« En matière de cybersécurité, l’Union fait la force »

A la demande de Sébastien Garnault, fondateur de Cybertaskforce, lundi 4 et mardi 5 novembre, j’ai conduit une délégation française auprès des institutions européennes à Bruxelles. Au programme,  réunions de travail et échanges nourris sur les enjeux de l’autonomie stratégique de l’Europe en matière de cybersécurité et sur les questions de confiance numérique.  Explications.

 

Nous avons rencontré dans un premier temps les représentants du Centre de cybersécurité belge. Fondé par l’arrêté royal du 10 octobre 2014, ce centre relève de l’autorité du premier ministre.

Cette réunion a été l’occasion d’échanger avec Phédra Clouner, la directrice générale adjointe et fondatrice de l’Initiative Women4Cyber (améliorer la représentativité et la participation des femmes dans cybersécurité).

Le centre de cybersécurité belge a pour mission de superviser, coordonner et veiller à la mise en œuvre de la stratégie belge en la matière mais aussi de formuler des propositions pour l’adaptation du cadre légal et réglementaire en matière de cybersécurité ; d’assurer la coordination entre les services et autorités concernés mais aussi entre autorités publiques et le secteur privé ou le monde scientifique ; sans oublier d’élaborer, diffuser et veiller à la mise en œuvre des standards, directives et normes de sécurité pour les différents types de système informatique des administrations et organismes publics et de coordonner la représentation belge aux forums internationaux sur la cybersécurité, le suivi des obligations internationales et la présentation du point de vue national en la matière.

Pour ma part, après être revenu sur le rôle de l’Agence nationale de la sécurité des systèmes d’information dans la prise en compte coordonnée et volontariste des questions de cybersécurité en France, j’ai rappelé les enjeux de la stratégie française en la matière  :

  • être une puissance mondiale de cyberdéfense et appartenir au premier cercle des nations majeures dans ce domaine tout en conservant son autonomie ;
  • garantir la liberté de décision de la France par la protection de l’information de souveraineté ;
  • renforcer la cybersécurité des infrastructures vitales nationales ;
  • assurer la sécurité dans le cyberespace.

Ces premiers échanges nous ont permis des prises de contact essentielles pour poursuivre des réflexions communes sur ces sujets cruciaux pour la sécurité de nos systèmes.

Nous avons ensuite échangé sur les nouvelles institutions et grandes tendances numériques avec les membres de la rédaction de Politico, hebdomadaire bruxellois qui se concentre sur la politique de l’Union européenne et de ses États membres.

Réunion de travail avec ECSO (European Cyber Security Organization) et son secrétaire général Luigi Rebufi

Parce qu’il est primordial  d’unir nos réflexions au niveau européen pour avancer sur les questions de cybersécurité, nous avons participé à une réunion de travail avec l’organisation européenne de cybersécurité (ECSO) et plus particulièrement avec Luigi Rebuffi, Fondateur et secrétaire général de l’ECSO.

Organisation à but non lucratif entièrement autofinancée de droit belge, créée en juin 2016, l’ECSO réunit divers acteurs européens de la cybersécurité dans les États membres de l’UE, les pays associés à l’Association européenne de libre-échange (AELE) et au programme H2020 (Programme européen pour l’innovation et la recherche).

Cette organisation travaille notamment à développer un écosystème européen de cybersécurité compétitif, à soutenir la protection du marché unique numérique européen avec des solutions de cybersécurité de confiance et à contribuer à l’avancement de l’autonomie numérique européenne.

Aussi, nos échanges, ouverts et nourris, ont été l’occasion de confronter nos visions mais surtout de réaffirmer l’importance de travailler de concert avec la Commission européenne et nos administrations publiques pour promouvoir la recherche et l’innovation (R & I) en matière de cybersécurité ; mais aussi pour favoriser la compétitivité et la croissance du secteur de la cybersécurité en Europe (grandes entreprises et PME) et pour promouvoir et aider à la définition et à la mise en œuvre d’une politique industrielle européenne en matière de cybersécurité afin d’encourager l’utilisation de solutions de cybersécurité ainsi que de solutions TIC sûres et dignes de confiance pour accroître l’autonomie numérique.

Avant de clore cette journée, nous avons rencontré l’euro député bretonne Marie-Pierre Vedrenne, vice-présidence de la Commission du Commerce International au Parlement européen. 

Au coeur de nos discussions, « l’impératif de rester unis » face aux géants que constituent les Etats-Unis ou la Chine. En effet, nous devons être en mesure d’élaborer des nouvelles règles adaptées au commerce du 21e siècle, commerce bouleversé par la révolution digitale.

Les questions de normalisation et de certification ont aussi été au programme de nos échanges. Il est, en effet, primordial de protéger nos entreprises, expertes sur ces questions. Mais aussi, il nous faut pouvoir les libérer de certaines contraintes administratives qui pèsent sur leur budget au détriment d’investissement dans la recherche et le développement.

Oeuvrer ensemble à  la protection des infrastructures critiques

Mardi, Jamie Shea, ex-secrétaire général de l’OTAN, et membre du comité du nouveau CyberPeace Institute (Suisse), qui travaille à aider et à défendre les victimes civiles des cyberattaques et à promouvoir les normes de cybersécurité et les comportements responsables, que la journée a débuté.

Puis, j’ai eu l’opportunité d’échanger  en tête à tête avec Despina Spanou, directrice de cabinet de Margaritis Schinas, commissaire européen désigné à la Protection de notre mode de vie européen. Ayant en charge les questions de sécurité, c’est tout naturellement autour des thèmes de menaces hybrides que nos discussions ont tourné.

La notion de menaces hybrides renvoie, en effet, aux différentes activités coercitives compromettant la sécurité, mêlant des méthodes conventionnelles et non conventionnelles, qui peuvent être diplomatiques, économiques et surtout techniques. Les cyberattaques, l’interférence électorale et les campagnes de désinformation en sont des exemples.

Ces menaces hybrides, en fort développement, sont un vrai défi pour notre sécurité et celle de l’Europe. Elles touchent de plus en plus souvent plusieurs États membres à la fois et déstabilisent l’unité de l’Union.

Les infrastructures critiques de nos Etats constituent une cible potentielle de ces activités hybrides. Ce sont, par exemple, les centrales électriques ou les systèmes bancaires indispensables pour effectuer les paiements.

Il nous faut donc dans le prolongement de la transposition de la directive NIS (Network and Information Security), continuer à oeuvrer ensemble à  la protection des infrastructures critiques. Mais aussi renforcer nos capacités à prévenir les menaces hybrides et à y répondre en :

  • assurant  une coopération pluridisciplinaire entre différentes autorités;
  • suivant l’évolution technologique et en utilisant le potentiel qu’elle représente pour le développement de nos capacités en matière de sécurité.

Ces mêmes positions j’ai pu aussi les réaffirmer à l’occasion de mes échanges avec Urmas Paet, ancien ministre des Affaires étrangères d’Estonie, député européen, membre de la sous-commission Sécurité et Défense.

Défendre une stratégie commune autour de la certification

Au programme de cette seconde journée, ensuite, une rencontre avec Carl-Christian Buhr, directeur de cabinet de Mariya Gabriel, commissaire européen à l’Innovation et à la Jeunesse et ancien commissaire européen à l’Economie et à la Société numérique.

Après avoir évoqué le programme « Europe Numérique » , souhaité par l’Union afin  que tous les Européens aient les compétences et les infrastructures nécessaires pour répondre aux défis numériques et doté d’un budget de plus de 9 milliards d’euros, nos échanges se sont orientés sur la question du déploiement de la 5G, notamment.

La 5G est, en effet, un atout majeur de la compétitivité de l’Europe sur le marché mondial. Les recettes produites par la 5G dans le monde devraient représenter l’équivalent de 225 milliards d’euros en 2025.

Aussi, la cybersécurité des réseaux 5G est fondamentale pour garantir l’autonomie stratégique de l’Union.

Dans ses conclusions du 22 mars, le Conseil européen s’est montré favorable à une recommandation de la Commission relative à une approche concertée en matière de sécurité des réseaux 5G. La résolution du Parlement européen sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’Union, votée le 12 mars, invite également la Commission et les États membres à prendre des mesures au niveau de l’Union.

La commission, le 26 mars dernier a donc recommandé une série d’étapes et de mesures opérationnelles pour garantir un niveau élevé de cybersécurité des réseaux 5G dans l’ensemble de l’Union.

Mariya Gabriel, avez d’ailleurs rappelé à juste titre lors de la présentation de ces recommandations :

«Protéger les réseaux 5G, c’est protéger l’infrastructure qui est amenée à soutenir des fonctions sociétales et économiques vitales telles que l’énergie, les transports, les activités bancaires et le secteur de la santé, sans compter les usines du futur, qui seront beaucoup plus automatisées. C’est également protéger nos processus démocratiques, les élections par exemple, contre les ingérences et la propagation de la désinformation.»

Ces recommandations sont une combinaison d’instruments législatifs et de moyens d’action destinés à protéger nos économies, nos sociétés et nos systèmes démocratiques :

  1. Au niveau national : procéder à une évaluation nationale des risques liés aux infrastructures des réseaux 5G.

Le 19 juillet, à la demande de la Commission européenne, la majorité des États membres de l’Union (24 pays sur 28) ont transmis leur évaluation nationale des risques que peut faire courir la 5G.

Sur cette base la Commission européenne a ouvert une deuxième phase : faire une évaluation des risques, mais au niveau de toute l’Union européenne puis proposer une sorte de boîte à outils  afin de trouver la parade aux risques relevés au cours des examens successifs.

  1. Au niveau de l’UE : Rendre obligatoire une certification et une approche commune 

La commission souhaite mettre en place une recommandation s’appuyant sur  d’instruments déjà en place ou adoptés en vue de renforcer la coopération contre les cyberattaques et de se donner les moyens d’agir collectivement pour protéger l’économie et la société européennes. Ce sont notamment  la première législation européenne en matière de cybersécurité (la directive sur la sécurité des réseaux et des systèmes d’information), ou bien encore  le règlement sur la cybersécurité approuvé récemment par le Parlement européen et la nouvelle réglementation en matière de télécommunications.

Dans le domaine de la cybersécurité, le futur cadre européen de certification de cybersécurité pour les produits, processus et services numériques, prévu par le règlement sur la cybersécurité, devrait constituer un instrument d’appui essentiel pour promouvoir des niveaux de sécurité cohérents.

Parallèlement, les États membres doivent aussi participer activement, avec l’ensemble des autres parties prenantes, à la mise au point de systèmes de certification spécifiques à l’échelle de l’Union en ce qui concerne la 5G.

Une fois ces systèmes disponibles, les États membres devraient rendre obligatoire la certification dans ce domaine, au moyen de réglementations techniques nationales.

Lors de ce rendez-vous, et au regard de l’enjeu, nous avons aussi abordé la question de l’éducation et la formation au numérique et au cyber. 

Nous avons donc d’une même voix rappelé que « L’éducation et la formation sont les meilleurs investissements pour l’avenir de l’Europe. Ils jouent un rôle essentiel dans la croissance, l’innovation et la création d’emplois. »

 

Avant de rejoindre Paris, Valérie Hayer, députée européenne, membre de la commission pour le budget, nous a également reçus. Ensemble, nous avons abordé les questions de confiance numérique et d’autonomie stratégique de l’Europe.

La sécurité numérique touche tous les secteurs d’activité : données personnelle, défense, économie, santé, mobilité, éducation. L’ensemble des champs de l’action publique sont concernés.

Ces deux journées très riches en débats n’ont fait que renforcer mes convictions à la nécessité de travailler conjointement avec les instances européennes à l’élaboration de réponses communes dans les domaines de la cybersécurité.

Il en va tant à la fois de notre sécurité que de notre souveraineté.