Intervention de Constance Le Grip

Monsieur le commissaire, ma question porte sur la cybersécurité. Dans votre propos liminaire, vous avez longuement fait état de la stratégie ambitieuse de la Commission européenne en matière de renforcement de la cybersécurité en Europe. Dans la droite ligne du discours sur l'état de l'Union de Jean-Claude Junker du 13 septembre dernier, un paquet cybersécurité a ainsi été présenté, et nous en saluons l'objectif et la pertinence. Une réelle prise de conscience s'est opérée, y compris au sein des institutions communautaires, sur la nécessité d'avoir une stratégie européenne totalement coordonnée, à la fois sur le plan défensif et sur le plan offensif.

Je souhaite évoquer plus particulièrement l'un des outils de cette panoplie, à savoir le règlement ayant vocation à la fois à pérenniser l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), à en accroître les compétences, et à créer un cadre européen légal de certification. La commission des Affaires européennes de notre assemblée s'est déjà penchée sur ces sujets dans un rapport récent. Nous devons être parfaitement conscients du haut niveau de compétence, d'expertise et de maîtrise technique qui existe dans plusieurs pays européens, notamment la France et l'Allemagne. Ils sont dotés d'organes nationaux extrêmement pointus et reconnus au plan européen en matière de lutte contre les cyberattaques : je pense à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France et au BSI en Allemagne, qui collaborent d'ailleurs étroitement.

Dès lors, il nous apparaît un peu hasardeux d'envisager, dans le cadre du renforcement et de l'extension des compétences de l'ENISA, une dépossession de certaines des agences nationales d'autres pays en matière de maîtrise et d'établissement des certificats légaux de cybersécurité. En d'autres termes, nous craignons que l'harmonisation d'un niveau de certification au plan européen n'aboutisse éventuellement à un affaiblissement du niveau de protection et des labels de qualité extrêmement protecteurs qui existent. En France, l'ANSSI dispose d'une expertise incontestable, avec une certification de sécurité de premier niveau (CSPN) dont la valeur est largement reconnue, et l'agence française a également mis au point, en collaboration avec le BSI, le nouveau label commun European Secure Cloud.

Par-delà la nécessité de coordonner, d'échanger et d'aider à faire progresser les pays qui ne sont pas encore dotés de structures nationales en matière de certification optimale, nous sommes quelques-uns à avoir des doutes et des inquiétudes face à l'affaissement du niveau de protection qui pourrait résulter de la volonté d'aboutir à une certification européenne harmonisée. À tout le moins, il nous semble qu'une démarche de certification à plusieurs niveaux, avec des évaluations et des processus différents selon les catégories de produits, pourrait constituer une réponse plus appropriée ; il conviendrait alors de laisser principalement aux agences nationales la possibilité de continuer à délivrer ces certifications de cybersécurité performantes.