Intervention de Cyril Cuvillier

Nous sommes très heureux d'avoir été conviés ce matin et qu'un rapport d'information ait été rédigé pour informer les parlementaires.

Je souhaite dire quelques mots sur la manière dont l'état de la question cyber est perçu à l'échelle européenne. La législature précédente a fait un énorme travail en posant des fondations. Cependant, chaque sujet qui a avancé n'est que le premier étage d'une structure à consolider. Nous devons faire preuve de vigilance et ne pas passer immédiatement aux sujets suivants. Il faut encore rationaliser, piloter, améliorer les démarches entreprises.

D'abord, nous avons renforcé la résilience de l'Union face aux risques cyber. Il faut évidemment citer la directive NIS (ou SRI). Elle s'intéresse au cadre de sécurité sur les infrastructures dites critiques. En France, nous avions un modèle déjà bien développé pour les infrastructures vitales, mais l'Europe a commencé à parler d'opérateurs essentiels à la prospérité économique. Cette démarche a très bien démarré et elle se poursuit ; un de nos rôles dans les prochaines années est d'observer comment cela se poursuit.

La question est la façon de résoudre des crises à l'échelle européenne. Nous avons réalisé qu'il fallait pouvoir échanger entre nous à un niveau plus opérationnel et plus stratégique, de manière à ce que les États membres réfléchissent entre eux. La France a accueilli le 2 juillet dernier un exercice de cette nature, avec la grande majorité des directeurs d'agences et de structures nationales. Il va probablement avoir à nouveau lieu, parce que nous nous sommes rendu compte qu'il était nécessaire d'avoir ce niveau de préparation aux crises.

Au cours de cette législature, nous nous sommes aussi rendu compte que la sécurité des institutions européennes elles-mêmes doit faire l'objet d'une vigilance régulière. Il ne faut pas prendre la sécurité comme acquise, comme en témoignent certains incidents qui ont fait l'objet de communications officielles.

Enfin, je souhaite aborder la question de la résilience. Le travail a beaucoup avancé dans le domaine de l'édification d'un réseau industriel. Comment faire émerger une industrie apte à répondre au défi de la confiance dans le domaine du numérique ? La législature qui se termine a donné lieu à une expérimentation autour d'un partenariat public privé. Ce sujet va perdurer sous la forme d'un texte sur un centre de compétences, qui vise à mieux structurer les compétences dans le temps, mieux flécher les budgets de recherche. L'objectif est de faire émerger un réseau industriel pour répondre au défi d'autonomie stratégique dans le domaine du cyber. Nous devons être très aidants dans la relation dans la relation entre nos moyens budgétaires et les moyens de l'industrie.

Le troisième point, qui n'est pas à négliger, est le développement d'outils diplomatiques. Nous avons vu que les crises ont une dimension diplomatique. Les politiques ont besoin que nous sachions les accompagner d'une lecture technique. Des textes ont été générés au cours des dernières années.

Nous sommes persuadés que l'échelle européenne est la bonne pour traiter ces sujets. En même temps, nous nous assurons que les textes intègrent des exceptions de souveraineté, par exemple dans le cas de la certification des produits cryptographiques. Dans les domaines régaliens, nous souhaitons pouvoir mener les projets qui nous semblent nécessaires. Toutefois, de manière générale, pour rendre les producteurs responsables, en appeler à des démarches qui standardisent les efforts qu'on leur demande, l'Union européenne est le bon niveau.

Nous l'avons vu avec le RGPD : la force d'un texte de ce périmètre a été absolument magistrale dans la prise de conscience des responsables. On peut alors obtenir un impact réel.

L'ENISA est une agence qui est au coeur de cela car elle apparaît, au sein des entités de l'Union européenne, comme un lieu vers lequel se tourner lorsque des questions se posent. Les parlementaires européens veulent savoir ce qu'est la « blockchain », le « quantum » et tous ces concepts complexes. Il faut donc que nous ayons un centre qui soit non pas expert mais en capacité de repérer que tel État membre a écrit un texte intéressant sur ce sujet et que c'est ce texte-là qu'il faudrait lire en premier, que tel État membre dispose de compétences qui peuvent nous aider à appréhender le sujet.

Sur la 5G, l'ENISA se pose en animateur d'un effort collectif des États membres pour rédiger un document qui analyse le risque, non pas dans l'idée de dessaisir les États du problème mais de proposer de le résoudre, en invitant les États à développer leurs expertises, leurs analyses de risque, leurs stratégies politiques. L'ENISA a montré au cours des dernières années le rôle remarquable qu'elle a joué. Quand on considère par exemple la question de la sensibilisation de nos concitoyens, l'ENISA organise un mois européen de la cybersécurité tous les ans. Quand nous parlons de renforcer le rôle des étudiants dans l'informatique et le cyber, il s'agit d'un challenge européen animé par l'ENISA. La France s'inscrit, comme les autres États, dans cette démarche, les incitant à s'inscrire à ce challenge et les étudiants se prêtent à cet exercice.

Il faut que nous apprenions à nous entraîner à l'échelle européenne et l'ENISA encadre la mise en oeuvre de « cyber Europe », exercice de dimension européenne très utile pour convenir de méthodes partagées. Nous avons également évoqué le réseau de CERT qui profite beaucoup du soutien de l'ENISA.

Il faut aller au-delà et nous nous réjouissons que l'ENISA, après plusieurs mandats provisoires, se soit installée dans un mandat définitif, durable, sous la forme d'une agence européenne. Nous sommes heureux que la France, en la personne de Jean-Baptiste Demaison, se soit vue à nouveau confier la présidence du conseil d'administration de l'ENISA. Monsieur Demaison occupait déjà cette fonction et a été renouvelé à l'unanimité par ses collègues, signe d'une réelle adhésion à sa démarche de travail. Cette démarche vise à continuer les efforts par lesquels l'ENISA doit impliquer les expertises des États membres pour fédérer ce travail, comprendre les nouveaux sujets et aider les États à renforcer leurs capacités.