Mes chers collègues, nous allons aujourd'hui examiner une proposition législative que la Commission européenne a présentée en avril dernier, destinée à renforcer la cybersécurité de l'Union européenne par une plus grande solidarité entre les États membres. Même si les attaques cyber ne cessent d'augmenter en nombre et en complexité, cette initiative ne manque pas d'étonner car la dernière directive en la matière, dite SRI2, date de décembre 2022 et n'est pas encore transposée par notre pays : le Gouvernement annonce d'ailleurs ce projet de loi de transposition pour le premier trimestre 2024. L'initiative de la Commission européenne s'impose toutefois à notre examen. Nous avions eu l'occasion de nous interroger avant l'été sur la conformité au principe de subsidiarité de ce nouveau règlement que la Commission européenne propose. Début juillet, à la suite d'interrogations formulées par notre groupe de travail « subsidiarité », notre ancienne collègue Laurence Harribey avait été chargée d'approfondir l'examen de la conformité de ce texte à ce principe. Elle avait alors énoncé plusieurs points de vigilance dans une communication devant notre commission, mais avait conclu, parce qu'une partie de cette proposition démontrait une « vraie valeur ajoutée » pour notre pays, que le Sénat n'avait pas intérêt à dénoncer la non-conformité du texte au principe de subsidiarité mais devrait plutôt chercher à peser sur la négociation au Conseil portant sur le contenu de la réforme. C'est l'objet de notre réunion aujourd'hui.
Je laisse donc la parole à nos trois rapporteurs, Catherine Morin-Desailly, Cyril Pellevat et Audrey Linkenheld pour nous présenter leur analyse.
Monsieur le Président, chers collègues, comme le rappelait récemment l'agence nationale de la sécurité des systèmes d'information (ANSSI), dans son panorama des cybermenaces pour 2022, les systèmes informatiques et les réseaux de communication des États membres et des institutions européennes font désormais face à des risques élevés d'attaques, menées par des pirates informatiques liés à des réseaux criminels mais aussi, parfois, à des pays tiers hostiles.
Comme vous pouvez le constater sur le premier schéma qui vous a été distribué, ces attaques peuvent prendre différentes formes : les plus fréquentes sont les attaques par logiciels rançonneurs (ou « ransomware ») par lesquels les attaquants prennent le contrôle d'un système informatique et exigent une rançon en échange du rétablissement de son fonctionnement. Il faut également mentionner les attaques par déni de service, qui rendent impossible l'accès aux ressources d'un système, à la suite par exemple d'une « sursollicitation » du service ou de l'infrastructure du réseau.
Dès 2015, la France s'est dotée d'une stratégie nationale pour la sécurité du numérique, qui a été actualisée en 2017 et en 2021. Cette stratégie lie intrinsèquement cybersécurité et cyberdéfense, confère au Premier ministre, épaulé par l'ANSSI, la responsabilité en la matière avec cinq lignes d'action : garantir la souveraineté nationale, apporter une réponse forte contre les actes de cybermalveillance, informer le grand public, faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l'international.
Sous l'impulsion de notre pays, l'Union européenne a également développé une politique de cybersécurité avec l'adoption de la directive européenne 2016/1148 du 6 juillet 2016 dite (SRI1) qui a établi le premier cadre juridique européen pour assurer la sécurité des réseaux et des systèmes d'information. Cette architecture européenne de la cybersécurité a été depuis complétée par le règlement (UE) 2019/881 et actualisée par la directive SRI2 (ou NIS2) du 14 décembre 2022. Ce dernier texte prévoit que chaque État membre doit élaborer une stratégie nationale de cybersécurité, disposer d'au moins une autorité compétente, et coopérer avec les autres États membres et la Commission européenne pour prévenir et combattre les cyberattaques. En outre, plusieurs secteurs et entités critiques considérées comme « entités essentielles » ou comme « entités importantes », sont soumis à ce titre à des obligations de cybersécurité, de contrôle et d'information renforcées.
Comme le souligne le deuxième schéma qui vous a été distribué, plusieurs organes européens sont en charge de cette coopération. Tout d'abord, l'agence européenne de cybersécurité (ENISA) doit assurer un niveau commun élevé de cybersécurité dans l'Union européenne et aider en conséquence les États membres et les institutions européennes. Elle agit ainsi en tant que structure de conseil et de soutien pour l'élaboration de politiques de cybersécurité (identification électronique, amélioration de la sécurité des communications électroniques...), encadre la procédure de certification des produits et des services en matière de cybersécurité, joue un rôle de soutien des capacités des États membres.
Ensuite, trois réseaux associent les autorités compétentes des États membres et celles des institutions européennes : on peut citer, au niveau politique, le groupe de coopération européen, institué par la directive SRI2, qui doit tracer des orientations stratégiques pour les autorités opérationnelles et faciliter l'échange d'informations entre États membres dans le domaine de la cybersécurité. La directive SRI2 a également prévu la constitution du réseau européen pour la préparation et la gestion des crises cyber (EU CyCLONe). Il faut également mentionner le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), qui, dans chaque État membre, sont chargés de surveiller et d'analyser les cybermenaces, les vulnérabilités et les incidents au niveau national, d'activer les messages d'alerte en cas d'attaque et d'apporter, en cas d'incident, une assistance aux entités attaquées. Précisons qu'en France, l'ANSSI assume le rôle de CSIRT et que le Gouvernement souhaite également en ouvrir un par région ; enfin, un centre européen des compétences en matière de cybersécurité (CECC), qui siège à Bucarest, est chargé de « flécher » les aides européennes destinées à permettre le développement de l'expertise des États membres en matière de cybersécurité.
Comme vous le voyez, cette organisation européenne est déjà complète voire complexe. Néanmoins, la Commission européenne n'a pas souhaité attendre sa mise en oeuvre et, le 18 avril dernier, a présenté une nouvelle proposition de règlement destinée à renforcer la solidarité et les capacités dans l'Union européenne contre les menaces et incidents de cybersécurité.
Je vais maintenant vous présenter le dispositif de la proposition de règlement. Elle s'articule autour de trois piliers : la création d'un « cyberbouclier » européen, l'institution d'un mécanisme d'urgence prenant la forme d'une réserve européenne de cybersécurité et la mise en place d'un mécanisme d'évaluation des incidents. Cette organisation envisagée est accompagnée de financements dédiés.
Tout d'abord, la proposition de règlement tend à modifier l'architecture de cybersécurité européenne qui vient de vous être présentée en créant des centres opérationnels de sécurité (COS ou SOC en anglais), qui constitueraient le « cyberbouclier européen ». Selon la Commission européenne, la mise en place d'un tel « bouclier » permettrait de renforcer la détection et la prévention des cybermenaces, la collecte de renseignements et l'échange d'informations sur ces menaces. Ces COS seraient de deux natures : nationaux et transfrontières. Un COS national serait un organisme public chargé de jouer le rôle de « radar » face aux cybermenaces, selon les termes de l'ANSSI. Ces entités agiraient en amont des incidents, puisque leur rôle serait de les prévenir. Un COS pourrait être une structure existante (en France, l'ANSSI serait un COS) ou nouvellement créée. La création de ces COS devrait obéir à une seule contrainte : un COS devrait être un organisme public afin d'être éligible aux financements européens. Ces COS nationaux seraient en outre susceptibles de participer à des COS transfrontières, constitués en « consortiums d'hébergement » d'au moins trois États membres, pas nécessairement voisins, afin de participer à des acquisitions conjointes avec le CECC et de promouvoir l'échange d'informations, notamment sensibles. La participation à au moins un COS transnational est encouragée par la Commission, qui conditionne son aide financière à un COS national au fait que celui-ci s'engage à rejoindre un COS transfrontière dans les deux ans et majore l'aide européenne allouée aux COS transfrontières. De plus, si un COS transfrontière obtenait des informations sur un « incident de cybersécurité majeur potentiel ou en cours », il devrait les partager « sans retard injustifié », avec le réseau EU-CyCLONe, le réseau des CSIRT et la Commission européenne. Le champ des secteurs au sujet desquels cet échange d'informations est attendu mérite qu'on s'y attarde. En effet, il ne comprend aucune exception, notamment au bénéfice de la sécurité nationale et de la défense nationale. En outre, le dispositif initial de la proposition de règlement se contente de mentionner une simple « responsabilité première » des États-membres dans les secteurs comme la défense ou la sécurité nationale, au lieu de reconnaître sans ambiguïté leur responsabilité que les traités reconnaissent comme exclusive en ces matières. Cela n'est pas sans causer d'inquiétudes et la vigilance doit être de mise, face à ce qui peut apparaître comme une atteinte aux compétences propres des États membres.
Le deuxième pilier de la réforme envisagée est la constitution d'une réserve européenne de sécurité, qui vise à renforcer la coopération européenne lors de la gestion des cyberincidents. En cas d'incident grave, cette réserve européenne de cybersécurité serait appelée à intervenir en dernier recours, en soutien aux États membres, à l'Union européenne, voire à des pays tiers. En pratique, la réserve serait composée des personnels d'entreprises prestataires sélectionnées par appel d'offres selon des critères de compétence professionnelle, d'intégrité et de transparence, et de garanties en matière de protection des informations sensibles, etc. C'est déjà le mode opératoire que l'ANSSI suit à l'échelon national pour répondre aux cyberattaques qui menacent régulièrement les établissements de santé, les collectivités territoriales... L'avantage d'un tel dispositif est de disposer des compétences de ces prestataires tout en assurant une coordination publique et stratégique des actions menées. Le dernier pilier de la proposition de règlement est l'instauration d'un mécanisme d'analyse des incidents, fondée sur une procédure de retour d'expérience. À la demande de la Commission européenne, du réseau EU-CyCLONe ou du réseau des CSIRT, l'agence européenne de cybersécurité (ENISA) serait chargée de rédiger un rapport analysant et évaluant les menaces, les vulnérabilités et les mesures d'atténuation, suite à un incident de cybersécurité important ou majeur. Ce rapport d'analyse et d'évaluation devrait contenir un volet tirant les enseignements de l'incident et un autre comprenant des recommandations lorsque c'est utile. Il serait ensuite remis au réseau des CSIRT, à EU-CyCLONe et à la Commission.
S'agissant des financements prévus pour remplir ces missions, une réaffectation de 100 millions d'euros au sein du programme pour une « Europe numérique » doit porter le montant des fonds disponibles pour les actions de cybersécurité à 842,8 millions d'euros.
Enfin, j'achèverai ma présentation en indiquant qu'un certain nombre d'actes d'exécution sont prévus dans le texte, notamment pour des finalités telles que la définition des critères permettant de bénéficier de la réserve européenne de cybersécurité.
Après les présentations de mes co-rapporteurs, je veux d'abord vous rappeler que nous vous soumettons à la fois, une proposition de résolution européenne (PPRE) et une proposition d'avis politique, la première étant destinée au Gouvernement et la seconde, à la Commission européenne. Permettez-moi en préambule de me féliciter du « trilogue » réussi qu'a constitué le travail accompli avec mes deux collègues.
Ma deuxième observation concerne le calendrier très contraint de cette proposition, qui nous imposait de nous prononcer aujourd'hui « en dernier recours ». En effet, alors que la proposition a été présentée par la Commission européenne le 18 avril dernier, et que les négociations, disons-le, ont eu un peu de mal à démarrer, la commission ITRE du Parlement européen a adopté sa position sur ce texte le 7 décembre dernier, et le Parlement dans son ensemble va faire de même au cours de cette semaine. Quant au Conseil, sous l'influence de la présidence espagnole, il pourrait adopter une orientation générale après-demain.
Je vais ici me concentrer sur nos principales propositions et observations.
Tout d'abord, nous souhaitons marquer notre soutien au principe d'un renforcement de la coopération européenne dans le domaine de la cybersécurité et à la coordination des autorités nationales et européennes compétentes. En effet, comme cela vient d'être rappelé, la menace cyber tant criminelle qu'étatique est importante et croissante et, dans ce contexte, la solidarité européenne est un prérequis pour un espace numérique européen sûr. Je précise que, lors des dernières « Assises de la cybersécurité », l'année 2023 a été qualifiée d'annus horribilis et qu'une nouvelle augmentation des menaces est très probable en 2024.
Nous rappelons cependant que cette coopération doit être compatible avec le cadre récemment fixé par la directive SRI 2 qui nous semble cohérent. Je précise de nouveau que cette directive est encore en attente de transposition. Comme l'a indiqué le président de la commission en introduction, pour la France, le projet de loi de transposition est annoncé pour le premier semestre 2024. Nous souhaitons en particulier la reprise des exceptions et exclusions prévues par cette directive en faveur de la sécurité nationale.
De plus, notre soutien de principe à la réforme ne nous empêche pas de déplorer l'absence d'analyse d'impact pour justifier juridiquement, politiquement et financièrement, les principales dispositions de la proposition de règlement. Faute de ce document, il est difficile d'évaluer la nécessité et la pertinence de certaines innovations du texte, en premier lieu, le projet de « cyberbouclier ». J'ajoute que ce regret est en cohérence avec la position de principe exprimée à plusieurs reprises par notre commission, qui demande régulièrement à la Commission européenne d'accompagner chaque nouvelle initiative d'une étude d'impact. Or, nous en sommes loin.
Nos interrogations portent également sur les modalités de financement du dispositif. À cet égard, nous exprimons notre inquiétude sur les redéploiements envisagés des crédits du programme « Europe numérique », initialement prévus pour le développement des compétences de nos concitoyens en matière de cybersécurité : un tel prélèvement nous semble en effet paradoxal à l'heure où les États membres comme la Commission européenne prônent un accroissement de la vigilance de la part de chacun et le renforcement des compétences dans le domaine cyber. Nous demandons également que la dérogation souhaitée au principe d'annualité budgétaire soit strictement limitée au financement des actions imprévues telles que celles de la réserve pour répondre à un incident majeur.
Concernant les principales dispositions du texte, nous sommes favorables au nouveau mécanisme d'analyse des incidents cyber par l'ENISA, qui nous semble un moyen utile, pour les acteurs opérationnels, de partager leurs retours d'expérience.
Nous formulons cependant deux demandes. Afin d'éviter les « doublons » au sein d'une architecture pour le moins complexe, nous souhaitons simplement une clarification dans l'attribution de cette mission entre l'ENISA et le réseau EU-CyCLONe, à qui la directive SRI2 a déjà confié cette tâche. Nous demandons aussi une intégration complète des États membres dans ce mécanisme d'analyse des incidents. Ces derniers doivent absolument contribuer aux analyses de l'ENISA mais également être directement destinataires de ses études finales.
Nous saluons par ailleurs le projet de réserve européenne de cybersécurité qui, disons-le, reprend le modèle développé en France autour de l'ANSSI, qui est fondé sur une alliance entre autorités opérationnelles publiques et prestataires privés de confiance. En effet, soyons francs, la plupart des États membres n'ont pas les moyens de répondre seuls à des crises de cybersécurité de grande ampleur ou simultanées. C'est également le cas de , la France, alors que notre pays pourrait être particulièrement exposé aux cyberattaques lors des Jeux Olympiques de Paris 2024. Par ailleurs, comme le souligne l'ANSSI, un État membre faisant face à une cyberattaque sur ses réseaux critiques laissera plus facilement intervenir un prestataire privé que des agents d'un autre État, même partenaire.
Néanmoins, l'intervention possible d'entreprises issues de pays tiers dans les systèmes d'information d'un État membre touché par une cyberattaque, comporte un risque élevé d'ingérence étrangère. Cette solution trahit en fait la dépendance des États membres à l'égard de prestataires étrangers, mais elle n'est pas acceptable sur le long terme, au regard des ambitions d'autonomie stratégique de l'Union européenne.
En conséquence, nous vous proposons tout d'abord de restreindre le champ des prestataires potentiels, sans circonvenir aux accords commerciaux liant l'Union européenne, en préconisant de n'inclure dans la réserve, que les prestataires ayant leur siège social dans l'Union européenne, dans l'Espace économique européen ou dans un pays tiers associé à l'Union européenne et partie à l'accord sur les marchés publics de l'Organisation mondiale du commerce (OMC). Une telle proposition a également été émise par la commission ITRE du Parlement européen.
Nous appelons également de nos voeux la « montée en puissance » des prestataires européens afin d'assurer l'autonomie stratégique de l'Union européenne, accompagnée d'une augmentation des ressources de l'ENISA par un plan de recrutement de cyber-experts européens. Nous tenons aussi à souligner que la France doit elle-même poursuivre le renforcement de ses capacités à prévenir les cyberattaques et à y répondre. En particulier, nous insistons sur l'importance, pour nos collectivités, administrations et entreprises, de se doter d'un plan de continuité des activités (PCA) : sur le terrain, peu d'organismes en sont pourvus ; or cet outil permet de limiter les dégâts en cas d'attaques cyber. Car je rappelle que dans ce domaine, la question n'est pas tant de savoir si les attaques interviendront mais à quelle échéance et selon quelles modalités.
Nous estimons simultanément que cette réserve, qui, aux termes de l'article 17 de la proposition de règlement, pourrait intervenir dans les pays associés à l'Union européenne, devrait être valorisée comme un facteur de rapprochement et de coopération accrue avec ces pays tiers partenaires : cela permettrait en particulier d'arrimer à nous les futurs États membres victimes de cyberattaques qui ont besoin de protection.
Enfin, à la suite des interrogations qui avaient été exprimées par notre collègue Laurence Harribey dans sa communication du 5 juillet dernier et par la Cour des comptes de l'Union européenne, nous constatons que les centres opérationnels de sécurité (COS ou SOC en anglais) que la proposition de règlement propose de créer seraient « de nature à rendre plus complexe l'ensemble du paysage de l'UE en matière de cybersécurité. ». Il existe en effet un vrai risque de « double emploi » entre ces centres et le réseau des CSIRT. Or, lors de nos auditions, aucun interlocuteur n'a pu défendre la valeur ajoutée de ces COS/SOC. Nous demandons en conséquence leur suppression et le transfert explicite des missions qui devaient leur être confiées au réseau des CSIRT déjà bien identifié. Ainsi, en France, ces centres sont progressivement mis en place dans chaque région. Les deux derniers ont été inaugurés en Bretagne et en Île-de-France au mois de novembre.
Telles sont les principales observations de notre proposition de résolution et de notre proposition d'avis politique.
Avant de donner la parole aux divers intervenants, je mentionne qu'Audrey Linkenheld a été très sensibilisée au sujet que nous traitons en raison d'une puissante cyberattaque - qui ne semble pas encore tout à fait résolue - menée il y a plusieurs mois contre la mairie de Lille ; tel a été le cas aussi en Région Normandie et chacun ici a pu être confronté à un moment ou à un autre à une telle situation.
Pensez-vous, dans votre for intérieur, que ce règlement va nous permettre de remettre à niveau nos capacités de lutte contre la cybermalveillance, voire de prendre de l'avance dans ce domaine ?
Pour ma part, je pense qu'il faut distinguer deux sujets. Le premier est l'état de sécurité des institutions européennes elles-mêmes, qui avait été jugé insuffisant par la Cour des comptes de l'Union européenne, dans un rapport spécial de 2022. . Tirant les conséquences de cette alerte, une proposition de règlement spécifique, adoptée récemment, a permis de progresser dans ce domaine.
Le second sujet, plus global, est celui de notre degré de préparation face à des cybermenaces de grande ampleur et à des attaques qui pourraient concerner soit plusieurs pays en même temps, soit un seul État membre au départ mais avec des répercussions ultérieures sur les autres. Je ne pense pas qu'on puisse dire que nous sommes en retard, à l'échelle mondiale, par rapport aux autres pays ; en revanche, je crois qu'il nous faut encore progresser et il paraît regrettable que la directive SRI2 ne soit pas déjà pleinement opérationnelle. Lors de nos auditions, nos interlocuteurs de la Commission européenne et de l'ENISA ont cependant précisé que la guerre en Ukraine avait suscité une prise de conscience supplémentaire puisque la menace militaire a pris une nouvelle dimension cyber. J'ai aussi mentionné les Jeux olympiques de 2024, qui seront un défi important en matière de cybersécurité. Au total, et même si la démarche européenne en cours est complexe, elle paraît nécessaire et pertinente, en particulier dans son volet consacré à la réserve. Quant à la coopération opérationnelle, elle semble déjà se développer spontanément sur le terrain et c'est pourquoi nous alertons sur les risques de « doublons » et de complexité excessive que présente la réforme discutée. Il ne faut pas fragiliser les structures et les procédures qui fonctionnent. La coopération doit surtout être encouragée par des financements :. J'insiste de nouveau sur l'importance de la réserve, qui est un outil fondamental, à condition que le dispositif « ne se retourne pas contre nous » en confortant la domination technologique des prestataires étrangers - pour ne pas dire américains. - appelés à intervenir. Nous souhaitons que la réforme permette plutôt la « montée en puissance » des champions européens, et en particulier français, afin qu'ils puissent être en capacité d'intervenir face à des cyberincidents de grande ampleur.
Les textes européens traitant du numérique se sont multipliés ces dernières années dans des domaines comme le traitement des réseaux, la régulation des marchés et des services numériques (DMA et DSA), le Data Act, ou les divers textes relatifs à la cybersécurité - dont je souligne qu'ils sont interdépendants face à une cybermenace elle-même protéiforme quand elle attaque des sites stratégiques ou des infrastructures essentielles. Ces attaques sont physiques et empruntent également le canal des réseaux, des adresses mails et ne sont pas sans lien avec la contrefaçon et la cybercriminalité.
L'adoption de tous ces textes européens était nécessaire mais ceux-ci se sont succédés de façon assez rapide et sans qu'on voie toujours très bien le lien entre eux, comme nous l'avions déjà fait observer avec Florence Blatrix Contat quand nous avons examiné le Data Act. Il fallait donc faire apparaître l'articulation entre ces textes. À cet effet, nous avons entendu les acteurs représentant les grandes entreprises et les grandes infrastructures. Ils étaient satisfaits de pouvoir enfin disposer de réglementations adaptées mais regrettaient un peu « l'avalanche » de dispositions complexes à mettre en oeuvre et qui nécessitaient de disposer de compétences à cet effet. C'est pourquoi, dans le plan boussole numérique pour 2030 qui a été évoqué lors de l'examen des crédits du programme pour une « Europe numérique », nous avions signalé l'urgence à travailler sur la montée en compétences numériques de tous et à former suffisamment d'informaticiens, de développeurs, etc., pour pouvoir répondre à la demande. D'où l'idée, dans le cadre de la présente réserve européenne, d'avoir recours à des prestataires privés.
Je pense que nous nous sommes maintenant dotés d'un arsenal certes perfectible mais qui a le mérite d'exister : le défi réside à présent dans une véritable acculturation de ces sujets, certaines collectivités territoriales ou administrations n'étant pas toujours informées des bonnes pratiques ni des risques liés à l'utilisation de tel ou tel logiciel. C'est un sujet majeur dans un monde où la cybermenace n'a jamais été aussi importante. J'insiste, comme Audrey Linkenheld, sur notre préconisation qui concerne les entreprises privées susceptibles de faire partie de la réserve européenne destinée à intervenir en situation de crise informatique grave : il faut vraiment garantir que ces entreprises soient certifiées et répondent à des exigences précises, à l'instar des entreprises de l'informatique en nuage qui doivent obtenir la qualification SecNumCloud. Il faut mettre en place un référentiel commun auquel doivent se conformer les opérateurs et développer une politique industrielle efficace dans le cadre du projet boussole numérique 2030 afin de pouvoir disposer d'un groupe suffisant d'entreprises sur notre continent ; nous en sommes encore loin à ce jour, ce qui implique de faire appel à des entreprises extra-européennes.
J'ajoute simplement, pour répondre à la question concrète soulevée par notre président, que nous avions pris, au niveau européen, beaucoup de retard par rapport à d'autres pays qui s'étaient déjà préparés à ces menaces et avaient lancé des politiques d'acculturation. La prise de conscience actuelle des États membres et des institutions européennes sur la gravité du risque cyber, dont témoignent les textes européens déjà évoqués par mes collègues, va donc plutôt dans le bon sens. Ma participation aux sessions de l'Institut des hautes études de défense nationale (IHEDN) m'amène cependant à constater que certains pays sont comparativement mieux armés et plus proactifs que le nôtre dans le domaine de la cybersécurité. J'espère en tout cas que les réunions, les propositions de règlement, les soutiens apportés aux États, la prise de conscience collective et la montée en compétences nous permettront de rattraper notre retard.
Merci beaucoup pour vos intéressantes indications sur un sujet que je trouve assez difficile d'accès. Aujourd'hui, l'intelligence artificielle (IA) accélère beaucoup les évolutions et je me demande si nous nous sommes assurés que la réglementation européenne ne va pas les brider par rapport à celles qui sont en cours sur les autres continents.
L'architecture très complexe que vous avez décrite m'amène également à partager vos inquiétudes sur d'éventuels effets pervers résultant de la multiplication des échelons successifs de décision et d'un fonctionnement trop bureaucratique : à cet égard, que prévoit l'Europe pour se prémunir d'une « dérive administrative » et assurer une indispensable efficacité dans la mise en oeuvre de la cybersécurité ?
Je voudrais revenir sur la question du recours aux prestataires étrangers sur lequel vous avez insisté en préconisant qu'à tout le moins leur siège social soit implanté dans l'UE ou que ces prestataires entretiennent des relations privilégiées avec les acteurs européens. En quoi cela va-t-il nous préserver d'un certain nombre d'aléas en matière de cybersécurité ?
En deuxième lieu, vous avez appelé de vos voeux la montée en puissance de prestataires européens : à quelle échéance cet objectif peut-il être atteint et y a-t-il un calendrier européen qui fixe des étapes pour se doter de tels outils ?
Enfin, compte tenu du fonctionnement de l'Union européenne où s'exercent parfois des pressions ou des actions lobbyistes en provenance du monde entier, nos États membres sont-ils en mesure de viser l'indépendance dans ce domaine de la cybersécurité ?
Le ministère de la Défense a pris un certain nombre d'initiatives dans le domaine de la cybersécurité et je souhaiterais savoir comment s'articulent ces actions avec les dispositifs européens que vous nous avez présentés.
Je veux préciser à notre collègue Louis-Jean de Nicolaÿ, qu'il nous faut distinguer la réglementation en cours d'élaboration sur l'IA de celle relative à la cybersécurité. En effet, l'IA relève de l'immatériel, c'est-à-dire qu'elle permet de traiter des données avec des algorithmes et de développer telle ou telle application. Le sujet de cybersécurité, que nous traitons aujourd'hui, concerne d'abord la protection des infrastructures vitales » en dur » si je puis dire : par exemple, l'informatique en nuage est constituée de plusieurs « briques » incluant les câbles, les data centers, les réseaux qui connectent les appareils les uns aux autres et les logiciels de traitement. Les cyberattaques empruntent les réseaux pour atteindre les institutions, les administrations ou les opérateurs vitaux.
Concernant le nouveau cadre réglementaire européen sur l'IA, les négociations en trilogue étant achevées, nous sommes en train d'analyser dans quelle mesure le compromis trouvé reprend les éléments que nous avions défendus dans notre résolution européenne ainsi que ceux qui avaient fait l'objet d'une discussion au Parlement européen et qui me semblaient assurer un équilibre satisfaisant entre innovation, protection, transparence et redevabilité pour éviter de graves dérives. Il semblerait que le texte revienne sur cet équilibre parce que le Conseil de l'Union européenne, notamment aiguillonné par la France, voudrait s'affranchir des dispositifs de protection des données. Le Président de la République a indiqué hier qu'il y avait trop de régulation dans ce domaine ; une telle affirmation me paraît potentiellement très risquée si cela signifie un retour à ce qui a été fait au début de l'année 2010 où on n'a pas voulu réguler l'espace numérique, et en particulier les plateformes, moyennant quoi, 20 ans plus tard, les États membres et l'Union européenne en ont perdu le contrôle. Je réaffirme donc ma préférence pour une législation équilibrée qui préserve l'innovation tout en ménageant des garde-fous.
S'agissant de la réserve européenne de cybersécurité, qui est un sujet effectivement complexe, je rappelle d'abord que tous les États membres sont censés être préparés à faire face à des cyberattaques d'intensité « normale ». En revanche, si une cyberattaque de grande ampleur se produit et que la France, par exemple, ne peut pas la contrecarrer avec ses propres outils, elle pourrait solliciter l'aide de la réserve européenne et donc d'entreprises préalablement sélectionnées par appel d'offres pour intervenir en soutien. Pour nous, la question n'est pas tant de savoir si ces prestataires pourraient se révéler malveillants que d'éviter d'encourager une trop grande dépendance de l'UE vis-à-vis d'acteurs économiques extra-européens ainsi que des pays qui les abritent. Il nous semble préférable, même si nous entretenons des relations cordiales avec certains, notamment les Américains, que les prestataires auxquels nous ferons appel ne soient pas uniquement extra-européens, même si nous avons bien conscience que nous parlons d'acteurs économiquement libres et dont le capital n'est pas public. Par analogie, nous préférons construire et utiliser des Airbus, plutôt que des avions Boeing et j'ajoute que la préférence pour des prestataires informatiques ayant des liens resserrés avec l'Union Européenne se justifie par le fait qu'il s'agit de gérer des questions sensibles. J'ajoute que ces prestataires européens existent et la France abrite des acteurs de référence dans ce domaine qui sont en capacité d'intervenir efficacement dès à présent. Les précautions que nous recommandons de prendre concernent l'hypothèse d'une intervention en cas d'attaque de grande ampleur mais à l'heure actuelle, en fonctionnement courant, les outils dont nous disposons constituent une défense efficace. La menace cyber étant amenée à s'accroître, nous estimons que nos champions industriels doivent parallèlement augmenter leurs capacités en conséquence.
Je vous remercie de la réponse mais je me demande en quoi le fait qu'un prestataire par exemple américain ait son siège dans l'espace européen apporterait une garantie de protection supplémentaire, en dehors du fait qu'on peut supposer ou espérer que son comportement tiendra compte de ses éventuels clients européens. De plus, je réitère la question de savoir à quelle échéance on prévoit, au sein de l'Union Européenne, de disposer d'une certaine autosuffisance pour de telles prestations.
J'indique à nouveau que ce n'est pas tant l'aléa cyber qui importe mais plutôt l'indépendance économique de l'Europe. Un prestataire ayant son siège social en Europe voire des capitaux majoritairement européens, même s'il appartient au secteur privé, est-il plus sécurisant pour nous qu'un prestataire dont le capital est exclusivement détenu par des étrangers tiers à l'UE ? Pour répondre à cette question, je reprends l'exemple de l'aviation : le risque d'accident est à peu près comparable lorsque nous volons dans un avion Airbus ou Boeing ; en revanche l'utilisation exclusive d'avions américains nous rendrait dépendants d'appareils majoritairement construits aux États-Unis, en dehors de notre sol.
Je rappelle également que les prestataires de cyberdéfense sont d'ores et déjà présents en France ; nous les connaissons bien et souhaitons simplement leur permettre de renforcer leurs capacités pour faire appel à eux en cas d'attaque cyber.
Je vais apporter des précisions à la question très pertinente de Marta de Cidrac en me référant à l'article 16 intitulé « fournisseurs de confiance » de la proposition de règlement européen sur la cybersécurité qui nous est soumise. En dehors de la question de la localisation de leur siège social en Europe, ces prestataires doivent avoir la qualité de fournisseur de confiance en obtenant une certification qui se construit à partir d'un référentiel. L'article 16 définit le cadre de ce référentiel qui doit garantir, je cite, « la protection des intérêts essentiels de l'Union et de ses États membres en matière de sécurité ». Ce texte prévoit également une série d'exigences dont je vous lis les deux principales : « le fournisseur démontre que son personnel possède le plus haut niveau d'intégrité professionnelle, d'indépendance, de responsabilité et de compétence technique requise pour mener à bien les activités dans son domaine spécifique, et il garantit la permanence/la continuité de l'expertise ainsi que les ressources techniques requises » (Art.16 - 2- a) ; « le fournisseur, ses filiales et ses sous-traitants disposent d'un cadre pour protéger les informations sensibles relatives au service, et notamment les éléments de preuve, les conclusions et les rapports, qui est conforme aux règles de sécurité de l'Union relatives à la protection des informations classifiées de l'UE » (Art. 16 - 2- b). Cet article 16, comporte donc des garanties qui verrouillent le choix des prestataires à travers la certification du fournisseur de confiance qui, par exemple, exclut les opérateurs Russes et Chinois.
Un tel dispositif n'assure cependant pas une totale indépendance. Nous avons exprimé le souhait de pouvoir disposer d'opérateurs français ou européens suffisamment puissants pour dépasser leurs concurrents étrangers lors du débat sur le thème de l'informatique aux nuages. Il en va de même pour les prestataires dans le domaine de la cybersécurité et seule la construction progressive d'une politique d'encouragement nous permettra de recouvrer une forme de souveraineté en faisant appel à des acteurs nationaux ou européens qui n'existent pas toujours au moment où nous parlons.
Avez-vous des précisions à apporter sur la question de Dominique de Legge sur les liens entre cyberdéfense civile et militaire ?
Nous partageons l'avis de notre collègue sur la fait que ni ce texte ni la directive SRI2, en cours de transposition, ne doivent s'appliquer au domaine de la Défense. Mais la directive SRI2 est plus claire en excluant explicitement son intervention dans le domaine de la défense nationale. Nous avons donc préconisé dans notre proposition de résolution que la présente proposition de règlement reprenne cette exclusion. Mme Catherine Morin-Desailly, rapporteure. - La question de Dominique de Legge est importante et soulève des aspects complexes : je suggérerais volontiers que nous entendions le général Watin-Augouard qui a piloté la mission cybersécurité de l'IHEDN pendant cinq ans. Il nous ferait certainement un exposé extrêmement limpide sur les enjeux de cybersécurité et l'articulation entre les activités des différents ministères de la défense et de l'intérieur, en nous précisant comment ces ministères et l'ANSSI travaillent avec les instances nationales ou européennes y compris Europol,. L'organisation de la cybersécurité est peu connue du grand public pour des raisons évidentes, et cet officier pourrait nous aider à y voir plus clair.
Je compte échanger avec le président de la commission des affaires étrangères, de la défense et des forces armées, pour que nous puissions envisager un travail commun sur ce sujet.
Je pense qu'une telle initiative est absolument nécessaire et nous pourrions aussi faire appel à des spécialistes qui font le lien avec les aspects psychologiques - qu'il faut impérativement prendre en compte - de la cybermenace, ce qui nous permettrait d'associer également la commission des affaires sociales à nos travaux.
À titre d'anecdote assez révélatrice, en travaillant sur le thème de la cybersécurité militaire, j'ai quand même entendu que « quitte à se faire espionner, il vaut mieux que ce soit par les Américains que par les Chinois »...
Je félicite nos co-rapporteurs pour leur travail réalisé dans un temps contraint et soumets au vote de la commission la proposition de résolution européenne ainsi que l'avis politique.
La commission adopte à l'unanimité la proposition de résolution européenne, disponible en ligne sur le site du Sénat, ainsi que l'avis politique qui en reprend les termes et qui sera adressé à la Commission européenne.
SUR LA PROPOSITION DE RÈGLEMENT EUROPÉEN ÉTABLISSANT DES MESURES DESTINÉES À RENFORCER
LA SOLIDARITÉ ET LES CAPACITÉS DANS L'UNION
AFIN DE DÉTECTER LES MENACES ET INCIDENTS
DE CYBERSÉCURITÉ, DE S'Y PRÉPARER ET D'Y RÉAGIR COM(2023) 209 FINAL
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu le traité sur l'Union européenne, en particulier son article 4,
Vu le traité sur le fonctionnement de l'Union européenne, en particulier ses articles 173 et 322,
Vu le règlement (UE) 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission,
Vu le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité),
Vu le règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240,
Vu le règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l'industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination,
Vu la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2),
Vu la proposition de règlement du Parlement européen et du Conseil établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union COM(2022) 122 final,
Vu la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020, COM(2022) 454 final,
Vu la proposition de règlement tendant à étendre le champ de la certification européenne de cybersécurité, COM(2023) 208 final,
Vu la proposition de règlement ayant pour objectif d'améliorer la solidarité européenne dans le domaine de la cybersécurité, COM(2023) 209 final,
Vu la communication du 18 avril 2023 annonçant la création d'une Académie européenne de cybersécurité, COM(2023) 207 final,
Vu l'avis 02/2023 du 5 octobre 2023 de la Cour des Comptes de l'Union européen sur une proposition de règlement du Parlement européen et du Conseil établissant des mesures destinées à renforcer la solidarité et les capacités dans l'Union afin de détecter les menaces et incidents de cybersécurité,
Vu la résolution européenne du Sénat n° 109 (2017-2018) du 26 mai 2018 sur la proposition de règlement du Parlement européen et du Conseil relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l'information et des communications en matière de cybersécurité (règlement sur la cybersécurité), COM(2017) 477 final,
Vu le rapport d'information n° 458 (2017-2018) de M. René DANESI et Mme Laurence HARRIBEY, au nom de la commission des affaires européennes du Sénat, intitulé la cybersécurité : un pilier robuste pour l'Europe numérique,
Vu la communication en date du 5 juillet 2023 de Mme Laurence HARRIBEY, sénatrice, devant la commission des affaires européennes du Sénat, sur la conformité au principe de subsidiarité de la proposition de règlement européen établissant des mesures pour renforcer la solidarité et les capacités dans l'Union européenne à détecter les menaces et les incidents liés à la cybersécurité, à s'y préparer et à y répondre COM(2023) 209,
Sur la proposition de règlement et ses objectifs
Considérant que la cybersécurité est un enjeu politique majeur d'autant plus fort que le recours au numérique est massif dans les sociétés contemporaines ;
Considérant en effet que l'une des conséquences du développement de la numérisation de l'économie et des sociétés européennes est la vulnérabilité croissante de l'Union européenne et de ses États membres à l'égard des cyberattaques ;
Considérant que, selon l'ENISA, la menace cyber pesant sur l'Union européenne est aujourd'hui substantielle, et que ce niveau s'est accru depuis le début de la guerre en Ukraine ;
Considérant que, pour la France, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), les cyberattaques touchent particulièrement les administrations publiques, les établissements de santé, les PME-TPE, mais fragilisent également les démarches du quotidien de nos concitoyens ;
Considérant que ces menaces et ces attaques sont le fait, non seulement de « pirates » et de réseaux criminels mais également d'acteurs étatiques hostiles aux États membres de l'Union européenne désireux de fragiliser cette dernière ;
Considérant, par conséquent, que la coopération et l'entraide entre les États membres en matière de cybersécurité sont nécessaires et constituent un prérequis pour tendre vers un espace numérique sûr ;
Salue le fait que l'Union européenne a pris conscience de cette nécessité et a su se doter d'un cadre juridique solide et complet pour bâtir une architecture européenne de cybersécurité ;
Rappelle que cette architecture a été établie par le règlement (UE) 2019/881 du 17 avril 2019, qui a renforcé l'ENISA, et la directive (UE) 2022/2555 du 14 décembre 2022, dite SRI 2, qui, d'une part, a imposé des obligations de cybersécurité aux entités essentielles et, d'autre part, institué des organes opérationnels pour la coopération et l'échange d'informations ;
Prend acte du souhait de la Commission européenne de renforcer de nouveau cette architecture avec la présente proposition de règlement ; s'interroge sur l'opportunité de la présentation d'un nouveau texte européen modifiant les relations et les missions des acteurs de la cybersécurité seulement quatre mois après l'adoption définitive de la directive SRI 2 ; soutient néanmoins l'objectif de cette dernière en ce qu'elle traduit la volonté d'une coopération accrue et pérenne en matière de cybersécurité à l'échelle européenne ;
Sur l'absence d'analyse d'impact accompagnant la proposition et ses conséquences sur l'évaluation de la nécessité de la réforme
Déplore l'absence d'analyse d'impact accompagnant la proposition de règlement car cette absence fragilise la sincérité de la présentation de la Commission européenne, empêche l'estimation des financements nécessaires à la mise en oeuvre de la réforme et rend difficile l'évaluation de la valeur ajoutée du dispositif envisagé ;
Sur le champ d'application du règlement proposé
Considérant que la rédaction des articles 1er et 2 de la proposition de règlement est ambiguë en ce qu'elle n'exclut pas explicitement les domaines de la sécurité nationale et de la défense nationale de son champ d'application ;
Considérant en outre que l'article 1er, paragraphe 3, précité évoque une « responsabilité première » des États membres et non exclusive dans le domaine de la sécurité nationale ;
Rappelle que conformément aux traités, et en particulier, l'article 4 du traité sur l'Union européenne (TUE) qui stipule que « la sécurité nationale reste de la seule responsabilité de chaque État membre », la sécurité nationale et la défense nationale demeurent des domaines relevant de la compétence exclusive des États membres ; considère qu'il ne saurait être question d'inclure les États membres dans un dispositif d'échange massif et obligatoire d'informations avec un nombre étendu de partenaires, qui, paradoxalement, affaiblirait la cybersécurité de l'Union européenne ;
Invite le Gouvernement à s'assurer de la compatibilité des dispositions de la présente proposition avec celles de la directive SRI 2 ; et demande la reprise explicite, au sein de son article 1er, des paragraphes 6 et 7 de la directive SRI 2 précitée, afin de préciser, d'une part, que son dispositif serait « sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de garantir d'autres fonctions essentielles de l'État, notamment celles qui ont pour objet d'assurer l'intégrité territoriale de l'État et de maintenir l'ordre public », et, d'autre part, qu'il ne s'appliquerait pas « aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application des lois » ;
Sur le financement de la présente proposition de règlement
Considérant que le budget des actions de cybersécurité dans le cadre du programme pour une Europe numérique a été augmenté de 100 millions d'euros par une réaffectation des fonds, passant ainsi de 743 à 843 millions d'euros ;
Constate, comme le confirme l'avis 02/2023 rendu par la Cour des comptes de l'Union européenne, que l'information sur le financement de cette réforme est partielle et, en particulier, que la proposition ne contient pas d'estimation du coût total escompté de l'établissement et de la mise en oeuvre des mesures envisagées ; demande en conséquence, à la Commission européenne de faire toute la transparence sur ces coûts ;
Observe également que la Commission européenne souhaite pouvoir déroger au principe d'annualité budgétaire dans l'utilisation des fonds européens dédiés à ce dispositif ; incite la Commission européenne à limiter cette dérogation au principe d'annualité aux seules activités non planifiables, à savoir la réserve européenne de cybersécurité et l'assistance mutuelle, puisque ces dernières ne seraient mises en oeuvre que pour faire face à des évènements imprévisibles ;
Rappelle la nécessité de financements pérennes, nationaux et européens, pour garantir l'efficacité de la coopération européenne dans le domaine de la cybersécurité ;
Regrette que la réorientation des fonds visant à financer le présent dispositif se fasse au détriment d'autres actions essentielles comme l'éducation digitale ou le programme Erasmus+, qui ont pour objectif de développer les compétences numériques de nos concitoyens et d'éviter « l'exclusion numérique » ;
Sur la création d'un « cyberbouclier » européen
Considérant que la cybermenace ne peut, par nature, être complètement contrée et que le « risque zéro » n'existe pas dans le domaine de la cybersécurité ;
Considérant que l'architecture européenne actuelle, résultant de la directive précitée SRI 2, comporte déjà de multiples acteurs chargés de la coordination politique, tels que le groupe de coopération européen, de la prévention et de la gestion des crises cyber, tels que le réseau EU-CyCLONe, et de la réponse aux incidents, tels que les centres de réponse aux incidents de sécurité informatique (CSIRT) ;
Considérant que la présente proposition prévoit la mise en place d'un « cyberbouclier » européen, infrastructure paneuropéenne qui serait constituée de centres opérationnels de sécurité (COS), nationaux et transfrontières, et devrait doter l'Union européenne de capacités avancées de détection, d'analyse et de traitement des données relatives aux cybermenaces ;
Considérant que chaque État membre devrait mettre en place un organisme public dénommé COS national, qui aurait une double fonction de « radar » pour détecter en amont les incidents de cybersécurité et de point de référence pour d'autres organisations publiques et privées au niveau national ;
Considérant que ces COS nationaux pourraient procéder à des acquisitions d'outils et d'infrastructures en matière de cybersécurité conjointement avec le Centre de compétences européen en matière de cybersécurité (CECC), et, à cette occasion, bénéficier d'une aide financière européenne couvrant jusqu'à 50 % des coûts d'acquisition et 50 % des coûts opérationnels ;
Considérant que trois États membres au moins, représentés par leurs COS nationaux, pourraient s'unir au sein d'un consortium d'hébergement pour former un COS transfrontière ;
Considérant que ces COS transfrontières, en cas d'acquisition conjointe avec le CECC, pourraient bénéficier d'aides financières d'un montant à hauteur de 75 % des coûts d'acquisition des outils et infrastructures et de 50 % des coûts opérationnels ;
Considérant que ces COS transfrontières seraient tenus d'échanger des informations pertinentes, y compris sur les vulnérabilités, les incidents évités, et les cybermenaces, non seulement entre eux mais également, « sans retard injustifié », avec le réseau des CSIRT, le réseau EU-CyCLONe et la Commission européenne, en cas d'information relative à un incident de cybersécurité majeur ;
Considérant qu'à défaut de rejoindre un COS transfrontière dans les deux ans, un COS national perdrait le bénéfice de toute aide européenne ;
Approuve la volonté exprimée par la Commission européenne d'améliorer la détection des cyberincidents et des cybermenaces au niveau européen ;
Estime que la notion de « cyberbouclier » est trompeuse et qu'il devrait lui être préférée celle, plus honnête, de « cybersentinelle » ;
Observe que la Cour des comptes de l'Union européenne, dans son avis 02/2023 précité, a indiqué que la présente proposition était de nature à « rendre plus complexe l'ensemble du paysage de l'Union européenne en matière de cybersécurité » et précisé qu'il existait un risque de « double emploi entre les centres opérationnels de sécurité (COS) et le réseau des CSIRT déjà en place » ;
Souligne également que l'appel de Nevers des ministres de l'Union européenne en charge des télécommunications, rendu public le 9 mars 2022 sous présidence française du Conseil de l'Union européenne (PFUE), a encouragé le renforcement de la coopération et de la solidarité européennes dans le domaine de la cybersécurité en s'appuyant sur les réseaux existants ;
Rappelle à cet égard la nécessité pour les collectivités territoriales comme pour les administrations et les entreprises d'anticiper les crises de cybersécurité en élaborant un plan de continuité des activités (PCA) ;
Estime enfin que l'architecture européenne de cybersécurité, pour être pleinement efficace, doit être compréhensible par tous les acteurs de la société, citoyens comme entreprises ;
Demande la préservation de l'architecture européenne de cybersécurité existante et le renforcement des organes de coopération déjà en place ;
Recommande en conséquence le retrait du dispositif des COS, dont la nécessité et la pertinence n'apparaissent pas évidentes, et l'intégration explicite des fonctions envisagées pour ces structures au sein des compétences des CSIRT ; insiste sur la pertinence de l'échelon régional pour la mission de réponse aux incidents informatiques confiée aux CSIRT ; souhaite le développement de la coopération entre CSIRT régionaux d'États membres frontaliers ;
S'interroge sur la pertinence de la présence systématique de la Commission européenne dans les échanges d'informations sensibles prévus par l'article 7 de la proposition, eu égard à son absence de compétence opérationnelle dans le domaine de la cybersécurité et alors même qu'elle siège déjà en tant qu'observateur au sein du réseau EU-CyCLONe ;
Sur le mécanisme d'urgence
Considérant que la présente proposition prévoit l'institution d'un mécanisme d'urgence, composé à titre principal d'une réserve européenne de cybersécurité, appelée à intervenir en cas de crise, à la demande d'un État membre, sur décision de la Commission européenne, et en dernier recours ;
Considérant que la réserve européenne de cybersécurité pourrait également bénéficier, sur demande, aux pays tiers ayant désigné un point de contact unique et fourni des informations suffisantes sur leurs capacités et actions de cybersécurité ;
Considérant que la réserve européenne de cybersécurité serait constituée d'entreprises privées sélectionnées par appels d'offres en tant que fournisseurs de confiance, sous réserve que les intéressées remplissent des critères de compétence technique et de garantie de la confidentialité des données ;
Considérant que les entreprises intervenant dans le cadre de la réserve bénéficieraient d'un préfinancement destiné à garantir leur disponibilité en cas d'incident et que, en cas de non utilisation de ces fonds, ces derniers pourraient être réorientés vers des actions de préparation ;
Prend acte du soutien du Gouvernement à ce mécanisme d'urgence fondé sur une alliance public/privé, qui s'inspire de l'organisation française de cybersécurité constituée autour de l'ANSSI ; constate néanmoins que ce modèle résulte d'une insuffisance des moyens dévolus aux autorités nationales compétentes en matière de cybersécurité ;
Prend note de la possibilité laissée à des entreprises extra-européennes d'intervenir au sein de la réserve européenne de cybersécurité dans les infrastructures critiques d'un État membre faisant face à une crise cyber ; relève que cette possibilité représente un risque non négligeable d'ingérence étrangère dans le fonctionnement de ces entités ; constate que l'instauration d'une telle possibilité répond à la dépendance actuelle de l'Union européenne ; observe que cette dépendance ne saurait subsister au regard de ses ambitions d'autonomie stratégique ;
Recommande par conséquent de n'inclure dans la réserve que des prestataires ayant leur siège social dans l'Union européenne, dans l'Espace économique européen ou dans un pays tiers associé à l'Union européenne et partie à l'accord sur les marchés publics de l'Organisation mondiale du commerce (OMC) ;
Appelle en conséquence l'Union européenne à soutenir les prestataires européens et à favoriser leur « montée en puissance », en vue d'assurer son autonomie stratégique ; demande en complément, une augmentation des ressources de l'ENISA par un plan de recrutement de cyber-experts européens ; ajoute que la France doit elle-même poursuivre le renforcement de ses capacités à prévenir les cyberattaques et à y répondre ;
Souhaite en outre que le dispositif envisagé impose aux États membres de fixer des sanctions effectives, proportionnées et dissuasives afin de punir le vol, la diffusion non autorisée d'informations confidentielles et l'espionnage qui pourraient découler de l'activation du mécanisme d'urgence ;
Constate que l'article 17 de la présente proposition prévoit que la réserve européenne de cybersécurité pourrait également intervenir dans un pays tiers associé à l'Union européenne, à la demande de ce pays et à condition que l'accord d'association signé entre les deux parties mentionne une telle intervention ; estime cependant nécessaire de préciser dans la présente proposition, les modalités d'intervention de la réserve en cas de demandes simultanées d'États membres et de pays tiers, en prévoyant en particulier une priorité pour les États membres puis, pour les pays tiers candidats à l'adhésion à l'Union européenne ;
Sur le mécanisme d'analyse des incidents de cybersécurité
Considérant que la proposition tend à confier à l'ENISA une mission d'analyse des incidents de cybersécurité, à la demande de la Commission européenne, du réseau EU-CyCLONe et du réseau des CSIRT ;
Approuve le principe d'un tel mécanisme qui favorise la coordination des organes mentionnés en les faisant bénéficier mutuellement de « retours d'expérience » sur les crises et en leur permettant d'en tirer des enseignements pour l'avenir ;
Remarque toutefois que la directive SRI 2 confie déjà une telle mission au réseau EU-CyCLONe et souhaite en conséquence une clarification de la rédaction du dispositif envisagé afin d'éviter les « doublons » ;
Souhaite confirmation de la pleine intégration des États membres à cette revue des incidents de cybersécurité effectuée par l'ENISA, via leur contribution à l'analyse des incidents et leur information sur les conclusions de cette analyse ;
Sur l'ampleur des renvois aux actes d'exécution
Relève que le recours aux actes d'exécution est prévu à l'article 291 du traité sur le fonctionnement de l'Union européenne (TFUE) ; souligne que ce recours est justifié quand il est nécessaire d'assurer des conditions uniformes d'exécution des actes juridiquement contraignants de l'Union européenne ; constate cependant, qu'en renvoyant à des actes d'exécution la fixation des types et du nombre de « services de réaction aux incidents » nécessaires pour activer la réserve de cybersécurité de l'Union européenne, jusqu'à celle des modalités d'attribution des services d'aide fournis par cette réserve, les articles 12 et 13 de la proposition confèrent à la Commission européenne des compétentes d'exécution abusives ;
Sur l'état de préparation des institutions européennes aux menaces de cybersécurité
Rappelle que la Cour des comptes de l'Union européenne constatait en 2022 que l'état de préparation des institutions européennes aux menaces de cybersécurité était « globalement insuffisant », insistant en particulier sur l'absence de lignes directrices et de protocoles opérationnels, ainsi que sur la rareté des formations délivrées à leurs personnels ;
Salue en conséquence l'adoption définitive de la proposition de règlement COM(2022) 122 final établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union européenne.
Mes chers collègues, je tenais à vous rendre compte, avec Claude Kern et Didier Marie, de la dernière réunion de la COSAC qui s'est tenue à Madrid les 27 et 28 novembre dernier. Je rappelle que la COSAC, conférence des organes spécialisés dans les affaires de l'Union, réunit chaque semestre les commissions des affaires européennes des parlements nationaux, à raison de six parlementaires par État membre, ainsi que six membres du Parlement européen. Cette réunion semestrielle se tient dans le pays qui assume la présidence tournante du Conseil de l'Union, l'Espagne actuellement. Nous étions donc trois sénateurs, ainsi que deux députés, mon homologue Pieyre-Alexandre Anglade et la députée Marietta Karamanli, à y représenter la France. Étaient aussi invités, comme à l'habitude, les pays candidats, au premier rang desquels l'Ukraine, mais aussi les pays des Balkans occidentaux, la Géorgie et la Turquie, dont je souligne d'ailleurs que les représentants ont tenu des propos très durs. On pouvait remarquer la présence de pays associés comme le Royaume-Uni, resté fidèle à ces réunions, mais aussi l'Arménie, pour la première fois de l'histoire de la COSAC ; en revanche, aucun parlementaire moldave n'était présent.
La réunion, qui dure deux jours, était organisée autour de cinq sessions : la première consacrée aux priorités de la présidence espagnole du Conseil, la deuxième au pacte asile/migration, la troisième à la crise énergétique et à la transition écologique, la quatrième à la situation en Ukraine et la dernière à l'autonomie stratégique et aux relations avec l'Amérique latine. Naturellement, le sujet du conflit au Proche-Orient s'est imposé jusqu'à parfois occuper le premier plan au détriment des thèmes prévus.
Chacun de nous trois a pu intervenir au cours des débats, brièvement car telle est la règle. Parmi les points saillants de la réunion, je soulignerais la réponse que m'a faite le secrétaire d'État espagnol pour l'Union européenne à la question que je lui avais posée sur les intentions de la présidence espagnole à l'égard de l'accord entre l'Union européenne et le Mercosur, dont on annonçait une possible conclusion à l'approche du sommet du Mercosur le 7 décembre sous présidence brésilienne et dont j'avais souligné les risques faute de respect garanti des accords de Paris et faute de clauses miroirs en matière agricole : il a confirmé la détermination espagnole sur ce sujet en soulignant qu'il n'était pas question d'attendre les clauses miroirs pour conclure un tel accord de libre-échange au vu des bénéfices qui en étaient attendus pour l'Union européenne. Vous le voyez, nous sommes passés tout près d'une conclusion de cet accord, même si, nous l'avons constaté depuis, il n'a finalement pas abouti du fait de l'opposition de l'Argentine.
À l'issue de la réunion, la COSAC a adopté par consensus une contribution à laquelle nous avions pu apporter quelques amendements pour y faire valoir l'importance d'accompagner dans la transition verte les ménages, les entreprises et les régions les plus vulnérables, pour prendre en considération les nouveaux risques qui en découlent, à la fois pour l'environnement et pour l'autonomie stratégique de l'Union du fait des matières premières critiques que requiert cette transition. Au sujet du pacte asile/migration, la contribution de la COSAC appelle à sa conclusion urgente avant la fin du mandat du Parlement européen, même si, paradoxalement, les débats ont apporté une nouvelle fois la preuve des divergences nationales qui freinent cette conclusion depuis des années. En marge de la contribution, nous avons accepté la proposition des Lituaniens de cosigner une déclaration appelant à intégrer, dans le texte du pacte en cours de négociation, la prise en compte des menaces hybrides que subissent la Lituanie mais aussi la Finlande à présent. Enfin, la contribution a été complétée d'un passage final pour condamner l'assaut terroriste du Hamas, rappeler le droit d'Israël à la légitime défense dans le respect du droit international et du droit humanitaire, exiger la libération des otages restants, encourager la solution politique à deux États et appeler à un cessez-le-feu. La délégation italienne a aussi proposé d'ajouter un paragraphe invitant la Commission à préférer pour ses initiatives législatives recourir à l'instrument juridique de la directive plutôt que celui du règlement afin de faire droit à la diversité nationale. Elle a finalement retiré cet amendement qui n'avait pas sa place dans la contribution mais cela fut l'occasion d'un débat intéressant. Un membre du Bundestag, des parlementaires d'Autriche, de Finlande ou encore de Chypre ont pu intervenir dans le même sens que les Italiens, et cela me laisse penser que ce sujet mériterait une mobilisation de notre part durant la présidence belge, dans le prolongement du travail que nous avions fait à la COSAC, quand nous en assumions la présidence, pour fédérer nos homologues autour de propositions visant à renforcer le rôle des parlements nationaux dans l'Union européenne. Sans être plus long, je cède la parole à mes deux collègues.
Pour ma part, je voudrais évoquer les nombreuses réunions bilatérales que nous avons pu avoir en marge de la COSAC plénière : nous avons en effet rencontré les sénateurs roumains, avec lesquels nous avions noué des liens grâce à l'accueil réciproque que nos commissions des affaires européennes se sont mutuellement et successivement réservé ces deux dernières années. Ils nous ont surtout partagé leur inquiétude concernant la Moldavie, soulignant la vulnérabilité de la Transnistrie qui abrite un dépôt de munitions important, et ont évoqué aussi le cas de la Gagaouzie plus au sud. Ils ont salué l'aide apportée par la France à la Moldavie, et à sa présidente Maia Sandu, très pro-européenne mais susceptible d'être fragilisée par son refus de collaborer avec le parti social-démocrate hérité de l'ère soviétique et encore puissant.
Nous avons également pu nous entretenir avec nos amis belges des deux chambres, afin d'évoquer notamment les priorités de la future présidence belge qui débute bientôt. Ils nous ont indiqué leur intention de mettre l'accent sur l'avenir de la démocratie et la place de l'État de droit, sur l'autonomie stratégique ouverte, conciliant compétitivité et résilience, et enfin sur le pilier des droits sociaux, et notamment sur la politique du genre, d'autant plus que les deux chambres du Parlement sont aujourd'hui présidées par des femmes. L'objectif des Belges serait de parvenir à faire adopter une charte d'engagement pour donner aux femmes une place en politique égale à leur place dans la société. Par ailleurs, les Belges nous ont assuré de tout leur soutien dans notre combat en faveur du multilinguisme, qu'ils pratiquent au quotidien, et nous avons partagé notre commun attachement à la francophonie.
Nous avons aussi rencontré les sénateurs italiens avec lesquels nous sommes naturellement revenus sur le nouveau pacte européen sur l'asile et la migration, et nous nous sommes félicités que la gestion des flux migratoires soit un terrain de coopération très fort entre la France et l'Italie. Sur l'élargissement, la position de nos homologues italiens se confirme comme très allante dès lors que les critères d'adhésion sont remplis, que ce soit par les Balkans ou par les nouveaux candidats, au nom de l'impératif géopolitique. Ils ont souligné que l'élargissement était un processus transformatif pour les deux côtés, pour l'Union européenne comme pour les pays la rejoignant. Ils ont aussi insisté sur l'importance d'investir dans la cyberdéfense, et plus généralement dans la défense, plaidant pour que les investissements dans la défense comme dans l'environnement soient tenus à l'écart de la discipline budgétaire que prévoira le pacte de stabilité et de croissance en cours de réforme.
Un entretien avec la délégation chypriote a mis l'accent sur l'ambition énergétique de Chypre qui entend servir de point d'interconnexion avec Israël pour l'énergie verte. Au vu des divers enjeux, notamment migratoires, l'hypothèse d'un déplacement d'une délégation de notre commission à Chypre a aussi été évoquée pour 2024.
Enfin, un échange avec le président de la Grande commission du Parlement finlandais a notamment été l'occasion de confirmer la pression migratoire que la Finlande subit à la frontière, du même type que celle que subissent les pays Baltes, et d'évoquer les perspectives finlandaises en termes d'énergies vertes.
Pour conclure, il nous a semblé important de vous donner également quelques informations sur la situation politique interne de l'Espagne où nous étions accueillis. Le Parlement espagnol qui organisait la réunion venait tout juste, après les récentes élections générales qui se sont déroulées fin juillet, de reprendre son travail - ce qui a d'ailleurs empêché d'y tenir la réunion de la COSAC- et ses structures internes n'avaient pas encore été reconstituées : nos interlocuteurs habituels de la commission des affaires européennes étaient donc encore en place pour gérer les affaires courantes mais étaient réticents à se projeter à plus long terme.
Une rencontre a été organisée avec le ministre-conseiller de notre ambassade à Madrid, M. Aymeric Chuzeville. Cet échange très instructif nous a permis de mesurer la fragilité de la situation du Premier ministre Pedro Sanchez. Je rappelle qu'à la suite des élections anticipées de juillet dernier et des tentatives d'investiture d'Alberto Núñez Feijóo, le président du Parti populaire, c'est finalement Pedro Sanchez qui a été reconduit à la tête du pays, courant novembre, grâce à une majorité constituée de huit partis, notamment unie autour du projet de loi d'amnistie, condition sine qua non posée par les indépendantistes catalans.
Pedro Sanchez se trouve dans une situation d'équilibrisme où il a négocié non pas un grand accord de coalition, mais un accord bilatéral avec différents partis pour construire une majorité qu'il pourrait avoir à reconstituer à chaque vote important au Parlement car il ne s'agit pas d'alliances solidement installées dans le paysage politique. Le premier défi de son gouvernement sera la présentation du projet de loi d'amnistie qui provoque la colère de nombreux citoyens et dont l'examen au Parlement a commencé hier avec l'approbation de 178 députés sur 350, ce qui ouvre la voie à l'adoption de ce texte d'ici quelques mois.
L'investiture de Pedro Sanchez confirme en tout cas sa capacité à unir autour d'un projet. Il y voit la reconnaissance des bons résultats économiques et de la politique volontariste menée par la coalition PSOE/Podemos depuis 2020 dont on peut citer quelques jalons avec la création d'un équivalent du RSA, l'augmentation du salaire minimum, les lois sur l'euthanasie et l'avortement, l'objectif de neutralité carbone en 2050, une taxe sur le numérique, la réforme du marché du travail, l'encadrement des loyers, la limitation de l'inflation grâce à l'exception ibérique négociée avec Bruxelles en matière de marché de l'électricité et une croissance très affectée par le Covid mais revigorée pour atteindre 2,5 % en 2023, soit le triple de la moyenne de la zone euro. L'Espagne est, devant l'Italie, le premier bénéficiaire du volet subventions du plan de relance européen : trois décaissements d'un total de 37 milliards d'euros lui ont été versés sur les 77 prévus et Madrid a demandé début juin 2023 à bénéficier également des 70 milliards d'euros de prêts disponibles.
L'Espagne est un allié très proche de la France sur la scène européenne avec des priorités convergentes sur l'Europe de la défense, les questions environnementales, l'Europe sociale, la réforme du marché énergétique, l'Union économique et monétaire et le renforcement de la souveraineté européenne. Nos divergences portent principalement sur la politique commerciale, notamment les accords avec l'Amérique latine comme le Mercosur - nous avons en effet senti une forte pression des représentants espagnols pour faire aboutir ce dernier le plus rapidement possible -, la place du nucléaire ou la réforme du pacte sur l'asile et la migration. À ce sujet, la coopération entre l'Espagne et le Maroc a repris, à la suite du soutien apporté par l'Espagne en mars 2022 au plan d'autonomie pour le Sahara occidental, ce qui a provoqué une crise avec l'Algérie. Cette amélioration s'est traduite par une baisse importante des arrivées irrégulières de migrants en Espagne, même si elle reste le troisième pays recevant le plus de demandes d'entrées en Europe, après l'Allemagne et la France.
La situation espagnole reste toutefois préoccupante dans le contexte actuel de polarisation forte de la vie politique que je viens de présenter et il nous faudra suivre attentivement son évolution dans les mois qui viennent.
Je mentionne que la limitation à une minute de la durée de chacune de nos interventions peut nous faire éprouver un sentiment de frustration mais cela est rendu nécessaire car, chacun voulant s'exprimer et compte tenu des parlements bicaméraux, il y a environ 40 interventions au nom des États membre par thème. En une minute, il nous faut donc vraiment cibler des points précis.
En revanche, les échanges bilatéraux avec nos homologues sont très intéressants. Par exemple, nous avons discuté avec les Italiens des possibilités de compréhension mutuelle et de travail malgré la situation politique en Italie. J'ai également croisé notre homologue anglais, puisque les Britanniques ont maintenu une présence à la COSAC. Le dialogue avec les plus petits pays qui font confiance à la France et estiment que notre voix est importante se révèle également très enrichissant. La Lituanie nous a ainsi sollicités pour signer la proposition de déclaration en raison de ses problèmes frontaliers complexes avec la Biélorussie et la Russie. Je cite enfin notre échange avec les Finlandais, et en particulier avec notre jeune homologue finlandais : il est toujours fascinant d'être sensibilisé au mode de vie et de pensée de ceux qui s'impliquent dans la politique européenne depuis un autre État membre.
Pour prolonger les propos de Claude Kern, je vous informe que les Chypriotes nous ont adressé depuis une invitation écrite et nous pourrions programmer un déplacement dans ce pays au premier semestre 2024 : il est d'autant plus important d'aller à Chypre que le nord du pays constitue une nouvelle plateforme d'immigration.
Je signale que nous envisageons aussi un déplacement à Chypre dans le cadre de la délégation de l'assemblée parlementaire de l'Organisation pour la sécurité et la coopération en Europe (AP-OSCE) et il pourrait être pertinent de nous coordonner.
J'ai eu le plaisir de présider le groupe d'amitié entre nos deux pays. Je témoigne de la très forte attente de nos partenaires chypriotes à l'égard de la France pour des raisons historiques et conjoncturelles, compte tenu de leurs difficultés.
La question de l'immigration à Chypre est un sujet important : lors de notre déplacement au Parlement européen, nous avons rencontré sa Présidente Roberta Metsola et elle a également rendu visite au président Gérard Larcher en indiquant qu'il convenait aujourd'hui de focaliser moins sur la Grèce en matière d'immigration que sur Chypre. Elle a conclu son propos en soulignant la difficulté de gérer les flux de migrants dans ce pays et en rappelant que la multiplicité des Iles grecques pouvait faciliter la répartition des migrants. En revanche, la topologie de Chypre ne le permet pas et risque d'aboutir à des phénomènes de concentration qui peuvent rapidement se révéler explosifs.
La réunion est close à 14h45.