matière de surveillance des réseaux, ce qui favorisera la prévention d’accidents à grande échelle.

La Commission entend:
  • favoriser la mise en place d’une coopération européenne des centres sectoriels d'échange et d’analyse d’informations (centres ISAC), soutenir leur collaboration avec les équipes de réaction aux incidents touchant la sécurité informatique (CSIRT) et faire en sorte de supprimer les obstacles qui empêchent les acteurs du marché de partager leurs informations;
  • étudier les risques stratégiques/systémiques résultant de cyberincidents dans des secteurs très interdépendants à l'intérieur et au-delà des frontières nationales;
  • apprécier la nécessité de règles et/ou de lignes directrices supplémentaires concernant la préparation aux cyber-risques destinées aux secteurs critiques et, le cas échéant, réfléchir à leur définition;
  • promouvoir l'intégration de mesures de cybersécurité dans les politiques européennes sectorielles;
  • examiner les conditions requises pour que les autorités nationales puissent demander aux CSIRT de procéder à des contrôles réguliers des infrastructures de réseau essentielles.


synthèse du texte ci-dessous par Pierre Berthelet alias securiteinterieure.fr 


A lire sur securiteinterieure.fr :


Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?



Ou encore l'auteur de securiteinterieure.fr, Pierre Berthelet sur Linkedin!
 

vendredi 16 septembre 2016

"Nouvelles technologies et sécurité" - Nouveau numéro de la Revue de la Gendarmerie nationale


Continuum sécuritaire et sécurité globale entretiennent des relations étroites. L’un et l’autre entendent dépasser les segmentations sectorielles pour apporter une réponse efficace à des menaces qui affectent les États et l’Union en tant que telle.
L’esprit de la sécurité globale se matérialise par un ensemble d’actions sous la forme de subventions de l’Union dans divers domaines. Ses efforts s’orientent particulièrement vers une sécurité de nature technologique.
""Continuum sécuritaire et technologie au niveau européen"
Article rédigé par l'auteur de securiteinterieure.fr dans ce numéro

CONSULTER ENTIÈREMENT ET GRATUITEMENT CE NOUVEAU NUMÉRO de la Revue de la Gendarmerie nationale

SOMMAIRE

 (cliquez sur l'image pour agrandir)

(cliquez sur l'image pour agrandir)



A lire sur securiteinterieure.fr :


Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?



Ou encore l'auteur de securiteinterieure.fr, Pierre Berthelet sur Linkedin!
 

lundi 12 septembre 2016

Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité


Le marché intérieur de l’UE reste fragmenté concernant l’offre de produits et de services dans le domaine de la cybersécurité.
Un des effets pervers du manque de confiance dans les entreprises européennes est que les Etats membres favorisent leurs entreprises nationales, les empêchant du coup de réaliser les économies d’échelle pour être davantage compétitives, notamment au plan mondial.

La Commission a donc présenté une communication visant à promouvoir la compétitivité et l'innovation dans le secteur européen de la cybersécurité.
Elle définit un certain nombre de mesures axées sur le marché pour résoudre ce problème, et d’autres, comme le manque de solutions interopérables.
Il s’agit pallier les défaillances du marché unique en favorisant la création de capacités industrielles dans le domaine de la cybersécurité

Le constat : l’absence de marché européen en matière de cybersécurité

D’après la Commission, l’Europe a besoin de produits et de solutions de très bonne qualité, abordables et interopérables en matière de cybersécurité.
Cependant, la fourniture de produits et services de sécurité en matière de technologie de l'information et de la communication, au sein du marché unique reste très fragmentée sur le plan géographique.
Il en résulte, d’une part, qu'il est difficile pour les entreprises européennes d'être concurrentielles au niveau national, européen et mondial, et d’autre part, que le choix des technologies viables et utilisables en matière de cybersécurité qui s'offre aux citoyens et aux entreprises est restreint (à lire sur securiteinterieure.fr : Un plan d'action européen pour rendre le secteur de la sécurité plus compétitif).

En effet, le secteur de la cybersécurité en Europe s'est développé principalement en fonction de la demande des gouvernements nationaux, notamment dans le domaine de la défense.
La plupart des entreprises du secteur de la défense en Europe ont mis sur pied des départements consacrés à la cybersécurité  . En parallèle, une multitude de PME innovantes a également vu le jour, tant sur des marchés de niche/spécialisés (par exemple, systèmes de cryptage) que sur des marchés bien établis, avec de nouveaux modèles d'entreprise (par ex. antivirus).

Les conséquences d’un marché fragmenté : manque de confiance et de solutions interopérables

Les entreprises éprouvent des difficultés à se développer en dehors de leur marché national.
Le manque de confiance dans les solutions «transfrontalières» est l’élément crucial qui ressort nettement dans toutes les consultations menées par la Commission.
En conséquence, une grande partie des marchés publics sont toujours attribués à l'intérieur d'un État membre donné et de nombreuses entreprises ont des difficultés à réaliser les économies d’échelle qui leur permettraient d’être plus compétitives, tant sur le marché intérieur que mondial.

Le manque de solutions interopérables (normes techniques), de pratiques (normes de processus) et de dispositifs de certification à l'échelle de l'UE sont parmi les lacunes affectant le marché unique dans le domaine de la cybersécurité.
Cela étant, la cybersécurité a été désignée comme l'une des priorités en matière de normalisation en matière de technologie de l’information et de la communication dans le marché unique.
Les perspectives de croissance limitées des entreprises dans le domaine de la cybersécurité dans le marché unique entraînent un grand nombre de fusions et d'acquisitions par des investisseurs non européens.
Si cette tendance témoigne de la capacité d'innovation des entrepreneurs européens en matière de cybersécurité, elle risque également d'entraîner une perte de savoir-faire et d'expertise européens, ainsi qu'une fuite des cerveaux.

Défi du marché unique européen de la cybersécurité : soutenir les PME

Selon la Commission, pour développer les investissements dans la cybersécurité en Europe et soutenir les PME, il faut faciliter l'accès au financement.
Il faut aussi soutenir la création de pôles de cybersécurité compétitifs sur le plan mondial et de centres d'excellence dans des écosystèmes régionaux favorables à la croissance numérique.
Ce soutien doit être lié à la mise en œuvre des stratégies de spécialisation intelligente et à d'autres instruments de l'UE afin que le secteur européen de la cybersécurité puisse en tirer le meilleur parti possible.

La Commission entend:
  • utiliser les outils de soutien aux PME existants pour sensibiliser davantage la communauté de la cybersécurité aux possibilités de financement existantes;
  • accroître le recours aux outils et instruments de l'UE pour soutenir les PME innovantes dans l'étude de synergies entre les marchés civil et militaire de la cybersécurité;
  • étudier, avec la Banque européenne d’investissement (BEI) et le Fonds européen d’investissement (FEI), la possibilité de faciliter l'accès aux investissements, par exemple en créant une plateforme d'investissement en matière de cybersécurité ou d'autres outils;
  • mettre en place une plateforme de spécialisation intelligente en matière de sécurité pour prodiguer des conseils d'experts aux pays et régions intéressés par des investissements dans le secteur de la cybersécurité (RIS3);
  • promouvoir une approche de la sécurité fondée sur la conception pour tous les investissements dans des infrastructures qui ont une composante numérique et sont cofinancées par des fonds de l'UE.

Autre défi du marché unique européen de la cybersécurité : certification et étiquetage

Pour mettre en place un marché unique opérationnel de la cybersécurité, un éventuel cadre pour la certification en matière de sécurité des produits et services en matière des technologies d’information et de la communication devrait avoir les ambitions suivantes:
  • couvrir une large gamme de systèmes, produits et services en matière des technologies d’information et de la communication ;
  •  être applicable à l'ensemble des 28 États membres;
  • concerner tous les niveaux de cybersécurité; tout en tenant compte des évolutions au niveau international.

La Commission entend:
  • mettre au point, avant la fin 2016, une feuille de route en vue de proposer, d'ici à la fin de 2017, un cadre européen pour la certification en matière de sécurité dans le domaine des technologies de l’information et de la communication et évaluer la faisabilité et l'incidence d'un cadre européen en matière d'étiquetage relatif à la cybersécurité ne représentant pas une trop lourde charge;
  • étudier la nécessité d'une éventuelle certification en matière de sécurité dans le domaine des technologies de l’information et de la communication dans les mécanismes sectoriels de validation/certification existants et, le cas échéant, remédier aux lacunes de ces derniers.
  • intégrer, s'il y a lieu, la certification en matière de sécurité des produits en matière des technologies d’information et de la communication dans les futures propositions législatives sectorielles;
  • stimuler la participation des administrations publiques pour faciliter l'utilisation de la certification et des spécifications communes dans les marchés publics;
  • assurer le suivi de l'utilisation des exigences pertinentes en matière de certification dans les marchés publics et dans les achats des entreprises et présenter un rapport sur l'état du marché dans 3 ans.


Lutter contre le cyberespionnage

L'existence de canaux de communication sûrs, garantissant la confidentialité, est également primordiale pour encourager les entreprises à rendre compte du vol électronique de secrets d’affaires. Ceci permettrait de contrôler et d’évaluer le préjudice subi par l’industrie européenne (qui se traduit aussi par des pertes en termes de ventes et d’emplois) et les organismes de recherche, et serait utile pour élaborer une réponse politique appropriée.
Avec le soutien de l’agence européenne de sécurité des réseaux (ENISA), de l’Office de la propriété intellectuelle de l’Union européenne (EUIPO) et de l’EC3 (la cellule anti-cybercriminalité d’Europol), la Commission, en concertation avec les intervenants du secteur privé, mettra en place des canaux sécurisés pour la déclaration volontaire de vol électronique de secrets d’affaires.
De tels canaux devraient permettre la compilation de données anonymisées et agrégées au niveau de l’UE, qui pourront alors être partagées avec les États membres pour soutenir les efforts diplomatiques et les actions de sensibilisation et contribuer ainsi à la protection contre le cyberespionnage dans l’Union européenne.

Stimuler et l'innovation - création du partenariat public-privé contractuel sur la cybersécurité

Dans la stratégie de cybersécurité de l’UE et dans la stratégie pour le marché unique numérique, la Commission s’est engagée à favoriser une augmentation de l’offre de produits et de services par le secteur de la cybersécurité de l’UE.
Dès lors, la Commission va également adopter une décision ouvrant la voie à un accord contractuel concernant un partenariat public-privé (PPP) sur la cybersécurité avec comme objectif de promouvoir un programme européen de recherche et d’innovation de pointe sur la cybersécurité en vue d'accroître la compétitivité.

Le partenariat public-privé contractuel sur la cybersécurité est lancé au titre d'Horizon 2020 (à lire sur securiteinterieure.fr : "Horizon 2020" : des centaines de millions d’euros pour la sécurité intérieure), le programme-cadre de l'UE pour la recherche et l’innovation pour la période 2014-2020. Il sera doté d'un budget total pouvant atteindre 450 millions d'euros.

La Commission entend:
  • signer avec les entreprises du secteur un partenariat public-privé contractuel sur la cybersécurité qui devrait être opérationnel au troisième trimestre de 2016;
  • lancer les premiers appels de propositions Horizon 2020 au titre du partenariat public-privé contractuel sur la cybersécurité au premier trimestre de 2017;
  • veiller à la coordination du partenariat public-privé contractuel sur la cybersécurité avec les stratégies sectorielles, les instruments d'Horizon 2020 et les partenariats public-privé sectoriels.
  • ans la stratégie pour le marché unique numérique, la Commission s’est engagée à favoriser une augmentation de l’offre de produits et de services par le secteur de la cybersécurité de l’UE.
    Par conséquent, la Commission va également adopter une décision ouvrant la voie à un accord contractuel concernant un partenariat public-privé (PPP) sur la cybersécurité avec comme objectif de promouvoir un programme européen de recherche et d’innovation de pointe sur la cybersécurité en vue d'accroître la compétitivité.

synthèse du texte ci-dessous par Pierre Berthelet alias securiteinterieure.fr 


A lire sur securiteinterieure.fr :


Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?



Ou encore l'auteur de securiteinterieure.fr, Pierre Berthelet sur Linkedin!
 

lundi 5 septembre 2016

Directive sur la lutte contre le financement du terrorisme et le blanchiment de capitaux : en route pour l'épisode 5 !


La lutte contre le blanchiment de capitaux et le financement du terrorisme n’en finit pas de se renforcer. Le 20 mai 2015, un cadre révisé avait déjà été adopté. C’est la 4e directive  (à lire sur securiteinterieure.fr : 4e directive antiblanchiment : une lutte davantage fondée sur la gestion de risque). Mais des lacunes subsistent dans la surveillance des nombreux moyens financiers utilisés par les terroristes, qu'il s'agisse de l’argent liquide, du commerce de biens culturels, des monnaies virtuelles ou des cartes prépayées anonymes.
Une proposition de directive (qui sera dont la 5e directive) est donc sur la table et elle envisage une série de mesures dont :
  • soumettre les plates-formes de change de monnaies virtuelles à l’obligation de vigilance (c’est-à-dire surveiller les transactions et en dénonçant celles suspectes);
  • abaisser les limites maximales de transaction des cartes bancaires prépayées ;
  • permettre aux cellules de renseignement financier (CRF), en France Tracfin, à ces cellules d'identifier les titulaires de comptes bancaires;
  • permettre à la Commission d’établir une liste noire de pays hors UE à risque.

Il est intéressant de noter que la date de transposition de la 4e directive est fixée au mois de juin 2017. Toutefois, cette proposition de 5e directive avance cette date au 1er janvier 2017.
En soi, cette proposition de directive était attendue. Les attentats terroristes de novembre 2015 ont souligné le besoin de renforcer le dispositif de lutte contre le financement du terrorisme. La Commission a présenté à ce sujet un plan d’action début 2016, approuvé par les ministres et prévoyant dans son arsenal de mesures la présentation d’une 5e directive (à lire sur securiteinterieure.fr : Bilan du "Programme européen de sécurité": "La sécurité intérieure d’un État est celle de tous les États").

Pourquoi cette proposition de directive ?

L’adoption des règles mises à jour en matière de lutte contre le blanchiment de capitaux, en mai 2015, a représenté une étape importante de l'amélioration de l’efficacité des efforts déployés par l’UE afin de lutter contre le blanchiment de capitaux provenant d’activités criminelles et contre le financement d'activités terroristes.
Toutefois, ces derniers temps, la menace terroriste s’est intensifiée et a évolué. Dans le même temps, sous l'effet des progrès réalisés dans les domaines de la technologie et de la communication, le système financier interconnecté à l'échelle mondiale facilite la dissimulation et le transfert de fonds dans le monde, par la création rapide et aisée, couche par couche, de sociétés-écrans opérant à travers les frontières et les territoires, de sorte qu'il est de plus en plus difficile de retrouver trace des fonds en question.
Les blanchisseurs de capitaux, les fraudeurs de l'impôt, les terroristes, les fraudeurs et autres criminels sont tous en mesure d'effacer les traces de leurs agissements.

D’où vient-on ?

Dans le programme européen en matière de sécurité, la Commission a désigné comme priorité l'actualisation du cadre juridique de l’UE régissant la lutte contre le terrorisme.
Les conclusions du Conseil «Justice et affaires intérieures» du 20 novembre 2015, du Conseil «Affaires économiques et financières» du 8 décembre 2015, ainsi que du Conseil européen du 18 décembre 2015 ont toutes souligné la nécessité de continuer à intensifier les travaux dans ce domaine, en s’appuyant sur les améliorations apportées à la 4e directive.
Le 2 février 2016, la Commission a présenté un plan d'action destiné à renforcer la lutte contre le financement du terrorisme, qui s'articule autour de deux grands axes: tracer les terroristes en surveillant les mouvements financiers et les empêcher de transférer des fonds ou d’autres avoirs; et déstabiliser les sources de revenus utilisées par les organisations terroristes, en s'attaquant à leur capacité de lever des fonds.
Le plan d’action prévoyait un certain nombre de mesures opérationnelles et législatives ciblées, annonçant notamment la proposition qui devra être mise en place rapidement.
Le 12 février 2016, le Conseil des ministres de l’économie et des finances a invité la Commission à présenter sa proposition de modification de la 4e directive dans les meilleurs délais, et au plus tard dans le courant du deuxième trimestre de 2016 (à lire sur securiteinterieure.fr : Financement du terrorisme : des organismes de surveillance financière davantage axés autour d'un système basé sur le renseignement).

Et l’évolution de la situation à l'échelle mondiale ?

Au niveau international, les résolutions 2199 (2015) et 2253 (2015) du Conseil de sécurité des Nations unies ont prôné des mesures visant à empêcher les groupes terroristes d’accéder aux institutions financières internationales.
En outre, la déclaration du G20 du 18 avril 2016 appelle le groupe d’action financière (GAFI) et le Forum mondial sur la transparence et l’échange de renseignements à des fins fiscales à présenter des propositions initiales pour améliorer la mise en œuvre des normes internationales sur la transparence, et notamment en ce qui concerne la disponibilité des informations sur les bénéficiaires effectifs, et l'échange de celles-ci au niveau international.

1ère modification apportée à la 4e directive : faire des plates-formes de change de monnaies virtuelles des entités assujetties

La Commission propose d'ajouter à la liste des entités assujetties les plates-formes de change de monnaies virtuelles ainsi que les fournisseurs de portefeuilles de stockage.
Un certain nombre de risques ont en effet été mis en lumière, notamment en ce qui concerne les prestataires de services de change entre monnaies virtuelles et monnaies «à cours forcé». Les transactions en monnaies virtuelles bénéficient d'un degré d'anonymat plus élevé que les transferts de fonds classiques et sont dès lors exposées au risque d'être utilisées par des organisations terroristes pour dissimuler des mouvements financiers.
D'autres risques possibles sont liés à l'irréversibilité des transactions, aux méthodes de lutte contre les opérations frauduleuses, à l'opacité du secteur et à la complexité de la technologie employée, ainsi qu'au manque de garanties réglementaires.

Les transferts de monnaies virtuelles ne font actuellement l'objet d'aucun suivi par les autorités publiques dans l'UE, étant donné qu'aucune règle contraignante particulière n'a été arrêtée, que ce soit au niveau de l'Union ou à celui des États membres, en vue de fixer les conditions d'un tel suivi.
Afin de se prémunir contre les risques, il est essentiel de mettre en place un cadre réglementaire pour les opérations de change, ainsi que pour les fournisseurs de portefeuilles de stockage qui font office de gardiens et permettent au public d'accéder aux différents mécanismes de monnaies virtuelles.
En tant qu'entités assujetties en vertu de la 4e directive, à l'instar des établissements financiers, ils se retrouvent soumis à l'obligation de mettre en œuvre des mesures préventives et de déclarer les transactions suspectes.

2e modification apportée à la 4e directive : abaisser les limites maximales de transaction pour certains instruments prépayés

En vertu de la 4e directive, tout État membre peut autoriser des entités assujetties à ne pas appliquer certaines mesures de vigilance à l’égard de la clientèle en ce qui concerne la monnaie électronique. Les risques de financement du terrorisme actuellement admis que les cartes prépayées engendrent sont liés, d'une part, au fait que ces cartes (rechargeables ou non) à usage général fonctionnant dans le cadre de mécanismes nationaux ou internationaux ne sont pas soumises au devoir de vigilance à l’égard de la clientèle et, d'autre part, à la facilité d'utilisation en ligne de ces cartes.
Cela permettra d'améliorer l'identification et d'élargir les exigences relatives à la vérification de l'identité des clients.
La Commission propose
  • d'abaisser (de 250 à 150 euros) les seuils fixés pour les instruments de paiement prépayés non rechargeables auxquels les mesures de vigilance à l’égard de la clientèle s'appliquent
  • de supprimer l'exemption de vigilance à l’égard de la clientèle pour l'utilisation en ligne de cartes prépayées.

3e modification apportée à la 4e directive : permettre aux cellules de renseignement financier (CRF) de demander des informations

Les cellules de renseignement financier contribuent dans une large mesure à repérer les opérations financières de réseaux terroristes par-delà les frontières et à déceler leurs bailleurs de fonds.
Les normes internationales les plus récentes soulignent l'importance d'étendre la portée des informations accessibles aux cellules de renseignement financier ainsi que l'accès à ces informations.
Ces informations sont pour l'heure limitées, dans certains États membres, par la condition imposée de l'existence d'une déclaration préalable de transaction suspecte faite par une entité assujettie.

Les cellules de renseignement financier devraient être en mesure d'obtenir des informations supplémentaires auprès des entités assujetties et devraient avoir accès en temps utile aux informations financières et administratives ainsi qu'en matière répressive dont elles ont besoin pour remplir correctement leurs missions, même sans qu'une déclaration de transaction suspecte n'ait été établie.
Ces cellules seront ainsi davantage en mesure de collecter les informations nécessaires pour évaluer plus efficacement les déclarations de transaction suspecte et d'accélérer la détection des activités de financement du terrorisme et de blanchiment des capitaux.

4e modification apportée à la 4e directive : permettre aux cellules de renseignement financier d'identifier les titulaires de comptes bancaires

Conformément à la 4e directive, les États membres sont encouragés à mettre en place des systèmes de registres bancaires ou des systèmes électroniques d'extraction de données qui permettraient aux cellules de renseignement financier d'avoir accès aux informations sur les comptes bancaires. Actuellement, de tels mécanismes sont mis en place. Il n'existe toutefois au niveau de l'UE aucune obligation de le faire.
Comme tous les États membres ne disposent pas de mécanismes permettant à leurs cellules de renseignement financier d'avoir accès, en temps utile, aux informations relatives à l’identité des titulaires de comptes bancaires, certaines cellules voient leurs efforts entravés.
La Commission propose donc d'inviter les États membres à mettre en place des mécanismes centralisés automatisés permettant d'identifier rapidement les titulaires de comptes bancaires et de comptes de paiement.

5e modification apportée à la 4e directive : harmoniser l'approche de l'UE à l’égard des pays tiers à haut risque

La 4e directive dispose que les entités assujetties doivent appliquer des mesures de vigilance renforcée à l'égard de la clientèle lorsqu'elles traitent avec des personnes physiques ou des entités juridiques établies dans des pays tiers à haut risque. Cette directive habilite la Commission à recenser ces pays tiers dont les régimes en matière de lutte contre le blanchiment et/ou le financement du terrorisme sont déficients.
L'harmonisation de ces mesures permettra de prévenir ou, tout du moins, de réduire le risque de chasse à la législation nationale la moins stricte à l'égard des pays tiers à haut risque. Les mesures de vigilance renforcée à l'égard de la clientèle qui sont proposées sont parfaitement conformes à celles dont le GAFI a dressé la liste. Elles seront considérées comme un ensemble minimum d'exigences devant être appliquées par l'ensemble des États membres.


synthèse du texte ci-dessous par Pierre Berthelet alias securiteinterieure.fr 


A lire sur securiteinterieure.fr :

A lire également sur securiteinterieure.fr le Dossier spécial terrorisme



Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?



Ou encore l'auteur de securiteinterieure.fr, Pierre Berthelet sur Linkedin!