Allez au contenu, Allez à la navigation

20 avril 2018 : Cybersécurité robuste en Europe ( texte déposé au sénat )

Document "pastillé" au format PDF (317 Koctets)

N° 455

SÉNAT

SESSION ORDINAIRE DE 2017-2018

Enregistré à la Présidence du Sénat le 20 avril 2018

PROPOSITION DE RÉSOLUTION EUROPÉENNE

au nom de la commission des affaires européennes, en application de l'article 73 quater du Règlement, pour une cybersécurité robuste en Europe,

PRÉSENTÉE

Par M. René DANESI et Mme Laurence HARRIBEY,

Sénateurs

(Envoyée à la commission des affaires étrangères, de la défense et des forces armées.)

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

La commission des affaires européennes a examiné le 19 avril 2018 le rapport d'information n°458 (2017-2018) de M. René Danési et Mme Laurence Harribey sur la cybersécurité dans l'Union européenne.

À la suite de cet examen, elle a conclu au dépôt de la proposition de résolution européenne suivante :

PROPOSITION DE RÉSOLUTION EUROPÉENNE
SUR LA CYBERSECURITE

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dite directive NIS ;

Vu la communication conjointe au Parlement européen et au Conseil intitulée « Résilience, dissuasion et défense : doter l'UE d'une cybersécurité solide », JOIN(2017) 450 final ;

Vu la proposition de règlement relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) no 526/2013, et relatif à la certification des technologies de l'information et des communications en matière de cybersécurité (règlement sur la cybersécurité), COM(2017) 477 final ;

Vu sa proposition de résolution n° 25 (2017-2018), devenue résolution du Sénat le 6 décembre 2017 portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l'information et des communications en matière de cybersécurité (règlement sur la cybersécurité) - COM(2017) 477 final ;

Se félicite de la prise de conscience des institutions européennes sur la nécessité de doter l'Union européenne d'une cybersécurité robuste face à une menace en augmentation constante ;

Souligne que la cybersécurité est un élément indispensable au développement d'une Europe toujours plus connectée et numérisée ;

Concernant l'Agence de l'Union européenne pour la cybersécurité (ENISA) et la coopération européenne dans le domaine de la cybersécurité

Accueille favorablement la proposition de règlement sur la cybersécurité, se satisfait de voir l'ENISA pérennisée et ses moyens augmentés ; appuie l'instauration d'un cadre européen de certification de sécurité informatique ;

Estime toutefois que l'ENISA doit rester une agence d'appui au travail des agences nationales de cybersécurité et qu'elle doit voir ses missions mieux définies et concentrées sur une plus-value européenne ;

Juge nécessaire que la coopération entre l'ENISA et les agences nationales, d'une part, et entre les agences nationales elles-mêmes, d'autre part, soit approfondie afin qu'un réseau de confiance s'instaure dans l'ensemble de l'Union ;

Demande que le modèle de l'Agence nationale de sécurité des systèmes d'information (ANSSI), chargée uniquement d'assurer la défense de nos installations, soit promu auprès des autres États membres pour favoriser l'émergence d'un modèle européen d'agence nationale de cybersécurité ;

Concernant la certification européenne de cybersécurité

Estime que la mise en place d'une certification unique de cybersécurité dans l'Union européenne doit avoir pour objectif l'élévation du niveau général de sécurité informatique ;

Considère que cette élévation ne pourra se faire que par la reprise de l'expérience et de l'expertise acquises par certains États membres dans la cybersécurité, afin de l'étendre à tous ;

Juge nécessaire que le projet de règlement sur la cybersécurité définisse plus clairement le rôle des États pour les aspects relevant de leur souveraineté et assure, dans le processus de certification, l'indépendance entre celui qui évalue et celui qui certifie ;

Soutient que pour être pleinement efficace, le cadre européen de certification doit être suffisamment souple afin de s'adapter aux besoins et nécessités de toutes les solutions de cybersécurité ;

Juge indispensable que les États membres et les industriels des technologies de l'information et de la communication soient plus présents dans le processus de certification, notamment dans l'initiative de schémas de certification ;

Concernant les prochaines étapes nécessaires

Relève que l'adoption du règlement européen sur la cybersécurité marque une étape importante pour la cyber-résilience européenne et appelle d'autres actions ;

Souligne que les efforts européens en matière de cybersécurité doivent aussi porter sur la recherche et le développement, en particulier dans le cadre du partenariat public-privé sur la cybersécurité ;

Juge nécessaire que cet effort de recherche soit prolongé par une véritable politique industrielle européenne dans le domaine de la cybersécurité, susceptible de renforcer la souveraineté européenne dans le monde numérique ;

Relève le manque de personnes qualifiées en cybersécurité en France et en Europe et appelle en conséquence au développement d'une filière de formation d'élite dans la cybersécurité, par une action rapide et générale ;

Invite le Gouvernement à faire valoir cette position dans les négociations au Conseil.