Intervention de Jean-Marie Bockel

Avec notre collègue M. Jacques Berthou, nous avons été désignés par la commission, le 20 février dernier, comme rapporteurs sur deux textes européens, publiés le 7 février :

- une communication conjointe de la Commission européenne et de la Haute représentante pour les affaires étrangères et la politique de sécurité, relative à la stratégie européenne de cybersécurité ;

- une proposition de directive de la Commission européenne sur la sécurité des réseaux et des systèmes d'information.

Je concentrerai mon propos sur la stratégie européenne de cybersécurité, avant de laisser la parole à notre collègue M. Jacques Berthou, qui évoquera la proposition de directive et la position que nous vous proposons d'adopter.

Comme vous le savez, depuis la publication du rapport d'information sur la cyberdéfense que j'ai présenté devant vous en juillet dernier, le thème de la cybersécurité n'a pas cessé de prendre de l'ampleur.

Sans trahir aucun secret, je pense pouvoir dire ici - sous le contrôle du président de notre commission et de nos deux autres collègues membres de la commission du Livre blanc - que ce sujet devrait faire l'objet d'une priorité dans le cadre du nouveau Livre blanc sur la défense et la sécurité nationale, qui devrait être rendu public prochainement.

En effet, depuis la publication de notre rapport, les attaques contre les systèmes d'information se sont multipliées.

Il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.

On peut distinguer quatre types d'attaques informatiques :

- tout d'abord, tout ce qui relève de la cybercriminalité, qui regroupe par exemple la fraude bancaire ou la pédopornographie sur Internet, et qui est en plein essor. Selon la Commission européenne, la cybercriminalité ferait plus d'un million de victimes chaque jour dans le monde et un Européen sur dix aurait déjà été victime d'une fraude à la carte bancaire ;

- Ensuite, les attaques visant à perturber le fonctionnement des systèmes, par une saturation de service : c'est par exemple le cas des attaques du groupe Anonymous visant des institutions publiques ou privées ;

- troisième type d'attaque, le cyberespionnage, qui se développe considérablement ;

- et, enfin, ce qui est nouveau, les attaques informatiques visant à détruire les systèmes.

Vous vous souvenez sans doute du ver STUXNET, qui aurait été développé par les Etats-Unis et Israël et qui aurait détruit un millier de centrifugeuses de la centrale nucléaire iranienne de Natanz.

Mais, en août dernier, deux attaques informatiques d'ampleur ont visé des sociétés du secteur de l'énergie au Moyen-Orient, dont le premier producteur mondial de pétrole Saudi Aramco. 30.000 ordinateurs et 2.000 serveurs ont été rendus inutilisables lors d'une attaque revendiquée par un groupe terroriste.

D'une manière générale, les attaques informatiques peuvent être menées par des pirates informatiques, des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats.

Les soupçons se portent souvent vers la Chine ou la Russie, mais elles ne sont vraisemblablement pas les seules et il est très difficile d'identifier précisément les auteurs de ces attaques.

Vous avez certainement vu comme moi dans la presse ces dernières semaines les articles consacrés au rapport de la société Mandiant, spécialisée dans la sécurité informatique, mettant en évidence l'existence d'une véritable armée de « hackers » au sein de l'armée populaire de libération chinoise.

On peut également citer les déclarations récentes du Président américain Barack Obama, qui considère les cyberattaques comme une menace prioritaire pour la sécurité nationale des Etats-Unis, au même rang qu'Al Qaida ou le programme nucléaire militaire iranien et nord-coréen.

Lors d'une audition devant le Sénat américain, le 12 mars dernier, les directeurs des services de renseignement ont multiplié les mises en garde au sujet des cyberattaques et du cyberespionnage, la Chine étant particulièrement montrée du doigt.

Les responsables américains disent aussi craindre un « cyber Pearl Harbor », c'est-à-dire une attaque informatique massive, visant par exemple la fourniture d'électricité, qui aboutirait à la paralysie complète du pays, à l'image de l'attaque subie par l'Estonie en 2007, et dont on pense que la Russie serait à l'origine.

Notre pays n'est pas épargné par ce phénomène, comme en témoignent les attaques informatiques dont ont fait l'objet le ministère de l'économie et des finances ou encore AREVA, pour ne citer que les attaques qui ont été révélées par la presse.

Nous recommandions donc dans notre rapport de faire de ce sujet une véritable priorité nationale.

On peut s'attendre, en effet, à une croissance du nombre d'attaques informatiques à l'avenir, en raison du développement du rôle d'Internet et de l'informatique dans tous les secteurs.

D'ores et déjà, nous connaissons les téléphones portables, les ordinateurs, les tablettes, etc. Mais, demain, les objets - de la voiture au pace maker, seront également reliés à l'Internet.

Parmi les 10 priorités et les 50 recommandations contenues dans notre rapport, une partie d'entre elles était consacrée au rôle de l'Union européenne.

En effet, même si la cybersécurité doit demeurer une compétence première des Etats, car elle touche à la souveraineté nationale, il semble toutefois indispensable, s'agissant d'une menace qui s'affranchit des frontières, de renforcer la coopération internationale dans ce domaine.

Or, l'Union européenne a un grand rôle à jouer dans ce domaine puisque la plupart des normes applicables aux opérateurs de télécommunications relèvent de sa compétence.

Je regrettais toutefois dans mon rapport l'absence de réelle stratégie européenne et la dispersion des acteurs européens et, parmi nos recommandations, figurait l'élaboration d'une véritable stratégie européenne dans ce domaine.

La présente communication répond directement à notre souhait puisqu'elle propose une stratégie européenne de cybersécurité.

Ce document contient quatre grands axes de renforcement de l'action de l'Union européenne : la lutte contre la cybercriminalité, la cyberésilience, la cyberdéfense et l'action internationale de l'Union.

En ce qui concerne la sécurité des réseaux et des systèmes d'information, la Commission européenne souligne notamment :

- la nécessité de développer des capacités nationales de cybersécurité et du renforcement de la coopération européenne ;

- l'importance des relations avec le secteur privé et de disposer d'une industrie européenne en matière de cybersécurité et d'équipements de confiance afin d'éviter une dépendance critique à l'égard de fournisseurs extérieurs à l'Union ;

- l'importance de la formation et de la sensibilisation.

Au total, je voudrais saluer cette stratégie européenne qui témoigne d'une prise de conscience, de la part des institutions européennes, de l'importance des enjeux de cybersécurité. Je me félicite, en particulier, de l'accent mis sur les aspects industriels.

Afin de garantir la souveraineté des opérations stratégiques ou la sécurité de nos infrastructures vitales, il est, en effet crucial de s'assurer de la maîtrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, l'architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Garder cette maîtrise, c'est protéger nos entreprises, notamment face au risque d'espionnage informatique.

La France dispose, certes, de nombreux atouts avec de grandes entreprises - comme Thalès, Cassidian, Bull, Sogeti ou encore Alcatel Lucent - et d'un tissu de PME innovantes, par exemple dans le domaine de la cryptologie ou des cartes à puces. Au niveau européen, il existe d'autres groupes comme Siemens ou Nokia.

Mais face à la concurrence américaine aujourd'hui, et demain chinoise, russe et indienne, il est indispensable pour notre pays et pour l'Europe de conserver une autonomie stratégique dans ce domaine. Je pense notamment au domaine sensible des « routeurs de coeur de réseaux ».

On ne doit pas négliger non plus les enjeux économiques et en matière d'emplois dans ce secteur en forte croissance, qui participe à la compétitivité d'un pays.

Notre rapport plaidait donc pour une politique industrielle volontariste, à l'échelle nationale et européenne, afin de soutenir le tissu industriel des entreprises françaises et européennes, notamment des PME, proposant des produits ou des services importants pour la sécurité informatique et, plus largement, du secteur de l'information et des télécommunications.

La France pourrait, si elle en a la volonté, développer une industrie complète et souveraine dans le domaine de la sécurité des systèmes d'information, à la fois dans les secteurs des matériels, des logiciels et des services. Je m'en suis d'ailleurs entretenu avec la ministre déléguée à l'économie numérique, Mme Fleur Pellerin.

Mais cela suppose une politique industrielle volontariste à l'échelle de l'Union européenne, notamment pour soutenir les entreprises européennes qui produisent ce type d'équipements face à la concurrence d'entreprises de pays tiers.

Selon la Commission européenne, l'Europe devrait avoir l'ambition de parvenir à une souveraineté numérique, ce qui veut dire retrouver la maîtrise de certains composants ou équipements.

De ce point de vue, la stratégie européenne témoigne d'une véritable prise de conscience de ces enjeux de la part de la Commission européenne et répond pleinement à notre souhait.

La Commission européenne envisage notamment l'élaboration de normes dans ce domaine, un système de certification, des financements, par le biais de programmes européens, des efforts de recherche et développement, mais aussi la prise en compte de la sécurité informatique dans les marchés publics ou encore dans les primes d'assurances.

Ce que l'Europe a réussi à faire dans le domaine aéronautique ou spatial, pourquoi ne réussirait-elle pas à le faire dans le domaine de la cybersécurité, et, plus largement, dans le secteur des technologies de l'information et de la communication ?

Un autre aspect important concerne la formation.

Il existe aujourd'hui dans notre pays peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises ont du mal à en recruter.

Notre rapport recommandait donc de mettre l'accent sur la formation et développer les liens avec les universités et les centres de recherche et c'est également l'une des orientations retenues par la Commission européenne.

Il paraît aussi nécessaire de renforcer la sensibilisation des utilisateurs au respect des règles élémentaires de sécurité, règles que le directeur général de l'ANSSI, M. Patrick Pailloux assimile souvent à des règles d'hygiène informatique élémentaires, mais qui sont souvent considérées comme autant de contraintes par les utilisateurs.

Sur ce dernier point, la Commission propose plusieurs actions, comme par exemple l'organisation, en 2014, d'un championnat européen de la cybersécurité ou des exercices de simulation de cyberincidents au niveau européen.

Je vous recommanderai donc d'approuver les orientations générales de cette stratégie et d'appeler les institutions européennes et les Etats membres à une mise en oeuvre rapide de ces priorités.