C. POUR UNE ACTION EUROPÉENNE PLUS AMPLE EN FAVEUR DE LA CYBERSÉCURITÉ
Les auditions menées par vos rapporteurs ont révélé qu'au-delà des propositions de la Commission européenne, trois pistes doivent être suivies pour renforcer la cybersécurité européenne : l'effort en matière de recherche doit être confirmé ; la stratégie industrielle de l'Union doit inclure la cybersécurité pour développer une industrie européenne dans le secteur ; l'accent doit être mis sur la formation en France et ailleurs en Europe pour augmenter la ressource humaine qui fait défaut aujourd'hui.
1. Maintenir l'effort de recherche
Le 5 juillet 2016, la Commission européenne a lancé un partenariat public-privé sur la cybersécurité. Son objectif est de stimuler la coopération à un stade précoce du processus de recherche et d'innovation et de forger des solutions de cybersécurité applicables à différents secteurs, tels que l'énergie, la santé, les transports et la finance. Tandis que l'Union, via son programme pour la recherche et l'innovation Horizon 2020, doit apporter 450 millions d'euros, elle espère un apport trois fois supérieur du secteur privé d'ici à 2020.
Les acteurs du marché de la cybersécurité se sont regroupés au sein de l'organisation européenne pour la cybersécurité, l'ECSO (pour European cybersecurity organisation ) qui a signé avec la Commission européenne. Cette organisation représente une cinquantaine de membres fondateurs représentatifs du tissu européen de l'industrie dont les entreprises françaises réunies dans l'Alliance pour la confiance numérique, des petites et moyennes entreprises, des utilisateurs, des instituts de recherche et des représentants institutionnels des États membres.
L'initiative est judicieuse. Associer tous les acteurs européens de la cybersécurité peut s'avérer fécond. C'est pourquoi, ce processus doit arriver à son terme. L'effort de l'Union européenne doit être maintenu, voire prolongé dans le prochain cadre financier pluriannuel, si de nouveaux financements s'avéraient nécessaires. Cependant, il ne sera utile que s'il débouche sur un véritable projet industriel européen.
En outre, dans sa communication de septembre 2017, la Commission a proposé la création d'un réseau des centres européens de recherche et de compétences en cybersécurité, composé des centres nationaux de cybersécurité, comme des centres de recherches publiques et des laboratoires. C'est dans le cadre de cette initiative que la Commission a lancé un appel pour un projet pilote d'un montant de 50 millions d'euros, mené dans le cadre du programme de recherche et d'innovation Horizon 2020. Chaque projet pilote devra développer une feuille de route cybersécurité prenant en compte l'ensemble de la chaîne de valeur (de la recherche à la validation), ainsi qu'une gouvernance entre les réseaux pour développer des activités de recherche.
2. Mettre en place une politique industrielle européenne
Des auditions menées, vos rapporteurs retiennent que la cybersécurité n'est encore l'affaire que de quelques entreprises très spécialisées. Si celles-ci sont souvent excellentes, le marché peine à se structurer et à grandir. Il a besoin d'un pilotage afin de faire émerger quelques grands acteurs européens susceptibles de s'intégrer dans la compétition mondiale.
Le partenariat public-privé évoqué constitue l'embryon d'une politique industrielle européenne pour la cybersécurité. Il importe désormais que l'Union transforme celui-ci en stratégie de moyen terme, avec un horizon de 10-15 ans pour, à la fois, soutenir la compétitivité européenne de ce secteur et, à la fois, assurer l'autonomie européenne en la matière et par là-même renforcer la souveraineté européenne dans le monde numérique.
C'est pourquoi, dans la lignée des positions du Sénat sur le numérique, vos rapporteurs appellent à une véritable politique industrielle européenne pour la cybersécurité ou, à défaut, à ce que la stratégie industrielle de l'Union dispose d'un volet consacré à la cybersécurité.
3. Niveau de compétence : l'urgence de la formation
Les auditions menées ont montré les difficultés que connaissent les acteurs de la cybersécurité à recruter. Tant les administrations que les acteurs privés, de petite ou grande taille, ont fait part du manque de ressource humaine qualifiée. On ne forme pas assez d'étudiants et les meilleurs, une fois diplômés, partent.
Cette réalité de terrain reflète une des faiblesses européennes identifiées par la Commission. D'une manière générale, les Européens ne sont pas assez qualifiés pour s'approprier la transformation numérique de nos sociétés. Un gros effort doit être fait par les États membres et par l'Union elle-même, bien qu'elle n'ait que des compétences réduites en la matière.
Il s'agit en premier lieu de former des ingénieurs de très haut niveau et de leur proposer ensuite des carrières attractives, tant dans le public que dans le privé. Il s'agit aussi de créer des emplois nouveaux, avec un certain niveau de qualification visant à répondre au besoin émergent de renforcer la sécurité informatique dans les entreprises, les administrations, les collectivités. Il s'agit, enfin, de développer partout la culture de la cybersécurité en renforçant les qualifications de l'ensemble des salariés.
Notre pays dispose en ce domaine d'atouts formidables : l'excellence de la formation académique, une agence de cybersécurité de référence et des entreprises de haut niveau. Des milliers d'emplois nouveaux pourraient être créés dans les années qui viennent en France et en Europe. Le Gouvernement doit se saisir au plus vite de cette question.