EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52017AE4390

Avis du Comité économique et social européen sur la «Proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité)» [COM(2017) 477 final/2 — 2017/0225 (COD)]

EESC 2017/04390

OJ C 227, 28.6.2018, p. 86–94 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

28.6.2018   

FR

Journal officiel de l'Union européenne

C 227/86


Avis du Comité économique et social européen sur la «Proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) no 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité)»

[COM(2017) 477 final/2 — 2017/0225 (COD)]

(2018/C 227/13)

Rapporteur:

Alberto MAZZOLA

Corapporteur:

Antonio LONGO

Consultation

Parlement européen, 23.10.2017

Conseil de l’Union européenne, 25.10.2017

Base juridique

Article 114 du traité sur le fonctionnement de l’Union européenne

Compétence

Section spécialisée «Transports, énergie, infrastructures et société de l’information»

Adoption en section spécialisée

5.2.2018

Adoption en session plénière

14.2.2018

Session plénière no

532

Résultat du vote

(pour/contre/abstentions)

206/1/2

1.   Conclusions et recommandations

1.1.

Le CESE estime que le nouveau mandat permanent de l’ENISA tel qu’il est proposé par la Commission contribuera de manière significative à renforcer la résilience des systèmes européens. Toutefois, le budget prévisionnel et les ressources qu’il est prévu d’affecter à l’ENISA ne seront pas suffisants pour permettre à l’agence de s’acquitter de sa mission.

1.2.

Le CESE recommande que tous les États membres mettent en place une instance clairement définie qui soit un équivalent de l’ENISA au niveau national, la plupart d’entre eux ne l’ayant pas encore fait.

1.3.

Le CESE estime par ailleurs que, en ce qui concerne le renforcement des capacités, l’ENISA devrait accorder la priorité aux actions visant à soutenir l’administration en ligne (1). L’identité numérique des personnes, des organisations et des objets est essentielle à l’échelle de l’Union et du monde; prévenir le vol d’identité et la fraude en ligne et lutter contre ces phénomènes devrait donc être une priorité.

1.4.

Le CESE recommande que l’ENISA fournisse des rapports réguliers au sujet de la préparation des États membres en matière de cybermenaces, en se concentrant essentiellement sur les secteurs recensés à l’annexe II de la directive SRI. Un exercice annuel de cybersécurité à l’échelle européenne devrait permettre d’évaluer l’état de préparation des États membres et l’efficacité du mécanisme européen de réaction en cas de crise en matière de cybersécurité, et déboucher sur des recommandations.

1.5.

Le CESE soutient la proposition visant à créer un réseau de compétences en cybersécurité. Ce réseau serait épaulé par un centre européen de recherche et de compétences en cybersécurité. Ce réseau pourrait appuyer la souveraineté numérique européenne en développant une base industrielle européenne de compétences en matière de technologies clés qui soit compétitive, à partir des travaux effectués dans le cadre du partenariat public-privé contractuel sur la cybersécurité (PPPc), lequel serait amené à devenir une entreprise commune tripartite.

1.6.

Le facteur humain est l’une des principales causes des accidents de cybersécurité. Le CESE estime nécessaire d’établir une solide base de cyber-compétences et d’améliorer la cyber-hygiène, y compris par des campagnes de sensibilisation auprès des particuliers et des entreprises. Le CESE est favorable à la mise en place d’un programme de formation certifié par l’Union européenne à l’intention des établissements du second degré et des professionnels.

1.7.

Le CESE estime qu’un marché unique numérique européen a également besoin d’une interprétation uniforme des règles en matière de cybersécurité, et notamment d’une reconnaissance mutuelle entre États membres, et qu’un cadre de certification ainsi que des systèmes de certification pour les différents secteurs seraient à même de fournir une base commune. Toutefois, il convient de prévoir des approches distinctes pour les différents secteurs compte tenu de leur mode de fonctionnement. Le CESE estime dès lors que les agences sectorielles de l’Union européenne (l’AESA, l’AFE, l’EMA, etc.) devraient être associées au processus et, dans certains cas — avec l’accord de l’ENISA, afin de garantir une cohérence —, chargées de concevoir des systèmes de cybersécurité. Des normes européennes minimales en matière de sécurité informatique devraient être arrêtées en coopération avec le CEN, le Cenelec et l’ETSI.

1.8.

Le Groupe européen de certification de cybersécurité soutenu par l’ENISA qu’il est envisagé de créer devrait être composé d’autorités nationales de contrôle de la certification, d’acteurs du secteur privé, notamment des opérateurs travaillant dans différentes applications, des scientifiques et des acteurs de la société civile.

1.9.

Le CESE estime que l’agence devrait contrôler les résultats et la prise de décision des autorités nationales de contrôle de la certification au moyen d’audits et d’inspections réalisés au nom de la Commission et que le règlement devrait définir les responsabilités ainsi que les sanctions à prendre en cas de non-respect des normes.

1.10.

Le CESE est d’avis que l’activité de certification doit forcément passer par un système d’étiquetage adapté, qui sera également appliqué aux produits importés, afin de renforcer la confiance des consommateurs.

1.11.

L’Europe doit accroître les investissements en faisant converger les différents fonds européens, les financements nationaux et les investissements du secteur privé vers des objectifs stratégiques dans le cadre d’une coopération public-privé solide, notamment grâce à la création, au titre du programme-cadre de recherche actuel et futur, d’un Fonds européen pour l’innovation et la R&D en matière de cybersécurité. En outre, l’Europe devrait créer un fonds pour le déploiement de la cybersécurité, ce qui ouvrirait de nouvelles perspectives dans la configuration actuelle et future du mécanisme pour l’interconnexion en Europe ainsi que pour le futur EFSI 3.0.

1.12.

Le CESE estime nécessaire d’adopter un niveau de sécurité minimum pour gérer les dispositifs «ordinaires» de l’«internet des personnes» (IdP). Dans ce cas, la certification est une méthode indispensable pour garantir un niveau plus élevé de sécurité. La sécurité de l’internet des objets (IdO) devrait être une priorité.

2.   Cadre actuellement en vigueur en matière de cybersécurité

2.1.

La cybersécurité est essentielle tant pour la prospérité que la sécurité nationale, ainsi que pour le fonctionnement même de nos démocraties, libertés et valeurs. Selon le rapport de l’Indice de cybersécurité dans le monde (Global Cybersecurity Index) des Nations unies, la cybersécurité est un écosystème au sein duquel la réglementation, les organisations, les compétences, la coopération et la mise en œuvre technique doivent être en harmonie afin d’obtenir un maximum d’efficacité. En outre, la cybersécurité est de plus en plus présente dans les réflexions des décideurs des différents pays du monde.

2.2.

La nécessité de garantir un écosystème sûr devient essentielle en raison de la révolution de l’internet. Celle-ci a non seulement redéfini les relations entre entreprises et consommateurs («B2C») dans des secteurs tels que les médias, le commerce de détail et les services financiers, mais est également en train de redéfinir l’industrie manufacturière, l’énergie, l’agriculture, les transports et d’autres secteurs de l’économie qui, ensemble, représentent près des deux tiers du produit intérieur brut mondial, ainsi que les infrastructures affectées aux services de commodité et les interactions entre les citoyens et l’administration publique.

2.3.

La stratégie pour un marché unique numérique s’articule autour de l’amélioration de l’accès aux biens, aux services et aux contenus, de la création d’un cadre juridique approprié pour les réseaux et les services numériques, et de l’idée de profiter des avantages d’une économie fondée sur les données. Selon une estimation, la réalisation de cette stratégie pourrait rapporter 415 milliards d’euros par an à l’économie de l’Union européenne. Le déficit de compétences en matière de cybersécurité dans le secteur privé en Europe devrait représenter 350 000 postes non pourvus d’ici 2022 (2).

2.4.

Selon une étude effectuée en 2014, l’incidence économique de la cybercriminalité dans l’Union s’est élevée à 0,41 % de son PIB (soit environ 55 milliards d’euros) en 2013 (3).

2.5.

Selon les données de l’Eurobaromètre spécial no 464a sur l’attitude des européens face à la cybersécurité, 73 % des utilisateurs de l’internet se disent préoccupés par le fait que leurs données personnelles en ligne ne soient pas nécessairement conservées en toute sécurité par les sites web et 65 % craignent qu’elles ne soient pas conservées en toute sécurité par les pouvoirs publics. La majorité des répondants craignent d’être victimes de différentes formes de cybercriminalité, et plus précisément d’un logiciel malveillant sur leur appareil (69 %), d’une usurpation d’identité (69 %) ou d’une fraude à la carte bancaire et aux opérations bancaires en ligne (66 %) (4).

2.6.

À ce jour, aucun cadre juridique n’a été en mesure de faire face à la rapidité de l’innovation numérique, et un certain nombre de textes législatifs contribuent, pierre par pierre, à établir un cadre approprié: la révision du code des communications électroniques européen, le règlement général sur la protection des données (RGPD), la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (règlement e-IDAS), le bouclier de protection des données UE-États-Unis, la directive concernant les fraudes aux paiements autres qu’en espèces, et ainsi de suite.

2.7.

En dehors de l’ENISA, Agence de cybersécurité de l’Union européenne, un grand nombre d’organisations distinctes traitent des problèmes de la cybersécurité: Europol; Cert-EU (Équipe d’intervention en cas d’urgence informatique de l’Union européenne); le Centre de situation et du renseignement de l’Union européenne (EU INTCEN); l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA); les centres d’échange et d’analyse d’informations; l’organisation européenne pour la cybersécurité (ECSO); l’Agence européenne de défense (AED); le Centre d’excellence pour la cyberdéfense en coopération de l’OTAN; et le groupe d’experts gouvernementaux des Nations unies chargé d’examiner les progrès de la téléinformatique dans le contexte de la sécurité internationale).

2.8.

La sécurité des données dès la phase de conception (security by design) est essentielle pour fournir des biens et services de qualité: les appareils dits «intelligents» cessent de l’être s’ils ne sont pas sécurisés, et il en va de même pour les voitures intelligentes, les villes intelligentes et les hôpitaux intelligents — tous ont besoin de dispositifs de sécurité intégrés pour leurs appareils, systèmes, architectures ou services.

2.9.

Les 19 et 20 octobre 2017, le Conseil européen a demandé qu’une approche européenne commune en matière de cybersécurité soit adoptée pour faire suite à la proposition de réforme, en réclamant «une approche commune de la cybersécurité: la confiance est nécessaire dans le monde numérique, et celle-ci ne peut être instaurée que si nous assurons une sécurité plus proactive dès le stade de la conception dans toutes les politiques numériques, offrons une certification de sécurité adéquate pour les produits et services et renforçons notre capacité à prévenir, à dissuader et à déceler les cyberattaques ainsi qu’à y répondre» (5).

2.10.

Dans sa résolution du 17 mai 2017, le Parlement européen «souligne la nécessité d’établir une sécurité de bout en bout de la chaîne de valeur des services financiers; met en exergue les risques importants et diversifiés posés par les cyberattaques, ciblant l’infrastructure de nos marchés financiers, l’internet des objets, les monnaies et les données; […] invite les AES [autorités européennes de surveillance] […] à réexaminer régulièrement les normes opérationnelles existantes couvrant les risques relatifs aux TIC auxquels sont exposés les établissements financiers; demande en outre […] l’élaboration de lignes directrices des AES sur la surveillance de ces risques; souligne l’importance du savoir-faire technologique des AES […]» (6).

2.11.

Le CESE a eu à plusieurs reprises l’occasion d’aborder ce problème (7), par exemple lors du sommet de Tallinn, où il a organisé une conférence sur «Le développement futur de l’administration en ligne dans l’Union européenne» (8), et il a mis en place un groupe d’étude permanent sur la stratégie numérique.

3.   Propositions de la Commission

3.1.

Le paquet législatif sur la cybersécurité comprend une communication conjointe (JOIN/2017/0450 final) réexaminant la précédente stratégie de cybersécurité, adoptée en 2013, ainsi qu’un règlement sur la cybersécurité centré sur le nouveau mandat de l’ENISA et proposant un cadre de certification.

3.2.

La stratégie est structurée en trois sections principales: résilience, dissuasion et coopération internationale. Le volet sur la dissuasion met principalement l’accent sur les questions liées à la cybercriminalité, en tenant compte de la convention de Budapest, et celui sur la coopération internationale intervient sur la cyberdéfense, la cyberdiplomatie et la coopération avec l’OTAN.

3.3.

La proposition comporte plusieurs nouvelles initiatives telles que:

la mise en place d’une agence de l’Union européenne au service de la cybersécurité dotée de compétences plus étendues,

l’instauration d’un système de certification de cybersécurité à l’échelle de l’Union européenne,

la mise en œuvre rapide de la directive SRI.

3.4.

Le volet sur la résilience propose des actions clés en matière de cybersécurité, qui portent notamment sur les questions ayant trait au marché, à la directive SRI, à la réaction d’urgence rapide, au renforcement des compétences de l’Union, à l’éducation, à la formation (aux compétences en cybersécurité et à la cyber-hygiène) et à la sensibilisation.

3.5.

Parallèlement, le règlement sur la cybersécurité propose la création d’un cadre européen de certification de cybersécurité des produits et services TIC.

3.6.

Le règlement sur la cybersécurité propose également de renforcer le rôle de l’ENISA en tant qu’agence de l’Union européenne pour la cybersécurité, en lui accordant un mandat permanent. En plus de ses attributions actuelles, l’ENISA devrait couvrir de nouvelles tâches de coordination et de soutien concernant l’appui à la mise en œuvre de la directive SRI, la stratégie de cybersécurité de l’Union européenne, le plan d’action («Blueprint»), le renforcement des capacités, la connaissance et l’information, la sensibilisation, les missions relatives au marché telles que le soutien à la normalisation et à la certification, la recherche et l’innovation, les exercices paneuropéens de cybersécurité, et le secrétariat du réseau des centres de réponse aux incidents de sécurité informatique (CSIRT).

4.   Observations générales — Aperçu

4.1.    Contexte: Résilience

4.1.1.   Marché unique de la cybersécurité

Obligation de diligence: Le développement du principe d’«obligation de diligence» qui est proposé dans la communication conjointe pour l’utilisation de processus de développement sécurisés tout au long du cycle de vie est un concept intéressant à développer avec le secteur à l’échelle de l’Union, ce qui pourrait conduire à une approche globale de l’Union européenne en matière de respect de la législation. La question de la sécurité par défaut devrait être examinée dans le cadre de l’évolution future.

Responsabilité: la certification pourra contribuer à une meilleure définition des responsabilités en cas de litige.

4.1.2.

Directive SRI: énergie, transports, banques/finance, santé, eau, infrastructures numériques, commerce électronique.

De l’avis du CESE, la mise en œuvre intégrale et efficace de la directive SRI est essentielle pour assurer la résilience des secteurs critiques au niveau national.

Le CESE est d’avis que le partage d’informations entre les acteurs publics et privés devrait être renforcé par des centres d’échange et d’analyse d’informations sectoriels. Il convient de mettre en place, sur la base d’une évaluation ou d’une analyse du mécanisme utilisé actuellement, un mécanisme approprié pour l’échange d’informations fiables en toute sécurité au sein d’un centre d’échange et d’analyse d’informations ainsi qu’entre ces centres et les centres nationaux de réponse aux incidents de sécurité informatique (CSIRT).

4.1.3.   Réaction d’urgence rapide

L’approche figurant dans le «plan d’action» («Blueprint») fournirait un processus efficace de réaction opérationnelle, au niveau de l’Union et des États membres, à un cyberincident de grande ampleur. Le Comité souligne qu’il est nécessaire d’associer le secteur privé; il convient aussi de prendre en considération, dans le cadre du mécanisme de réaction opérationnelle, les opérateurs de services essentiels, étant donné qu’ils pourraient apporter des informations précieuses sur les menaces et/ou une aide pour détecter les menaces et les crises de grande ampleur et y réagir.

La communication conjointe propose que les incidents de cybersécurité soient intégrés dans les mécanismes de gestion des crises qui existent déjà au niveau de l’Union européenne. Si le CESE comprend la nécessité d’apporter une réponse collective et de faire jouer la solidarité en cas d’attaque, il juge nécessaire que soient apportés des éléments pour mieux comprendre comment cela pourrait être appliqué, les cybermenaces se propageant en général d’un pays à l’autre. Les outils utilisés dans le cadre d’urgences nationales ne pourraient être que partiellement partagés en cas de besoin dans un lieu particulier.

4.1.4.   Renforcement des compétences de l’Union européenne

Pour que l’Union européenne soit pleinement compétitive sur la scène mondiale et se construise une base technologique solide, il est essentiel de mettre en place un cadre cohérent et à long terme englobant toutes les phases de la chaîne de valeur de la cybersécurité. À cet égard, favoriser la coopération entre les écosystèmes régionaux européens est essentiel au développement d’une chaîne de valeur de la cybersécurité européenne. Le CESE se félicite de la proposition visant à créer un réseau de compétences en cybersécurité.

Ce réseau pourrait appuyer la souveraineté numérique européenne en développant une base industrielle européenne de compétences en matière de technologies clés qui soit compétitive et en réduisant la dépendance vis-à-vis des savoir-faire développés en dehors de l’Union européenne, fournir des exercices techniques, des ateliers, voire des formations de base en cyber-hygiène à l’intention des professionnels et des non-professionnels, et également favoriser — en s’appuyant sur les travaux effectués dans le cadre du partenariat public-privé contractuel sur la cybersécurité (PPPc) — la mise en place d’un réseau national d’organisations associant les secteurs public et privé afin de soutenir le développement d’un marché européen. Faire avancer le partenariat public-privé contractuel sur la cybersécurité devrait conduire à son optimisation, adaptation ou expansion (voir à ce sujet le Programme de travail du trio de présidences Estonie-Bulgarie-Autriche en matière de cybersécurité) grâce à la mise en place d’une entreprise commune tripartite (Commission, États membres, entreprises).

Pour être efficace et atteindre les objectifs qui lui sont assignés au niveau européen, le réseau devrait s’appuyer sur un système de gouvernance bien défini.

Ce réseau serait soutenu par un centre européen de recherche et de compétences en cybersécurité au niveau européen, qui relierait entre eux les centres de compétence nationaux de l’ensemble de l’Union européenne. Ce centre européen ne se contenterait pas, comme c’est le cas dans les autres entreprises communes, de coordonner et de gérer les programmes de recherche; il permettrait aussi la mise en place effective d’un écosystème européen de cybersécurité susceptible de concourir à la mise en œuvre et au déploiement de l’innovation dans l’Union européenne.

4.2.    Contexte: dissuasion

4.2.1.

La lutte contre la cybercriminalité est une priorité absolue au niveau national et européen, qui exige un engagement puissant sur le plan politique. Des activités de dissuasion devraient être menées sur la base d’un partenariat fort entre le secteur public et le secteur privé, en instituant un partage d’informations efficace et en développant l’expertise au niveau national et au niveau européen. Il convient d’envisager la possibilité d’étendre les activités d’Europol en matière de cybercriminalistique et de surveillance.

4.3.    Contexte: coopération internationale

4.3.1.

Construire et entretenir une coopération basée sur la confiance avec les pays tiers grâce à la cyberdiplomatie et à des partenariats d’entreprises est indispensable pour renforcer la capacité de l’Europe à prévenir et décourager les cyberattaques de grande envergure et à y réagir. L’Europe devrait intensifier sa coopération avec les États-Unis, la Chine, Israël, l’Inde et le Japon. La modernisation des contrôles à l’exportation de l’Union européenne doit permettre d’éviter les violations des droits de l’homme ou l’utilisation abusive des technologies pour nuire à la sécurité de l’Union européenne, et elle devrait également garantir que l’industrie européenne ne soit pas pénalisée par rapport à l’offre des pays tiers. Il convient d’envisager une stratégie ad hoc pour les pays candidats à l’adhésion en vue de préparer l’échange de données sensibles entre les frontières, en envisageant la possibilité qu’ils participent, en tant qu’observateurs, à certaines activités des pays de l’ENISA. Ces pays candidats devraient être classés selon leur volonté de lutter contre le cybercrime, et l’on pourrait envisager la possibilité d’établir une liste noire.

4.3.2.

Le CESE se félicite qu’il soit envisagé d’ajouter, dans le cadre de la deuxième phase de la création d’un éventuel réseau de centres de compétences en cybersécurité de l’Union européenne, une dimension «cyberdéfense». C’est la raison pour laquelle, dans l’intervalle, l’Europe pourrait envisager la mise au point de compétences à double usage, notamment en recourant au Fonds européen de la défense et en prévoyant la création, d’ici 2018, d’une plateforme de formation et d’enseignement en matière de cyberdéfense. Compte tenu des potentialités et des menaces qui sont mutuellement reconnues par les deux parties, le CESE estime nécessaire de développer la coopération UE-OTAN, et que l’industrie européenne devrait en outre suivre étroitement l’évolution de cette coopération concernant l’amélioration de l’interopérabilité des normes en matière de cybersécurité et d’autres formes de coopération dans le cadre de l’approche de l’Union européenne en matière de cyberdéfense.

4.4.    Cadre de certification au niveau de l’Union européenne

4.4.1.

Le CESE estime que l’Europe doit relever le défi de la fragmentation du secteur de la cybersécurité, grâce à une interprétation uniforme des règles, et notamment une reconnaissance mutuelle entre États membres au titre d’un cadre unifié, ce pour faciliter la protection du marché unique numérique. Un cadre de certification pourrait fournir une base commune (et comprendre, le cas échéant, des dispositions spécifiques pour les niveaux supérieurs), en garantissant des synergies entre les secteurs verticaux et en réduisant le morcellement qui prévaut actuellement.

4.4.2.

Le CESE se félicite de l’instauration d’un cadre européen de certification de cybersécurité, avec des systèmes de certification pour les différents secteurs, fondés sur des exigences adéquates et en coopération avec les principales parties intéressées. Toutefois, les délais de mise sur le marché et les coûts de certification, ainsi que les critères de qualité et de sécurité, sont des éléments essentiels qui doivent être pris en considération. Des systèmes de certification seront établis pour renforcer la sécurité en fonction des besoins du moment et de la connaissance de menaces: il convient d’envisager de conférer à ces systèmes de la souplesse et une capacité à évoluer afin de permettre des mises à jour nécessaires. Il convient de prévoir des approches différentes pour les différents secteurs compte tenu de leur mode de fonctionnement. Le CESE estime dès lors que les agences sectorielles de l’Union européenne (l’AESA, l’ABE, l’AFE, l’EMA, etc.) devraient être associées au processus et, dans certains cas — avec l’accord de l’ENISA, pour éviter les doublons et les incohérences —, chargées de concevoir des systèmes de cybersécurité.

4.4.3.

Pour le Comité, il est important de fonder le cadre de certification sur des normes communes en matière de cybersécurité et de TIC, définies au niveau européen et, dans toute la mesure du possible, reconnues au niveau international. Compte tenu du calendrier et des prérogatives nationales, des normes européennes minimales en matière de sécurité informatique devraient être arrêtées en coopération avec le CEN, le Cenelec et l’ETSI. Les normes professionnelles devraient être envisagées de manière positive: elles ne doivent pas être juridiquement contraignantes ni risquer d’entraver la concurrence.

4.4.4.

Il est clair qu’il faut associer le niveau de responsabilité aux différents niveaux d’assurance fondés sur l’impact des menaces. L’ouverture d’un dialogue avec les compagnies d’assurances pourrait contribuer favorablement à l’adoption de véritables exigences en matière de cybersécurité en fonction du secteur d’application. De l’avis du CESE, il convient de soutenir et d’encourager les entreprises recherchant un «niveau d’assurance élevé», notamment en ce qui concerne les appareils et systèmes vitaux.

4.4.5.

Étant donné le temps qui s’est écoulé depuis l’adoption de la directive 85/374/CEE (9), et compte tenu de l’état actuel de la technique, le CESE demande à la Commission d’étudier la pertinence d’inclure dans le champ d’application de la directive certains des scénarios exposés dans la proposition de règlement à l’examen, afin de rendre les produits plus sûrs et les doter d’un niveau de protection élevé.

4.4.6.

Le CESE estime que le Groupe européen de certification de cybersécurité soutenu par l’ENISA qu’il est envisagé de créer devrait être composé d’autorités nationales de contrôle de la certification, d’acteurs du secteur privé et d’opérateurs dans différents domaines d’application, afin de garantir le développement de systèmes de certification complets. En outre, il conviendrait de prévoir une coopération entre ce groupe et des associations sectorielles de l’Union européenne/EEE (par exemple PPPc, secteur bancaire, des transports, de l’énergie, fédérations, etc.), à travers la nomination d’experts. Ce groupe devrait pouvoir tenir compte des réalisations européennes en matière de certification (principalement sur la base de l’accord de reconnaissance mutuelle (ARM) du groupe des hauts fonctionnaires pour la sécurité des systèmes d’information (SOG-IS), des systèmes nationaux et de systèmes privés) et viser à préserver les avantages compétitifs en Europe.

4.4.7.

Le CESE propose que ce groupe de parties intéressées se voie confier la responsabilité d’élaborer conjointement des systèmes de certification avec la Commission européenne. Des exigences sectorielles devraient également être définies au moyen d’un accord consensuel entre les acteurs publics et privés (fournisseurs et utilisateurs) concernés.

4.4.8.

En outre, le groupe devrait examiner régulièrement les systèmes de certification, en tenant compte des besoins de chaque secteur, et adapter les systèmes si nécessaire.

4.4.9.

Le CESE est favorable à la suppression progressive des systèmes nationaux de certification lorsqu’un régime européen est introduit, comme il est proposé à l’article 49 du règlement. En effet, un marché unique ne peut pas fonctionner en étant régi par des règles nationales différentes et concurrentes. À cette fin, le CESE suggère de recenser tous les systèmes nationaux.

4.4.10.

Le CESE suggère à la Commission de lancer une action visant à promouvoir la certification et les certificats de cybersécurité dans l’Union européenne et à plaider pour leur reconnaissance dans tous les accords commerciaux internationaux.

4.5.    ENISA

4.5.1.

Le CESE estime que le nouveau mandat permanent de l’ENISA tel qu’il est proposé par la Commission contribuera de manière significative à renforcer la résilience des systèmes européens. Toutefois, le budget prévisionnel et les ressources qu’il est prévu d’affecter à l’ENISA réformée pourraient ne pas être suffisants pour permettre à l’agence de s’acquitter de sa mission.

4.5.2.

Le CESE encourage tous les États membres à mettre en place une instance clairement définie qui soit un équivalent de l’ENISA au niveau national, la plupart d’entre eux ne l’ayant pas encore fait. Il convient de promouvoir un programme structuré permettant le détachement d’experts nationaux détachés (END) auprès de l’ENISA, afin de faciliter l’échange de bonnes pratiques et de renforcer la confiance. En outre, le Comité recommande que la Commission veille à ce que les bonnes pratiques et les mesures efficaces qui existent actuellement dans les États membres soient recensées et partagées.

4.5.3.

Le CESE estime par ailleurs que, en ce qui concerne le renforcement des capacités, l’ENISA devrait accorder la priorité aux actions visant à soutenir l’administration en ligne (10). L’identité numérique des personnes, des organisations, des entreprises et des objets est essentielle à l’échelle de l’Union et du monde; partant, prévenir et lutter contre le vol d’identité et la fraude en ligne devrait être une priorité, de même que combattre le vol de propriété intellectuelle et industrielle.

4.5.4.

L’ENISA devrait en outre fournir des rapports réguliers au sujet de la préparation des États membres en matière de cybermenaces, en se concentrant essentiellement sur les secteurs recensés à l’annexe II de la directive SRI. Un exercice annuel de cybersécurité à l’échelle européenne devrait permettre d’évaluer l’état de préparation des États membres et l’efficacité du mécanisme européen de réaction en cas de crise en matière de cybersécurité, et déboucher sur des recommandations.

4.5.5.

Le CESE est préoccupé par le caractère trop limité des ressources, sur le plan de la coopération opérationnelle, y compris en ce qui concerne le réseau des CSIRT.

4.5.6.

En ce qui concerne les tâches liées au marché, le CESE estime que le renforcement de la coopération avec les États membres et la mise en place d’un réseau officiel d’agences de cybersécurité contribuerait à favoriser la coopération entre les parties prenantes (11). Le délai de mise sur le marché est très court, alors que c’est un facteur essentiel pour que les entreprises de l’Union européenne puissent faire face à la concurrence dans ce domaine; l’ENISA doit être en mesure de réagir en conséquence. Le CESE observe qu’à l’instar d’autres agences de l’Union européenne, l’ENISA pourrait, à l’avenir, appliquer un système de redevances et de droits. Le CESE est préoccupé par le fait que la concurrence pour les compétences entre l’Union européenne et les agences nationales pourrait, comme cela s’est produit dans d’autres domaines, retarder la bonne mise en place du cadre réglementaire de l’Union européenne et être préjudiciable au marché unique de l’Union européenne.

4.5.7.

Le CESE fait remarquer que les tâches relatives à la R&I et à la coopération internationale sont à l’heure actuelle minimales.

4.5.8.

Le CESE estime que la question de la cybersécurité devrait être un point de discussion régulier lors des réunions communes ordinaires des agences de la justice et des affaires intérieures (JAI) et que l’ENISA et Europol devraient coopérer régulièrement.

4.5.9.

Le cybermonde étant très innovant, les normes doivent être soigneusement étudiées afin d’éviter toute entrave à l’innovation, ce qui exige un cadre dynamique; il convient d’en assurer dans toute la mesure du possible la compatibilité à la fois ascendante et descendante afin de protéger les investissements des citoyens et des entreprises.

4.5.10.

En raison de l’importance des autorités nationales de contrôle de la certification, le CESE suggère que ce règlement mette déjà en place un réseau officiel d’autorités habilitées à résoudre des litiges transfrontières, avec le soutien de l’ENISA. Ce réseau pourrait ultérieurement prendre la forme d’une agence unique.

4.5.11.

Alors que la confiance est fondamentale, l’ENISA pourrait ne pas être habilitée à émettre des décisions ou des rapports d’audit. Le CESE estime que l’agence devrait contrôler les résultats et la prise de décision des autorités nationales de contrôle de la certification au moyen d’audits et d’inspections réalisés au nom de la Commission.

4.5.12.

La participation au conseil d’administration de l’ENISA devrait être étendue aux entreprises et aux organisations de consommateurs, à titre d’observateurs.

4.6.    L’industrie, les PME, les financements/investissements et les modèles d’entreprise innovants

4.6.1.   L’industrie et les investissements

Afin de renforcer la compétitivité mondiale des entreprises européennes opérant dans le domaine des TIC, les actions menées devraient viser à mieux soutenir la croissance et la compétitivité du secteur des TIC, notamment celles des PME.

L’Europe doit accroître les investissements en faisant converger les différents fonds européens, les financements nationaux et les investissements du secteur privé vers des objectifs stratégiques dans le cadre d’une coopération public-privé solide. Le niveau des investissements dans des domaines critiques doit être renforcé et soutenu par la création, au titre du programme-cadre de recherche actuel et futur, d’un Fonds européen pour l’innovation et la R&D en matière de cybersécurité. En outre, l’Europe devrait créer un fonds pour le déploiement de la cybersécurité, ce qui ouvrirait de nouvelles perspectives dans la configuration actuelle et future du mécanisme pour l’interconnexion en Europe ainsi que pour le futur EFSI 3.0.

Des incitations devraient être mises en place pour que les États membres de l’Union puissent acquérir des solutions européennes lorsque c’est possible et sélectionner des fournisseurs européens s’ils sont disponibles, notamment pour les applications sensibles. L’Europe devrait favoriser la croissance de champions européens dans le domaine de la cybersécurité, capables de supporter la concurrence sur le marché mondial.

4.6.2.   PME

En raison de la fragmentation du marché, et pour mieux tenir compte de celui-ci, il est nécessaire de disposer de davantage de précisions au sujet de la demande des clients. Sans une demande structurée, les PME et les start-up ne peuvent pas se développer à un rythme soutenu. Dans ce contexte, il serait judicieux de mettre en place une plateforme européenne des PME du secteur de la cybersécurité.

Les technologies de cybersécurité évoluent rapidement, et les PME, grâce à leur souplesse, peuvent fournir les solutions de pointe indispensables pour que l’Europe reste compétitive. Par rapport aux pays tiers, l’Union européenne est toujours à la recherche d’un modèle commercial approprié pour les PME.

L’on pourrait concevoir des régimes spécifiques pour les start-up et les PME afin de les aider à assumer le coût de la certification, ce pour remédier aux grandes difficultés qu’elles rencontrent dans la collecte de fonds pour leur développement technologique et commercial.

4.7.    Le facteur humain: éducation et protection

4.7.1.

Le CESE constate que la proposition de la Commission ne prend pas suffisamment en considération la personne humaine comme un acteur important des processus numériques, soit en tant que bénéficiaire de ces processus, soit en tant que cause des principaux incidents informatiques.

4.7.2.

Il est nécessaire d’établir une solide base de cyber-compétences et d’améliorer la cyber-hygiène et la sensibilisation auprès des particuliers et des entreprises. Pour parvenir à ce résultat, il convient d’envisager de dégager des investissements ciblés ainsi que du temps pour former des instructeurs de haut niveau, et d’organiser des campagnes de sensibilisation efficaces. La mise en œuvre de ces trois lignes d’action nécessite la participation des autorités nationales et régionales (responsables de la mise en place de programmes éducatifs efficaces et des investissements correspondants) ainsi que celle des entreprises et des PME, dans le cadre d’une approche collective.

4.7.3.

Il conviendrait d’envisager la mise en place d’un éventuel programme de formation certifié par l’Union européenne à l’intention des établissements du second degré et des professionnels, avec la participation active de l’ENISA et de ses homologues nationales. En outre, lors de l’élaboration des programmes d’éducation visant à améliorer les niveaux d’emploi en matière de cybersécurité, il conviendra de prendre en considération la dimension de genre.

4.7.4.

Le CESE est d’avis que l’activité de certification doit comprendre un système d’étiquetage adapté tant pour les matériels (hardware) que les logiciels (software), comme c’est le cas pour de nombreux autres produits (par exemple, les produits énergétiques). Cet instrument aura le triple avantage de réduire les coûts supportés par les entreprises, d’éliminer les fragmentations qui existent déjà sur le marché en raison de la coexistence des différents systèmes de certification déjà adoptés à l’échelle nationale et de faciliter la compréhension, par le consommateur, des informations concernant la qualité et les caractéristiques de l’objet acheté. À cet égard, il est essentiel que les produits importés de pays tiers soient soumis aux mêmes mécanismes de certification et d’étiquetage. Le CESE estime, enfin, que la création d’un logo ad hoc pourrait être à même de renseigner immédiatement les consommateurs et les utilisateurs sur la fiabilité des produits achetés ou des sites sur lesquels ils effectuent des actes d’achat ou qui prévoient la transmission de données sensibles.

4.7.5.

L’ENISA devrait être chargée d’assumer une activité, cruciale s’il en est, d’information et de sensibilisation à plusieurs niveaux, afin de sensibiliser davantage aux comportements numériques «sûrs» et de renforcer la confiance des utilisateurs dans l’Internet. À cette fin, il y a lieu de faire participer les associations représentant les entreprises, les associations de consommateurs et les autres entités opérant dans le domaine des services numériques.

4.7.6.

Pour compléter le règlement sur la cybersécurité, comme il l’a déjà proposé dans l’avis INT/828, le CESE considère qu’il est essentiel de lancer dès que possible un vaste programme européen en matière d’éducation et de formation numérique afin de s’assurer que tous les citoyens disposent des outils nécessaires pour gérer au mieux la transition. En particulier, sans préjudice des compétences spécifiques des États membres en la matière, le Comité souhaite que ce programme prenne les écoles comme point de départ, renforce les connaissances des enseignants, adapte les programmes scolaires et la pédagogie aux technologies numériques (y compris l’apprentissage en ligne) et donne à tous les étudiants une formation de grande qualité. Ce programme sera logiquement étendu à l’apprentissage tout au long de la vie afin d’aménager ou de mettre à jour les compétences de tous les travailleurs (12).

5.   Observations particulières

5.1.    Technologies et solutions émergentes: le cas de l’internet des objets (IdO)

Le nombre d’appareils connectés s’accroît constamment et devrait atteindre plusieurs fois le nombre d’habitants de la planète, en raison de la numérisation des composants, des systèmes et des solutions, et de l’amélioration de la connectivité. Cette tendance crée de nouvelles possibilités pour les auteurs d’infractions informatiques, notamment parce que les dispositifs de l’IdO sont souvent moins bien protégés que les appareils traditionnels.

La mise en place de normes européennes de sécurité à travers les différents secteurs verticaux utilisant les dispositifs de l’IdO est à même de réduire l’effort de développement, ainsi que le temps et le budget qui y sont consacrés, pour tous les acteurs du secteur dans la chaîne de valeur des produits connectés.

Il sera sans doute nécessaire d’adopter une certaine forme de niveau de sécurité minimum en recourant à la gestion de l’identité et de l’accès, à des correctifs (patching) et à la gestion des appareils, pour les dispositifs «ordinaires» de l’«internet des personnes» (IdP). La certification étant une méthode indispensable pour garantir un niveau plus élevé de sécurité, il convient d’accorder plus d’importance à la sécurité de l’internet des objets dans le cadre de la nouvelle approche de l’Union européenne en matière de certification.

Bruxelles, le 14 février 2018.

Le président du Comité économique et social européen

Georges DASSIS


(1)  Stratégie pour le marché unique numérique: examen à mi-parcours.

(2)  JOIN(2017) 450 final.

(3)  Document de travail des services de la Commission — étude d’impact accompagnant la proposition de règlement du Parlement européen et du Conseil, partie 1/6, p. 21, Bruxelles, 14 septembre 2017.

(4)  Eurobaromètre spécial 464a — Wave EB87.4 — Europeans' attitudes towards cyber security [L’attitude des Européens à l’égard de la cybersécurité], septembre 2017.

(5)  Conclusions du Conseil européen du 19 octobre 2017.

(6)  Résolution du Parlement européen du 17 mai 2017 — A8-0176/2017.

(7)  Le marché unique numérique: examen à mi-parcours, JO C 75 du 10.3.2017, p. 124; JO C 246 du 28.7.2017, p. 8; JO C 345 du 13.10.2017, p. 52; JO C 288 du 31.8.2017, p. 62; JO C 271 du 19.9.2013, p. 133.

(8)  Communiqué de presse no 31/2017 du CESE — La société civile débat de l’administration en ligne et de la cybersécurité avec la future présidence estonienne: https://www.eesc.europa.eu/fr/news-media/press-releases/debat-de-la-societe-civile-sur-la-cybersecurite-et-e-gouvernement-avec-la-presidence-entrante-estonienne

(9)  JO L 210 du 7.8.1985, p. 29.

(10)  Stratégie pour le marché unique numérique: examen à mi-parcours.

(11)  JO C 75 du 10.3.2017, p. 124.

(12)  Stratégie pour le marché unique numérique: examen à mi-parcours.


Top