Intervention de René Danesi

La cybersécurité devient vitale pour la société numérique en cours de construction.

L'année qui vient de s'écouler et l'actualité nous en offrent le triste exemple. Au cours de ces derniers mois, il y a eu trois cyberattaques d'ampleur mondiale. En mai, l'attaque WANNA CRY a infecté plus de 300 000 ordinateurs dans 150 pays. En juin, l'attaque PETYA a frappé entreprises et administrations, en particulier en Ukraine et en Russie, mais également Saint-Gobain. Fin juillet, le piratage géant d'EQUIFAX a compromis les données sensibles de 143 millions d'américains.

Très récemment une faille de sécurité a été détectée contre les cartes d'identité électroniques en Estonie. Cet État membre de l'Union Européenne est souvent vu comme le pays le plus avancé en ce qui concerne le numérique. La carte d'identité qui y est délivrée comporte une puce électronique qui permet d'accéder au dossier médical, au dossier fiscal, etc... Pour une population de 1 265 000 habitants, 800 000 cartes d'identité sont à refaire et à mieux sécuriser.

Mais ces grandes cyberattaques sont quelques arbres qui cachent la forêt. En effet, la Commission européenne a recensé 4 000 attaques par rançongiciel chaque jour de 2016. Au total, 80 % des entreprises européennes auraient été touchées par une cyberattaque en 2016.

C'est pourquoi, dans son discours sur l'état de l'Union le 13 septembre dernier, Jean-Claude Juncker a évoqué la cybersécurité et annoncé une série de mesures, dont le texte qui nous est transmis, constitue la colonne vertébrale.

Bien entendu, l'Europe ne part pas de zéro. La commission des lois du Sénat examinera début 2018 la transposition de la directive sur la sécurité des réseaux d'information élaborée en 2016. Cette directive prévoit notamment que :

- chaque État membre doit se doter d'une agence spécialisée dans la cybersécurité ;

- chaque État doit désigner des « opérateurs de services essentiels » au fonctionnement de l'économie et de la société ;

- les administrations, les grandes entreprises et celles travaillant dans des secteurs sensibles ont l'obligation de signaler les attaques dont elles sont victimes ;

- la participation volontaire à une coopération entre États membres. Notez bien le mot volontaire.

La directive prévoit enfin l'adoption de règles européennes communes en matière de cybersécurité pour certains prestataires de services numériques.

C'est un début d'organisation européenne. Ce texte s'appuie sur l'idée forte que chaque État doit se doter des moyens d'assurer sa cybersécurité afin de contribuer, par une coopération volontaire, au renforcement de la cybersécurité européenne.

Ce partage des rôles est tout à fait justifié, car la cybersécurité comprend des éléments de protection qui relèvent de la souveraineté nationale. Or, cette compétence ne peut pas échoir à l'Union.

Mais aujourd'hui, notre Commission n'a pas à se prononcer sur cette directive, mais uniquement à adopter une résolution portant avis motivé sur la proposition de Règlement COM (2017) 477 final de la Commission Européenne.

Cette proposition de règlement a deux objets :

1°/ le renforcement de l'Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA),

2°/ l'établissement d'un cadre européen de certification en cyber sécurité des produits et services de technologies de l'information et de la communication.

Notre proposition de résolution portant avis motivé n'abordera qu'un aspect de la proposition de règlement de la Commission. Mais c'est un aspect essentiel puisqu'il s'agit de vérifier si ce règlement respecte le principe de subsidiarité. Cette vérification est d'autant plus importante que l'initiative de la Commission Européenne n'arrive pas en terrain vierge.

En effet, 14 États européens ont déjà mis en place un processus de certification de cybersécurité des produits et des services du numérique, sur la base de normes mutuellement reconnues. Il s'agit de la France, de l'Allemagne, de l'Autriche, de la Croatie, de l'Espagne, de l'Estonie, de la Finlande, de l'Italie, du Luxembourg, de la Norvège, des Pays Bas, de la Pologne, du Royaume Uni et de la Suède. Étant toutefois précisé :

- que plusieurs de ces pays, dont l'Estonie, sont plutôt clients que fournisseurs,

- que la Grande Bretagne et la Suède regardent vers les États-Unis,

- que la France est le pays moteur du groupe.

Au vu des résultats de ce groupe, on peut dire que dans le domaine de la cybersécurité, l'Europe est en avance sur le reste du monde. Des entreprises américaines et asiatiques font certifier leurs produits en Europe, car nous avons les meilleurs standards. Et, au sein de l'Union, une entreprise comme Siemens fait certifier certains de ses produits en France.

Notre pays a donc développé une véritable expertise dans la certification de cyber sécurité, ce qui est un atout dans la compétition économique mondiale. Ce n'est pas négligeable, car on nous parle beaucoup des objets connectés qui vont envahir nos vies. Or, ces produits, il faudra certifier qu'ils sont sécurisés ! Notre pays a une véritable carte à jouer dans ce secteur.

Après avoir auditionné :

- le conseiller à la transformation numérique auprès du Secrétaire d'État chargé du numérique,

- le président de l'Alliance pour la confiance numérique, le secteur privé de la cybersécurité en France,

- le directeur général de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI),

ma collègue et moi-même, tout en affirmant notre accord avec les orientations de la proposition de règlement, sommes amenés à soulever les problèmes que pose ledit règlement au regard de la subsidiarité.

Je vous remercie pour votre attention, et passe le relais à notre collègue Laurence Harribey.