Intervention de Laurence Harribey

Il est vrai que nous avions senti un raidissement des acteurs français face aux propositions européennes et une déception quant au texte proposé. Je pense qu'il y a eu, sur ce point, beaucoup d'incompréhension.

Que demandait-on à la Commission ? Nous lui demandions donc des précisions sur l'avenir de cette agence et de créer un système européen pour la certification des produits. Qu'a-t-elle fait ? Elle a copié ce qu'elle faisait déjà dans d'autres domaines : elle a conforté cette agence et elle a opté pour la certification, meilleur moyen a priori de faire monter le niveau. Or ce schéma s'applique difficilement au domaine de la cybersécurité : une part importante du système relève de la souveraineté nationale et l'écosystème repose sur la confiance des acteurs. La solution de la Commission était donc rapide et pas assez approfondie. Par ailleurs, je pense que ses services ont dû précipiter leur action suite aux annonces de Jean-Claude Juncker en septembre. En revanche, lors de notre déplacement à Bruxelles, ils nous ont paru plutôt ouverts quant à des améliorations possibles. C'est donc avec un esprit constructif que nous avons travaillé à la proposition de résolution qui vous est soumise.

Concernant l'Agence européenne pour la cybersécurité, notre sentiment est que la Commission a voulu en faire trop en confiant à l'Enisa des missions qu'elle ne sera pas capable d'assumer, en raison non seulement des effectifs, mais aussi des compétences. Cependant, elle peut faire beaucoup en facilitant la coopération, le partage d'expériences, la formation. Autant d'aspects qui mèneront à une plus grande intégration, d'autant qu'il existe un vrai besoin.

Comme René Danesi l'a souligné, le processus de certification comprend plus d'enjeux. Pour combattre un dumping par le bas dû à la reconnaissance mutuelle des normes, il faut une certification européenne, car elle présente un niveau plus élevé. Il existe ici un risque de baisse de certification parce que les domaines ne sont pas assez ciblés. Les trois domaines - basique, intermédiaire et supérieur - ne sont pas suffisants. Sur ces aspects, la Commission s'est montrée rassurante : les futurs certificats devraient reprendre les avancées sur le plan international.

En revanche, il nous semble que la proposition doit encore être améliorée sur deux points : il faut clarifier le rôle des États dans le processus pour éviter le risque d'affaiblissement et il faut assurer l'indépendance de celui qui évalue par rapport à celui qui certifie.

Nous faisons également des propositions pour renforcer le cadre de certification et assurer son fonctionnement. À notre sens, il doit être plus souple pour s'adapter aux nécessités du marché. En outre, les États membres, comme les industriels du secteur, qui disposent aujourd'hui de l'expertise en matière de cybersécurité, ne sont pas assez présents. Ils doivent notamment pouvoir être en position d'initiative.

Enfin, les auditions que nous avons menées ont fait apparaître d'autres problèmes auxquels il nous faut répondre. L'adoption de la réforme proposée par la Commission européenne constitue une étape importante dans la construction d'une cybersécurité européenne. Mais ce n'est qu'une étape et il nous faut aussi regarder plus loin.

Tout d'abord, il faut construire une industrie européenne dans un domaine où tous nos problèmes viennent de l'actuelle fragmentation. C'est important pour notre sécurité. C'est important pour notre économie. C'est important pour notre souveraineté. La Commission européenne a initié un partenariat de recherche associant des autorités publiques et des entreprises. Il convient de soutenir cet effort dans les années qui viennent, c'est-à-dire lors du prochain cadre financier pluriannuel.

Ensuite, en partant de la recherche, il faut réfléchir à une véritable politique industrielle en faveur de la cybersécurité. Il importe de consolider ce secteur, car nous sommes des nains. Il faut donc faire émerger des champions et ne pas tomber dans le travers de la politique de la concurrence des années cinquante ou soixante. Aujourd'hui, il est important que nous ayons des champions européens pour que l'Europe existe.

Enfin, nos auditions ont fait ressortir les difficultés qu'il y a à recruter dans le secteur. Il existe à l'heure actuelle une véritable chasse aux talents. Les États-Unis forment tous azimuts et à tous les niveaux : bac +2, bac +4 et au-delà. C'est un gisement d'emplois que nous aurions tort de négliger.