C. L'ÉVOLUTION NÉCESSAIRE DE L'ACTION EUROPÉENNE : LE PAQUET CYBERSÉCURITÉ
1. Le constat d'une évolution nécessaire de l'action européenne
De façon assez précoce, l'Union européenne avait créé, dès 2004n une Agence chargée de la sécurité des réseaux et de l'information, l'ENISA dans son acronyme anglais. Elle lui avait fixé cinq missions : conseiller et assister la Commission et les États membres en matière de sécurité de l'information et les aider, en concertation avec le secteur, à faire face aux problèmes de sécurité matérielle et logicielle ; recueillir et analyser les données relatives aux incidents liés à la sécurité en Europe et aux risques émergents ; promouvoir des méthodes d'évaluation et de gestion des risques afin d'améliorer notre capacité à faire face aux menaces pesant sur la sécurité de l'information ; favoriser l'échange de bonnes pratiques en matière de sensibilisation et de coopération avec les différents acteurs du domaine de la sécurité de l'information, notamment en créant des partenariats entre le secteur public et le secteur privé avec des entreprises spécialisées ; suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information.
Élément novateur à sa création, l'ENISA n'a pas évolué depuis. Elle est restée une agence aux moyens réduits, dotée de seulement 80 salariés, et au mandat limité dans le temps, qui doit s'achever en juin 2020. Par conséquent, elle s'appuie beaucoup sur les experts de certains États membres. Elle aide les États par des formations, des recommandations ou des campagnes de sensibilisation comme le mois de la cybersécurité en Europe, elle coordonne et promeut la communauté de la sécurité des réseaux et de l'information. Sa localisation en Crète, éloignée des centres de décision, n'a pas facilité son travail. L'approche de la fin du mandat de l'ENISA a amené la Commission européenne à réfléchir au rôle futur qu'elle souhaitait lui donner.
En 2016, l'Union européenne avait pourtant fait évoluer son action en matière de cybersécurité et le rôle de l'ENISA avec l'adoption de la directive sur la sécurité des réseaux d'information, la directive SRI (ou NIS en anglais), qui a été transposée en droit français au début de 2018. Cette directive prévoit notamment que :
- chaque État membre doit se doter d'une agence spécialisée dans la cybersécurité, à l'image de l'Agence nationale pour la sécurité des systèmes d'information en France, l'ANSSI ;
- le renforcement par chaque État de la cybersécurité d'« opérateurs de services essentiels » au fonctionnement de l'économie et de la société - les administrations, mais aussi les grandes entreprises et celles travaillant dans des secteurs sensibles. Et ces opérateurs auront l'obligation de signaler les attaques dont ils sont victimes ;
- la participation volontaire à une coopération entre États membres ;
- l'adoption de règles européennes communes en matière de cybersécurité pour certains prestataires de services numériques dans des domaines comme l'informatique en nuage pour le stockage des données, les moteurs de recherche et les places de marché en ligne.
Dans le même temps, la Commission a fait le constat d'un paysage morcelé en Europe en matière de certification de sécurité informatique. En l'absence de normes européennes, la certification s'effectue au niveau national, sur la base de normes internationales. Seuls 13 États membres ont signé un accord pour appliquer une norme internationale fondée sur des critères communs d'évaluation de la sécurité des technologies de l'information.
C'est pourquoi, de manière plus large, deux ans après son lancement en mai 2015, la Commission européenne a procédé à une révision à mi-parcours de sa stratégie pour un marché unique numérique le 10 mai 2017, dans laquelle elle estime qu'il faut renforcer la cybersécurité commune. Cette évolution a fait suite à une communication de 2016 dans laquelle la Commission annonçait déjà de nouvelles mesures pour intensifier la coopération, l'échange d'informations, et le partage de connaissance pour améliorer la résilience de l'Union en termes de cybersécurité. La Commission a annoncé que l'actualisation de la cybersécurité en Europe devait passer par trois orientations : le réexamen de la stratégie de 2013 sur la cybersécurité ; la révision du mandat l'ENISA ; la définition de mesures concernant les normes, la certification et l'étiquetage en matière de cybersécurité pour une meilleure sécurisation des systèmes.
2. La proposition de la Commission européenne : le paquet cybersécurité de septembre 2017
Signe de l'importance que la Commission européenne accorde au sujet, la cybersécurité a été évoquée par Jean-Claude Juncker dans son discours sur l'état de l'Union le 13 septembre 2017, évoqué en avant-propos. Dans la foulée, la Commission a annoncé une série de mesures surnommée « paquet cybersécurité ». Il comprend :
- Une communication chapeau intitulée « Résilience, dissuasion et défense : doter l'UE d'une cybersécurité solide ;
- une proposition de règlement sur l'ENISA, aussi appelé acte pour la cybersécurité ;
- une communication et une recommandation proposant un cadre européen de réponses aux crises cyber ;
- une communication précisant certaines modalités de mise en oeuvre de la directive NIS sur la sécurité des réseaux et systèmes d'information.
La Commission européenne rappelle en introduction de sa communication que « la cybersécurité est essentielle tant pour notre prospérité que pour notre sécurité » . Elle fait le constat que les risques se multiplient de façon exponentielle et que cette tendance s'accentue. Cela concerne la cybercriminalité, dont l'incidence sur l'économie a quintuplé entre 2013 et 2017 et pourrait encore quadrupler d'ici à 2019. Cela relève aussi de cybermenaces qui sont le fait d'acteurs étatiques qui utilisent les outils informatiques pour mener des campagnes de désinformation, propager des fausses nouvelles et interférer dans des processus démocratiques ou encore monter des cyberopérations visant des infrastructures critiques.
Comme il a été montré en première partie, au fur et à mesure que le numérique se développe et occupe une place grandissante dans nos sociétés et notre économie, le risque augmente. Il va encore augmenter avec l'internet des objets, par lequel des dizaines de milliards de dispositifs seront connectés à internet d'ici à 2020. Car ces dispositifs contrôleront les réseaux électriques, les réseaux de transport, les voitures, les usines, la finance, les hôpitaux et aussi les maisons des particuliers. Or, actuellement, la cybersécurité n'est pas une priorité dans leur conception.
Pour permettre à l'Union européenne de faire face à ces risques, la Commission propose trois axes d'action qui constituent les trois chapitres de sa communication : développer la résilience de l'UE face aux cyberattaques ; créer une cyberdissuasion européenne efficace ; renforcer la coopération internationale en matière de cybersécurité.
Les textes concernant la réponse aux crises cyber et la mise en oeuvre de la directive NIS constituent surtout des lignes directrices pour une action efficace. Ils ne posent pas de difficulté.
L'Acte pour la cybersécurité est une proposition de règlement importante qui poursuit deux objectifs : un mandat pérenne et renforcé pour l'ENISA ; la création d'un cadre européen pour la certification de cybersécurité.
Lors de l'adoption de sa résolution portant avis motivé au titre du contrôle de subsidiarité 2 ( * ) , le Sénat s'était étonné de voir dans un même texte deux sujets aussi différents. Dans le premier cas, il s'agit de définir le rôle et le fonctionnement d'une agence européenne. Dans le second, on définit les règles qui vont s'appliquer à un processus de certification pour des produits qui seront mis sur le marché. Seul le fait que l'ENISA serait placée au centre du processus justifie que les deux aspects se trouvent dans un seul texte. Mais ce point est lui-même sujet à interrogations.
Depuis lors, le Conseil a adopté des conclusions quant au mandat qu'il entend confier à l'ENISA et le Parlement européen doit adopter sa position au cours des mois qui viennent sur la base du projet de rapport que la députée allemande Angelika Niebler a présenté le 27 mars 2018. Des discussions techniques au Conseil ont lieu chaque semaine sur la proposition de règlement dans le but qu'une orientation générale soit adoptée en juin prochain.
* 2 Résolution n° 25 (2017-2018), devenue résolution du Sénat le 6 décembre 2017 (http://www.senat.fr/dossier-legislatif/ppr17-079.html)