Intervention de Juhan Lepassaar

Notre agence a pour mission de garantir un niveau élevé commun de cybersécurité au sein de l'Union, tâche qui doit être menée en étroite collaboration avec les États membres.

La France a été pionnière dans le renforcement de la cybersécurité européenne. Celle-ci repose sur un premier pilier législatif avec la directive destinée à assurer un niveau minimal commun de sécurité des réseaux et des systèmes d'information, dite « NIS », puis un deuxième, avec le Cybersecurity Act. La France a soutenu l'Union dans le renforcement de ses capacités et participé à des exercices de cybersécurité à grande échelle. Elle a également lancé un forum permettant aux responsables des agences nationales de cybersécurité d'échanger régulièrement.

Au mois de décembre dernier, la Commission européenne a présenté des propositions de révision de la directive « NIS » (Network and Information System Security). Il s'agit pour nous d'une réponse bienvenue et nécessaire, au vu tout d'abord des conséquences sociales et financières des cyberattaques, dont le nombre et le coût sont en augmentation. Le coût de la cybercriminalité en 2020 est évalué à 5,5 trilliards d'euros, soit le double par rapport à l'année précédente. L'Enisa a été destinataire de 949 rapports d'incidents en 2020, concernant exclusivement des incidents très significatifs concernant des services essentiels, contre 432 en 2019. 171 concernaient le secteur des télécommunications, 742 d'autres secteurs critiques au sens de la directive. Pour le seul secteur de la santé, l'agence a reçu 262 rapports en 2020, contre 122 en 2019. Même en France, il y a eu de multiples cyberattaques contre les hôpitaux.

Les menaces sont de plus en plus ciblées, avec une complexité et une sophistication accrues des attaques.

Nous avons étudié 250 fournisseurs de services essentiels de cinq des plus grands États membres, dont la France. Eu égard à leur rôle, on aurait pu s'attendre à ce qu'ils mettent en oeuvre les meilleures pratiques en matière de cybersécurité. Or 43 % d'entre eux ont connu des incidents dont le coût a atteint 500 000 euros ; et pour 15 % d'entre eux, il a dépassé le million d'euros.

Il faut donc absolument améliorer le cadre général, et assurer une meilleure protection des citoyens et des entreprises. Le marché intérieur ne se limite pas aux seuls services essentiels. La plus grande partie des services sont fournis par des PME. Leurs vulnérabilités et leurs insuffisances en matière de cybersécurité ont des répercussions sur toutes les chaînes d'approvisionnement, dans tous les secteurs. Il est donc indispensable d'étendre le champ d'application de la directive aux petites entreprises et d'y inclure de nouveaux secteurs : l'industrie pharmaceutique, les fournisseurs de cloud, les centres de données, l'industrie alimentaire, les services de traitement des eaux usées, etc., qui doivent être considérés comme des fournisseurs de services essentiels.

La possibilité de procéder à des analyses de risques dans la chaîne d'approvisionnement est une excellente proposition. Une approche des risques et une coordination au niveau européen sont en effet de bonne méthode comme l'a montré le succès de l'expérience réussie de la boîte à outils de sécurité de la 5G. L'Enisa a engagé des travaux d'identification des menaces qui pèsent notamment sur l'intelligence artificielle et les objets connectés et publiera cette année une étude sur les menaces concernant les chaînes d'approvisionnement.

La proposition de directive prévoit aussi la création d'un registre des vulnérabilités de l'Union européenne, qui permettra de renforcer la transparence sur celles-ci et de renforcer l'indépendance des évaluations de leur gravité. Ce registre sera alimenté par les alertes et les recommandations des autorités nationales et l'Enisa pourra ainsi servir de guichet unique en la matière.

La directive NIS n'est pas le seul cadre pertinent. La cybersécurité est présente dans tous les domaines. L'objectif de l'agence est qu'elle acquiert une dimension horizontale comme le climat et les questions environnementales. Des progrès ont été réalisés, notamment pour les services financiers avec la directive « DORA ». J'invite ardemment le Sénat à prendre cette dimension en compte dans ses délibérations sur les politiques nationales.

L'investissement dans la cybersécurité reste faible. Les organisations européennes y consacrent en moyenne 41 % de moins que leurs homologues américaines. Le plan de relance de l'Union européenne offre des perspectives en soutenant des investissements dans les domaines ciblés qui amélioreront la cybersécurité et en favorisant un marché de la cybersécurité robuste.

L'Enisa analyse les tendances et les segments du marché, en mettant l'accent sur les solutions de cybersécurité. Mais l'un des plus éléments les plus importants sera la certification de cette cybersécurité, qui a été introduite pour la première fois en 2019 par le Cybersecurity Act. Depuis, bon nombre de collègues, dont la plupart sont Français, travaillent à la préparation de ces systèmes de certification. L'Enisa est sur le point de finaliser le premier système de certification en matière de cybersécurité. Elle progresse rapidement dans la mise au point d'un deuxième système pour le cloud et commence à travailler sur un troisième système pour la 5G. Le programme de travail glissant de l'Union définissant les futures priorités devrait être publié prochainement par la Commission européenne.

La certification est un outil puissant pour défendre nos intérêts dans la cybersécurité et pour créer de la confiance dans notre marché intérieur. D'autres outils, comme l'étiquetage, la normalisation ou les investissements coordonnés dans la recherche sont tout aussi importants pour garantir la protection des droits des consommateurs européens, la protection des valeurs de l'Union et la défense des intérêts de notre industrie.

Nous avons besoin d'une coopération internationale plus étroite pour améliorer les normes de cybersécurité : définition de normes de comportement communes, adoption de codes de conduite, utilisation de normes internationales, partage d'informations, etc.

Les investissements dans la recherche et l'innovation sont essentiels pour pouvoir compter sur une base industrielle européenne solide et de premier plan dans un plus grand nombre de domaines de l'économie numérique, y compris la cybersécurité.

Le Centre de compétences de l'Union européenne en matière de cybersécurité et le réseau des centres de coordination nationaux deviendront le troisième pilier de la cybersécurité européenne. La contribution du Centre sera importante pour assurer une meilleure coordination des priorités et des ressources en matière de cybersécurité au sein de l'Union européenne et apporter de l'innovation.

Au cours des cinq dernières années, l'Union européenne a pris de nombreuses mesures pour sécuriser le cyberespace européen. Des initiatives législatives et organisationnelles parallèles ont été lancées. Elles ont permis d'améliorer le partage d'informations et la réponse collective aux incidents dans les institutions de l'Union européenne et les différents États membres.

Nous avons subi davantage d'attaques pendant la pandémie de covid-19. Le partage de données et d'informations et la coopération au sein de l'Union européenne sont bénéfiques pour tous les participants. Ils permettent de mettre en commun les connaissances communes, d'identifier des tendances actuelles et futures, de repérer des lacunes et d'améliorer considérablement nos capacités d'arrêter les auteurs d'attaques.

L'Enisa va créer des formations en matière de cybersécurité et mettre en place des boucliers, les cyber shields, pour protéger les États. Nous avons besoin de clarté sur la manière de déclencher ces actions. L'unité conjointe pourra être le lieu de réponse au niveau technique en cas de crise. Notre agence est prête à utiliser pleinement son mandat. Elle contribuera à cette unité pour la cybersécurité.