SOUTENIR LA PROPOSITION DE DIRECTIVE, SOUS DEUX RÉSERVES
D'une manière générale, on peut également approuver les principales dispositions de la proposition de directive.
Il en va en particulier de l'obligation, pour les Etats membres de l'Union, de se doter de structures chargées de la cybersécurité et d'une stratégie nationale dans ce domaine.
Face à la multiplication des attaques informatiques ces dernières années, la plupart des grands Etats membres se sont dotés de tels instruments.
Ainsi, dans le cas de la France, grâce à l'impulsion donnée par le précédent Livre blanc sur la défense et la sécurité nationale de 2008, une agence nationale de la sécurité des systèmes d'information (l'ANSSI) a été créée en 2009 et notre pays s'est doté d'une stratégie nationale dans ce domaine en 2011.
Cette agence, rattachée au Secrétaire général de la défense et de la sécurité nationale et dépendante du Premier ministre, est un service à compétence nationale. Elle comporte en son sein un centre opérationnel chargé de traiter les incidents informatiques.
Ainsi, c'est l'ANSSI qui a traité l'affaire d'espionnage informatique de Bercy découverte à la veille de la présidence française du G8 et du G20, fin 2010.
Elle compte environ 350 personnes, principalement des ingénieurs, et son budget est de l'ordre de 75 millions d'euros.
Le Royaume-Uni et l'Allemagne disposent également de tels organismes, mais avec des effectifs deux à trois fois supérieurs et une organisation parfois différente.
Cependant, tous les autres pays membres de l'Union européenne ne disposent pas encore de tels organismes ce qui illustre le fait que, pour ces pays, la cybersécurité n'est pas encore considérée comme une priorité.
La proposition de directive permettra donc un progrès.
On peut également se féliciter de l'instauration d'une obligation de déclaration des incidents informatiques significatifs à l'autorité nationale compétente qui serait applicable non seulement aux opérateurs de télécommunications, mais aussi aux administrations publiques et aux opérateurs critiques, tels que les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l'énergie et les transports.
Cette obligation de déclaration répond d'ailleurs directement à l'une des recommandations qui figure dans le rapport d'information sur la cyberdéfense, qui avait été adoptée à l'unanimité par la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat.
En effet, la plupart du temps, les entreprises sont réticentes à faire part à l'Etat des attaques informatiques dont elles ont fait l'objet 9 ( * ) , par crainte que cela nuise à leur image, à leur réputation, voire même que cela n'entraîne une diminution du cours de leur action en bourse. Cela concerne en particulier les cas d'espionnage informatique et le vol de secrets industriels.
Or, comment l'Etat pourrait-il aider ces entreprises à mieux protéger leurs systèmes et leurs secrets, s'il n'est même pas informé des attaques informatiques dont elles font l'objet ?
L'obligation de déclaration, sous peine de sanctions, mais avec une garantie de confidentialité, constituerait donc une avancée importante, y compris dans le cas de la France.
On peut également se féliciter d'autres dispositions, comme celles de prévoir que les autorités nationales auront le pouvoir de donner des instructions contraignantes aux administrations publiques et aux opérateurs d'importance vitale ou le pouvoir de demander la réalisation d'un audit sur la sécurité de leurs réseaux et systèmes.
Qui peut sérieusement contester l'importance de mieux protéger les réseaux et systèmes d'information de secteurs d'importance stratégique, dont la perturbation pourrait avoir de graves conséquences et conduire à une paralysie générale du fonctionnement de notre pays ? On pense par exemple à la fourniture d'électricité, aux transports ou encore aux banques.
D'une manière générale, la proposition de directive paraît donc aller dans le bon sens et votre commission vous propose d'approuver ses principales dispositions.
On pourrait même aller un peu plus loin et prévoir notamment l'obligation pour les opérateurs d'importance vitale :
- de disposer d'une cartographie à jour de leur système d'information ;
- de mettre en place des outils de détection d'incidents et d'attaques informatiques.
En effet, l'expérience des attaques informatiques traitées par l'ANSSI montre que la plupart des administrations ou des opérateurs d'importance vitale ayant été victimes d'attaques informatiques à des fins d'espionnage ignoraient le plus souvent les attaques dont ils faisaient l'objet, parfois depuis plusieurs mois, voire des années. En outre, ils ignoraient le plus souvent où étaient situés leurs propres ordinateurs, ce qui avait pour effet de retarder l'assainissement de leurs réseaux.
La proposition de directive soulève néanmoins deux réserves .
La première réserve porte sur la définition des modalités d'application de ces mesures , qui serait confiée à la Commission européenne, par exemple en ce qui concerne la définition des circonstances dans lesquelles s'appliquerait l'obligation de notifier les incidents ou la liste des opérateurs d'importance vitale concernés.
Il semble qu'il serait plus légitime, tant pour des raisons tenant à la souveraineté nationale, que d'efficacité, que les modalités d'application soient confiées aux Etats membres , qui, en définitive, sont les premiers responsables en matière de cybersécurité et sont mieux placés pour prendre les mesures appropriées.
La seconde réserve est plus fondamentale.
Elle concerne l'obligation faite aux autorités compétentes de notifier systématiquement les incidents informatiques à la Commission européenne et à l'ensemble des autres pays de l'Union européenne.
Outre sa lourdeur bureaucratique, une telle mesure paraît susceptible de soulever des difficultés au regard de la sécurité nationale, notamment dans le cas d'attaques informatiques à des fins d'espionnage.
Il faut savoir que, si les soupçons se portent le plus souvent sur la Chine ou la Russie, d'autres pays, y compris parmi nos proches alliés, sont aussi soupçonnés d'être à l'origine de telles attaques.
Or, informer la Commission européenne et l'ensemble des Etats membres de l'Union européenne de l'attaque informatique dont on fait l'objet risquerait d'alerter également - directement ou indirectement - l'auteur de cette attaque. Celui-ci pourrait alors prendre des mesures afin de se dissimuler davantage ou augmenter encore le niveau de son attaque.
*
Selon les informations recueillies par vos deux co-rapporteurs, la stratégie européenne de cybersécurité devrait être examinée par les ministres des vingt-sept Etats membres lors du Conseil « Affaires générales » de juin, puis par les chefs d'Etat et de gouvernement, lors d'un Conseil européen, et elle devrait faire l'objet de conclusions du Conseil et du Conseil européen.
Pour sa part, la proposition de directive devrait faire l'objet d'un premier échange entre les ministres lors du Conseil « transports, télécommunications et énergie » du mois de juin, et pourrait être adoptée par le Conseil et le Parlement européen d'ici la fin de l'année. Elle devrait ensuite faire l'objet de mesures de transposition dans les différents Etats membres.
*
Au bénéfice de ces observations, votre commission des Affaires étrangères, de la Défense et des Forces armées a adopté la proposition de résolution, dont le texte est reproduit ci-après.
* 9 Une étude de l'ENISA du 27 août 2012 indique que la plupart des incidents ne sont pas signalés