Le rapport que je vais vous présenter aujourd'hui porte sur l'avenir de la cybersécurité européenne, à l'aune des changements législatifs intervenus récemment dans l'Union. Ces changements ont fait l'objet de la table ronde qui a précédé la présentation du rapport, aussi ne reviendrai-je pas dans le détail sur le contenu de l'Acte de cybersécurité européen ou sur la directive SRI qui l'a précédé.
Ce travail m'a conduit à réaliser une large consultation d'acteurs concernés par l'introduction de l'Acte de cybersécurité européen, avec près d'une trentaine d'auditions menées, aussi bien à Paris qu'à Bruxelles, Athènes et Madrid. Ces auditions ont permis de recueillir la position des principales institutions publiques impliquées par la mise en oeuvre de l'Acte de cybersécurité, ainsi que des acteurs majeurs du secteur privé.
Selon la Commission européenne, 80 % des entreprises européennes connaissent au moins un « incident de cybersécurité » par an. Dans certains États membres de l'Union, jusqu'à 50 % des crimes perpétrés interviendraient dans le champ de la cybercriminalité. Les cybermenaces peuvent prendre des formes multiples, comme en rend compte le rapport sur l'état de la menace liée au numérique en 2019 du Ministère de l'intérieur français : typosquatting, rançongiciels, chevaux de Troie d'administration à distance, cryptojacking et autres botnets. La liste est longue et ne cesse de s'allonger.
Autant de termes peu familiers aux oreilles des non-initiés qui composent la majorité des utilisateurs, mais qui représentent pourtant des menaces bien réelles, et aux conséquences potentiellement très graves. Force est de constater que l'écart reste encore trop grand aujourd'hui dans le public entre l'usage au quotidien des réseaux, très répandu, et la perception des dangers, qui reste encore bien trop faible. Comme si les actes délictueux commis dans le cyberespace n'avaient pas d'implications concrètes dans la « vraie vie » : or, rien n'est plus faux.
De plus, la multiplication des objets connectés et des services en ligne sera renforcée par de futurs réseaux techniquement plus performants mais aussi peut-être plus vulnérables en termes de sécurité du fait de leurs caractéristiques propres (avec leur plus grande surface d'exposition aux risques, la part croissante jouée par leur dimension logicielle les soumettant à de nombreuses mises à jour). La cybersécurité est donc non seulement un enjeu actuel et souvent sous-estimé, mais devrait également devenir un sujet majeur pour les années à venir dans une société toujours plus numérisée.
La France occupe une place tout à fait spécifique sur le terrain de la cybersécurité en Europe, car elle dispose d'une expertise ancienne et reconnue, expertise plus particulièrement incarnée par son agence nationale, l'ANSSI. Mais la force d'une chaîne se mesurant à l'aune de son maillon le plus faible, une coopération de qualité entre les autorités européennes responsables de ce sujet dans leur pays apparaît déterminante. Jusqu'à récemment, l'existence même de telles autorités n'était pas acquise dans tous les États membres de l'Union, et lorsqu'elles existaient, toutes n'avaient pas la puissance de frappe de l'agence française.
La législation européenne récente (la directive SRI et l'Acte de cybersécurité) s'est donc employée à remédier à cela, en cherchant à concilier le respect de la souveraineté des États membres sur ce sujet très régalien avec une collaboration européenne efficace sous la houlette d'une agence dédiée à la sécurité des réseaux, l'ENISA.
Selon votre rapporteur, cet enjeu majeur doit évidemment être considéré sous l'angle de la sécurité et de la défense des intérêts à la fois nationaux et européens. Mais sa dimension économique ne doit pas être négligée : la cybersécurité peut aussi être source de prospérité, et l'Union européenne a tout à gagner à présenter un front cohérent et uni pour affronter la concurrence mondiale et proposer des standards faisant référence.
C'est pourquoi notre rapport porte sur les deux volets de l'Acte de cybersécurité : sécuritaire et opérationnel avec le renforcement de l'ENISA, et plus économique avec l'introduction d'un système européen de certification pour la cybersécurité.
À partir des observations recueillies lors des auditions et de l'étude des textes adoptés dans le cadre de l'Acte de cybersécurité européen, le rapport d'information se propose donc, d'abord, de présenter l'émergence des grands enjeux de la cybersécurité en Europe ces dernières années et les tendances en termes de menaces.
L'élaboration de réponses européennes coordonnées aux problèmes de cybersécurité par les pouvoirs publics se heurte en effet à deux écueils : le foisonnement des institutions destinées à répondre aux menaces sur le plan international d'une part, et la difficulté à évaluer et caractériser les atteintes à la cybersécurité d'autre part.
La cybersécurité étant par nature un sujet ne connaissant pas de frontière, sa prise en compte par les organisations internationales se fait de façon foisonnante et peu coordonnée, conduisant à un véritable « patchwork institutionnel » de la cybersécurité. En tracer les contours permet au rapport de mettre en lumière le chemin qui reste à parcourir pour une véritable coordination internationale, à la hauteur des enjeux. Encore faut-il être en mesure d'évaluer ceux-ci : le développement au sein de l'Union européenne d'un indicateur de mesure de la cybersécurité apparaît en effet comme un prérequis indispensable à l'affirmation d'un modèle européen de cybersécurité. Cet indicateur devrait répondre à des critères de scientificité ouverts et permettre de mesurer les progrès réalisés d'une année sur l'autre, notamment grâce aux outils mis en place pour garantir la cybersécurité au niveau de l'Union. L'ENISA publie un rapport annuel d'évaluation des menaces : à l'avenir, il pourrait être intéressant que ce rapport fasse l'objet d'une plus grande publicité, par le biais d'une présentation au Parlement européen par exemple. Ce rendez-vous régulier pourrait être mis en place dès à présent avec le début du mandat des députés européens, et constituer ainsi un temps de discussion annuel qui contribuerait à la sensibilisation autour des enjeux de la cybersécurité européenne.
Le rapport cherche également à montrer comment une Agence européenne de la cybersécurité renforcée pourra contribuer à rationaliser une architecture de la cybersécurité européenne encore trop éclatée. Votre rapporteur salue le renforcement de l'ENISA mais appelle à la vigilance sur les contours du rôle que l'Agence devra endosser, afin que soient conciliées au mieux les exigences de coopération européenne et de respect de la souveraineté des États membres. L'ENISA ne doit pas devenir l'organe supranational de la cybersécurité en Europe, mais peut et doit assurer un rôle utile de coordination et de mobilisation des compétences nationales.
La diversité des instances nationales nous conduit à proposer que soit désignée dans chaque État membre une personnalité politique de référence, susceptible d'offrir une meilleure visibilité aux enjeux de cybersécurité. Il pourrait s'agir en France de créer un ministère de plein exercice, qui permettrait une véritable incarnation politique des problématiques de cybersécurité, tant sur le volet sécuritaire qu'industriel.
Le rapport examine également les modalités dans lesquelles s'inscrira la certification européenne créée par le nouveau règlement : si la certification de cybersécurité peut constituer un avantage comparatif essentiel pour l'Union, elle n'emporte pas moins certaines difficultés dont il faut être conscient. La certification introduite par le règlement sur la cybersécurité représente une véritable opportunité de croissance pour l'Europe sur le marché de la cybersécurité, à condition qu'elle favorise la convergence vers les plus hautes exigences. Pour cela, le rapport appelle à la bonne prise en compte des acquis existants et attire l'attention sur les problématiques de périmètres et de durabilité des schémas d'évaluation de certification. En effet, dans un domaine, le numérique, où les mises à jour sont nombreuses et les évolutions rapides, la certification devra tenir la gageure de réconcilier réactivité et stabilité
La mise en oeuvre de l'Acte de cybersécurité offre à l'Union européenne l'occasion historique de répéter l'établissement d'un standard, tel que celui qu'elle a réussi à proposer pour la protection des données personnelles avec le RGPD. Il lui faut pour cela capitaliser sur les réussites des meilleurs acteurs en son sein, et réussir à faire converger secteurs public et privé dans la promotion de l'intérêt européen. C'est le sens du modèle que ce rapport vise à défendre.
Le rapport présenté aujourd'hui devant notre Commission cherche donc à présenter les dernières avancées dans la législation européenne sur la cybersécurité tout en soulignant les difficultés qui pourraient survenir lors de la mise en oeuvre de ces textes, difficultés inhérentes au paysage institutionnel complexe, à la sensibilité de ce sujet pour la souveraineté des États et au caractère très évolutif du secteur du numérique. Il cherche ainsi à contribuer à la diffusion d'une certaine culture autour des enjeux de cybersécurité à un moment charnière pour la vie de l'Union européenne, avec l'arrivée récente des nouveaux députés au Parlement européen et la prise de fonction prochaine de la Commission européenne. Je vous remercie.