II. LES CONDITIONS D'UNE CYBERSECURITÉ EUROPÉENNE ROBUSTE
L'évolution rapide des menaces cyber ainsi que l'essor des objets connectés et de l'informatique en nuage impliquent de voir l'Union européenne muscler son dispositif en matière de cybersécurité. Il s'agit, pour les Européens de mettre en place les bases d'une sécurité informatique durable qui assure la défense des démocraties, la protection des citoyens, la stabilité et le développement du marché unique numérique. La cybersécurité doit être un des piliers sur lesquels repose l'Europe numérique. Et ce pilier doit être robuste.
La proposition de règlement ENISA, surnommé Acte pour la cybersécurité, fait de cette agence le point focal de la cybersécurité en Europe. La proposition fixe cinq objectifs : développer les moyens et la préparation des États membres ; améliorer la coopération et la coordination entre les États membres et les institutions européennes ; accroitre les moyens au niveau de l'Union pour compléter les actions des États membres en cas de crise transfrontalière ; davantage sensibiliser particuliers et entreprises aux questions de cybersécurité ; accroître globalement la transparence et l'assurance de la cybersécurité ; éviter la multiplication des systèmes de certification dans l'Union, ainsi que des exigences de sécurité et des critères d'évaluation dans les différents États membres.
La question se pose de savoir ce que doit devenir l'ENISA. Agence européenne à part entière, doit-elle avoir des capacités opérationnelles propres ou venir en appui de l'action des États membres ? Est-il judicieux de lui demander d'assumer la certification européenne nouvelle, alors qu'elle n'a jusqu'à aujourd'hui aucune compétence en la matière ? Sur la base de la proposition de règlement, un juste équilibre est à trouver pour que chaque acteur puisse agir avec efficacité dans un système européen plus résilient.
A. RENFORCER L'ENISA, POUR UNE ACTION EN APPUI DE CELLE DES ETATS MEMBRES
1. Pérenniser l'ENISA et renforcer ses moyens
Comme il a été dit, le mandat de l'ENISA arrive à son terme en 2020. La numérisation des sociétés européennes, transfrontière et générale, implique que l'ENISA voit sa place confortée dans le paysage européen de la cybersécurité. Il s'agit de renforcer la sécurité informatique collective des Européens.
Il est donc tout à fait souhaitable que l'ENISA devienne une agence permanente de l'Union européenne, à l'image de celles qui existent dans d'autres secteurs. Outre un mandat permanent, la proposition prévoit que ses objectifs et missions seraient régulièrement mis à jour. En outre, ses moyens humains, financiers et matériels seraient augmentés.
Ce dernier aspect mérite une attention particulière. L'ENISA était jusqu'à présent une agence aux moyens limités, dotée d'un effectif réduit d'environ 80 personnes, contre 570 pour l'ANSSI en 2017. C'est pourquoi elle a régulièrement recours à des experts nationaux. L'évolution proposée n'affiche pas une grande ambition puisque de 80, on passerait à 100 - 120 personnes environ. Au regard de l'élargissement envisagé pour ses missions, le renforcement de la structure de l'agence serait donc très limité.
Or, l'entrée en vigueur de la directive NIS va déjà obliger l'ENISA à remplir de nouvelles missions, notamment pour assurer des échanges entre les agences nationales, dont beaucoup sont en cours de création. C'est pourquoi, il conviendrait de ne pas trop augmenter les missions de l'ENISA et de les concentrer sur une véritable plus-value européenne. Or, dans sa proposition, la Commission européenne fait montre d'une trop grande ambition quant aux missions de l'ENISA.
En effet, dans sa proposition initiale, la Commission européenne envisageait que l'ENISA conserve ses missions concernant, d'une part, l'élaboration et la mise en oeuvre de la politique de l'Union européenne en matière de cybersécurité, et, d'autre part, le soutien au renforcement des capacités (moyens et compétences) des États membres, à la coopération opérationnelle et à la gestion des crises. Mais elle prévoyait aussi que l'ENISA pourrait mener des enquêtes techniques au sein des États membres, suite à la signalisation d'un incident de cybersécurité d'ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d'intervention, qui serait créée.
Pour vos rapporteurs, une telle multiplication des missions de l'ENISA n'est pas justifiée, ni même souhaitable. Elle semble disproportionnée par rapport aux moyens dont elle dispose. La mise en oeuvre de la directive NIS - que la France vient tout juste de transposer - devrait modifier le paysage européen de la cybersécurité avec l'émergence d'une agence nationale dans chaque État membre. Les besoins d'une mise en relation pour un partage de bonnes pratiques, d'une coopération efficace et d'une meilleure coordination dans la réponse aux crises, ainsi que le travail à venir sur la certification constituent déjà des objectifs ambitieux.
Et si vos rapporteurs partagent l'ambition plus générale d'un renforcement de la cybersécurité européenne, il convient de demeurer réaliste et de réussir chaque étape. Les États membres sont en train de mettre en oeuvre la directive NIS et, pour ceux qui n'en disposaient pas encore, de se doter d'une agence nationale pour la cybersécurité. Doter l'ENISA de compétences concurrentes pourrait saper ces efforts et encourager certains à les reporter sur l'Union européenne. En l'état, cela n'est pas souhaitable, car le niveau global de sécurité doit monter partout dans l'Union et cela passe par une action des États membres.
Il se peut que dans un futur proche, le dispositif européen de cybersécurité soit plus intégré. Toutefois, il faut ne pas vouloir aller trop vite et sauter une étape. Il importe aujourd'hui de centrer les missions de l'ENISA sur les aspects où la plus-value européenne est réelle afin de favoriser l'élévation générale du niveau de sécurité informatique.
2. Mieux articuler l'action de l'ENISA avec celle des États membres à l'avenir
La cybersécurité, parce qu'elle touche à la défense des intérêts nationaux, relève en grande partie de la souveraineté des États. Toute avancée vers une plus grande intégration européenne doit être mesurée à cette aune.
C'est la logique qui a présidé à l'adoption de la directive NIS, qui, pour améliorer la sécurité informatique en Europe, a prévu la création dans chaque État membre d'une agence dédiée et une coopération volontaire de ces agences. Ce mouvement est nécessaire et vertueux car il va permettre d'élever le niveau général de sécurité sur l'ensemble du territoire européen.
Or, comme on l'a dit ce mouvement est en cours. Et comme l'a relevé par le Sénat lors du contrôle de subsidiarité, la proposition de règlement comporte des éléments qui pourraient s'avérer contreproductifs. La Commission propose en effet de confier à l'ENISA le pouvoir de mener des enquêtes techniques au sein des États membres, suite à la signalisation d'un incident de cybersécurité d'ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d'intervention, qui serait créée.
Cette mesure laisse penser que l'ENISA pourrait, dans une certaine mesure, se substituer à une agence nationale faiblement dotée pour assurer une réponse en cas de cyberattaque. Pour vos rapporteurs, cela n'est ni possible, ni souhaitable. Ce n'est pas possible, car on voit mal comment l'ENISA pourrait intervenir rapidement dans n'importe quel pays d'Europe avec les moyens qui sont les siens. Ce n'est pas souhaitable, car cela pourrait saper les efforts entrepris par les États membres pour renforcer leurs moyens de protection et réduire la portée du processus en cours.
En outre, la coopération dans la sécurité informatique se fonde sur la confiance. C'est parce que les acteurs privés français ont confiance en l'ANSSI, qu'ils vont lui confier qu'ils ont, le cas échéant, été victimes d'une attaque. La confiance se gagne avec le temps. L'écosystème créé en France, mais aussi dans les pays les plus en pointe comme l'Allemagne et l'Estonie pourrait pâtir d'un transfert de compétences vers une agence européenne qui doit encore démontrer sa valeur.
Aussi, il n'est guère certain qu'une entreprise ou une administration, victime d'une cyberattaque, informe directement une agence européenne et voit ainsi l'information se diffuser à travers tout le continent. Dans le paysage actuel, il convient donc que les agences nationales et l'ENISA travaillent ensemble à une meilleure coopération et à une meilleure coordination.