Intervention de Frédéric Soblet

La proposition de règlement sur la « cybersolidarité », sous l'égide de M. Thierry Breton, a été publiée en avril 2023. Nous avons été consultés par le Parlement européen ainsi que par le Conseil pour émettre un avis : en effet, une des bases juridiques sur lesquelles ce texte s'appuie nécessite notre consultation. Cette proposition de règlement est d'apparence assez modeste en termes budgétaires car elle propose essentiellement des mécanismes volontaires ; toutefois elle pourrait être la base d'un véritable changement de paradigme en matière de cybersécurité qui, pour l'instant, reste un univers assez fragmenté au niveau européen. Ainsi, chaque État membre et chaque organisation privée essaie de faire de son mieux ; cependant, le partage d'informations et la coopération étant au coeur de la guerre en matière de cyberdéfense - dans la sphère militaire ou civile -, la Commission a fait une proposition ambitieuse en essayant de favoriser une coopération transfrontalière beaucoup plus avancée.

Je voudrais vous résumer les deux principaux mécanismes de ce texte. Le premier est la création d'un « cyberbouclier » européen qui sera un réseau transfrontière de centres de sécurité établis dans chaque État membre souhaitant participer à ce bouclier. L'objectif principal est d'instaurer une capacité beaucoup plus avancée et précoce de détection des cybermenaces avec, espérons-le, un partage d'informations plus automatique et rapide entre les États membres : il est ici nécessaire de créer des rapports de confiance permettant de surmonter les réticences actuelles à ce partage de données.

La proposition de règlement propose également d'établir un mécanisme d'urgence dans le domaine de la cybersécurité. Pour simplifier, il s'agira d'une réserve de prestataires de services experts en cybersécurité pouvant être déployée dans les États membres qui en feront la demande en cas de cyberattaque de grande ampleur. L'objectif est de les aider à résoudre les problèmes induits, par exemple de restaurer les serveurs de manière très rapide. Cette capacité opérationnelle pourra être financée par l'Union et déployée à la demande des participants à ce mécanisme.

Dans notre avis, nous accueillons plutôt positivement les objectifs de ce règlement. Toutefois, nous nous interrogeons sur le fait que la Commission n'a pas fait réaliser d'étude d'impact de ce dispositif et n'en chiffre pas le coût de façon très claire. Elle situe le montant maximal qui serait à la charge du budget européen aux alentours de 800 millions d'euros d'ici 2027 mais aucune précision n'est donnée au législateur - qui devra pourtant décider assez rapidement d'adopter ou non cette proposition de règlement - sur le coût de ce bouclier ainsi que de cette réserve d'urgence pour les États membres et le budget de l'UE. Nous soulignons que des estimations transparentes sont nécessaires pour permettre au colégislateur de prendre une décision informée.

Le deuxième point que nous avons mis en avant dans notre avis est que le monde de la cybersécurité en Europe est déjà extrêmement fragmenté et complexe avec une pléthore d'agences, de programmes, de projets en matière civile, de défense ou de coopération policière. Le « cyberbouclier » et la réserve de cybersécurité proposés par le texte européen semblent se surajouter à cette complexité sans que le règlement présente à notre avis de manière très claire les structures de gouvernance et de responsabilité. Nous invitons donc le législateur à réfléchir à cette question en clarifiant - le cas échéant - le futur règlement ou, à tout le moins, en s'assurant à travers des propositions d'amendement que ces sujets seront clarifiéss avant de dépenser les fonds et de se lancer dans ce processus : il s'agit d'éviter de créer une structure supplémentaire qui, de façon opérationnelle, ne permettrait pas la détection plus rapide des menaces et resterait une tentative de progression assez onéreuse.

Voilà pour l'essentiel les deux points évoqués dans notre rapport : le reste se résume à des considérations plus techniques d'amélioration et de clarification du règlement que nous avons suggérées au législateur.