CONCLUSION
La multiplication et la structuration des attaques obligent les pays européens à élever leur niveau de protection et à agir ensemble, de manière coordonnée. L'Europe doit se défendre et protéger ses valeurs, ses populations et ses intérêts dans un cyberespace encore trop peu réglementé et dont les contours sont encore mal connus.
La création d'une agence européenne dédiée à la cybersécurité en 2004 était novatrice. Il a fallu attendre plus de dix ans - et malheureusement subir quelques attaques - pour qu'une réelle dynamique s'enclenche avec la directive NIS.
Une nouvelle étape vers une cybersécurité européenne était attendue. L'ambition affichée par la Commission européenne avec une proposition d'Acte européen pour la cybersécurité mérite d'être soutenue. Le monde numérique évolue trop vite pour que l'Union européenne attende.
Toutefois, cette ambition doit être matinée de réalisme et tenir compte de la situation existante. Car l'objectif est que cette nouvelle étape soit franchie avec succès, car des enjeux de moyen et de long terme pour la souveraineté numérique européenne continuent de se poser.
Le texte fort proposé par la Commission a pu raidir certains acteurs et figer quelques positions à l'ouverture des négociations. Toutefois, les auditions menées par vos rapporteurs ont montré que tous les acteurs ont à coeur de construire une cybersécurité robuste pour une Europe plus résiliente.
Bien que l'actuelle mandature européenne approche de son terme, l'espoir existe de voir adoptée la proposition de règlement avant cette issue. Par des mesures constructives inclues dans le présent rapport, et reprises dans la proposition de résolution n° 455 (2017-2018), vos rapporteurs espèrent modestement y contribuer.
EXAMEN EN COMMISSION
La commission des affaires européennes s'est réunie le jeudi 19 avril 2018 pour l'examen du présent rapport. À l'issue de la présentation faite par M. René Danesi et Mme Laurence Harribey, le débat suivant s'est engagé :
M. Jean Bizet , président . - Ce rapport doit être articulé avec la politique suivie depuis quelques années, sous l'impulsion notamment de Catherine Morin-Desailly avec laquelle nous avions rédigé un rapport, et qui a eu pour résultat l'entrée en vigueur du règlement général sur la protection des données (RGPD). Au-delà de l'aspect purement sécuritaire, l'Europe est en train d'émerger de nouveau en la matière, après avoir subi le rouleau compresseur américain. J'appelle également à la mise en place d'une politique industrielle plus nette sur le sujet.
M. Pascal Allizard . - Je partage le diagnostic du rapport. Je suis rapporteur pour la commission des affaires étrangères du programme 144 « Environnement et prospective de la politique de défense ». J'ai entendu hier matin la direction générale de la sécurité extérieure (DGSE) sur l'évolution des moyens alloués à la cyberdéfense.
La France est en retard : l'Allemagne et le Royaume-Uni sont les deux benchmarks sur lesquels les services travaillent, les Américains étant hors de notre portée. Les priorités affichées dans le projet de loi de programmation militaire vont dans le sens du renforcement et de la cohésion des différents services. En revanche, la dimension européenne n'est pas mise en avant. La DGSE sera le pivot de cette opération : c'est la plus grosse structure ; elle est dotée de moyens ; elle a une mission d'analyse, mais aussi d'interventions grâce à son service Action.
Les ressources humaines sont une véritable problématique, car les besoins sont importants, sans parler du turn over . Des conventions sont donc passées avec les universités. Il serait intéressant de croiser votre rapport avec les travaux menés par ailleurs au Sénat. Sur le programme 144, je travaille en binôme avec Michel Boutant. Je m'occupe davantage des problèmes industriels et mon collègue siège à la délégation parlementaire au renseignement.
M. Claude Raynal . - Au vu de l'histoire des procédures européennes, je suis dubitatif concernant la mise en place de telles agences. L'instauration d'une agence de formation, d'information, de bonnes pratiques est un point positif. Mais je me méfie : il ne faudrait pas, pour satisfaire tout le monde, que le système nous tire vers le bas. Il existe aussi un problème de rythme. En Europe, on passe souvent de rien à tout et, au lieu d'accepter de marquer des étapes, on veut immédiatement mettre en place une réponse globalisante. Je me méfie de ce type de démarche. Respectons les étapes, mettons en route les premiers espaces et voyons. Démarrer par la formation, l'information et la mise à niveau des pays en retard : parfait, c'est indiscutablement le rôle de l'Europe. Mais n'entrons pas tout de suite dans un processus de certification, d'autant que notre modèle sera très vite dépassé.
Par ailleurs, quand des pays sont bien protégés contre la cybersécurité, c'est grâce aux budgets de la défense et non à ceux de la recherche. Cela ne favorise pas la mise en commun...
Pour finir, l'objectif ne me semble pas réaliste au vu de l'effectif et des missions.
M. René Danesi . - Si la France et l'Allemagne sont en avance sur une bonne dizaine de pays, sans parler de ceux qui en sont au point zéro, c'est grâce à la défense, aussi bien en ce qui concerne l'Anssi que le BSI allemand. Les deux agences travaillent d'ailleurs en étroite collaboration. Les difficultés viennent plutôt du Royaume-Uni et de son allié historique, la Suède. Si l'Anssi et le BSI ont éprouvé quelques inquiétudes, c'est qu'elles ont eu le sentiment que l'Union européenne voulait se substituer à elles. Certes, certains hauts responsables européens sont très obtus, mais d'autres sont très ouverts. L'Union européenne a compris que si la protection d'un frigidaire connecté pouvait relever du marché, plus on montait dans la hiérarchie, plus on s'approchait du « secret défense » et de la souveraineté des États, d'où la question de la certification. Elle a donc opéré une marche arrière assez prudente. Le rapport que Mme Niebler présentera devant le Parlement européen va dans ce sens. Les agences qui ont une réelle compétence doivent davantage être représentées au sein de l'Enisa.
Mme Laurence Harribey . - Il existe deux approches en matière de cybersécurité. Il y a ceux pour qui tout passe par le renseignement. En France, nous avons une tradition de séparation entre la notion de résilience au système et le renseignement. Nous assistons à un changement de culture : nous devons passer de la résilience à la cyber-attaque à la culture de la prévention. C'est tout le travail des agences et de la certification. Dans l'innovation technologique, le secteur privé est aujourd'hui plus en avance que le secteur militaire. À mon avis, il convient de promouvoir le modèle allemand et français plutôt que le modèle anglo-saxon.
M. René Danesi . - La présidence bulgare de l'Union européenne a la volonté de faire aboutir ce dossier et s'inscrit plutôt dans l'optique française.
À l'issue de ce débat, la proposition de résolution européenne est adoptée, à l'unanimité, dans le texte suivant :