L’émergence des grands enjeux de la cybersécurité en Europe ces dernières années et les tendances actuelles et futures des menaces ; la place et le rôle d’une ENISA renforcée afin de rationaliser une architecture de la cybersécurité européenne encore trop éclatée, tout en respectant la souveraineté des États membres ; future certification européenne ou encore création d’un ministère du numérique et de la cybersécurité en France.
Retour sur les éléments clés du dernier rapport d’information présenté par Eric Bothorel, député La République en marche, et adpoté par la Commission des affaires européennes il y a quelques jours.
Les menaces cyber
A l’aune des changements législatifs intervenus récemment dans l’Union et selon la Commission européenne, 80 % des entreprises européennes connaissent au moins un « incident de cybersécurité » par an. Dans certains États membres de l’Union, jusqu’à 50 % des crimes perpétrés interviendraient dans le champ de la cybercriminalité. Les cybermenaces peuvent prendre des formes multiples, comme en rend compte le rapport sur l’état de la menace liée au numérique en 2019 du Ministère de l’intérieur français : typosquatting, rançongiciels, chevaux de Troie d’administration à distance, cryptojacking et autres botnets. La liste est longue et ne cesse de s’allonger…
Autant de termes peu familiers aux oreilles des non-initiés qui composent la majorité des utilisateurs, mais qui représentent pourtant des menaces bien réelles, et aux conséquences potentiellement très graves. Force est de constater que l’écart reste encore trop grand aujourd’hui dans le public entre l’usage au quotidien des réseaux, très répandu, et la perception des dangers, qui reste encore bien trop faible. Comme si les actes délictueux commis dans le cyberespace n’avaient pas d’implications concrètes dans la « vraie vie » : or, rien n’est plus faux.
La multiplication des objets connectés et des services en ligne sera renforcée par de futurs réseaux techniquement plus performants mais aussi peut-être plus vulnérables en termes de sécurité du fait de leurs caractéristiques propres (avec leur plus grande surface d’exposition aux risques, la part croissante jouée par leur dimension logicielle les soumettant à de nombreuses mises à jour). La cybersécurité est donc non seulement un enjeu actuel et souvent sous-estimé, mais devrait également devenir un sujet majeur pour les années à venir dans une société toujours plus numérisée.
Des interêts nationaux et européens
La France occupe une place tout à fait spécifique sur le terrain de la cybersécurité en Europe, car elle dispose d’une expertise ancienne et reconnue, expertise plus particulièrement incarnée par son agence nationale, l’ANSSI. Mais la force d’une chaîne se mesurant à l’aune de son maillon le plus faible, une coopération de qualité entre les autorités européennes responsables de ce sujet dans leur pays apparaît déterminante. Jusqu’à récemment, l’existence même de telles autorités n’était pas acquise dans tous les États membres de l’Union, et lorsqu’elles existaient, toutes n’avaient pas la puissance de frappe de l’agence française.
La législation européenne récente (la directive SRI et l’Acte de cybersécurité) s’est donc employée à remédier à cela, en cherchant à concilier le respect de la souveraineté des États membres sur ce sujet très régalien avec une collaboration européenne efficace sous la houlette d’une agence dédiée à la sécurité des réseaux, l’ENISA.
Cet enjeu majeur doit évidemment être considéré sous l’angle de la sécurité et de la défense des intérêts à la fois nationaux et européens. Mais sa dimension économique ne doit pas être négligée : la cybersécurité peut aussi être source de prospérité, et l’Union européenne a tout à gagner à présenter un front cohérent et uni pour affronter la concurrence mondiale et proposer des standards faisant référence.
Le rapport porte donc sur les deux volets de l’Acte de cybersécurité : sécuritaire et opérationnel avec le renforcement de l’ENISA, et plus économique avec l’introduction d’un système européen de certification pour la cybersécurité.
Vers un indicateur de mesure de la cybersécurité
Revenir sur l’émergence des grands enjeux de la cybersécurité en Europe ces dernières années et les tendances en termes de menaces est essentiel pour comprendre, comment l’élaboration de réponses européennes coordonnées aux problèmes de cybersécurité par les pouvoirs publics se heurte à deux écueils : le foisonnement des institutions destinées à répondre aux menaces sur le plan international d’une part, et la difficulté à évaluer et caractériser les atteintes à la cybersécurité d’autre part.
La cybersécurité étant par nature un sujet ne connaissant pas de frontière, sa prise en compte par les organisations internationales se fait de façon foisonnante et peu coordonnée, conduisant à un véritable « patchwork institutionnel » de la cybersécurité.
En tracer les contours permet de mettre en lumière le chemin qu’il reste à parcourir pour une véritable coordination internationale, à la hauteur des enjeux.
Encore faut-il être en mesure d’évaluer ceux-ci : le développement au sein de l’Union européenne d’un indicateur de mesure de la cybersécurité apparaît en effet comme un prérequis indispensable à l’affirmation d’un modèle européen de cybersécurité.
Cet indicateur devrait répondre à des critères de scientificité ouverts et permettre de mesurer les progrès réalisés d’une année sur l’autre, notamment grâce aux outils mis en place pour garantir la cybersécurité au niveau de l’Union.
L’ENISA publie un rapport annuel d’évaluation des menaces : à l’avenir, il pourrait être intéressant que ce rapport fasse l’objet d’une plus grande publicité, par le biais d’une présentation au Parlement européen par exemple. Ce rendez-vous régulier pourrait être mis en place dès à présent avec le début du mandat des députés européens, et constituer ainsi un temps de discussion annuel qui contribuerait à la sensibilisation autour des enjeux de la cybersécurité européenne.
L’ENISA : outil de coordination et de mobilisation des compétences nationales
Autre grand sujet abordé, le renforcement d’une agence européenne de la cybersécurité qui pourrait contribuer à rationaliser une architecture de la cybersécurité européenne encore trop éclatée. Le renforcement de l’ENISA est important, mais cela appelle aussi à une certaine vigilance sur les contours du rôle que l’Agence devra endosser, afin que soient conciliées, au mieux, les exigences de coopération européenne et de respect de la souveraineté des États membres. L’ENISA ne doit pas devenir l’organe supranational de la cybersécurité en Europe, mais peut et doit assurer un rôle utile de coordination et de mobilisation des compétences nationales.
Vers la création d’un ministère dédié en France ?
La diversité des instances nationales appelle à ce ce que soit désignée dans chaque État membre une personnalité politique de référence, susceptible d’offrir une meilleure visibilité aux enjeux de cybersécurité. Eric Bothorel propose pour la France la création d’un ministère de plein exercice, qui permettrait une véritable incarnation politique des problématiques de cybersécurité, tant sur le volet sécuritaire qu’industriel. Une incarnation essentielle si la France souhaite associer des actes concrets à des prises de parole et un positionnement ambitieux.
La Certification européenne au service des plus hautes exigences
Autre sujet clé, celui de la certificaiton européenne. Si la certification de cybersécurité peut constituer un avantage comparatif essentiel pour l’Union, elle n’emporte pas moins certaines difficultés dont il faut être conscient. La certification introduite par le règlement sur la cybersécurité représente une véritable opportunité de croissance pour l’Europe sur le marché de la cybersécurité, à condition qu’elle favorise la convergence vers les plus hautes exigences. Dès lors, les acquis existants doivent être pris en compte et les problématiques de périmètres et de durabilité des schémas d’évaluation de certification devront être traités. En effet, dans un domaine, le numérique, où les mises à jour sont nombreuses et les évolutions rapides, la certification devra tenir la gageure de réconcilier réactivité et stabilité.
La mise en œuvre de l’Acte de cybersécurité offre à l’Union européenne l’occasion historique de répéter l’établissement d’un standard, tel que celui qu’elle a réussi à proposer pour la protection des données personnelles avec le RGPD. Il lui faut pour cela capitaliser sur les réussites des meilleurs acteurs en son sein, et réussir à faire converger secteurs public et privé dans la promotion de l’intérêt européen. C’est le sens du modèle que ce rapport vise à défendre.
Les dernières avancées dans la législation européenne sur la cybersécurité sont majeures. Mais des difficultés pourraient survenir lors de la mise en œuvre de ces textes, difficultés inhérentes au paysage institutionnel complexe, à la sensibilité de ce sujet pour la souveraineté des États et au caractère très évolutif du secteur du numérique.
Nous devons donc contribuer à la diffusion d’une certaine culture autour des enjeux de cybersécurité à un moment charnière pour la vie de l’Union européenne, avec l’arrivée récente des nouveaux députés au Parlement européen et la prise de fonction prochaine de la Commission européenne.