Intervention de René Danesi

Monsieur le président, chers collègues, après notre rapport sur le défaut de subsidiarité de « l'Acte européen pour la cybersécurité », il a paru nécessaire de mener une recherche et une réflexion sur le fond du problème. En effet, comme l'ont montré des affaires récentes, le cyberespace est aussi un lieu où sévit une cybercriminalité de plus en plus active.

En 2017, les virus WannaCry et NotPetya ont frappé les ordinateurs dans le monde entier avec une ampleur jamais vue auparavant. Le premier virus a consisté à bloquer, par chiffrement, plus de 400 000 ordinateurs dans 150 pays dans le but d'encaisser une rançon pour la restauration des données. Le second a détruit de nombreux systèmes informatiques utilisant un logiciel comptable ukrainien, provoquant des pertes estimées à plus d'1 milliard d'euros.

D'une façon générale, les attaques sont de plus en plus sophistiquées, mieux élaborées, plus destructrices. Elles touchent désormais toute la société et même les mécanismes de l'expression démocratique.

Il ressort de nos auditions que les auteurs des attaques de grande ampleur ne peuvent être identifiés, au mieux, qu'après plusieurs mois de recherches, voire jamais !

Il y a quand même des bonnes nouvelles : un suspect ukrainien, soupçonné d'être, avec son équipe, à l'origine de cyberattaques sur des distributeurs de billets vient d'être arrêté en Espagne, après une coopération exemplaire au sein d'Europol. Il est accusé d'avoir utilisé des logiciels malveillants pour détourner des centaines de millions d'euros dans les systèmes de transferts électroniques de fonds, et ce dans plusieurs banques.

Or demain, avec l'essor exponentiel des objets connectés, des véhicules autonomes et des villes intelligentes, les risques vont se multiplier. C'est pourquoi l'Europe doit « muscler » sa cyber protection.

Mais j'insiste sur ce point et notre rapport le montre bien : la menace est déjà très présente. La Commission européenne estime que 80 % des entreprises en Europe ont été victimes d'attaques au cours des dernières années. En France, 5 500 plaintes liées à des attaques informatiques sont déposées chaque mois. Bien qu'il n'y ait pas de statistique officielle, les collectivités territoriales ne sont pas épargnées : on estime qu'une collectivité territoriale par jour est victime d'une cyber-attaque. Fort heureusement, il ne s'agit pas d'attaques du niveau de celle que je viens d'évoquer, mais c'est un signe de l'importance du phénomène.

C'est la raison pour laquelle la Commission européenne veut faire progresser la cybersécurité en Europe. Dès 2004, elle avait créé une Agence chargée de la sécurité des réseaux et de l'information. C'était très novateur, mais l'agence n'a pas évolué au rythme de la menace et son mandat est limité à l'horizon de 2020.

En France, la montée en puissance de la lutte contre la cybercriminalité a commencé avec la création dès 2009 de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Elle a été construite de manière empirique et sur un modèle nettement distinct du modèle anglo-saxon. En effet, l'agence est chargée de la seule protection et défense de nos systèmes d'information, mais pas du renseignement et encore moins de l'attaque, comme c'est le cas au Royaume-Uni et aux États-Unis.

L'Anssi s'adresse autant à des acteurs privés que publics, car une attaque contre un opérateur privé d'importance vitale peut faire aussi mal à notre pays qu'une attaque contre une administration.

Dans les autres pays d'Europe, il n'y a pas, jusqu'à maintenant, d'équivalent qualitatif de l'Anssi, sauf en Allemagne. Par ailleurs, certains États membres n'ont aucune structure. C'est pourquoi l'Union européenne a adopté en 2016 la directive sur la sécurité des réseaux d'information, que nous venons de transposer en droit français. Je rappelle que cette directive impose que soit créée dans chaque État membre une agence spécialisée dans la cybersécurité et que des coopérations volontaires entre États membres sur ces questions soient mises en place.

C'est dans ce contexte que la Commission européenne a présenté en septembre dernier un « Paquet cybersécurité » au coeur duquel se trouve un projet de règlement structurant dénommé « Acte pour la cybersécurité ».

Ce texte est porteur d'une certaine ambition. Il propose de transformer l'Enisa en agence européenne pérenne et d'instaurer un cadre européen unique de certification de la sécurité informatique. En effet, actuellement, la certification est faite au niveau national.

Pour approfondir notre analyse, nous avons mené un certain nombre d'auditions dont la liste figure à la fin du rapport qui vous a été envoyé et distribué.

Au début de nos travaux, nous avons été frappés par la réaction plutôt vive des acteurs français face aux propositions européennes. Deux points ressortaient clairement. Premièrement, la cybersécurité est d'abord une question de souveraineté. En conséquence, il faut conserver le juste équilibre entre les agences nationales et l'agence européenne Enisa. Deuxièmement, il y a un risque que le système de certification proposé affaiblisse le niveau de cyber sécurité existant en France au lieu de le renforcer.

En fait, la vérité est plus nuancée. Cela ressort de nos nombreuses auditions, en particulier celles faites à Bruxelles même. C'est également le constat du projet de rapport de l'eurodéputée allemande Angelika Niebler au Parlement européen.

Ce que l'on retire en premier lieu de nos auditions, c'est que tous les acteurs souhaitent l'adoption du règlement européen. Il constitue un saut qualitatif vers une meilleure cybersécurité, dont nous avons collectivement besoin.

En second lieu, l'Enisa ne pourra pas assumer des missions trop importantes, car elle n'en aura pas les moyens. Elle ne dispose actuellement que de 80 salariés et la Commission ne propose qu'une augmentation de 20 à 40 personnes. Or la seule Anssi en a 570. Avec une centaine de personnes, l'Enisa ne sera pas le cheval de Troie de l'Union européenne dans le cyber monde. Donc, ses missions seront encadrées pour ne pas empiéter sur la souveraineté des États et elle se concentrera sur une véritable plus-value européenne.

La certification comporte plus d'enjeux, en particulier économiques. Nous pensons, comme nos interlocuteurs français, qu'il s'agit de mettre en place un cadre exigeant qui impose des normes de sécurité élevées. Il faut éviter tout risque d'une certification au rabais, ce qui est la pente naturelle d'un marché concurrentiel, dont les clients ont tendance à penser que l'assurance est toujours trop coûteuse.