LA POSITION DE VOTRE COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
Dans le prolongement des travaux de votre commission sur les questions liées à la cyberdéfense et afin que le Sénat puisse se prononcer et faire connaître au gouvernement sa position sur ce sujet, vos deux co-rapporteurs ont présenté une proposition de résolution européenne , fondée sur l'article 88-4 de la Constitution, qui a été adoptée par la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat.
Cette proposition de résolution vise à inciter le Gouvernement à oeuvrer au sein du Conseil de l'Union européenne afin que soient pris en compte les principes suivants.
APPROUVER LES PRINCIPALES ORIENTATIONS DE LA STRATÉGIE EUROPÉENNE DE CYBERSÉCURITÉ
Dans l'ensemble, on peut saluer la stratégie européenne de cybersécurité, qui témoigne d'une prise de conscience de la part des institutions européennes de l'importance des enjeux de cybersécurité .
On peut se féliciter, en particulier, de l'accent mis sur les aspects industriels.
Afin de garantir la souveraineté des opérations stratégiques ou la sécurité de nos infrastructures vitales, il est, en effet crucial de s'assurer de la maîtrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, l'architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Garder cette maîtrise, c'est protéger nos entreprises, notamment face au risque d'espionnage informatique.
La France dispose certes de nombreux atouts avec de grandes entreprises - comme Thales, Cassidian, Bull, Sogeti ou encore Alcatel Lucent - et d'un tissu de PME innovantes, par exemple dans le domaine de la cryptologie ou des cartes à puces. Mais face à la concurrence américaine aujourd'hui, et demain chinoise, russe et indienne, il est indispensable pour notre pays et pour l'Europe de conserver une autonomie stratégique dans ce domaine. On pense notamment au domaine sensible des « routeurs de coeur de réseaux » ou d'une offre de « cloud » de confiance en Europe. On ne doit pas négliger non plus les enjeux économiques et en matière d'emplois dans ce secteur en forte croissance, qui participe à la compétitivité d'un pays.
Dans son rapport d'information, notre commission plaidait donc pour une politique industrielle volontariste, à l'échelle nationale et européenne, afin de soutenir le tissu industriel des entreprises françaises et européennes, notamment des PME, proposant des produits ou des services importants pour la sécurité informatique et plus largement du secteur de l'information et des télécommunications.
La France pourrait, si elle en a la volonté, développer une industrie complète et souveraine dans le domaine de la sécurité des systèmes d'information, à la fois dans les secteurs des matériels, des logiciels et des services.
Mais cela suppose une politique industrielle volontariste à l'échelle de l'Union européenne, notamment pour soutenir les entreprises européennes qui produisent ce type d'équipements face à la concurrence d'entreprises de pays tiers.
Selon la Commission européenne, l'Europe devrait avoir l'ambition de parvenir à une souveraineté numérique, ce qui veut dire retrouver la maîtrise de certains composants ou équipements.
De ce point de vue, la stratégie européenne de cybersécurité témoigne d'une véritable prise de conscience de ces enjeux de la part de la Commission européenne et répond pleinement à notre souhait.
La Commission européenne envisage notamment de soutenir les efforts de normalisation au niveau européen, un système de certification, des financements par le biais de programmes européens des efforts de recherche et développement, mais aussi la prise en compte de la sécurité informatique dans les marchés publics ou encore dans les primes d'assurance.
Un autre aspect important concerne la formation.
Il existe aujourd'hui dans notre pays peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises ont du mal à en recruter.
Dans son rapport d'information, notre commission recommandait donc de mettre l'accent sur la formation et de développer les liens avec les universités et les centres de recherche et c'est également l'une des orientations retenues par la Commission européenne.
Il paraît aussi nécessaire de renforcer la sensibilisation des administrations, des entreprises, des opérateurs d'importance vitale et des utilisateurs au respect des règles élémentaires de sécurité, règles que le directeur général de l'ANSSI, M. Patrick Pailloux assimile souvent à des règles d'hygiène informatique élémentaires, mais qui sont souvent considérées comme autant de contraintes par les utilisateurs.
Sur ce dernier point, la Commission propose plusieurs actions, comme par exemple l'organisation en 2014 d'un championnat européen de la cybersécurité ou des exercices de simulation de cyberincidents au niveau européen.
Votre commission vous recommande donc d'approuver les orientations générales de cette stratégie et d'appeler les institutions européennes et les Etats membres à une mise en oeuvre rapide de ces priorités .