L'UNION EUROPÉENNE A UN RÔLE ESSENTIEL À JOUER
Si la protection des systèmes d'information doit demeurer avant tout une compétence nationale, car elle touche directement à la souveraineté de chaque Etat, l'Union européenne a cependant un rôle important à jouer car une grande partie des normes applicables aux opérateurs relèvent de ses compétences.
Ces dernières années, les instances européennes ont adopté de nombreux documents d'orientations ou de programmes intéressant directement ou indirectement la sécurité des systèmes d'information.
On peut notamment mentionner :
- la stratégie dite « i2010 » ( « Une société de l'information pour la croissance et l'emploi » ), exposée dans une communication de la Commission européenne du 1 er juin 2005, et qui confirme l'importance de la sécurité des réseaux ;
- la communication de la Commission du 31 mai 2006, intitulée « Une stratégie pour une société de l'information sûre - dialogue, partenariat et responsabilisation » , qui contient notamment une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et de l'information mais qui ne propose aucune action concrète ;
- la communication de la Commission de mars 2009 relative à la « protection des infrastructures d'information critiques », qui fixe des objectifs prioritaires dans le domaine de la sécurité des systèmes d'information et qui a débouché sur un plan d'action, adopté en avril 2009. Parmi les différentes mesures envisagées, la Commission européenne se donne notamment pour objectif le développement par chaque Etat membre d'un CERT opérationnel, l'organisation d'exercices de gestion de crise cyber aux niveaux national et européen ou encore la création d'un forum d'échange public-privé européen, etc. Ce plan d'action a été approuvé par le Conseil en décembre 2009 ;
- la communication de la Commission de mai 2010 intitulée « Une stratégie numérique pour l'Europe » , qui aborde l'ensemble des enjeux liés au développement de la société de l'information en Europe. Cette communication souligne à nouveau la nécessité d'une mise en oeuvre rapide et efficace du plan d'action de l'Union européenne pour la protection des infrastructures d'information critiques ;
- une nouvelle communication de la Commission européenne relative à « la protection des infrastructures d'information critiques » de mars 2011, qui reprend et développe les cinq axes de la communication de mars 2009 et introduit de nouvelles propositions, telles que le développement d'un plan européen de continuité en cas de crise cyber et la création d'un groupe de travail commun Union européenne-Etats-Unis sur la cybersécurité et la cybercriminalité. Cette communication a fait l'objet de conclusions du Conseil en mai 2011, qui soulignent notamment l'importance stratégique de l'industrie européenne des télécommunications et de l'industrie de la sécurité des réseaux et de l'information en vue de la protection durable des infrastructures d'information critiques européennes.
Il faut également relever que des initiatives ont été prises au niveau européen en matière de lutte contre la cybercriminalité, avec par exemple l'adoption, le 24 février 2005, d'une décision-cadre relative aux attaques visant les systèmes d'information et une proposition de directive.
Toutefois, cette directive n'a pas été adoptée et est moins ambitieuse que la Convention de lutte contre la cybercriminalité, dite « Convention de Budapest » , conclue au sein du Conseil de l'Europe, mais qui n'a pas encore été ratifiée par l'ensemble des Etats membres de l'Union européenne.
Plus récemment, en janvier dernier, un centre européen de lutte contre la cybercriminalité a été créé au sein de l'office européen de police Europol.
Une directive a aussi été adoptée le 8 décembre 2008 relative à la protection des infrastructures critiques européennes, mais ce texte, qui se limite aux secteurs de l'énergie et des transports, se contente d'appeler les Etats-membres à identifier les infrastructures critiques concernées et à prévoir des mesures en matière de sécurité, sans entrer véritablement dans le détail des mesures nécessaires.
Par ailleurs, la cyberdéfense est également un thème de travail récent de la politique de sécurité et de défense commune, notamment au sein de l'Agence européenne de défense, qui a constitué une « Project Team » sur ce sujet. Toutefois, les travaux de l'Union européenne dans ce domaine sont encore très embryonnaires et n'ont pas encore débouché sur des réalisations concrètes.
D'une manière générale, votre commission portait dans son rapport d'information un regard assez critique sur l'action de l'Union européenne en matière de cybersécurité.
Ainsi, elle relevait que « malgré l'adoption de nombreux documents ou plans d'action, l'Union européenne, et la Commission européenne en particulier, ne semblent pas encore avoir pris la mesure de l'importance des enjeux liés à la sécurité des systèmes d'information, comme d'ailleurs de nombreux pays européens ».
Dans son rapport d'information, votre commission mentionnait trois principales lacunes.
Tout d'abord, l'absence de véritable stratégie globale du cyberespace à l'échelle européenne .
Ensuite, une dispersion des acteurs , ce sujet étant traité par différentes directions générales au sein de la Commission européenne et par le service européen pour l'action extérieure.
Enfin, un manque d'efficacité .
En particulier, le rapport soulignait que « l'Union européenne ne paraît pas encore en mesure d'assurer la protection de l'ensemble de ses propres réseaux et systèmes d'information ».
L'Union européenne s'est certes dotée, le 10 juin 2011, d'un CERT (« Computer Emergency Response Team ») chargé de prévenir et de répondre aux attaques informatiques visant les réseaux ou systèmes des institutions européennes, des agences ou des autres organes qui lui sont rattachés (CERT-UE). Mais, comme le soulignait votre commission, « cette structure, qui ne compte que dix agents, n'en est encore qu'au stade de la préfiguration et est encore très loin d'assurer une protection de l'ensemble des réseaux et systèmes de l'Union européenne ».
Par ailleurs, « la coordination et l'efficacité des différents outils, mécanismes et politiques, à la fois réglementaires et incitatifs, mis en place à l'échelle européenne pour encourager la prise en compte par les Etats membres des enjeux liés à la protection des systèmes d'information mériteraient d'être notablement renforcés ».
Le rapport était particulièrement sévère concernant l'agence européenne chargée de la sécurité des réseaux et de l'information, l' ENISA ( European Network and Information Security Agency )
Cette agence a été créée en 2004 avec un mandat initial d'une durée de cinq ans.
Installée à Heraklion, en Crète, l'ENISA s'est vue assigner des missions très vastes, que l'on peut regrouper en trois catégories :
- conseiller et assister, en tant qu'agence d'expertise technique, la Commission européenne et les États membres en matière de sécurité des systèmes d'information, notamment au travers de « guides de bonnes pratiques » ;
- soutenir les Etats membres et les institutions européennes dans le développement de capacités pour répondre aux menaces pesant sur la sécurité des systèmes d'information ;
- encourager la coopération entre les Etats membres, notamment par des exercices communs.
Cette agence européenne n'a donc pas de compétences opérationnelles mais plutôt une mission de conseil et de recommandation. Elle disposait d'environ 60 agents et d'un budget de 8,5 millions d'euros en 2012.
L'ENISA a fait l'objet d'une évaluation externe demandée par la Commission européenne, qui en a publié le résultat en juin 2007. Le groupe d'experts externe a conclu que les activités de l'ENISA paraissaient « insuffisantes pour atteindre le niveau élevé d'impact et de valeur ajouté espéré » et que sa visibilité était en dessous des attentes. L'évaluation a recensé divers handicaps liés à son organisation, aux ambiguïtés du mandat originel, à sa localisation éloignée, à l'effectif et à la rotation importante du personnel, aux relations difficiles entre le conseil d'administration et la direction de l'agence. Elle a souligné un risque d'affaiblissement rapide et de perte de réputation si l'efficacité n'était pas améliorée. Le Livre blanc sur la défense et la sécurité nationale de 2008 a relevé également que « l'efficacité de l'agence européenne ENISA devra être très notablement accrue ».
Dans son rapport, votre commission reconnaissait toutefois que, ces derniers mois, l'agence a publié des rapports intéressants avec des recommandations concrètes, par exemple sur les systèmes de contrôle industriels et les SCADA ou encore la cybersécurité maritime.
Le mandat de l'ENISA a été prolongé jusqu'en septembre 2013 et une proposition de règlement visant à modifier et à étendre le mandat de cette agence est actuellement en discussion au niveau européen.
Votre commission soulignait également l'adoption, en novembre 2009 , de la directive cadre du « Paquet Télécom » modifiant la régulation des communications électroniques en Europe 5 ( * ) .
Cette directive contient une disposition (article 13 bis ) contraignant les opérateurs de télécommunications à notifier aux autorités nationales compétentes toute atteinte à la sécurité ou perte d'intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Elle introduit également l'obligation de mise en oeuvre de mesures de sécurité minimales par les opérateurs, les autorités nationales étant chargées de s'assurer que les opérateurs respectent ces obligations (article 13 ter ).
Cette directive cadre a été transposée en France par le biais de l'ordonnance du 24 août 2011, qui a modifié la loi du 6 janvier 1978 dite « informatique et libertés », en prévoyant notamment l'obligation pour les opérateurs de télécommunications de notifier à la CNIL toute faille de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
En définitive, pour votre commission, il était souhaitable que l'Union européenne s'implique plus activement sur les questions liées à la protection des systèmes d'information.
En particulier, il lui semblait indispensable que l'Union européenne se dote d'une véritable stratégie européenne qui englobe l'ensemble des questions liées au cyberespace. L'élaboration d'une telle stratégie figurait expressément parmi les recommandations de votre commission 6 ( * ) .
* 5 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009
* 6 Voir les recommandations n°39 à 44 du rapport d'information n°681 (2011-2012) sur la cyberdéfense du 18 juillet 2012, qui ont été reproduites en annexe 2 au présent rapport