Intervention de Jacques Berthou

Après cette présentation générale, j'évoquerai, pour ma part, la proposition de directive de la Commission européenne et la proposition de résolution européenne que nous vous proposons d'adopter avec notre collègue Jean-Marie Bockel.

La proposition de directive sur la sécurité des réseaux et des systèmes d'information, qui a été présentée par la Commission européenne le 7 février dernier, en même temps que la stratégie européenne de cybersécurité, comporte trois volets.

Le premier volet porte sur le renforcement des capacités nationales des Etats membres en matière de cybersécurité.

La proposition de directive impose l'obligation, pour tous les Etats membres, de se doter d'une autorité nationale de cybersécurité, d'élaborer une stratégie nationale en la matière et de disposer d'une structure opérationnelle d'assistance au traitement d'incidents informatiques.

Le deuxième volet porte sur l'instauration de l'obligation, pour plusieurs secteurs d'importance critique, de notifier les incidents informatiques significatifs à l'autorité nationale de cybersécurité ;

Le troisième volet concerne le renforcement de la coordination européenne en matière de réponse aux incidents.

La proposition de directive prévoit notamment :

- la création d'un réseau européen des autorités nationales de cybersécurité ;

- l'obligation pour ces autorités d'alerter le réseau en cas d'incidents informatiques majeurs.

Que faut-il penser de cette proposition de directive ?

D'une manière générale, on peut approuver ses principales dispositions.

Il en va, en particulier, de l'obligation, pour les Etats membres de l'Union, de se doter de structures chargées de la cybersécurité et d'une stratégie nationale dans ce domaine.

Face à la multiplication des attaques informatiques ces dernières années, la plupart des grands Etats membres se sont dotés de tels instruments.

Ainsi, dans le cas de la France, grâce à l'impulsion donnée par le précédent Livre blanc sur la défense et la sécurité nationale de 2008, une agence nationale de la sécurité des systèmes d'information (l'ANSSI) a été créée en 2009 et notre pays s'est doté d'une stratégie nationale dans ce domaine en 2011.

Cette agence, rattachée au Secrétaire général de la défense et de la sécurité nationale, dépendante du Premier ministre, est un service à compétence nationale. Elle comporte en son sein un centre opérationnel chargé de traiter les incidents informatiques. Ainsi, c'est l'ANSSI qui a traité l'affaire d'espionnage informatique de Bercy, découverte à la veille de la présidence française du G8 et du G20, fin 2010. Elle compte environ 350 personnes, principalement des ingénieurs, et son budget est de l'ordre de 75 millions d'euros.

Le Royaume-Uni et l'Allemagne disposent également de tels organismes, mais avec des effectifs deux à trois fois supérieurs et une organisation parfois différente.

Cependant, tous les autres pays membres de l'Union européenne ne disposent pas encore de tels organismes, ce qui illustre le fait que, pour ces pays, la cybersécurité n'est pas encore considérée comme une priorité.

La proposition de directive permettra donc un progrès.

On peut également se féliciter de l'instauration d'une obligation de déclaration des incidents informatiques significatifs à l'autorité nationale compétente qui serait applicable aux administrations publiques et aux opérateurs critiques, tels que les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l'énergie et les transports.

Cette obligation de déclaration est d'ailleurs l'une des recommandations qui figurent dans le rapport d'information sur la cyberdéfense, présenté par notre collègue Jean-Marie Bockel, et qui avait été adoptée à l'unanimité par notre commission.

En effet, la plupart du temps, les entreprises sont réticentes à faire part à l'Etat des attaques informatiques dont elles ont fait l'objet, par crainte que cela nuise à leur image, à leur réputation, voire même que cela entraine une diminution du cours de leur action en bourse. Cela concerne en particulier les cas d'espionnage informatique et le vol de secrets industriels. Notre collègue Jean-Marie Bockel mentionnait l'exemple d'AREVA dans son rapport.

Or, comment l'Etat pourrait-il aider ces entreprises à mieux protéger leurs systèmes et leurs secrets, s'il n'est même pas informé des attaques informatiques dont elles font l'objet ?

L'obligation de déclaration, sous peine de sanctions, mais avec une garantie de confidentialité, me paraît donc une avancée importante, y compris dans le cas de la France.

On peut également se féliciter d'autres dispositions, comme celles de prévoir que les autorités nationales auront le pouvoir de donner des instructions contraignantes aux administrations publiques et aux opérateurs d'importance vitale ou la réalisation d'un audit sur la sécurité de leurs réseaux et systèmes.

Qui peut sérieusement contester l'importance de mieux protéger les réseaux et systèmes d'information de secteurs d'importance stratégique, dont la perturbation pourrait avoir de graves conséquences et conduire à une paralysie générale du fonctionnement de notre pays ?

On pense, par exemple, à la distribution de l'électricité, aux transports ou encore aux banques.

D'une manière générale, la proposition de directive me paraît donc aller dans le bon sens et je vous proposerai d'approuver ses principales dispositions.

On pourrait même aller un peu plus loin et prévoir notamment l'obligation pour les opérateurs d'importance vitale :

- de disposer d'une cartographie à jour de leur système d'information,

- de mettre en place des outils de détection d'incidents et d'attaques informatiques.

En effet, l'expérience des attaques informatiques traitées par l'ANSSI montre que la plupart des administrations ou des opérateurs d'importance vitale ayant été victimes d'attaques informatiques à des fins d'espionnage ignoraient le plus souvent les attaques dont ils faisaient l'objet, parfois depuis plusieurs mois, voire des années.

En outre, ils ignoraient le plus souvent où étaient situés leurs propres ordinateurs, ce qui avait pour effet de retarder l'assainissement de leurs réseaux.

Je n'aurai seulement que deux réserves.

Ma première réserve porte sur la définition des modalités d'application de ces mesures, qui serait confiée à la Commission européenne, par exemple en ce qui concerne la définition des circonstances dans lesquelles s'appliquerait l'obligation de notifier les incidents ou la liste des opérateurs d'importance vitale concernés.

Il me semble, tant pour des raisons tenant à la souveraineté nationale que d'efficacité, qu'il serait plus légitime que les modalités d'application soient confiées aux Etats membres, qui, en définitive, sont les premiers responsables en matière de cybersécurité et sont mieux placés pour prendre les mesures appropriées.

Ma seconde réserve est plus fondamentale. Elle concerne l'obligation de notifier systématiquement les incidents informatiques, non pas seulement à l'autorité nationale, mais aussi à la Commission européenne et à l'ensemble des autres pays de l'Union européenne.

Outre la lourdeur bureaucratique, une telle mesure me paraît dangereuse, notamment dans le cas d'attaques informatiques à des fins d'espionnage.

Il faut savoir que, si les soupçons se portent le plus souvent sur la Chine ou la Russie, d'autres pays, y compris parmi nos alliés les plus proches, sont aussi soupçonnés d'être à l'origine de telles attaques.

Or, informer l'ensemble des Etats membres de l'attaque informatique dont on fait l'objet risquerait d'informer également - directement ou indirectement - l'auteur de cette attaque. Celui-ci pourrait alors prendre des mesures afin de se dissimuler davantage ou augmenter encore le niveau de son attaque. Rappelons à cet égard que, selon des informations publiées par la presse, la Présidence de la République elle-même aurait été victime d'une attaque informatique, en mai 2012, au moment de l'élection présidentielle. Le magazine L'Express a attribué la paternité de cette attaque aux Etats-Unis, ce que les autorités américaines ont vivement démenti. On voit mal les autorités françaises dans ce type d'affaire, qui relève de la sécurité nationale et des services de renseignement, donner des détails à l'ensemble de nos partenaires européens et à la Commission européenne.

Sous ces deux réserves, nous vous proposons donc d'approuver la proposition de directive, et, afin que notre assemblée fasse connaître sa position au gouvernement sur ce sujet, nous vous recommandons d'adopter le texte de la proposition de résolution européenne, qui vous a été distribué.