13.12.2013   

FR

Journal officiel de l'Union européenne

C 365/172

RAPPORT

sur les comptes annuels de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information relatifs à l'exercice 2012, accompagné des réponses de l'Agence

2013/C 365/24

INTRODUCTION

1.

L'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ci-après «l'Agence» ou «l'ENISA»), sise à Athènes et à Héraklion (1), a été créée en vertu du règlement (CE) no 460/2004 du Parlement européen et du Conseil (2), modifié par les règlements (CE) no 1007/2008 (3) et (CE) no 580/2011 (4). La principale mission de l'Agence est de renforcer la capacité de l'Union à prévenir les problèmes de sécurité des réseaux et de l'information et, le cas échéant, à y faire face en s'appuyant sur les initiatives prises aux niveaux national et de l'UE (5).

INFORMATIONS À L'APPUI DE LA DÉCLARATION D'ASSURANCE

2.

L'approche d'audit choisie par la Cour repose sur des procédures d'audit analytiques, des tests directs des opérations et une évaluation des contrôles clés des systèmes de contrôle et de surveillance de l'Agence. À cela s'ajoutent des éléments probants obtenus grâce aux travaux d'autres auditeurs (le cas échéant), ainsi qu'une analyse des prises de position de la direction.

DÉCLARATION D'ASSURANCE

3.

Conformément aux dispositions de l'article 287 du traité sur le fonctionnement de l'Union européenne (TFUE), la Cour a contrôlé:

a)

les comptes annuels de l'Agence, constitués des états financiers (6) et des états sur l'exécution du budget (7) pour l'exercice clos le 31 décembre 2012;

b)

la légalité et la régularité des opérations sous-jacentes à ces comptes.

Responsabilité de la direction

4.

En vertu des articles 33 et 43 du règlement (CE, Euratom) no 2343/2002 de la Commission (8), la direction est responsable de l'établissement et de la présentation fidèle des comptes annuels de l'Agence, ainsi que de la légalité et de la régularité des opérations sous-jacentes:

a)

s'agissant des comptes annuels de l'Agence, la responsabilité de la direction comprend la conception, la mise en œuvre et le maintien d'un système de contrôle interne pertinent pour l'établissement et la présentation fidèle d'états financiers exempts d'anomalies significatives, qu'elles résultent d'une fraude ou d'une erreur; le choix et l'application de méthodes comptables appropriées, sur la base des règles comptables adoptées par le comptable de la Commission (9); l'établissement d'estimations comptables raisonnables au regard de la situation du moment. Le directeur approuve les comptes annuels de l'Agence après que le comptable de celle-ci les a établis sur la base de toutes les informations disponibles, et qu'il a rédigé une note, accompagnant les comptes annuels, dans laquelle il déclare, entre autres, qu'il a obtenu une assurance raisonnable que ces comptes présentent, dans tous leurs aspects significatifs, une image fidèle de la situation financière de l'Agence;

b)

s'agissant de la légalité et de la régularité des opérations sous-jacentes, ainsi que de la conformité au principe de bonne gestion financière, la responsabilité de la direction consiste à assurer la conception, la mise en œuvre et le maintien d'un système de contrôle interne efficace et efficient, comprenant une surveillance adéquate et des mesures appropriées pour prévenir les irrégularités et les fraudes, ainsi que, le cas échéant, des poursuites judiciaires en vue de recouvrer les montants indûment versés ou utilisés.

Responsabilité de l'auditeur

5.

La responsabilité de la Cour consiste à fournir au Parlement européen et au Conseil (10), sur la base de son audit, une déclaration d'assurance concernant la fiabilité des comptes annuels de l'Agence, ainsi que la légalité et la régularité des opérations sous-jacentes. La Cour conduit son audit conformément aux normes internationales d'audit et aux codes de déontologie de l'IFAC, ainsi qu'aux normes internationales des institutions supérieures de contrôle, établies par l'Intosai. En vertu de ces normes, la Cour est tenue de programmer et d'effectuer ses travaux d'audit de manière à pouvoir déterminer avec une assurance raisonnable si les comptes annuels sont exempts d'anomalies significatives et si les opérations sous-jacentes à ces comptes sont légales et régulières.

6.

L'audit comprend la mise en œuvre de procédures en vue d'obtenir des éléments probants relatifs aux montants et aux informations qui figurent dans les comptes, ainsi qu'à la légalité et à la régularité des opérations sous-jacentes. Le choix des procédures s'appuie sur le jugement de l'auditeur, qui se fonde sur une appréciation du risque que des anomalies significatives affectent les comptes et, s'agissant des opérations sous-jacentes, du risque de non-respect, dans une mesure significative, des obligations prévues par le cadre juridique de l'Union européenne, que cela soit dû à des fraudes ou à des erreurs. Lorsqu'il apprécie ces risques, l'auditeur examine les contrôles internes pertinents pour élaborer les comptes et assurer la fidélité de leur présentation, ainsi que les systèmes de contrôle et de surveillance visant à assurer la légalité et la régularité des opérations sous-jacentes, et il conçoit des procédures d'audit adaptées aux circonstances. L'audit comporte également l'appréciation de l'adéquation des méthodes comptables appliquées et de la vraisemblance des estimations comptables, ainsi que l'évaluation de la présentation générale des comptes.

7.

La Cour estime que les informations probantes obtenues sont suffisantes et appropriées pour étayer sa déclaration d'assurance.

Opinion sur la fiabilité des comptes

8.

La Cour estime que les comptes annuels de l'Agence présentent fidèlement, dans tous leurs aspects significatifs, la situation financière de celle-ci au 31 décembre 2012, ainsi que les résultats de ses opérations et les flux de trésorerie pour l'exercice clos à cette date, conformément aux dispositions de son règlement financier et aux règles comptables adoptées par le comptable de la Commission.

Opinion sur la légalité et la régularité des opérations sous-jacentes aux comptes

9.

La Cour estime que les opérations sous-jacentes aux comptes annuels relatifs à l'exercice clos le 31 décembre 2012 sont légales et régulières dans tous leurs aspects significatifs.

10.

Le commentaire ci-après ne remet pas en cause les opinions de la Cour.

COMMENTAIRE SUR LES CONTRÔLES INTERNES

11.

Le dernier inventaire physique complet des immobilisations remonte à 2010, alors que le règlement financier de l'Agence et ses modalités d'exécution en prévoient un au moins tous les trois ans.

SUIVI DES COMMENTAIRES DE L'ANNÉE PRÉCÉDENTE

12.

L'annexe I donne une vue d'ensemble des mesures correctrices prises en réponse aux commentaires formulés l'année dernière par la Cour.

Le présent rapport a été adopté par la Chambre IV, présidée par M. Louis GALEA, Membre de la Cour des comptes, à Luxembourg en sa réunion du 15 juillet 2013.

Par la Cour des comptes

Vítor Manuel da SILVA CALDEIRA

Président

(1)  Le personnel opérationnel a été transféré à Athènes en mars 2013, tandis que le personnel administratif a été maintenu à Héraklion.

(2)  JO L 77 du 13.3.2004, p. 1.

(3)  JO L 293 du 31.10.2008, p. 1.

(4)  JO L 165 du 24.6.2011, p. 3.

(5)  L'annexe II présente, de manière synthétique et à titre d'information, les compétences et activités de l'Agence.

(6)  Les états financiers comprennent le bilan, le compte de résultat économique, le tableau des flux de trésorerie, l'état des variations de l'actif net, ainsi qu'une synthèse des principales méthodes comptables et d'autres notes explicatives.

(7)  Les états sur l'exécution du budget comprennent le compte de résultat de l'exécution budgétaire et son annexe.

(8)  JO L 357 du 31.12.2002, p. 72.

(9)  Les règles comptables adoptées par le comptable de la Commission sont fondées sur les normes comptables internationales pour le secteur public (IPSAS), publiées par la Fédération internationale des experts-comptables, ou, le cas échéant, sur les normes comptables internationales (IAS)/normes internationales d'information financière (IFRS) publiées par l'International Accounting Standards Board (IASB).

(10)  Article 185, paragraphe 2, du règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 248 du 16.9.2002, p. 1).

ANNEXE I

Suivi des commentaires de l'année précédente

Année

Commentaires de la Cour

Mise en œuvre des mesures correctrices

(Terminée / En cours / En attente / Sans objet)

2011

Ce niveau élevé de reports est contraire au principe budgétaire d'annualité.

Terminée

2011

La Cour a constaté qu'il convient de mieux documenter l'inventaire des immobilisations. Les acquisitions d'immobilisations sont enregistrées au niveau des factures mais non des postes budgétaires. Lorsque plusieurs nouveaux actifs sont couverts par une même facture, il n'existe qu'une seule entrée pour l'ensemble des actifs achetés, et seul le montant total est indiqué.

En cours

2011

L'Agence doit améliorer la transparence des procédures de recrutement. Aucune mesure appropriée n'a été prise pour remédier au manque de transparence mis en évidence par la Cour en 2010. Les notes minimales que les candidats devaient obtenir pour être conviés à un entretien, les questions pour les épreuves écrites et les entretiens, ainsi que leur pondération, n'étaient pas établies avant l'examen des candidatures. Les notes minimales à obtenir pour pouvoir être inscrit sur la liste d'aptitude n'étaient pas fixées avant l'examen des candidatures.

Terminée

ANNEXE II

Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (Héraklion)

Compétences et activités

Domaines de compétence de l'Union selon le traité

(article 114 du traité sur le fonctionnement de l'Union européenne)

Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire et après consultation du Comité économique et social, arrêtent les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur.

La responsabilité en matière de marché intérieur relève d'une compétence partagée entre l'Union et les États membres [article 4, paragraphe 2, point a), du TFUE].

Compétences de l'Agence

[règlement (CE) no 460/2004 du Parlement européen et du Conseil]

Objectifs

1)

L'Agence renforce la capacité de l'Union, des États membres et du secteur des entreprises de prévenir les problèmes de sécurité des réseaux et de l'information, de les gérer et d'y faire face.

2)

L'Agence prête assistance et fournit des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l'information relevant de ses compétences.

3)

L'Agence acquiert un niveau élevé de compétences spécialisées et met à profit celles-ci pour encourager une vaste coopération entre les acteurs des secteurs public et privé.

4)

Lorsqu'elle y est invitée, l'Agence aide la Commission à mener les travaux techniques préparatoires en vue de la mise à jour et du développement de la législation de l'Union dans le domaine de la sécurité des réseaux et de l'information.

Tâches

a)

Collecter des informations sur les risques actuels et émergents qui pourraient avoir une incidence sur les réseaux de communications électroniques.

b)

Fournir des conseils et une assistance au Parlement européen, à la Commission et aux organismes européens ou aux organismes nationaux compétents.

c)

Renforcer la coopération entre les différents acteurs dans son domaine d'activité.

d)

Faciliter la coopération dans l'élaboration de méthodologies communes destinées à gérer les problèmes de sécurité des réseaux et de l'information.

e)

Contribuer à la sensibilisation de tous les utilisateurs à la problématique de la sécurité des réseaux et de l'information, notamment par la promotion des échanges des meilleures pratiques actuelles, y compris les méthodes d'alerte des utilisateurs, et par la recherche de synergies dans les initiatives du secteur public et du secteur privé.

f)

Assister la Commission et les États membres dans le dialogue qu'ils mènent avec les entreprises.

g)

Suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information.

h)

Fournir à la Commission des conseils sur la recherche en matière de sécurité des réseaux et de l'information ainsi que sur l'utilisation des technologies de prévention des risques.

i)

Promouvoir des activités d'évaluation des risques sur les solutions en matière de gestion des mesures de prévention.

j)

Contribuer à la coopération avec des pays tiers et des organisations internationales.

k)

Formuler de manière indépendante ses propres conclusions, orientations et conseils sur des questions entrant dans le cadre de son champ d'action et de ses objectifs.

Gouvernance

Conseil d'administration

Il est composé d'un représentant de chaque État membre, de trois représentants nommés par la Commission, ainsi que de trois représentants sans droit de vote nommés par le Conseil sur proposition de la Commission, représentant chacun l'un des groupes suivants:

a)

les entreprises du secteur des technologies de l'information et de la communication;

b)

les consommateurs;

c)

les experts universitaires en sécurité des réseaux et de l'information.

Groupe permanent des parties prenantes

Trente experts de haut niveau représentant les parties concernées, notamment le secteur des technologies de l'information et de la communication (TIC), les organisations recourant aux TIC et les experts universitaires en matière de sécurité des réseaux et de l'information.

Suite à un appel général à manifestation d'intérêt, les membres sont choisis par le directeur exécutif qui, après avoir informé le conseil d'administration de sa décision, nomme les candidats sélectionnés à titre personnel pour un mandat de deux ans et demi.

Directeur exécutif

Nommé pour un mandat de cinq ans par le conseil d'administration sur la base d'une liste de candidats proposés par la Commission européenne et après avoir été entendu par le Parlement européen.

Contrôle externe

Cour des comptes européenne.

Contrôle interne

Service d'audit interne de la Commission européenne (IAS).

Autorité de décharge

Parlement européen, sur recommandation du Conseil.

Moyens mis à la disposition de l'Agence en 2012 (2011)

Budget définitif

8,2 (8,1) millions d'euros, dont subvention de l'Union de 100 % (100 %)

Effectifs au 31 décembre 2012

44 (44) emplois prévus au tableau des effectifs, dont pourvus: 42 (41)

Autres emplois pourvus: 12 (13) agents contractuels et 4 (4) experts nationaux détachés

Total des effectifs: 58 (58), dont affectés à des tâches:

opérationnelles: 40 (40)

administratives: 18 (18)

Produits et services fournis en 2012 (2011)

Volet (1) no 1:   Reconnaître les menaces et y réagir dans un environnement en perpétuelle évolution

L'évaluation des menaces émergentes est une étape fondamentale pour se préparer à faire face à de nouveaux défis. L'objectif de ce volet était d'établir un certain nombre de fiches portant sur l'état de préparation en matière de sécurité informatique pour différents domaines et initiatives gouvernementales, concernant notamment les États membres et la Commission (en identifiant par exemple les perspectives émergentes ainsi que les risques liés aux initiatives politiques). Cet objectif a été réalisé grâce à une analyse des perspectives émergentes et des risques afférents aux initiatives et domaines pertinents pour les différentes communautés de parties prenantes.

L'Agence a en particulier publié un rapport dressant un panorama complet de la menace en matière de sécurité en Europe, ainsi que des rapports plus spécifiques dans les domaines de «la consumérisation de l'informatique», de «l'informatique en nuage» et de «la sécurité des acquisitions». En analysant à la fois les perspectives et les risques, l'ENISA est parvenue à des conclusions qui reflètent les compromis que les institutions et les entreprises devront faire dans des environnements opérationnels en temps réel. Cette approche aide les décideurs politiques et les entreprises à tirer pleinement parti de technologies et de modèles d'activité innovants tout en maintenant un haut niveau de sécurité. Elle s'est appuyée pleinement sur les accords de coopération existants et sur les parties prenantes réalisant des activités d'appui pour remplir les objectifs de ce volet.

Nombre de résultats: 7.

Volet no 2:   Améliorer la PIIC (2) et la résilience à l'échelle européenne

Le travail réalisé dans le cadre de ce volet était étroitement lié au plan d'action PIIC décrit dans les communications de la Commission de mars 2009 et mars 2011 et s'est inscrit dans la suite logique des travaux effectués dans le cadre des programmes de travail 2010 et 2011. Les activités de ce volet ont directement contribué aux objectifs définis dans le document de stratégie de sécurité intérieure et dans la stratégie numérique pour l'Europe.

L'objectif principal du deuxième volet était d'aider les États membres à mettre en œuvre des systèmes TIC sécurisés et résilients, ainsi que d'accroître le niveau de protection des infrastructures et services d'information critiques en Europe. Cet objectif se décline au travers de différentes activités:

aider les parties prenantes à gagner en efficience et en efficacité

soutenir et promouvoir les exercices paneuropéens

reconnaître et relever les défis liés à la sécurité de l'information dans les infrastructures d'information critiques

soutenir et promouvoir le partenariat public-privé européen en matière de résilience (EP3R)

recenser et régler les problèmes liés à la sécurité de l'information dans le secteur des systèmes de contrôle industriel et les réseaux interconnectés

soutenir le groupe de travail conjoint UE-États-Unis sur la cybersécurité et la cybercriminalité, établi dans le cadre du sommet UE-États-Unis qui s'est tenu le 20 novembre 2010.

Parmi ces activités, on peut citer en particulier l'exercice de cybersécurité paneuropéen. Le second exercice de ce type a été réalisé le 4 octobre 2012 et a impliqué 339 organisations dans l'ensemble de l'Union européenne.

Nombre de résultats: 13.

Volet no 3:   Soutenir les CERT (Computer Emergency Response Team) et les autres communautés opérationnelles

Les modules de travail figurant sous cette section sont aussi en rapport direct avec le plan d'action PIIC décrit dans la communication de mars 2009 de la Commission, bien que les activités de ce volet soient étroitement liées à l'assistance et au développement de la communauté des CERT.

S'agissant des CERT, l'ENISA a pour objectif de soutenir les États membres de l'Union européenne en vue de s'assurer que leurs CERT nationaux ou gouvernementaux respectifs jouent un rôle clé quant à leur capacité à se préparer aux évolutions à venir, à partager l'information et à mettre en place une réponse et une coordination durable. Cet objectif est atteint en définissant, en synergie avec les parties prenantes concernées, les capacités de base des CERT nationaux ou gouvernementaux, et en fournissant les moyens nécessaires pour y arriver. Les objectifs de ce volet sont plus particulièrement:

de renforcer les capacités opérationnelles des États membres en aidant la communauté des CERT à gagner en efficience et en efficacité

de soutenir et d'améliorer la coopération entre les CERT et avec les autres communautés.

Dans le cadre de ce volet, l'ENISA a analysé les obstacles d'ordre juridique et procédural auxquels les CERT sont confrontés en Europe dans le cadre de la coopération et du partage d'informations avec d'autres CERT, ainsi que l'application des lois des pays tiers, et a formulé des recommandations sur les manières d'améliorer cette coopération.

Nombre de résultats: 10.

Volet no 4:   Sécuriser l'économie numérique

Dans le cadre de ce volet, l'ENISA a cherché à élaborer des mesures pouvant permettre à l'UE de gérer dans de bonnes conditions l'introduction et le déploiement de nouveaux services interopérables tout en respectant les droits fondamentaux des personnes et en recourant à des solutions sûres et fiables.

Les travaux effectués dans ce domaine ont aidé les organisations des secteurs public et privé à améliorer leur approche de la sécurité en mettant au point des procédures fiables de gestion des données à caractère personnel conformes à la nouvelle proposition de législation sur la protection des données.

Dans le cadre de ce volet, l'Agence a également apporté son soutien au mois européen de la sécurité des réseaux et de l'information pour tous.

Nombre de résultats: 8.

Source: Informations transmises par l'Agence.

(1)  

En anglais: work stream (WS).

(2)  

PIIC: Protection des infrastructures d'information critiques.

Source: Informations transmises par l'Agence.

RÉPONSES DE L’AGENCE

11.

L’ENISA a lancé un contrôle d’inventaire à la fin du mois d’avril 2013 dans ses deux bureaux, à Héraklion et Athènes. Il s’agit du premier contrôle dans l’histoire de l’ENISA effectué à l’aide d’un outil électronique dédié, ABAC Assets, et ses fonctionnalités respectives (y compris étiquetage, scannage, chargement d’éléments scannés, fourniture de rapports). Les résultats du contrôle seront traités par le comptable et les écritures comptables finales relatives aux différences entre les registres de comptabilité et l’inventaire physique seront effectuées pour le 31 juillet 2013 au plus tard.

L’Agence réalisera et documentera ce type de contrôle sur une base annuelle afin d’assurer une représentation juste de la valeur des immobilisations dans les comptes annuels.