G. LES RELATIONS INTERNATIONALES
En lien avec les ministères compétents, l'ANSSI assure la représentation de la France dans les organisations internationales, le suivi des négociations en matière de sécurité numérique et l'établissement de partenariats notamment opérationnels avec d'autres pays.
a) La préparation des positions françaises au sein de l'Union européenne
Les institutions européennes considèrent le numérique comme un champ d'action nouveau dans lequel elles disposent d'un pouvoir normatif. L'agence doit ainsi y renforcer son influence afin que les orientations soient conformes à nos intérêts fondamentaux de la France.
La France ayant été l'un des premiers pays européens à mettre en place une approche ambitieuse en cybersécurité, notamment via son choix d'utiliser la réglementation pour protéger les opérateurs d'importance vitale. Ce modèle interministériel, séparant institutionnellement les rôles d'attaque et de défense, a trouvé un écho auprès d'une majorité d'États membres et des autorités européennes.
La France joue également un rôle moteur dans la définition des orientations stratégiques de l'UE. Elle a annoncé officiellement, dans sa Stratégie nationale pour la sécurité du numérique, son engagement en faveur de l'autonomie stratégique européenne, reposant sur trois piliers : capacitaire, industrielle et technologique et de décision.
(1) La directive sur la sécurité des réseaux et des systèmes d'information dite «directive NIS» (Network and Information Security).
L'enjeu de la directive adoptée, le 6 juillet 2016 est d'assurer un niveau élevé et commun de sécurité dans l'UE.
|
La directive prévoit : + le renforcement des capacités nationales de cyber sécurité grâce au positionnement de la cyber sécurité comme un enjeu stratégique majeur pour le marché européen du numérique ; + l'établissement d'un cadre de coopération volontaire entre États membres via un groupe de coopération et un réseau européen des CSIRT ( Computer Security Incident Response Team ) afin de renforcer la cyberrésilience ; + le renforcement par chaque État de la cybersécurité d'opérateurs de services essentiels ; + l'instauration de règles européennes communes à l'intention des prestataires de services numériques dans le but d'encadrer et de réguler la sécurité du numérique. |
Les Etats membres auront jusqu'au 9 mai 2018 pour la transposer dans leur droit national. Le texte a été présenté au conseil des ministres le 22 novembre 2017 64 ( * ) . Le projet de loi sera examiné au Sénat d'ici la fin de l'année.
(2) Un partenariat public-privé dédié à la cyber sécurité (cPPP)
L'objectif de ce nouveau dispositif signé par la Commission, le 5 juillet 2016, est de générer 1,8 Md€ d'investissements via l'effet de levier des 450 M€ provenant des fonds alloués au programme pour la recherche et l'innovation afin d'améliorer la résilience de l'Europe et de renforcer la compétitivité des entreprises européennes du secteur de la sécurité numérique. On estime que les acteurs du marché de la cybersécurité devraient, eux, investir trois fois plus.
(3) La présentation par la Commission européenne d'un « paquet sécurité »
Ce paquet constitue la feuille de route de l`exécutif européen, en matière de sécurité du numérique, jusqu'à la fin de son mandat, en 2019. Il est composé de plusieurs textes de nature distincte 65 ( * ) notamment une proposition de règlement européen qui regroupe au sein d'un même texte un projet de nouveau mandat pour l'agence européenne de sécurité des réseaux et de l'information (ENISA) et la création d'un cadre européen de certification de sécurité .
Ces initiatives européennes doivent faire l'objet d'une attention vigilante, dans un domaine où la souveraineté des Etats est en jeu, notamment lorsqu'il s'agit de la réponse opérationnelle aux cyberattaques ou de la certification aux plus hauts niveaux de sécurité.
Dans sa formulation actuelle, la proposition d'un cadre européen de certification de sécurité ne satisfait pas pleinement l'objectif de renforcement de la cybersécurité de l'UE, soulève de sérieuses préoccupations dans la mesure où il ne tire pas suffisamment parti de l'expertise comme des capacités d'évaluation existant au sein des Etats membres et de leur coopération, lesquels ont fait preuve de leur efficacité, et ne permet pas de construire un cadre susceptible d'évoluer de façon agile à l'état de l'art et aux développements numériques futurs.
Le renforcement du rôle de I'ENISA en soutien capacitaire des Etats membres et en appui au réseau de leurs équipes de réponse aux incidents parait positif et facilitera la mise en oeuvre de la directive NIS. En revanche, les propositions conduisant l'agence à se substituer aux capacités des Etats-membres vont à l'encontre de leurs intérêts souverains.
La Commission des affaires européennes du Sénat saisie en application de l'article 88-6 de la Constitution a émis un avis motivé estimant que le projet de règlement ne respecte pas le principe de subsidiarité 66 ( * ) .
b) Les autres enjeux dans les enceintes internationales
L'ANSSI s'implique également au sein des instances internationales actives dans le domaine de la cybersécurité : l'OTAN, l'ONU et l'OCDE.
Elle développe également des relations bilatérales et multilatérales avec ses principaux partenaires de confiance, soit plus d'une quarantaine pays. L'agence a renforcé et rendu public son partenariat avec l'Allemagne autour du développement d'une industrie européenne de la sécurité numérique.
* 64 http://www.senat.fr/leg/pjl17-105.html
* 65 Une communication chapeau sur la résilience, la dissuasion et la défense pour la cybersécurité de l'Union européenne listant les actions prioritaires de l'Union européenne pour les prochaines années ; une recommandation proposant un cadre européen de réponse aux crises cyber ; et une communication précisant certaines modalités de mise en oeuvre de la directive NIS, adoptée en juillet 2016.
* 66 http://www.senat.fr/dossier-legislatif/ppr17-079.html