C. POUR UNE VÉRITABLE POLITIQUE DE CYBERSÉCURITÉ DE L'UNION EUROPÉENNE
Comme on l'a vu précédemment, l'Union européenne a un rôle important à jouer en matière de protection des systèmes d'information, car une grande partie des règles dans ce domaine relèvent de ses compétences.
Or, l'Union européenne n'a pas encore pris réellement la mesure des enjeux liés à la protection des systèmes d'information.
Avant toute chose, il semble indispensable que l'Union européenne se dote d'une véritable stratégie européenne qui englobe l'ensemble des questions liées au cyberespace, qu'il s'agisse de la sécurité et de la résilience des systèmes d'information, en particulier des opérateurs d'infrastructures d'informations critiques, de la cyberdéfense, de la lutte contre la cybercriminalité ou encore des enjeux liés à la liberté d'expression, aux effets d'Internet sur le développement économique ou encore à la gouvernance d'Internet.
Une telle stratégie devrait notamment permettre d'assurer une meilleure coordination entre les différentes entités chargées de ces questions à l'échelle européenne et une plus grande cohérence d'ensemble.
Afin de lui conférer un poids politique suffisant, cette stratégie devrait, aux yeux de votre rapporteur, être adoptée par le Conseil européen.
Si la protection des systèmes d'information doit demeurer avant tout une compétence nationale, car elle touche directement à la souveraineté de chaque Etat, l'Union européenne pourrait intervenir dans deux domaines :
D'une part, concernant l'aspect préventif, en soutenant les mesures de sécurité, de confiance et de résilience en Europe. D'autre part, s'agissant de l'aspect défensif, en encourageant les capacités en matière de cybersécurité au niveau de chaque Etat membre et au sein des institutions européennes.
1. Encourager la sécurité, la confiance et la résilience à l'échelle européenne
L'Union européenne se doit d'abord d'encourager le développement de mesures de sécurité, de confiance et de résilience à l'échelle européenne.
Ainsi, l'Union européenne pourrait jouer un rôle plus actif en matière de normes, car une grande partie des règles applicables aux opérateurs de réseaux relèvent de ses compétences.
Dans le cadre du « Paquet télécom », l'Union européenne a imposé aux opérateurs de télécommunications la mise en oeuvre de mesures minimales en matière de protection des systèmes d'information. Une disposition a également été introduite afin de contraindre les opérateurs de télécommunications à notifier aux autorités nationales compétentes toute atteinte à la sécurité ou à la perte d'intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services.
Il semble souhaitable d'étendre ces mesures et cette déclaration obligatoire d'incident à d'autres secteurs.
Plus généralement, l'Union européenne devrait définir des règles ou garanties minimales à l'échelle européenne en matière de sécurité informatique applicables à l'ensemble des acteurs et des réseaux concernés afin d'en accroître très fortement la résilience.
L'agence européenne ENISA a certes publié des recommandations ou des guides de « bonnes pratiques » concernant les règles minimales de sécurité informatique, mais ces instruments n'ont pas de portée contraignante.
On pourrait donc s'appuyer sur la directive cadre du « Paquet télécom », qui impose aux Etats membres la mise en oeuvre de mesures minimales en matière de protection des systèmes d'information, pour renforcer ces mesures en fixant au niveau européen de véritables règles ou garanties minimales en matière de sécurité informatique.
L'Union européenne pourrait aussi développer la coopération et le travail en commun entre les différents acteurs, c'est-à-dire les Etats, les opérateurs, les régulateurs et les industriels.
Ainsi, on pourrait mettre en place au sein de l'Union des mesures visant à soutenir le secteur privé afin d'améliorer la prise en compte de la sécurité dans les produits et services informatiques. A cet égard, la sécurité informatique devrait occuper une place plus importante dans les travaux de standardisation et de certification à l'échelle européenne, en particulier concernant les équipements utilisés dans les réseaux de communications électroniques, mais aussi, plus largement, de l'ensemble des produits. Le développement des activités de sensibilisation auprès des entreprises européennes comme des consommateurs mériterait aussi d'être encouragé. Des mesures de nature à renforcer la confiance dans la chaîne d'approvisionnement des éléments d'importance critique devraient également être étudiées.
Pour votre rapporteur, l'Union européenne devrait aussi encourager une politique industrielle volontariste à l'échelle européenne, en soutenant les entreprises, notamment les PME, qui proposent des produits ou des conseils en matière de sécurité informatique.
L'Union européenne pourrait ainsi favoriser l'émergence de « champions » nationaux ou européens.
Pourquoi ne pas envisager un « Small business Act » à l'échelle européenne, pour soutenir les PME qui proposent des produits ou des services importants du point de vue de la sécurité informatique ?
Plus largement, l'Union européenne devrait soutenir davantage l'industrie européenne des technologies de l'information et de la communication.
Le secteur des technologies de l'information et de la communication présente une importance cruciale pour l'Europe, à la fois du point de vue stratégique, mais aussi économique.
Ce secteur est aujourd'hui dominé par des grandes entreprises nord-américaines mais aussi, de plus en plus, menacé par la concurrence d'entreprises asiatiques, chinoises ou coréennes. Quant à l'industrie européenne, elle a pratiquement disparu de ce secteur et il ne subsiste encore en Europe que quelques niches, assez fragiles.
Or, les grands équipements informatiques, à l'image des « routeurs de coeur de réseaux » qui gèrent les flux de communication, présentent un caractère hautement sensible du point de vue de la sécurité nationale.
Compte tenu des montants financiers en jeu, seule une coopération industrielle à l'échelle européenne permettrait aux pays européens de ne pas dépendre uniquement d'équipements d'origine américaine ou asiatique.
Pourquoi ne pas utiliser les fonds structurels et les fonds de cohésion pour renforcer la sécurité informatique des infrastructures de télécommunications en Europe ?
Votre rapporteur appelle donc de ses voeux une véritable politique industrielle à l'échelle européenne dans ce secteur sensible.
Rendre l'action de l'Union européenne en matière de recherche et de développement plus efficace constitue aussi une priorité.
Dans le cadre du programme cadre de recherche et de développement (PCRD) ou du programme compétitivité et innovation (CIP), l'Union européenne dispose certes de financements importants destinés à soutenir la recherche et l'innovation dans le domaine des technologies de l'information et de la communication.
Toutefois, ces instruments souffrent des défauts souvent constatés à propos de la plupart des programmes européens : absence de véritables priorités, dispersion des moyens, difficulté à trouver des co-financements, longueur et lourdeur de la procédure et de la gestion, etc.
Il convient donc d'améliorer l'efficacité et la coordination des programmes européens afin de permettre d'encourager la recherche et le développement en matière de sécurité des systèmes d'information et, plus largement, dans le domaine des technologies de l'information et de la communication.
Enfin, l'Union européenne a un rôle important à jouer en matière de sensibilisation de tous les acteurs, qu'il s'agisse des Etats, des entreprises, des opérateurs et industriels ou des citoyens européens.