Intervention de René Danesi

Je voudrais centrer mon intervention sur un sujet qui semble encore relativement technique mais dont les enjeux politiques sont réels ; il s'agit de la cybersécurité.

La Commission européenne s'en soucie d'ailleurs depuis un certain temps, ce qui l'a conduit à créer en 2004 une agence chargée de la sécurité des réseaux et de l'information (l'ENISA). En France, la montée en puissance a commencé avec la création de l'agence nationale de sécurité des systèmes d'information, l'ANSSI, en 2009, comparable au BSI, l'agence allemande.

Dans les autres pays d'Europe, il n'y pas, jusqu'à maintenant, d'équivalent de l'ANSSI ou du BSI. C'est pour cette raison que l'Union européenne a adopté, en 2016, la directive sur la sécurité des réseaux d'information.

C'est aussi dans ce contexte que la Commission européenne a présenté en septembre dernier un paquet cybersécurité au coeur duquel se trouve un projet de règlement structurant surnommé « acte pour la cybersécurité ». Ce texte est porteur d'une certaine ambition. Il propose en premier lieu de transformer l'ENISA en agence européenne pérenne et d'instaurer un cadre européen unique de certification de sécurité informatique en Europe, là où actuellement, la certification se fait au niveau national et donc avec des niveaux de fiabilité très variables. Nous avons constaté que tous les acteurs souhaitent l'adoption du règlement européen dans le but de renforcer notre cybersécurité, ce qui est une bonne chose

La proposition de résolution européenne que nous avons adoptée ce matin sur ce texte va dans le sens du rapport fait par l'eurodéputée allemande Mme Angela Niebler. Dans cette résolution, ressortent essentiellement quatre points.

Tout d'abord, nous estimons que l'ENISA devra rester au service des agences nationales mais sans s'y substituer. Elle n'en a de toute façon pas les moyens, ne disposant actuellement que de 80 salariés, contre près de 570 pour l'ANSSI.

Ensuite, il est nécessaire de renforcer une coopération entres les agences des États membres en promouvant le modèle qui a cours en France ou en Allemagne. Dans ce modèle, les agences sont chargées de la défense et de la protection des systèmes d'information, mais non de l'attaque ou du renseignement, alors que c'est le cas au Royaume-Uni et aux États-Unis.

De plus, nous en appelons à la mise en place d'un cadre exigeant qui impose des normes de sécurité élevées en évitant tout risque d'une certification au rabais, ce qui correspondrait à la fois à la tendance naturelle du marché et plutôt au modèle anglo-saxon. Cette vision nous semble être partagée par l'Allemagne et par la présidence bulgare.

Enfin, au-delà du texte en discussion, il faut réfléchir à une véritable politique industrielle en faveur de la cybersécurité. Cela passe par le soutien à l'innovation, notamment dans le cadre de partenariats public-privé mais aussi par une adaptation de notre politique de la concurrence. C'est indispensable si nous voulons faire émerger des leaders de taille mondiale

Nos deux pays qui sont en avance en matière de cybersécurité devraient pouvoir coopérer dans l'intérêt de l'ensemble de l'Union européenne.