Intervention de Catherine Morin-Desailly

Monsieur le Président, chers collègues, comme le rappelait récemment l'agence nationale de la sécurité des systèmes d'information (ANSSI), dans son panorama des cybermenaces pour 2022, les systèmes informatiques et les réseaux de communication des États membres et des institutions européennes font désormais face à des risques élevés d'attaques, menées par des pirates informatiques liés à des réseaux criminels mais aussi, parfois, à des pays tiers hostiles.

Comme vous pouvez le constater sur le premier schéma qui vous a été distribué, ces attaques peuvent prendre différentes formes : les plus fréquentes sont les attaques par logiciels rançonneurs (ou « ransomware ») par lesquels les attaquants prennent le contrôle d'un système informatique et exigent une rançon en échange du rétablissement de son fonctionnement. Il faut également mentionner les attaques par déni de service, qui rendent impossible l'accès aux ressources d'un système, à la suite par exemple d'une « sursollicitation » du service ou de l'infrastructure du réseau.

Dès 2015, la France s'est dotée d'une stratégie nationale pour la sécurité du numérique, qui a été actualisée en 2017 et en 2021. Cette stratégie lie intrinsèquement cybersécurité et cyberdéfense, confère au Premier ministre, épaulé par l'ANSSI, la responsabilité en la matière avec cinq lignes d'action : garantir la souveraineté nationale, apporter une réponse forte contre les actes de cybermalveillance, informer le grand public, faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l'international.

Sous l'impulsion de notre pays, l'Union européenne a également développé une politique de cybersécurité avec l'adoption de la directive européenne 2016/1148 du 6 juillet 2016 dite (SRI1) qui a établi le premier cadre juridique européen pour assurer la sécurité des réseaux et des systèmes d'information. Cette architecture européenne de la cybersécurité a été depuis complétée par le règlement (UE) 2019/881 et actualisée par la directive SRI2 (ou NIS2) du 14 décembre 2022. Ce dernier texte prévoit que chaque État membre doit élaborer une stratégie nationale de cybersécurité, disposer d'au moins une autorité compétente, et coopérer avec les autres États membres et la Commission européenne pour prévenir et combattre les cyberattaques. En outre, plusieurs secteurs et entités critiques considérées comme « entités essentielles » ou comme « entités importantes », sont soumis à ce titre à des obligations de cybersécurité, de contrôle et d'information renforcées.

Comme le souligne le deuxième schéma qui vous a été distribué, plusieurs organes européens sont en charge de cette coopération. Tout d'abord, l'agence européenne de cybersécurité (ENISA) doit assurer un niveau commun élevé de cybersécurité dans l'Union européenne et aider en conséquence les États membres et les institutions européennes. Elle agit ainsi en tant que structure de conseil et de soutien pour l'élaboration de politiques de cybersécurité (identification électronique, amélioration de la sécurité des communications électroniques...), encadre la procédure de certification des produits et des services en matière de cybersécurité, joue un rôle de soutien des capacités des États membres.

Ensuite, trois réseaux associent les autorités compétentes des États membres et celles des institutions européennes : on peut citer, au niveau politique, le groupe de coopération européen, institué par la directive SRI2, qui doit tracer des orientations stratégiques pour les autorités opérationnelles et faciliter l'échange d'informations entre États membres dans le domaine de la cybersécurité. La directive SRI2 a également prévu la constitution du réseau européen pour la préparation et la gestion des crises cyber (EU CyCLONe). Il faut également mentionner le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), qui, dans chaque État membre, sont chargés de surveiller et d'analyser les cybermenaces, les vulnérabilités et les incidents au niveau national, d'activer les messages d'alerte en cas d'attaque et d'apporter, en cas d'incident, une assistance aux entités attaquées. Précisons qu'en France, l'ANSSI assume le rôle de CSIRT et que le Gouvernement souhaite également en ouvrir un par région ; enfin, un centre européen des compétences en matière de cybersécurité (CECC), qui siège à Bucarest, est chargé de « flécher » les aides européennes destinées à permettre le développement de l'expertise des États membres en matière de cybersécurité.

Comme vous le voyez, cette organisation européenne est déjà complète voire complexe. Néanmoins, la Commission européenne n'a pas souhaité attendre sa mise en oeuvre et, le 18 avril dernier, a présenté une nouvelle proposition de règlement destinée à renforcer la solidarité et les capacités dans l'Union européenne contre les menaces et incidents de cybersécurité.