Jeudi 6 mai 2021

- Présidence de M. Jean-François Rapin, président -

La réunion est ouverte à 8 h 30.

Justice et affaires intérieures - Audition de MM. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information, et Juhan Lepassaar, directeur général de l'Agence européenne chargée de la sécurité des réseaux et de l'information

M. Jean-François Rapin, président. - Notre commission se réunit ce matin pour traiter d'un sujet qui prend une place croissante dans l'agenda politique : la cybersécurité. Nous y sommes attentifs depuis longtemps, d'autant que le sujet a donné lieu à plusieurs initiatives législatives européennes ces dernières années. Le coordinateur de l'Union européenne pour la lutte contre le terrorisme, Gilles de Kerchove, nous y a de nouveau sensibilisés lorsque nous l'avons auditionné en novembre dernier. Il a indiqué qu'à ses yeux, la communauté de la sécurité intérieure à Bruxelles n'avait pas encore pris la mesure de la digitalisation de la sécurité.

La pandémie accélère toujours plus la numérisation de l'économie et de la société. Elle conduit notamment à généraliser le télétravail. Dans ce contexte, les cyberattaques se développent sous différentes formes. Selon le Gouvernement, depuis le début de l'année 2021, chaque semaine, un hôpital français est la cible d'une cyberattaque. En pleine pandémie, cette situation est particulièrement alarmante et mobilise certainement l'Agence nationale de la sécurité des systèmes d'information (Anssi), dont je salue le directeur général, Guillaume Poupard, et l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa), dirigée par Juhan Lepassaar, que je remercie de s'être rendu disponible pour échanger ce matin avec notre commission.

Nous sommes désireux d'apprécier l'efficacité de la politique publique en matière de cybersécurité. Les moyens accordés à vos agences sont-ils adaptés à leurs missions ? L'Anssi pourra notamment évoquer l'annonce récente par le Président de la République française d'une enveloppe d'un milliard d'euros pour renforcer la stratégie française de cybersécurité, et l'Enisa les crédits que lui accorde le nouveau cadre financier pluriannuel. L'articulation entre les échelons national et européen et, au sein de l'Union, entre l'Enisa et la Commission européenne sont-elles satisfaisantes ? Les missions de l'Enisa sont-elles définies pour assurer une plus-value européenne ?

Certains assimilent la cybersécurité à un bien public et la comparent volontiers à la santé publique, ce qui exige donc de donner la priorité à la prévention et à la détection. Elle emporte en outre un enjeu de souveraineté, dans la mesure où elle implique de se préserver d'ingérences étrangères. Est-ce que cette vision est partagée par vos agences respectives ? La collaboration entre le public et le privé pour garantir ensemble ce bien public fonctionne-t-elle correctement ? Progresse-t-on vers une obligation de certification européenne en matière de cybersécurité, au moins pour les infrastructures essentielles et les plus grandes entreprises ?

M. Juhan Lepassaar, directeur général de l'Agence européenne chargée de la sécurité des réseaux et de l'information. - Notre agence a pour mission de garantir un niveau élevé commun de cybersécurité au sein de l'Union, tâche qui doit être menée en étroite collaboration avec les États membres.

La France a été pionnière dans le renforcement de la cybersécurité européenne. Celle-ci repose sur un premier pilier législatif avec la directive destinée à assurer un niveau minimal commun de sécurité des réseaux et des systèmes d'information, dite « NIS », puis un deuxième, avec le Cybersecurity Act. La France a soutenu l'Union dans le renforcement de ses capacités et participé à des exercices de cybersécurité à grande échelle. Elle a également lancé un forum permettant aux responsables des agences nationales de cybersécurité d'échanger régulièrement.

Au mois de décembre dernier, la Commission européenne a présenté des propositions de révision de la directive « NIS » (Network and Information System Security). Il s'agit pour nous d'une réponse bienvenue et nécessaire, au vu tout d'abord des conséquences sociales et financières des cyberattaques, dont le nombre et le coût sont en augmentation. Le coût de la cybercriminalité en 2020 est évalué à 5,5 trilliards d'euros, soit le double par rapport à l'année précédente. L'Enisa a été destinataire de 949 rapports d'incidents en 2020, concernant exclusivement des incidents très significatifs concernant des services essentiels, contre 432 en 2019. 171 concernaient le secteur des télécommunications, 742 d'autres secteurs critiques au sens de la directive. Pour le seul secteur de la santé, l'agence a reçu 262 rapports en 2020, contre 122 en 2019. Même en France, il y a eu de multiples cyberattaques contre les hôpitaux.

Les menaces sont de plus en plus ciblées, avec une complexité et une sophistication accrues des attaques.

Nous avons étudié 250 fournisseurs de services essentiels de cinq des plus grands États membres, dont la France. Eu égard à leur rôle, on aurait pu s'attendre à ce qu'ils mettent en oeuvre les meilleures pratiques en matière de cybersécurité. Or 43 % d'entre eux ont connu des incidents dont le coût a atteint 500 000 euros ; et pour 15 % d'entre eux, il a dépassé le million d'euros.

Il faut donc absolument améliorer le cadre général, et assurer une meilleure protection des citoyens et des entreprises. Le marché intérieur ne se limite pas aux seuls services essentiels. La plus grande partie des services sont fournis par des PME. Leurs vulnérabilités et leurs insuffisances en matière de cybersécurité ont des répercussions sur toutes les chaînes d'approvisionnement, dans tous les secteurs. Il est donc indispensable d'étendre le champ d'application de la directive aux petites entreprises et d'y inclure de nouveaux secteurs : l'industrie pharmaceutique, les fournisseurs de cloud, les centres de données, l'industrie alimentaire, les services de traitement des eaux usées, etc., qui doivent être considérés comme des fournisseurs de services essentiels.

La possibilité de procéder à des analyses de risques dans la chaîne d'approvisionnement est une excellente proposition. Une approche des risques et une coordination au niveau européen sont en effet de bonne méthode comme l'a montré le succès de l'expérience réussie de la boîte à outils de sécurité de la 5G. L'Enisa a engagé des travaux d'identification des menaces qui pèsent notamment sur l'intelligence artificielle et les objets connectés et publiera cette année une étude sur les menaces concernant les chaînes d'approvisionnement.

La proposition de directive prévoit aussi la création d'un registre des vulnérabilités de l'Union européenne, qui permettra de renforcer la transparence sur celles-ci et de renforcer l'indépendance des évaluations de leur gravité. Ce registre sera alimenté par les alertes et les recommandations des autorités nationales et l'Enisa pourra ainsi servir de guichet unique en la matière.

La directive NIS n'est pas le seul cadre pertinent. La cybersécurité est présente dans tous les domaines. L'objectif de l'agence est qu'elle acquiert une dimension horizontale comme le climat et les questions environnementales. Des progrès ont été réalisés, notamment pour les services financiers avec la directive « DORA ». J'invite ardemment le Sénat à prendre cette dimension en compte dans ses délibérations sur les politiques nationales.

L'investissement dans la cybersécurité reste faible. Les organisations européennes y consacrent en moyenne 41 % de moins que leurs homologues américaines. Le plan de relance de l'Union européenne offre des perspectives en soutenant des investissements dans les domaines ciblés qui amélioreront la cybersécurité et en favorisant un marché de la cybersécurité robuste.

L'Enisa analyse les tendances et les segments du marché, en mettant l'accent sur les solutions de cybersécurité. Mais l'un des plus éléments les plus importants sera la certification de cette cybersécurité, qui a été introduite pour la première fois en 2019 par le Cybersecurity Act. Depuis, bon nombre de collègues, dont la plupart sont Français, travaillent à la préparation de ces systèmes de certification. L'Enisa est sur le point de finaliser le premier système de certification en matière de cybersécurité. Elle progresse rapidement dans la mise au point d'un deuxième système pour le cloud et commence à travailler sur un troisième système pour la 5G. Le programme de travail glissant de l'Union définissant les futures priorités devrait être publié prochainement par la Commission européenne.

La certification est un outil puissant pour défendre nos intérêts dans la cybersécurité et pour créer de la confiance dans notre marché intérieur. D'autres outils, comme l'étiquetage, la normalisation ou les investissements coordonnés dans la recherche sont tout aussi importants pour garantir la protection des droits des consommateurs européens, la protection des valeurs de l'Union et la défense des intérêts de notre industrie.

Nous avons besoin d'une coopération internationale plus étroite pour améliorer les normes de cybersécurité : définition de normes de comportement communes, adoption de codes de conduite, utilisation de normes internationales, partage d'informations, etc.

Les investissements dans la recherche et l'innovation sont essentiels pour pouvoir compter sur une base industrielle européenne solide et de premier plan dans un plus grand nombre de domaines de l'économie numérique, y compris la cybersécurité.

Le Centre de compétences de l'Union européenne en matière de cybersécurité et le réseau des centres de coordination nationaux deviendront le troisième pilier de la cybersécurité européenne. La contribution du Centre sera importante pour assurer une meilleure coordination des priorités et des ressources en matière de cybersécurité au sein de l'Union européenne et apporter de l'innovation.

Au cours des cinq dernières années, l'Union européenne a pris de nombreuses mesures pour sécuriser le cyberespace européen. Des initiatives législatives et organisationnelles parallèles ont été lancées. Elles ont permis d'améliorer le partage d'informations et la réponse collective aux incidents dans les institutions de l'Union européenne et les différents États membres.

Nous avons subi davantage d'attaques pendant la pandémie de covid-19. Le partage de données et d'informations et la coopération au sein de l'Union européenne sont bénéfiques pour tous les participants. Ils permettent de mettre en commun les connaissances communes, d'identifier des tendances actuelles et futures, de repérer des lacunes et d'améliorer considérablement nos capacités d'arrêter les auteurs d'attaques.

L'Enisa va créer des formations en matière de cybersécurité et mettre en place des boucliers, les cyber shields, pour protéger les États. Nous avons besoin de clarté sur la manière de déclencher ces actions. L'unité conjointe pourra être le lieu de réponse au niveau technique en cas de crise. Notre agence est prête à utiliser pleinement son mandat. Elle contribuera à cette unité pour la cybersécurité.

M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Nous sommes confrontés à des menaces extrêmement fortes. Elles sont au nombre de trois.

La première, c'est la grande criminalité. Aujourd'hui, des groupes criminels cherchent à rançonner. Les victimes sont parfois des hôpitaux. J'ai en permanence une quarantaine d'opérations ouvertes, soit une dizaine d'opérations nouvelles par semaine. La lutte contre cette activité criminelle est un enjeu majeur.

La deuxième, c'est l'espionnage. Personne ne veut en parler, mais c'est d'une gravité extrême d'un point de vue stratégique et économique. Nous ne sommes pas capables d'estimer le préjudice lié à cet espionnage, qui est le fait d'acteurs de très haut niveau, parfois des États.

La troisième est de nature quasi militaire. Aujourd'hui, des attaques informatiques peuvent avoir des effets aussi destructeurs que ceux d'opérations militaires conventionnelles : en créant le chaos, par exemple dans les transports, on peut bloquer toute une nation.

Il est donc impératif de nous protéger face aux cybermenaces, avec des acteurs et des capacités de coopération entre les États qui diffèrent évidemment.

L'Anssi a été créée en 2009. Le modèle français est basé sur la séparation des activités offensives et défensives, ce qui n'est pas le cas chez nos amis anglo-saxons. La séparation des activités ne signifie pas, tant s'en faut, l'absence de discussions entre nous : nous travaillons ensemble de manière intelligente depuis douze ans, et nous avons atteint un niveau de confiance absolument remarquable.

L'Anssi ne fait pas d'enquêtes judiciaires. Mais nous avons un lien étroit avec les services d'enquête spécialisés, en particulier pour aider les victimes. Nous ne faisons pas le même métier, mais nous agissons de concert.

En 2013, nous nous sommes rendu compte que la pression était très forte sur les opérateurs critiques. Depuis cette date, ces derniers ont l'obligation d'appliquer des règles de cybersécurité établies par l'Anssi et de nous informer quand ils sont attaqués. Nous pouvons effectuer des contrôles et donner des instructions très fortes au nom du Premier ministre en cas de crise majeure. Un dispositif comparable existe en Allemagne.

Il y a une sorte de jeu de ping-pong entre la France et l'Union européenne. Il s'agit de voir comment une bonne idée d'un État membre peut être étendue à l'échelle européenne. Nous le faisons avec la Commission européenne et les États membres impliqués sur les questions de cybersécurité. Évidemment, monter à l'échelle européenne permet d'obtenir un effet de masse et d'éviter un morcellement mais le souci de ne pas empiéter sur les souverainetés nationales est permanent. En matière de cybersécurité, nous sommes souvent confrontés à des problématiques de souveraineté nationale ; on ne peut pas tout partager, notamment sur le renseignement, même avec des alliés très proches. Tout l'enjeu est de maintenir un équilibre entre ce qui relève des souverainetés nationales et ce qui peut être traité à l'échelon européen pour plus d'efficacité.

C'est le sens de la directive Network and Information System Security (NIS), votée en 2016 et transposée en 2018, qui a permis d'ajouter de nouveaux opérateurs au dispositif des opérateurs d'importance vitale. L'intérêt est de ne pas être en concurrence ; les systèmes se complètent. Ainsi, si les centres hospitaliers universitaires (CHU) sont des opérateurs d'importance vitale, une centaine d'hôpitaux plus petits sont également considérés comme critiques au titre de la directive européenne. C'est un très bon mécanisme.

Nous avons beaucoup travaillé avec la Commission européenne, l'Enisa et les États membres à la mise en place de réseaux. Voilà une dizaine d'années, on nous disait que les petits pays n'arriveraient pas à se protéger et qu'il faudrait une défense européenne. Outre que cela aurait empiété sur les souverainetés nationales, c'était assez irréaliste. Depuis dix ans, le modèle que nous promouvons consiste à demander à chaque État membre de développer ses propres capacités, puis à les faire fonctionner en réseau. Le rôle de l'Enisa est essentiel : faire des réseaux à vingt-sept, ce n'est pas simple.

Le réseau technique d'échanges d'informations, qui est ô combien crucial, fonctionne très bien : il y a un centre opérationnel au sein de chaque État membre, et ces centres opérationnels échangent des informations. Il y a évidemment une marge de progrès, mais nous obtenons de très bons résultats.

Le réseau Cyber crisis liaison organization network (Cyclone) regroupe des directeurs d'autorités nationales, dont votre serviteur pour la France. Là, nous sommes au niveau stratégique. Si une crise touche l'Europe, nous sommes capables de nous coordonner pour avoir une réponse commune. Le système doit être rodé. Nous faisons des simulations. La coordination européenne est absolument essentielle.

La certification est un enjeu majeur pour permettre la confiance. Je mets au défi quiconque de savoir qui est de confiance dans des domaines aussi complexes que la 5G, le cloud computing, etc. Même pour nous, il est difficile d'avoir un avis fiable. La France, l'Allemagne, les Pays-Bas et d'autres pays européens pratiquent de longue date la certification. Nous avons entrepris une démarche auprès de la Commission européenne pour souligner que cette pratique gagnerait à devenir européenne. Construisons une certification européenne. Là encore, l'Enisa a un rôle majeur à jouer, notamment pour organiser tous les travaux en cours.

Sur la question, moins technique et plus politique, de la souveraineté, nous sommes en train de travailler sur le schéma de certification pour les offres de cloud. La France plaide pour que celles-ci soient sûres d'un point de vue non seulement technique et opérationnel, mais également juridique. Acceptera-t-on qu'elles soient soumises à des droits non européens, en particulier le droit américain ? Je pense que ce serait une erreur fondamentale. Pour les systèmes les plus critiques, seul le droit européen doit pouvoir s'appliquer. Il y a là un enjeu très fort en termes de souveraineté européenne, domaine dans lequel la France est plutôt en pointe, mais qui ne fait pas consensus.

La révision de la directive NIS va arriver à maturité au premier semestre de l'année prochaine, période qui coïncidera avec la présidence française de l'Union européenne. J'espère que nous pourrons aboutir. Je trouve cette révision excellente. Elle permet d'augmenter le niveau d'ambition du texte tout en respectant la souveraineté de chaque État membre. L'équilibre est très subtil et de grande qualité.

Nous souhaitons aussi tester la mise en place de mécanismes de solidarité pendant la présidence française de l'Union européenne. Ainsi que je l'ai indiqué, les capacités sont mises en réseau. Il faut désormais passer à la troisième étape : l'aide mutuelle face à de vrais problèmes. Pour l'instant, cela ne fonctionne pas encore.

Ceux qui opposent souveraineté nationale et souveraineté européenne ou sécurité nationale et sécurité européenne sont nos ennemis. D'ailleurs, bien souvent, ils ne sont pas européens. Une Europe morcelée, cela bénéficie évidemment à certains.

Avec le recul, nous savons que l'on peut tout à fait combiner les deux souverainetés, avec des États à la fois individuellement forts et capables de travailler ensemble. C'est ce que l'on peut faire de mieux pour avoir une cybersécurité véritablement efficace à l'échelle européenne.

M. Dominique de Legge, rapporteur. - Nous pouvons partager l'ambition, exprimée par M. Lepassaar, d'une dimension horizontale de la cybersécurité dans toutes les politiques. Mais ne risque-t-on pas de ne fixer aucune priorité ? Comment concilier un souci d'efficacité en ciblant le problème tout en sachant que le sujet est tellement large que nous sommes bien obligés de l'appréhender dans sa globalité ?

Nous pouvons également souscrire aux propos de M. Poupard sur la nécessité de ne pas opposer souveraineté européenne et souveraineté nationale. Mais, à un moment donné, la souveraineté ne peut pas se diviser, notamment en matière de défense. Dans quelle mesure le Fonds européen de défense sera-t-il mobilisé ? Comment parler de souveraineté européenne alors que, au-delà des déclarations d'intention, il n'y a ni défense européenne ni diplomatie européenne ?

La France peut avoir des ambitions en matière de souveraineté européenne. Mais celles-ci ne sont pas forcément partagées par les autres États membres. De quels moyens juridiques et opérationnels disposons-nous pour avancer à cet égard ? Les pays ont envie d'exercer leur souveraineté nationale. C'est le cas de la France en matière de défense.

Mme Laurence Harribey, rapporteure. - Je me réjouis que nous entendions l'Enisa et l'Anssi dans une même audition. Pendant un temps, la coopération entre les États membres et l'échelon européen n'allait pas de soi. D'aucuns craignaient que le renforcement de l'Enisa ne remette en cause le rôle des agences nationales. Le discours a changé.

Dans notre rapport de 2018, nous insistions sur l'importance de renforcer les moyens et les effectifs de l'Enisa. Le renforcement est-il réel ? Plus les États sont forts, plus le rôle de l'Enisa sera important dans la mise en réseau des capacités des États membres. Comment cela va-t-il se traduire concrètement ?

Nous avons un vrai problème de formation et de manque d'experts en cybersécurité, qui risquent d'ailleurs de partir dans le privé s'ils ne sont pas rémunérés en conséquence. Où en sommes-nous ? Une formation à l'échelle européenne nous semble importante, notamment pour créer une culture européenne de la cybersécurité. Le Centre de compétences peut apporter des réponses, en particulier en permettant des partenariats public-privé. Ce que Thierry Breton a fait sur les vaccins doit aussi pouvoir se faire dans le domaine de la cybersécurité.

La directive se focalise sur les opérateurs essentiels. Nous avons le sentiment que ceux-ci vont être de plus en plus nombreux, car tout le monde est concerné. Ne pourrait-on pas envisager aussi une cybersécurité à étages ? Comment renforcer l'échelle de certification ? Les cyberattaques passent par les sous-traitants.

En France, une collectivité territoriale est attaquée chaque semaine. La numérisation des données sociales et le futur certificat vert vont offrir de nouvelles cibles aux cyberattaques. Quelle est la place de la cybersécurité dans le plan de relance ?

Quid de la coopération en matière de cybersécurité avec le Royaume-Uni dans le contexte du Brexit ?

En matière de défense, le modèle français, que M. Poupard a présenté, pourrait-il devenir un modèle européen ? La France vient de créer l'Agence du numérique de défense. Ne pourrait-on pas imaginer un organisme similaire à l'échelon européen ? Quelles seront les relations de cette agence avec l'Agence européenne de défense et celles des autres pays ?

M. Juhan Lepassaar. - Assurer la cybersécurité alors que tout le monde agit dans un environnement numérique est une tâche essentielle.

Premièrement, nous devons nous assurer que toutes les organisations, entreprises et administrations maîtrisent les connaissances de base en matière de gestion des risques informatiques, qu'elles savent comment agir pour minimiser les risques dans l'univers numérique. La prise de conscience au niveau de tous les États membres est très importante.

Deuxièmement, il faut travailler sur la certification. Nous devons nous assurer que les recommandations en matière de cybersécurité sont bien mises en place par les opérateurs des différents secteurs. Mais la certification est également une manière de s'autoévaluer. Les entreprises auront un cadre qu'elles pourront utiliser sur la base du volontariat. Cela permet une approche horizontale.

Troisièmement, nous avons besoin de plus de normes en matière de cybersécurité. Cela demandera du temps et des efforts. Mais nous avons déjà commencé à l'échelon européen. Et nous avons des résultats.

Depuis mon arrivée à la tête de l'Enisa, les effectifs, passés de 72 à 118, ont augmenté de 44 %. Mais cela est très insuffisant et nous restons une petite agence. Nous dépendons de l'expertise des États membres et du secteur privé européen. Notre rôle est d'engager des communautés et des réseaux sur la cybersécurité. Il faut donc créer des synergies. Les officiers de liaison français sont très utiles.

À propos de la souveraineté, les États membres sont, de mon point de vue, leader en matière de cybersécurité. Nous ajoutons de la valeur, et nous pouvons aider sur certains éléments. Mais nous devons reconnaître qu'il y a des limites. Il est des domaines dans lesquels nous ne devons pas intervenir, car c'est la responsabilité des États membres de se protéger eux-mêmes.

Il y a des questions de cybersécurité civile, mais également de défense nationale. Ces deux aspects doivent s'articuler. L'enjeu est non seulement national, mais également européen. Le volet défense et sécurité de l'Union européenne est encore en construction. Je me réjouis que nous ayons un commissaire responsable politiquement de la cybersécurité, mais également du marché intérieur et de la question de la défense européenne. Nous pouvons trouver des synergies, mais il y aura des limites.

M. Guillaume Poupard. - Ces questions de cybersécurité sont complexes, et c'est notre rôle de fixer des priorités. Cependant, l'Anssi et l'Enisa ne peuvent pas être les seules à porter ces sujets stratégiques. Les décideurs publics et privés doivent s'impliquer.

Il faut appliquer partout une hygiène de base, sans quoi toute médecine sera vouée à l'échec. La directive NIS et sa révision sont là pour apporter des bases génériques aux acteurs importants, qu'il s'agisse d'un hôpital ou d'une usine d'armement. Il faudra ensuite les étendre progressivement.

Au-delà de cette base générique, il conviendra de proposer des réglementations sectorielles en matière de cybersécurité, qui dériveront toutes de la base générique. Le secteur financier est en pointe dans ce domaine, qui prend en considération des spécificités fonctionnelles venant s'ajouter à la directive européenne en vigueur. L'Enisa a également procédé à des analyses sectorielles dans le secteur maritime. Les acteurs que nous voulons sécuriser sont européens et non pas nationaux.

Comme ingénieur militaire, les questions de souveraineté me dépassent certainement. Je crois cependant qu'il est bon de développer ce que l'on pourrait appeler une « autonomie stratégique européenne ». Dans certains secteurs, comme la défense ou le renseignement, l'ancrage national l'emporte. En revanche, pour les réglementations et les certifications, il est important de pouvoir faire appliquer des règles européennes. C'est ce que nous ferons dans le domaine de la cybersécurité.

Quant aux moyens, un directeur dira qu'il n'en a jamais assez. L'Enisa est passée d'un effectif de 72 personnes à 118 personnes. C'est une croissance remarquable, mais cela reste insuffisant pour assurer la cybersécurité européenne. L'agence européenne a besoin de plus de moyens, et ceux-ci devront être utilisés en complémentarité et surtout pas en concurrence avec les ressources nationales comme nous avons réussi à le faire jusqu'à présent. Nous manquons en tout cas d'experts, c'est certain.

Quant à l'Anssi, elle est objectivement bien servie.

M. André Gattolin. - Nous y avons veillé en loi de finances.

M. Guillaume Poupard. - Son effectif approche les 600 personnes. Cependant, l'agence ne peut assurer à elle seule la cybersécurité française. Le besoin croît beaucoup plus vite que nos capacités de formation. Nous n'en sommes plus à ouvrir un master en cybersécurité ; désormais, c'est au lycée, dès la classe de seconde, qu'il faut convaincre les élèves que les métiers du cyber sont passionnants.

À l'échelle européenne, le mouvement se développe. J'avais envisagé, il y a quelques années, de mettre en place un Erasmus du cyber. Former les jeunes au niveau européen aurait du sens. Il faut trouver les moyens d'assurer ce type de formation et de travailler à faire changer l'idée répandue qu'elle est essentiellement destinée au sexe masculin.

La création du Centre européen de compétences en matière de cybersécurité est une évolution importante, en matière de recherche et de développement. Il lui reviendra de coordonner les moyens de manière cohérente, en s'appuyant sur les réseaux nationaux.

En France, nous implémenterons un centre national autour d'un campus cyber qui rassemblera des chercheurs, des experts et des formateurs. Le projet est en cours.

Le dispositif de certification des opérateurs se complexifie au fur et à mesure qu'il se développe. Cette régulation est une chance pour les opérateurs désignés comme essentiels, qui seront ainsi protégés. La certification a été bien pensée dans le Cybersecurity act : elle couvre plusieurs niveaux, pas seulement les très hauts niveaux, mais aussi les niveaux moindres mais substantiels.

Certains sujets très complexes restent ouverts. La supply chain, très difficile à maîtriser, est un lieu d'entrée pour les attaques. Celle qui a eu lieu récemment aux États-Unis par le biais de logiciels fournis par SolarWinds en est la preuve. Il est très difficile de sécuriser une supply chain en remontant au-delà des acteurs terminaux.

M. Ludovic Haye. - Pour aller plus loin dans la construction d'une politique numérique européenne, le problème semble être plus éthique que technique. En effet, les enquêtes sur le cybercrime ont montré que certains pays prenaient beaucoup de précautions dans l'utilisation des algorithmes, par exemple, même dans des situations qui ne le justifient pas. Il faudrait pouvoir s'affranchir de la protection des données dans certains cas, dès lors, par exemple, qu'il y a un soupçon d'acte terroriste. Le risque encouru est alors nettement plus important que la nécessité de préserver une identité. Les pays européens ne pourraient-ils pas s'entendre sur ce qu'il faut autoriser dans ce domaine ?

M. André Gattolin. - L'estimation du coût de la cybersécurité européenne à 5,5 trilliards d'euros me rappelle l'intervention que j'avais faite en 2014, après la publication d'un rapport au sommet de Davos qui estimait à l'époque ce coût à 2 ou 3 trilliards d'euros. Comment expliquer que le coût soit en réalité le double de ce qui était prévu ? Que n'avait-on pas prévu ? Que risque-t-on aussi de voir venir ?

Le passage à l'informatique quantique aura certainement des conséquences importantes sur la cryptographie des clefs classiques de protection. Thierry Breton m'a assuré que la France travaillait beaucoup sur ce sujet. Il est déjà difficile d'obtenir des particuliers et des petites entreprises qu'ils mettent à jour leurs logiciels. Il sera d'autant plus complexe de protéger les grands opérateurs stratégiques dans le cadre des supply chains. Celles-ci offrent des voies détournées non pas pour des attaques directes contre l'institution, mais pour obtenir des données. Comment faire face ? Quel type de menaces cyber risque-t-on de ne pas avoir anticipées dans les années à venir ?

M. Claude Kern. - Vous intéressez-vous aux entreprises qui viennent installer des usines en France, comme Huawei, désormais implantée à Brumath, en Alsace, près d'un site militaire de renseignement ?

M. Guillaume Poupard. - Nous traitons les questions éthiques au niveau national. Je ne sous-estime pas l'importance de préserver un équilibre entre la sécurité et la vie privée. Nous devons nous montrer dignes de la confiance que l'on nous accorde. Lorsque nous avons obtenu le droit d'installer des systèmes de détection d'attaques autour de serveurs hébergés que l'on pensait menacés, cela a donné lieu à débat. Il faut aller plus loin, mais nous devons avancer à petits pas sur ces sujets sensibles.

Il faut surtout veiller à éviter les mauvaises solutions. Un débat récurrent met en cause le chiffrement, alors que cette technologie est essentielle pour assurer la cybersécurité. Certes, des personnes malfaisantes peuvent l'exploiter, et il arrive que le chiffrement ait pour effet de nuire à la qualité des enquêtes. Toutefois, il serait excessif et inefficace de le supprimer. Nous devons veiller à donner aux services les moyens d'accomplir leur travail dans de bonnes conditions de contrôle, mais sans promouvoir de solutions dangereuses et inefficaces.

Le cercle vicieux de la cybercriminalité s'est développé plus vite que nous ne pouvions l'envisager. Nous avons sous-estimé l'asymétrie de l'effort entre les attaquants et les défenseurs. Les attaquants cyber sont très peu nombreux, mais font de très gros gains. Lutter contre le blanchiment de ces gains serait un moyen de sortir de ce cercle vicieux. Il faudrait aussi mieux travailler avec les acteurs concernés.

L'ordinateur quantique sera certainement néfaste, à court terme, en matière de cybersécurité. Il sera difficile de faire évoluer les standards mondiaux de l'internet. Cela prendra dix à quinze ans. Le sujet est toutefois bien pris en compte à l'échelle internationale, notamment aux États-Unis, mais aussi en France. Je suis confiant, mais il ne faut pas perdre de temps.

La CIA vient de publier son rapport sur la prospective, qui devrait nous donner de nouveaux éléments en matière de cybersécurité. Ma crainte porte surtout sur des attaques qui créeraient le chaos, en sabotant par exemple notre système d'électricité, d'eau ou de télécommunications, d'où l'attention particulière que nous portons à la 5G. Qu'arrivera-t-il si une attaque coupait tout, et si demain nous n'avions plus de 5G ? Nous devons prioriser les opérateurs et les services essentiels, et responsabiliser via la règlementation les acteurs qui portent ces systèmes critiques.

Quant à l'installation d'usines étrangères, le sujet relève de l'analyse de risques. Je ne suis pas certain que l'implantation de Huawei en Alsace soit une menace pour la sécurité militaire, hormis le fait que cette installation pourra influencer nos choix en matière d'équipements.

Il faut donc veiller à ce que ce type d'installation ne devienne pas un moyen de pression. La loi du 1er août 2019 doit s'appliquer, notamment sur le déploiement de la 5G en France, pour garantir un équilibre entre la sécurité nationale, la rentabilité des opérateurs et la multiplicité des équipementiers. Cet équilibre est très subtil.

M. Juhan Lepassaar. - Nous devons protéger nos valeurs, notre vie privée, la propriété intellectuelle et nos actifs numériques. Je suis opposé à l'affaiblissement des systèmes de chiffrement.

En ce qui concerne les cyberattaques, la société n'a pas été construite sur un principe de sécurité par défaut. Il nous faut donc reconfigurer un certain nombre de dispositifs et veiller à responsabiliser les producteurs, en les incitant à développer des services et des outils cybersécurisés. Lorsqu'une voiture est défaillante, le constructeur lance une campagne de rappel. En cas de cyberfaille sur un produit, la responsabilité porte sur le seul consommateur. Ne faudrait-il pas repenser ce système ?

M. Jean-François Rapin, président. - Merci pour cette audition passionnante, même si elle n'est pas forcément rassurante. Nous sommes en quête de pistes pour relancer l'emploi et ce que vous nous avez dit sur la formation au cyber devrait nous inspirer.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Politique étrangère et de défense - Proposition de résolution européenne concernant les garanties professionnelles des élus locaux qui sont travailleurs frontaliers - Examen du rapport

M. Jean-François Rapin, président. - Je tiens à remercier Mmes Pascale Gruny et Laurence Harribey d'avoir accepté de rapporter ce texte dans un délai contraint et sur un sujet assez pointu. En effet, notre collègue Jean-Louis Masson a déposé le 6 avril dernier une proposition de résolution européenne concernant les garanties professionnelles des élus locaux qui sont travailleurs transfrontaliers. Notre commission dispose d'un mois pour examiner les propositions de résolution européenne qui lui sont soumises, donc nous sommes juste dans les temps. Le sujet est important, car il concerne les conditions d'exercice de la démocratie locale au niveau européen.

Mme Pascale Gruny, rapporteur. - Avant d'en venir au fond du sujet, nous souhaitions vous indiquer, en préalable, que le délai contraint d'examen ainsi que le caractère transverse du sujet ne nous ont pas permis d'obtenir toutes les réponses à nos questions de la part des administrations concernées. Nous n'avons pas pu, par exemple, recenser le nombre de personnes concernées. Nous le regrettons, mais nous pourrons cependant vous présenter, ce matin, notre analyse et position sur ce texte.

Cette proposition de résolution avait déjà été déposée par notre collègue Jean-Louis Masson en juin 2010. La commission avait alors décidé, sur le rapport de son président Jean Bizet, de rejeter ce texte. Sans surprise et pour les mêmes raisons, nous vous inviterons au même vote.

Le texte appelle à harmoniser les garanties professionnelles accordées aux élus locaux au sein de l'Union, ou tout du moins à améliorer la situation des élus locaux transfrontaliers, par le biais d'un acte législatif de l'Union.

En France, les élus locaux bénéficient de facilités leur permettant de concilier leur mandat avec l'exercice d'une activité professionnelle. Ces garanties ont été revues et renforcées, pour partie, par la loi du 27 décembre 2019 relative à l'engagement dans la vie locale et à la proximité de l'action publique. Les garanties professionnelles accordées aux élus locaux consistent notamment en autorisations d'absence pour participer aux séances et réunions de leurs assemblées ou organismes, ou en crédits d'heures forfaitaires et trimestriels, pour participer à l'administration de leur collectivité. Des garanties relatives à la protection sociale existent également concernant les élus locaux français.

Toutefois, si ces garanties s'appliquent aux élus locaux travaillant en France, il en va différemment pour ceux travaillant à l'étranger, en particulier dans les pays frontaliers de la France, comme le pointe notre collègue dans sa proposition de résolution.

Il n'existe, en effet, aucune disposition dans le droit de l'Union européenne obligeant les entreprises à prévoir des garanties permettant à leurs employés de concilier leur mandat local avec leur activité professionnelle. C'est un sujet qui relève du droit national. Ce dernier peut ne rien prévoir pour les salariés qui sont élus dans un autre pays, et de ce fait ne pas imposer d'obligations particulières pour l'employeur.

Malgré nos demandes, nous n'avons malheureusement pas pu obtenir d'éléments de droit comparé, concernant les garanties prévues dans les pays frontaliers. Il n'en demeure pas moins que la législation, sur ce sujet, est variable selon les États, et qu'aucun État ne semble prévoir de dispositions pour les élus locaux français travaillant sur leur territoire.

Nous regrettons également qu'aucune statistique n'ait pu nous être fournie sur le nombre d'élus locaux concernés. M. Masson mentionne le nombre de 300 élus locaux dans les anciennes régions de Lorraine et d'Alsace, qui seraient travailleurs transfrontaliers. Si le nombre de personnes concernées ne nous a pas été confirmé, le problème n'en demeure pas moins réel et connu du Gouvernement, comme nous avons pu le constater, en auditionnant l'Ambassadeur en charge des questions transfrontalières.

Mme Laurence Harribey, rapporteure. - Cette problématique concernant les élus locaux travailleurs transfrontaliers est bien réelle. Toutefois, la solution proposée par notre collègue Masson ne semble pas la plus appropriée. Selon nous, et comme avait pu l'indiquer notre collègue Jean Bizet en 2010, ce sujet ne relève pas du droit de l'Union européenne, mais plutôt d'accords bilatéraux entre États, et ce pour plusieurs raisons.

Tout d'abord, une harmonisation par le droit de l'Union européenne ne permettrait pas de régler la situation des travailleurs transfrontaliers travaillant à l'extérieur de l'Union, notamment en Suisse, qui compte beaucoup de travailleurs transfrontaliers.

En outre, les bases juridiques dans les traités, évoquées dans la proposition de résolution européenne, nous semblent insuffisantes pour justifier une action de l'Union. Si l'article 25 du traité sur le fonctionnement de l'Union européenne permet effectivement au Conseil de « compléter » les dispositions du traité concernant le droit d'être électeur et élu aux élections municipales et européennes, le processus de décision apparaît très lourd et disproportionné au regard de la problématique évoquée. Seraient ainsi requises, dans ce processus, l'unanimité des États membres ainsi que l'approbation du Parlement européen et de chaque parlement national.

Surtout, une action au niveau de l'Union européenne risquerait de se heurter au principe de subsidiarité, prévu à l'article 5 du traité sur l'Union européenne.

Plutôt que par une initiative législative de l'Union, la problématique de ces élus locaux pourrait être traitée directement entre les États membres concernés. En effet, ne semblent directement concernés que quelques pays, outre le nôtre, au premier rang desquels le Luxembourg, la Suisse, l'Allemagne et la Belgique.

La solution semble donc relever plutôt d'accords bilatéraux entre États que de la compétence de l'Union européenne. De tels accords n'entrent cependant pas dans le champ des résolutions européennes prévues à l'article 88-4 de la Constitution, mais plutôt des résolutions inscrites à l'article 34-1 de la Constitution, en ce qu'ils concernent la politique étrangère de la France.

C'est la raison pour laquelle nous vous invitons à rejeter cette proposition de résolution européenne. Elle sera toutefois renvoyée à la commission des affaires étrangères, de la défense et des forces armées en application de l'article 73 quinquies du Règlement du Sénat. Cet article prévoit, en effet, un renvoi des propositions de résolution européenne à une commission permanente, y compris en cas de rejet du texte par notre commission.

Bien que ce sujet ne relève pas du droit de l'Union européenne, nous considérons tout de même envisageable une recommandation du Conseil sur la question, qui viserait à encourager la conclusion d'accords bilatéraux entre États concernés. Si le président de notre commission en est d'accord, un courrier pourrait être adressé à cet effet à la présidence du Conseil.

Je rappelle qu'à ce jour, selon les informations qui nous ont été communiquées, il n'existe aucun accord entre la Belgique et ses voisins sur les garanties professionnelles accordées aux élus transfrontaliers. De même, aucun n'accord n'a été signé entre la France et le Luxembourg sur cette question.

Parallèlement ou en amont de la conclusion de tels accords, nous pensons également que ce sujet pourrait être utilement discuté et négocié au sein d'instances interparlementaires, telles que le Conseil interparlementaire régional et le Conseil économique de la Grande Région, qui réunit Wallonie, Sarre, Rhénanie-Palatinat, Luxembourg et Grand Est.

Plus largement, nous pensons que cette question de la démocratie locale, qui participe au processus de démocratisation de l'Union, pourrait être un sujet de réflexion porté par notre commission, dans le cadre de la Conférence sur l'avenir de l'Europe.

M. Claude Kern. - En tant qu'alsacien, je partage les conclusions des deux rapporteurs. Cependant, le land de Bade-Wurtemberg est-il représenté au Conseil économique de la Grande Région ?

Mme Laurence Harribey, rapporteure. - C'est à vérifier.

M. Jean-François Rapin, président. - Ce travail doit être poursuivi. Il est important, même si le vecteur législatif européen n'est pas le bon. Nous pourrions toutefois encourager les États membres concernés à se mobiliser sur le sujet.

La commission conclut au rejet de la proposition de résolution européenne.

Questions diverses

M. Jean-François Rapin, président. - La France présente une certaine tendance à réglementer au-delà de ses obligations européennes, au risque de dégrader sa compétitivité au sein même du marché unique. C'est sur ce fondement que, depuis trois ans, la commission des affaires européennes s'est vue confier une mission de veille sur les surtranspositions des textes européens, à l'occasion de l'examen des projets et propositions de loi qui comportent des mesures de transposition en droit interne de directives ou des mesures d'application de règlements européens. Elle peut formuler, en tant que de besoin, des observations sur les dispositions concernées.

Cette mission a d'abord été mise en oeuvre à titre expérimental, puis elle a été consacrée par le Règlement du Sénat en 2019. Concrètement, cela implique que le service des affaires européennes assure un suivi des projets de textes législatifs comportant des mesures de transposition et me propose son analyse pour apprécier s'il y a lieu ou non de demander une saisine pour observations de la commission.

J'ai souhaité vous soumettre aujourd'hui l'analyse de deux projets de loi importants qui seront tous deux soumis dans quinze jours à l'examen du Sénat. Le premier est le projet de loi n° 535 dit Ddadue. Il vise à mettre le droit national en conformité et en cohérence avec certaines évolutions récentes du droit de l'Union européenne et à parfaire l'application ou la transposition de dispositions européennes plus anciennes. Le Gouvernement souhaite en effet que la France, avant de prendre la présidence du Conseil, ne présente aucun retard en matière de transposition du droit européen et dispose d'un droit national conforme à la législation européenne la plus récente. Il s'agit d'un texte technique qui traite d'aviation civile, de transports terrestres et maritimes, des minerais dits « de conflits », de la protection et l'information environnementales et de dispositions en matière économique et financière. À l'examen, il appelle peu d'observations au regard du risque de surtransposition. Aussi, il ne me paraît pas justifié que notre commission s'en saisisse pour observations au titre de l'article 73 sexies du Règlement du Sénat.

Le second est le projet de loi n° 558 relatif à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique. Son examen avait été suspendu le 24 mars 2020 en raison de la crise sanitaire. La transposition des directives audiovisuelles de 2018 et 2019 n'y figure pas dans la mesure où elle a été effectuée par voie d'ordonnances, ou le sera prochainement.

Ce projet de loi déposé au début du mois d'avril dernier reprend les dispositions institutionnelles du projet de loi déposé à la fin de 2019, et se focalise sur la lutte contre le piratage audiovisuel et la préservation de l'accès du public aux oeuvres cinématographiques et audiovisuelles françaises. Dès lors, il doit être articulé avec le droit européen en matière de protection des droits voisins dans un environnement numérique et de contrôle des investissements directs étrangers (IDE). Après examen, les mesures proposées ne me paraissent pas non plus justifier que notre commission se saisisse de ce texte pour observations.

Je vous propose donc d'en prendre acte et de ne pas saisir notre commission pour observations de ces deux textes qui, d'ailleurs, mobilisent déjà plusieurs commissions permanentes.

La commission en prend acte.

La réunion est close à 10 h 20.