Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Cyril Pellevat
Commission des affaires européennes — Réunion du 13 décembre 2023 à 13h30
Justice et affaires intérieures — Cybersolidarité proposition de règlement du parlement européen et du conseil établissant des mesures destinées à renforcer la solidarité et les capacités dans l'union afin de détecter les menaces et incidents de cybersécurité de s'y préparer et d'y réagir - com2023 209 final - proposition de résolution européenne et avis politique
Cyril Pellevat, rapporteur :Je vais maintenant vous présenter le dispositif de la proposition de règlement. Elle s'articule autour de trois piliers : la création d'un « cyberbouclier » européen, l'institution d'un mécanisme d'urgence prenant la forme d'une réserve européenne de cybersécurité et la mise en place d'un mécanisme d'évaluation des incidents. Cette organisation envisagée est accompagnée de financements dédiés.
Tout d'abord, la proposition de règlement tend à modifier l'architecture de cybersécurité européenne qui vient de vous être présentée en créant des centres opérationnels de sécurité (COS ou SOC en anglais), qui constitueraient le « cyberbouclier européen ». Selon la Commission européenne, la mise en place d'un tel « bouclier » permettrait de renforcer la détection et la prévention des cybermenaces, la collecte de renseignements et l'échange d'informations sur ces menaces. Ces COS seraient de deux natures : nationaux et transfrontières. Un COS national serait un organisme public chargé de jouer le rôle de « radar » face aux cybermenaces, selon les termes de l'ANSSI. Ces entités agiraient en amont des incidents, puisque leur rôle serait de les prévenir. Un COS pourrait être une structure existante (en France, l'ANSSI serait un COS) ou nouvellement créée. La création de ces COS devrait obéir à une seule contrainte : un COS devrait être un organisme public afin d'être éligible aux financements européens. Ces COS nationaux seraient en outre susceptibles de participer à des COS transfrontières, constitués en « consortiums d'hébergement » d'au moins trois États membres, pas nécessairement voisins, afin de participer à des acquisitions conjointes avec le CECC et de promouvoir l'échange d'informations, notamment sensibles. La participation à au moins un COS transnational est encouragée par la Commission, qui conditionne son aide financière à un COS national au fait que celui-ci s'engage à rejoindre un COS transfrontière dans les deux ans et majore l'aide européenne allouée aux COS transfrontières. De plus, si un COS transfrontière obtenait des informations sur un « incident de cybersécurité majeur potentiel ou en cours », il devrait les partager « sans retard injustifié », avec le réseau EU-CyCLONe, le réseau des CSIRT et la Commission européenne. Le champ des secteurs au sujet desquels cet échange d'informations est attendu mérite qu'on s'y attarde. En effet, il ne comprend aucune exception, notamment au bénéfice de la sécurité nationale et de la défense nationale. En outre, le dispositif initial de la proposition de règlement se contente de mentionner une simple « responsabilité première » des États-membres dans les secteurs comme la défense ou la sécurité nationale, au lieu de reconnaître sans ambiguïté leur responsabilité que les traités reconnaissent comme exclusive en ces matières. Cela n'est pas sans causer d'inquiétudes et la vigilance doit être de mise, face à ce qui peut apparaître comme une atteinte aux compétences propres des États membres.
Le deuxième pilier de la réforme envisagée est la constitution d'une réserve européenne de sécurité, qui vise à renforcer la coopération européenne lors de la gestion des cyberincidents. En cas d'incident grave, cette réserve européenne de cybersécurité serait appelée à intervenir en dernier recours, en soutien aux États membres, à l'Union européenne, voire à des pays tiers. En pratique, la réserve serait composée des personnels d'entreprises prestataires sélectionnées par appel d'offres selon des critères de compétence professionnelle, d'intégrité et de transparence, et de garanties en matière de protection des informations sensibles, etc. C'est déjà le mode opératoire que l'ANSSI suit à l'échelon national pour répondre aux cyberattaques qui menacent régulièrement les établissements de santé, les collectivités territoriales... L'avantage d'un tel dispositif est de disposer des compétences de ces prestataires tout en assurant une coordination publique et stratégique des actions menées. Le dernier pilier de la proposition de règlement est l'instauration d'un mécanisme d'analyse des incidents, fondée sur une procédure de retour d'expérience. À la demande de la Commission européenne, du réseau EU-CyCLONe ou du réseau des CSIRT, l'agence européenne de cybersécurité (ENISA) serait chargée de rédiger un rapport analysant et évaluant les menaces, les vulnérabilités et les mesures d'atténuation, suite à un incident de cybersécurité important ou majeur. Ce rapport d'analyse et d'évaluation devrait contenir un volet tirant les enseignements de l'incident et un autre comprenant des recommandations lorsque c'est utile. Il serait ensuite remis au réseau des CSIRT, à EU-CyCLONe et à la Commission.
S'agissant des financements prévus pour remplir ces missions, une réaffectation de 100 millions d'euros au sein du programme pour une « Europe numérique » doit porter le montant des fonds disponibles pour les actions de cybersécurité à 842,8 millions d'euros.
Enfin, j'achèverai ma présentation en indiquant qu'un certain nombre d'actes d'exécution sont prévus dans le texte, notamment pour des finalités telles que la définition des critères permettant de bénéficier de la réserve européenne de cybersécurité.
