Intervention de Audrey LINKENHELD

Après les présentations de mes co-rapporteurs, je veux d'abord vous rappeler que nous vous soumettons à la fois, une proposition de résolution européenne (PPRE) et une proposition d'avis politique, la première étant destinée au Gouvernement et la seconde, à la Commission européenne. Permettez-moi en préambule de me féliciter du « trilogue » réussi qu'a constitué le travail accompli avec mes deux collègues.

Ma deuxième observation concerne le calendrier très contraint de cette proposition, qui nous imposait de nous prononcer aujourd'hui « en dernier recours ». En effet, alors que la proposition a été présentée par la Commission européenne le 18 avril dernier, et que les négociations, disons-le, ont eu un peu de mal à démarrer, la commission ITRE du Parlement européen a adopté sa position sur ce texte le 7 décembre dernier, et le Parlement dans son ensemble va faire de même au cours de cette semaine. Quant au Conseil, sous l'influence de la présidence espagnole, il pourrait adopter une orientation générale après-demain.

Je vais ici me concentrer sur nos principales propositions et observations.

Tout d'abord, nous souhaitons marquer notre soutien au principe d'un renforcement de la coopération européenne dans le domaine de la cybersécurité et à la coordination des autorités nationales et européennes compétentes. En effet, comme cela vient d'être rappelé, la menace cyber tant criminelle qu'étatique est importante et croissante et, dans ce contexte, la solidarité européenne est un prérequis pour un espace numérique européen sûr. Je précise que, lors des dernières « Assises de la cybersécurité », l'année 2023 a été qualifiée d'annus horribilis et qu'une nouvelle augmentation des menaces est très probable en 2024.

Nous rappelons cependant que cette coopération doit être compatible avec le cadre récemment fixé par la directive SRI 2 qui nous semble cohérent. Je précise de nouveau que cette directive est encore en attente de transposition. Comme l'a indiqué le président de la commission en introduction, pour la France, le projet de loi de transposition est annoncé pour le premier semestre 2024. Nous souhaitons en particulier la reprise des exceptions et exclusions prévues par cette directive en faveur de la sécurité nationale.

De plus, notre soutien de principe à la réforme ne nous empêche pas de déplorer l'absence d'analyse d'impact pour justifier juridiquement, politiquement et financièrement, les principales dispositions de la proposition de règlement. Faute de ce document, il est difficile d'évaluer la nécessité et la pertinence de certaines innovations du texte, en premier lieu, le projet de « cyberbouclier ». J'ajoute que ce regret est en cohérence avec la position de principe exprimée à plusieurs reprises par notre commission, qui demande régulièrement à la Commission européenne d'accompagner chaque nouvelle initiative d'une étude d'impact. Or, nous en sommes loin.

Nos interrogations portent également sur les modalités de financement du dispositif. À cet égard, nous exprimons notre inquiétude sur les redéploiements envisagés des crédits du programme « Europe numérique », initialement prévus pour le développement des compétences de nos concitoyens en matière de cybersécurité : un tel prélèvement nous semble en effet paradoxal à l'heure où les États membres comme la Commission européenne prônent un accroissement de la vigilance de la part de chacun et le renforcement des compétences dans le domaine cyber. Nous demandons également que la dérogation souhaitée au principe d'annualité budgétaire soit strictement limitée au financement des actions imprévues telles que celles de la réserve pour répondre à un incident majeur.

Concernant les principales dispositions du texte, nous sommes favorables au nouveau mécanisme d'analyse des incidents cyber par l'ENISA, qui nous semble un moyen utile, pour les acteurs opérationnels, de partager leurs retours d'expérience.

Nous formulons cependant deux demandes. Afin d'éviter les « doublons » au sein d'une architecture pour le moins complexe, nous souhaitons simplement une clarification dans l'attribution de cette mission entre l'ENISA et le réseau EU-CyCLONe, à qui la directive SRI2 a déjà confié cette tâche. Nous demandons aussi une intégration complète des États membres dans ce mécanisme d'analyse des incidents. Ces derniers doivent absolument contribuer aux analyses de l'ENISA mais également être directement destinataires de ses études finales.

Nous saluons par ailleurs le projet de réserve européenne de cybersécurité qui, disons-le, reprend le modèle développé en France autour de l'ANSSI, qui est fondé sur une alliance entre autorités opérationnelles publiques et prestataires privés de confiance. En effet, soyons francs, la plupart des États membres n'ont pas les moyens de répondre seuls à des crises de cybersécurité de grande ampleur ou simultanées. C'est également le cas de , la France, alors que notre pays pourrait être particulièrement exposé aux cyberattaques lors des Jeux Olympiques de Paris 2024. Par ailleurs, comme le souligne l'ANSSI, un État membre faisant face à une cyberattaque sur ses réseaux critiques laissera plus facilement intervenir un prestataire privé que des agents d'un autre État, même partenaire.

Néanmoins, l'intervention possible d'entreprises issues de pays tiers dans les systèmes d'information d'un État membre touché par une cyberattaque, comporte un risque élevé d'ingérence étrangère. Cette solution trahit en fait la dépendance des États membres à l'égard de prestataires étrangers, mais elle n'est pas acceptable sur le long terme, au regard des ambitions d'autonomie stratégique de l'Union européenne.

En conséquence, nous vous proposons tout d'abord de restreindre le champ des prestataires potentiels, sans circonvenir aux accords commerciaux liant l'Union européenne, en préconisant de n'inclure dans la réserve, que les prestataires ayant leur siège social dans l'Union européenne, dans l'Espace économique européen ou dans un pays tiers associé à l'Union européenne et partie à l'accord sur les marchés publics de l'Organisation mondiale du commerce (OMC). Une telle proposition a également été émise par la commission ITRE du Parlement européen.

Nous appelons également de nos voeux la « montée en puissance » des prestataires européens afin d'assurer l'autonomie stratégique de l'Union européenne, accompagnée d'une augmentation des ressources de l'ENISA par un plan de recrutement de cyber-experts européens. Nous tenons aussi à souligner que la France doit elle-même poursuivre le renforcement de ses capacités à prévenir les cyberattaques et à y répondre. En particulier, nous insistons sur l'importance, pour nos collectivités, administrations et entreprises, de se doter d'un plan de continuité des activités (PCA) : sur le terrain, peu d'organismes en sont pourvus ; or cet outil permet de limiter les dégâts en cas d'attaques cyber. Car je rappelle que dans ce domaine, la question n'est pas tant de savoir si les attaques interviendront mais à quelle échéance et selon quelles modalités.

Nous estimons simultanément que cette réserve, qui, aux termes de l'article 17 de la proposition de règlement, pourrait intervenir dans les pays associés à l'Union européenne, devrait être valorisée comme un facteur de rapprochement et de coopération accrue avec ces pays tiers partenaires : cela permettrait en particulier d'arrimer à nous les futurs États membres victimes de cyberattaques qui ont besoin de protection.

Enfin, à la suite des interrogations qui avaient été exprimées par notre collègue Laurence Harribey dans sa communication du 5 juillet dernier et par la Cour des comptes de l'Union européenne, nous constatons que les centres opérationnels de sécurité (COS ou SOC en anglais) que la proposition de règlement propose de créer seraient « de nature à rendre plus complexe l'ensemble du paysage de l'UE en matière de cybersécurité. ». Il existe en effet un vrai risque de « double emploi » entre ces centres et le réseau des CSIRT. Or, lors de nos auditions, aucun interlocuteur n'a pu défendre la valeur ajoutée de ces COS/SOC. Nous demandons en conséquence leur suppression et le transfert explicite des missions qui devaient leur être confiées au réseau des CSIRT déjà bien identifié. Ainsi, en France, ces centres sont progressivement mis en place dans chaque région. Les deux derniers ont été inaugurés en Bretagne et en Île-de-France au mois de novembre.

Telles sont les principales observations de notre proposition de résolution et de notre proposition d'avis politique.