Intervention de Juhan Lepassaar

La cybersécurité ne s'applique pas uniquement aux entreprises informatiques ou à l'industrie. Sa fonction primaire est de protéger la société. L'ENISA travaille sur la sensibilisation dans toute l'Europe avec différentes mesures, par exemple le mois « cyber ». Nous collaborons avec des entités européennes et nationales pour avoir des supports de sensibilisation à distribuer dans l'Union européenne. Mais la tâche la plus importante pour l'ENISA et pour toutes les autorités de cybersécurité est de promouvoir la cybersécurité par défaut, intégrée dans les solutions. Il vaut toujours mieux sécuriser l'infrastructure avant une crise, plutôt que de retourner en arrière et d'essayer de réparer les failles.

Intégrer la sécurité dans la conception des outils est une tâche que je prends très à coeur et c'est une nécessité qui découle de l'acte de cybersécurité. Il nous incombe de trouver des mécanismes pour faire en sorte que les fabricants créent des outils qui soient déjà sécurisés. On ne peut pas présumer que les consommateurs soient experts dans la cybersécurité et sachent déjà comment protéger les services qu'ils utilisent. Il y a des fonctionnalités basiques que tout le monde connaît, comme mettre à jour les logiciels régulièrement, ce qu'il faut faire car cela protège les systèmes. Mais cela devrait être automatique.

Mme la Présidente, vous avez parlé des PME : lorsqu'on met en oeuvre ce nouveau cadre de régulation, il faut toujours garder les PME à l'esprit. L'acte sur la cybersécurité, en ce qui concerne la certification, a déjà une approche proportionnée. Il y a différents niveaux de certification : on peut avoir une auto-certification, plus simple pour les PME, puis un niveau supérieur qui serait une certification validée par un tiers, ce qui coûte plus cher et prend plus de temps. Toutes les PME n'ont pas le temps ou les moyens nécessaires pour se faire certifier par un tiers. Il est nécessaire d'aider les PME, les petits employeurs et les start-up à se sécuriser et à utiliser le cadre de régulation. Un système d'auto-certification constitue la première étape.