Certification des technologies de l'information et des communications en matière de cybersécurité

Politique étrangère et de défense

Cybersécurité

Proposition de résolution européenne et rapport d'information
de M. René Danesi et Mme Laurence Harribey

COM (2017) 477 final - Texte E 12425

(Réunion du 19 avril 2018)

M. Jean Bizet, président. - Notre ordre du jour appelle maintenant la communication de René Danesi et de Laurence Harribey sur la cybersécurité. Nos collègues ont préparé un rapport d'information et une proposition de résolution européenne qui vous ont été adressés.

Là encore, il s'agit d'une question cruciale. L'actualité est malheureusement trop souvent émaillée de cyber-attaques qui peuvent causer des dégâts considérables pour les entités publiques comme pour les entreprises ou les particuliers. C'est la souveraineté des États qui peut être mise à mal. Mais aussi le développement d'une économie numérique qui ne peut que reposer sur la confiance de ses acteurs.

Je rappelle que, en novembre dernier, sur la proposition de nos deux collègues, nous avions adopté un avis motivé sur la subsidiarité concernant la proposition de la Commission européenne qui vise à renforcer l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa) et à établir un cadre européen de certification de cybersécurité des produits et services des technologies de l'information et de la communication.

Depuis cette date, nos rapporteurs ont approfondi leur réflexion et nous proposent de formaliser une position sur cette question de la cybersécurité.

M. René Danesi. - Monsieur le président, chers collègues, après notre rapport sur le défaut de subsidiarité de « l'Acte européen pour la cybersécurité », il a paru nécessaire de mener une recherche et une réflexion sur le fond du problème. En effet, comme l'ont montré des affaires récentes, le cyberespace est aussi un lieu où sévit une cybercriminalité de plus en plus active.

En 2017, les virus WannaCry et NotPetya ont frappé les ordinateurs dans le monde entier avec une ampleur jamais vue auparavant. Le premier virus a consisté à bloquer, par chiffrement, plus de 400 000 ordinateurs dans 150 pays dans le but d'encaisser une rançon pour la restauration des données. Le second a détruit de nombreux systèmes informatiques utilisant un logiciel comptable ukrainien, provoquant des pertes estimées à plus d'1 milliard d'euros.

D'une façon générale, les attaques sont de plus en plus sophistiquées, mieux élaborées, plus destructrices. Elles touchent désormais toute la société et même les mécanismes de l'expression démocratique.

Il ressort de nos auditions que les auteurs des attaques de grande ampleur ne peuvent être identifiés, au mieux, qu'après plusieurs mois de recherches, voire jamais !

Il y a quand même des bonnes nouvelles : un suspect ukrainien, soupçonné d'être, avec son équipe, à l'origine de cyberattaques sur des distributeurs de billets vient d'être arrêté en Espagne, après une coopération exemplaire au sein d'Europol. Il est accusé d'avoir utilisé des logiciels malveillants pour détourner des centaines de millions d'euros dans les systèmes de transferts électroniques de fonds, et ce dans plusieurs banques.

Or demain, avec l'essor exponentiel des objets connectés, des véhicules autonomes et des villes intelligentes, les risques vont se multiplier. C'est pourquoi l'Europe doit « muscler » sa cyber protection.

Mais j'insiste sur ce point et notre rapport le montre bien : la menace est déjà très présente. La Commission européenne estime que 80 % des entreprises en Europe ont été victimes d'attaques au cours des dernières années. En France, 5 500 plaintes liées à des attaques informatiques sont déposées chaque mois. Bien qu'il n'y ait pas de statistique officielle, les collectivités territoriales ne sont pas épargnées : on estime qu'une collectivité territoriale par jour est victime d'une cyber-attaque. Fort heureusement, il ne s'agit pas d'attaques du niveau de celle que je viens d'évoquer, mais c'est un signe de l'importance du phénomène.

C'est la raison pour laquelle la Commission européenne veut faire progresser la cybersécurité en Europe. Dès 2004, elle avait créé une Agence chargée de la sécurité des réseaux et de l'information. C'était très novateur, mais l'agence n'a pas évolué au rythme de la menace et son mandat est limité à l'horizon de 2020.

En France, la montée en puissance de la lutte contre la cybercriminalité a commencé avec la création dès 2009 de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Elle a été construite de manière empirique et sur un modèle nettement distinct du modèle anglo-saxon. En effet, l'agence est chargée de la seule protection et défense de nos systèmes d'information, mais pas du renseignement et encore moins de l'attaque, comme c'est le cas au Royaume-Uni et aux États-Unis.

L'Anssi s'adresse autant à des acteurs privés que publics, car une attaque contre un opérateur privé d'importance vitale peut faire aussi mal à notre pays qu'une attaque contre une administration.

Dans les autres pays d'Europe, il n'y a pas, jusqu'à maintenant, d'équivalent qualitatif de l'Anssi, sauf en Allemagne. Par ailleurs, certains États membres n'ont aucune structure. C'est pourquoi l'Union européenne a adopté en 2016 la directive sur la sécurité des réseaux d'information, que nous venons de transposer en droit français. Je rappelle que cette directive impose que soit créée dans chaque État membre une agence spécialisée dans la cybersécurité et que des coopérations volontaires entre États membres sur ces questions soient mises en place.

C'est dans ce contexte que la Commission européenne a présenté en septembre dernier un « Paquet cybersécurité » au coeur duquel se trouve un projet de règlement structurant dénommé « Acte pour la cybersécurité ».

Ce texte est porteur d'une certaine ambition. Il propose de transformer l'Enisa en agence européenne pérenne et d'instaurer un cadre européen unique de certification de la sécurité informatique. En effet, actuellement, la certification est faite au niveau national.

Pour approfondir notre analyse, nous avons mené un certain nombre d'auditions dont la liste figure à la fin du rapport qui vous a été envoyé et distribué.

Au début de nos travaux, nous avons été frappés par la réaction plutôt vive des acteurs français face aux propositions européennes. Deux points ressortaient clairement. Premièrement, la cybersécurité est d'abord une question de souveraineté. En conséquence, il faut conserver le juste équilibre entre les agences nationales et l'agence européenne Enisa. Deuxièmement, il y a un risque que le système de certification proposé affaiblisse le niveau de cyber sécurité existant en France au lieu de le renforcer.

En fait, la vérité est plus nuancée. Cela ressort de nos nombreuses auditions, en particulier celles faites à Bruxelles même. C'est également le constat du projet de rapport de l'eurodéputée allemande Angelika Niebler au Parlement européen.

Ce que l'on retire en premier lieu de nos auditions, c'est que tous les acteurs souhaitent l'adoption du règlement européen. Il constitue un saut qualitatif vers une meilleure cybersécurité, dont nous avons collectivement besoin.

En second lieu, l'Enisa ne pourra pas assumer des missions trop importantes, car elle n'en aura pas les moyens. Elle ne dispose actuellement que de 80 salariés et la Commission ne propose qu'une augmentation de 20 à 40 personnes. Or la seule Anssi en a 570. Avec une centaine de personnes, l'Enisa ne sera pas le cheval de Troie de l'Union européenne dans le cyber monde. Donc, ses missions seront encadrées pour ne pas empiéter sur la souveraineté des États et elle se concentrera sur une véritable plus-value européenne.

La certification comporte plus d'enjeux, en particulier économiques. Nous pensons, comme nos interlocuteurs français, qu'il s'agit de mettre en place un cadre exigeant qui impose des normes de sécurité élevées. Il faut éviter tout risque d'une certification au rabais, ce qui est la pente naturelle d'un marché concurrentiel, dont les clients ont tendance à penser que l'assurance est toujours trop coûteuse.

Mme Laurence Harribey. - Il est vrai que nous avions senti un raidissement des acteurs français face aux propositions européennes et une déception quant au texte proposé. Je pense qu'il y a eu, sur ce point, beaucoup d'incompréhension.

Que demandait-on à la Commission ? Nous lui demandions donc des précisions sur l'avenir de cette agence et de créer un système européen pour la certification des produits. Qu'a-t-elle fait ? Elle a copié ce qu'elle faisait déjà dans d'autres domaines : elle a conforté cette agence et elle a opté pour la certification, meilleur moyen a priori de faire monter le niveau. Or ce schéma s'applique difficilement au domaine de la cybersécurité : une part importante du système relève de la souveraineté nationale et l'écosystème repose sur la confiance des acteurs. La solution de la Commission était donc rapide et pas assez approfondie. Par ailleurs, je pense que ses services ont dû précipiter leur action suite aux annonces de Jean-Claude Juncker en septembre. En revanche, lors de notre déplacement à Bruxelles, ils nous ont paru plutôt ouverts quant à des améliorations possibles. C'est donc avec un esprit constructif que nous avons travaillé à la proposition de résolution qui vous est soumise.

Concernant l'Agence européenne pour la cybersécurité, notre sentiment est que la Commission a voulu en faire trop en confiant à l'Enisa des missions qu'elle ne sera pas capable d'assumer, en raison non seulement des effectifs, mais aussi des compétences. Cependant, elle peut faire beaucoup en facilitant la coopération, le partage d'expériences, la formation. Autant d'aspects qui mèneront à une plus grande intégration, d'autant qu'il existe un vrai besoin.

Comme René Danesi l'a souligné, le processus de certification comprend plus d'enjeux. Pour combattre un dumping par le bas dû à la reconnaissance mutuelle des normes, il faut une certification européenne, car elle présente un niveau plus élevé. Il existe ici un risque de baisse de certification parce que les domaines ne sont pas assez ciblés. Les trois domaines - basique, intermédiaire et supérieur - ne sont pas suffisants. Sur ces aspects, la Commission s'est montrée rassurante : les futurs certificats devraient reprendre les avancées sur le plan international.

En revanche, il nous semble que la proposition doit encore être améliorée sur deux points : il faut clarifier le rôle des États dans le processus pour éviter le risque d'affaiblissement et il faut assurer l'indépendance de celui qui évalue par rapport à celui qui certifie.

Nous faisons également des propositions pour renforcer le cadre de certification et assurer son fonctionnement. À notre sens, il doit être plus souple pour s'adapter aux nécessités du marché. En outre, les États membres, comme les industriels du secteur, qui disposent aujourd'hui de l'expertise en matière de cybersécurité, ne sont pas assez présents. Ils doivent notamment pouvoir être en position d'initiative.

Enfin, les auditions que nous avons menées ont fait apparaître d'autres problèmes auxquels il nous faut répondre. L'adoption de la réforme proposée par la Commission européenne constitue une étape importante dans la construction d'une cybersécurité européenne. Mais ce n'est qu'une étape et il nous faut aussi regarder plus loin.

Tout d'abord, il faut construire une industrie européenne dans un domaine où tous nos problèmes viennent de l'actuelle fragmentation. C'est important pour notre sécurité. C'est important pour notre économie. C'est important pour notre souveraineté. La Commission européenne a initié un partenariat de recherche associant des autorités publiques et des entreprises. Il convient de soutenir cet effort dans les années qui viennent, c'est-à-dire lors du prochain cadre financier pluriannuel.

Ensuite, en partant de la recherche, il faut réfléchir à une véritable politique industrielle en faveur de la cybersécurité. Il importe de consolider ce secteur, car nous sommes des nains. Il faut donc faire émerger des champions et ne pas tomber dans le travers de la politique de la concurrence des années cinquante ou soixante. Aujourd'hui, il est important que nous ayons des champions européens pour que l'Europe existe.

Enfin, nos auditions ont fait ressortir les difficultés qu'il y a à recruter dans le secteur. Il existe à l'heure actuelle une véritable chasse aux talents. Les États-Unis forment tous azimuts et à tous les niveaux : bac +2, bac +4 et au-delà. C'est un gisement d'emplois que nous aurions tort de négliger.

M. Jean Bizet, président. - Ce rapport doit être articulé avec la politique suivie depuis quelques années, sous l'impulsion notamment de Catherine Morin-Desailly avec laquelle nous avions rédigé un rapport, et qui a eu pour résultat l'entrée en vigueur du règlement général sur la protection des données (RGPD). Au-delà de l'aspect purement sécuritaire, l'Europe est en train d'émerger de nouveau en la matière, après avoir subi le rouleau compresseur américain. J'appelle également à la mise en place d'une politique industrielle plus nette sur le sujet.

M. Pascal Allizard. - Je partage le diagnostic du rapport. Je suis rapporteur pour la commission des affaires étrangères du programme 144 « Environnement et prospective de la politique de défense ». J'ai entendu hier matin la direction générale de la sécurité extérieure (DGSE) sur l'évolution des moyens alloués à la cyberdéfense.

La France est en retard : l'Allemagne et le Royaume-Uni sont les deux benchmarks sur lesquels les services travaillent, les Américains étant hors de notre portée. Les priorités affichées dans le projet de loi de programmation militaire vont dans le sens du renforcement et de la cohésion des différents services. En revanche, la dimension européenne n'est pas mise en avant. La DGSE sera le pivot de cette opération : c'est la plus grosse structure ; elle est dotée de moyens ; elle a une mission d'analyse, mais aussi d'interventions grâce à son service Action.

Les ressources humaines sont une véritable problématique, car les besoins sont importants, sans parler du turn over. Des conventions sont donc passées avec les universités. Il serait intéressant de croiser votre rapport avec les travaux menés par ailleurs au Sénat. Sur le programme 144, je travaille en binôme avec Michel Boutant. Je m'occupe davantage des problèmes industriels et mon collègue siège à la délégation parlementaire au renseignement.

M. Claude Raynal. - Au vu de l'histoire des procédures européennes, je suis dubitatif concernant la mise en place de telles agences. L'instauration d'une agence de formation, d'information, de bonnes pratiques est un point positif. Mais je me méfie : il ne faudrait pas, pour satisfaire tout le monde, que le système nous tire vers le bas. Il existe aussi un problème de rythme. En Europe, on passe souvent de rien à tout et, au lieu d'accepter de marquer des étapes, on veut immédiatement mettre en place une réponse globalisante. Je me méfie de ce type de démarche. Respectons les étapes, mettons en route les premiers espaces et voyons. Démarrer par la formation, l'information et la mise à niveau des pays en retard : parfait, c'est indiscutablement le rôle de l'Europe. Mais n'entrons pas tout de suite dans un processus de certification, d'autant que notre modèle sera très vite dépassé.

Par ailleurs, quand des pays sont bien protégés contre la cybersécurité, c'est grâce aux budgets de la défense et non à ceux de la recherche. Cela ne favorise pas la mise en commun...

Pour finir, l'objectif ne me semble pas réaliste au vu de l'effectif et des missions.

M. René Danesi. - Si la France et l'Allemagne sont en avance sur une bonne dizaine de pays, sans parler de ceux qui en sont au point zéro, c'est grâce à la défense, aussi bien en ce qui concerne l'Anssi que le BSI allemand. Les deux agences travaillent d'ailleurs en étroite collaboration. Les difficultés viennent plutôt du Royaume-Uni et de son allié historique, la Suède. Si l'Anssi et le BSI ont éprouvé quelques inquiétudes, c'est qu'elles ont eu le sentiment que l'Union européenne voulait se substituer à elles. Certes, certains hauts responsables européens sont très obtus, mais d'autres sont très ouverts. L'Union européenne a compris que si la protection d'un frigidaire connecté pouvait relever du marché, plus on montait dans la hiérarchie, plus on s'approchait du « secret défense » et de la souveraineté des États, d'où la question de la certification. Elle a donc opéré une marche arrière assez prudente. Le rapport que Mme Niebler présentera devant le Parlement européen va dans ce sens. Les agences qui ont une réelle compétence doivent davantage être représentées au sein de l'Enisa.

Mme Laurence Harribey. - Il existe deux approches en matière de cybersécurité. Il y a ceux pour qui tout passe par le renseignement. En France, nous avons une tradition de séparation entre la notion de résilience au système et le renseignement. Nous assistons à un changement de culture : nous devons passer de la résilience à la cyber-attaque à la culture de la prévention. C'est tout le travail des agences et de la certification. Dans l'innovation technologique, le secteur privé est aujourd'hui plus en avance que le secteur militaire. À mon avis, il convient de promouvoir le modèle allemand et français plutôt que le modèle anglo-saxon.

M. René Danesi. - La présidence bulgare de l'Union européenne a la volonté de faire aboutir ce dossier et s'inscrit plutôt dans l'optique française.

*

À l'issue de ce débat, la commission a adopté, à l'unanimité, la proposition de résolution européenne dans la rédaction suivante, ainsi que l'avis politique qui en reprend les termes.