10.3.2017   

FR

Journal officiel de l'Union européenne

C 75/124

Rapporteur:

Thomas McDONOGH

1.1.

Le Comité accueille favorablement la communication de la Commission sur le renforcement du système européen de cyber-résilience et la promotion de la compétitivité et de l’innovation dans le secteur européen de la cybersécurité. Le Comité partage la préoccupation de la Commission à l’égard de la vulnérabilité persistante de l’Europe aux cyberattaques, notant que 80 % au moins des entreprises européennes ont connu au moins un incident touchant à la cybersécurité au cours de l’année écoulée et que le nombre d’incidents de sécurité dans l’ensemble des secteurs industriels à l’échelle de la planète a augmenté de 38 % en 2015 (The Global State of Information Security Survey 2016, PWC). Nous convenons avec la Commission qu’un éventail de mesures est nécessaire pour renforcer le système européen de cyber-résilience et promouvoir la compétitivité et l’innovation au sein du secteur européen de la cybersécurité.

1.2.

Le Comité se félicite en particulier de la présente proposition dans le contexte de la récente adoption de la directive relative à la sécurité des réseaux et de l’information (directive SRI) (1), qui vise à harmoniser l’approche de la cybersécurité au sein de l’Union européenne, et de la stratégie d’ensemble pour la cybersécurité (2), qui présente la vision actuelle sur les meilleurs moyens de prévenir les perturbations et les attaques informatiques, de promouvoir les valeurs européennes de liberté et de démocratie et de veiller à ce que l’économie numérique puisse se développer en toute sécurité.

1.3.

Le CESE convient que des mesures globales sont indispensables pour protéger davantage les infrastructures et les services numériques européens d’importance vitale contre les menaces pour leur sécurité, et se réjouit de constater que les mesures proposées aujourd’hui constituent une avancée significative dans le sens d’une mise en œuvre d’un grand nombre recommandations que le Comité a formulées dans de nombreux avis antérieurs (3) sur le renforcement de la cybersécurité dans l’ensemble de l’Union.

1.4.

Le CESE se félicite que la Commission ait signé le partenariat public-privé contractuel (PPPc) en matière de cybersécurité qui devrait permettre de débloquer 1,8 milliard d’EUR d’investissements dans le secteur européen de la cybersécurité, afin de stimuler la coopération à un stade précoce du processus de recherche et d’innovation et de forger des solutions de cybersécurité applicables à différents secteurs, tels que l’énergie, la santé, les transports et la finance. Le CESE espère plus particulièrement que ce PPPc sera utilisé pour soutenir le développement d’entreprises spécialisées dans la cybersécurité à un stade précoce dans l’ensemble de l’Union.

1.5.

Le Comité se félicite que la Commission ait l’intention d’évaluer la nécessité de modifier ou d’étendre le mandat de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) d’ici la fin 2017, et se réjouit à la perspective d’être consulté sur cette question par la Commission. Le CESE estime que toute extension du mandat de l’ENISA devrait prévoir d’étendre le rôle opérationnel de l’agence afin d’accroître plus efficacement la sensibilisation à la menace de cyberattaques et d’améliorer la capacité de réaction dans toute l’Union, ainsi que de développer une responsabilité plus directe des programmes d’éducation et de sensibilisation à la cybersécurité, en particulier ceux destinés aux citoyens et aux petites et moyennes entreprises (PME).

1.6.

Afin de garantir la force de leadership et l’intégration nécessaire au niveau de l’Union européenne pour gérer la mise en œuvre complexe d’une politique paneuropéenne efficace en matière de cybersécurité, le Comité invite la Commission à évaluer la possibilité de modifier le statut de l’ENISA pour en faire une autorité européenne de la cybersécurité, analogue à l’Agence européenne de la sécurité aérienne (EASA). Si ce changement de mandat de l’ENISA n’est pas réalisable, le CESE plaide alors en faveur de la création ex nihilo d’une autorité de ce type.

1.7.

Le CESE invite la Commission à envisager la création d’un modèle pour le développement et l’évaluation de la cybersécurité nationale, qui s’inspire du modèle de maturité des capacités (CMM) existant dans le secteur informatique, afin de mesurer de manière objective le niveau de résilience de chaque État membre en matière de cybersécurité.

1.8.

Le Comité note que la Commission réfléchira à la nécessité d’une mise à jour prochaine de la stratégie de cybersécurité de l’Union européenne de 2013, et se réjouit à la perspective d’être consulté en temps utile sur les idées de la Commission en la matière.

1.9.

Étant donné l’importance de la cybersécurité et la menace toujours grandissante que représente la cybercriminalité, le CESE demande que les financements et ressources nécessaires soient attribués au centre européen de lutte contre la cybercriminalité d’Europol et à l’Agence européenne de défense.

1.10.

Étant donné qu’il est capital de protéger les données à caractère personnel des citoyens qui sont conservées par les institutions et agences de l’administration publique, le Comité préconise de dispenser au personnel travaillant dans ces administrations des formations spécifiques sur la gouvernance de l’information, la protection des données et la cybersécurité.

1.11.

Dans le cadre de sa vision globale tournée vers la protection de l’Union européenne contre les cyberattaques et la cybercriminalité, ainsi que vers le développement d’une solide industrie européenne de la cybersécurité, le CESE est d’avis que la politique et la stratégie de l’Union européenne en matière de cybersécurité doivent en particulier parvenir à des résultats sur les points suivants: un rôle moteur pour l’Union européenne; des stratégies de cybersécurité améliorant la sécurité tout en préservant la vie privée et d’autres droits fondamentaux; une sensibilisation des citoyens et l’encouragement des démarches préventives de protection; une gouvernance globale de la part des États membres; une action bien informée et responsable des entreprises; un partenariat approfondi entre les gouvernements, le secteur privé et les citoyens; des niveaux d’investissement appropriés; des normes techniques adéquates et des investissements suffisants dans la recherche, le développement et l’innovation; un engagement international.

2.1.

La communication présente des mesures visant à renforcer le système européen de cyber-résilience et à promouvoir la compétitivité et l’innovation du secteur de la cybersécurité en Europe, comme cela a été annoncé dans la stratégie de cybersécurité de l’Union européenne, ainsi que dans la stratégie pour un marché unique numérique.

2.2.

À cette fin, les actions proposées par la Commission visent à tirer parti des dispositions de la directive sur la sécurité des réseaux pour renforcer la coopération en matière de cybersécurité, le partage des informations, les formations et l’organisation de la sécurité dans l’ensemble de l’Union. La Commission va également procéder à une évaluation de l’ENISA d’ici à la fin de 2017 et étudiera alors la nécessité de modifier ou d’étendre son mandat.

2.2.1.

La Commission entend travailler en étroite coopération avec les États membres, l’ENISA, le Service européen pour l’action extérieure (SEAE) et les autres organes compétents de l’Union européenne en vue de la mise en place d’une plateforme de formation en matière de cybersécurité.

2.2.2.

Un certain nombre de mesures sont proposées afin de traiter les interdépendances intersectorielles et de renforcer la résilience des infrastructures de réseau publiques essentielles, notamment le développement de centres sectoriels d’échange et d’analyse d’informations (ISAC) ainsi que leur collaboration avec les équipes d’intervention en cas d’incidents de sécurité informatique (CSIRT). La Commission propose également que les autorités nationales soient autorisées à demander aux CSIRT de procéder à des contrôles réguliers des infrastructures de réseau essentielles.

2.3.

Les mesures proposées par la Commission s’efforceront également de répondre à la nécessité d’amplifier le soutien à la croissance et au développement d’une industrie forte de la cybersécurité en Europe, au moyen de formations, d’investissements, d’exigences liées au marché unique et par la création d’un nouveau partenariat public-privé en matière de cybersécurité qui devrait générer 1,8 milliard d’EUR d’investissements d’ici à 2020.

2.3.1.

Il est par ailleurs proposé d’élaborer une proposition de cadre européen pour la certification en matière de sécurité dans le domaine des technologies de l’information et de la communication (TIC), qui serait présenté d’ici à la fin de 2017, et d’évaluer la faisabilité et l’incidence d’un cadre européen en matière d’étiquetage relatif à la cybersécurité ne représentant pas une trop lourde charge.

2.3.2.

Afin d’accroître les investissements dans la cybersécurité en Europe et soutenir les PME, la Commission entend sensibiliser davantage la communauté de la cybersécurité aux possibilités de financement existantes; accroître le recours aux outils et instruments de l’Union européenne pour soutenir les PME innovantes dans l’étude de synergies entre les marchés civil et militaire de la cybersécurité (Par exemple, le réseau Entreprise Europe et le réseau européen des régions ayant un lien avec la défense offriront aux régions de nouvelles perspectives en matière de coopération transfrontière en ce qui concerne le double usage et notamment la cybersécurité, et aux PME des possibilités d’entreprendre des activités de rapprochement); étudier la possibilité de faciliter l’accès aux investissements en créant une plateforme d’investissement en matière de cybersécurité ou d’autres outils; et mettre en place une plateforme de spécialisation intelligente en matière de cybersécurité pour prodiguer des conseils d’experts aux pays et régions intéressés par des investissements dans le secteur de la cybersécurité (RIS3).

2.3.3.

En outre, afin de stimuler et faire prospérer le secteur européen de la cybersécurité par l’innovation, la Commission se propose de signer avec les entreprises du secteur un partenariat public-privé contractuel sur la cybersécurité, lancer les premiers appels de propositions Horizon 2020 au titre du PPPc sur la cybersécurité et veiller à la coordination du PPPc sur la cybersécurité avec les stratégies sectorielles, les instruments d’Horizon 2020 et les PPP sectoriels.

3.1.

L’économie numérique génère plus d’un cinquième de la croissance du PIB dans l’Union européenne et la plupart des européens font des achats en ligne chaque année. Nous dépendons de l’internet et de la technologie numérique connectée pour soutenir nos services en ligne vitaux dans les domaines de l’énergie, de la santé, de l’administration et des finances. Toutefois, cette infrastructure et ces services numériques cruciaux, qui jouent un rôle d’une telle importance dans notre vie économique et sociale, sont exposés à un risque croissant de cybercriminalité et de cyberattaques menaçant notre prospérité et notre qualité de vie.

3.2.

Un grand nombre de données à caractère personnel concernant l’ensemble des citoyens sont désormais détenues sous forme électronique par les gouvernements, institutions et agences publiques. Une bonne gouvernance de l’information, la cybersécurité et la protection des données sont donc d’une importance majeure pour les citoyens de toute l’Union, qui ont besoin d’avoir l’assurance que leurs données personnelles et leur vie privée sont protégées conformément aux directives et réglementations de l’Union européenne. C’est en particulier le cas des données liées à la santé, des données financières, juridiques et autres qui pourraient être utilisées pour usurper une identité ou être divulguées de manière inappropriée à des tiers. Il est capital que l’ensemble du personnel du secteur public soit correctement formé à la gouvernance de l’information, à la cybersécurité et à la protection des données.

3.3.

L’éducation des citoyens à la cybersécurité personnelle, y compris la protection des données, devrait être une composante essentielle de tout programme d’étude dans le domaine des compétences numériques. Un programme d’éducation géré par l’Union européenne pourrait soutenir les efforts des États membres moins actifs dans ce domaine et faire en sorte également que la stratégie soit comprise convenablement, ce qui réduira les craintes d’atteintes à la vie privée et renforcera la confiance dans l’économie numérique. Un programme de ce type pourrait être mis en œuvre avec l’aide des associations de consommateurs et les organisations de la société civile de toute l’Union européenne, et notamment les établissements qui dispensent des formations aux séniors.

3.4.

Chaque État membre devrait donner à ses organisations chargées du développement du secteur industriel les moyens d’informer, de former et de soutenir le secteur des PME concernant les questions ayant trait à la cybersécurité. Les grandes entreprises peuvent facilement se procurer l’expertise dont elles ont besoin, alors que les PME ont besoin d’être aidées.

3.5.

Il serait très utile de pouvoir mesurer de manière objective le niveau de résilience de chaque État membre en matière de cybersécurité, de manière à pouvoir procéder à des comparaisons pour remédier aux faiblesses et apporter les améliorations nécessaires. L’on pourrait créer un modèle pour le développement et l’évaluation de la cybersécurité nationale qui s’inspire du modèle de maturité des capacités (CMM) existant dans le secteur informatique, afin de mesurer le niveau de protection et de résilience de chaque État membre en matière de cybersécurité.

3.6.

Une stratégie d’ensemble pour la cybersécurité devrait comporter les actions suivantes:

4.1.

En s’appuyant sur le cadre de gouvernance en matière de cybersécurité défini dans la directive SRI et sur les autres mesures qui figurent dans la présente communication, l’Union européenne devrait envisager de résoudre le problème de la fragmentation de son approche, afin d’améliorer la cybersécurité dans l’Union en créant une autorité fortement centralisée en matière de cybersécurité, analogue à l’Agence européenne de la sécurité aérienne (AESA) ou au poste de responsable fédéral de la sécurité de l’information récemment créé aux États-Unis (Plan d’action national en matière de cybersécurité du gouvernement américain, 9 février 2016), qui serait chargée de veiller à la mise en œuvre de la politique de cybersécurité à l’échelle de l’Union européenne et d’intégrer les efforts des différentes agences travaillant dans ce domaine.

4.2.

Le Comité s’avoue impressionné par la compétence développée par l’ENISA au fil des années, et estime qu’elle pourrait contribuer encore davantage à la résilience et à la sécurité en matière de cybersécurité en Europe. Le mandat opérationnel de l’ENISA devrait être renforcé afin d’amplifier plus efficacement la sensibilisation à la menace de cyberattaques et d’améliorer la capacité de réaction dans l’ensemble l’Union. Une révision de ce mandat arrive à point nommé, compte tenu de l’ampleur de l’évolution de l’environnement en matière de cybersécurité depuis la création de l’ENISA. S’appuyant sur la directive SRI, le rôle opérationnel de l’ENISA pourrait être éventuellement développé afin d’accroître la valeur qu’il peut apporter à l’Union européenne, aux États membres, aux citoyens et aux entreprises, grâce à un effet de levier de ses compétences et de ses synergies avec les travaux des autres institutions européennes et des États membres, des agences et des organes, tels que la CERT-EU, le Centre européen de lutte contre la cybercriminalité et l’Agence européenne de défense. L’ENISA devrait se voir accorder davantage de responsabilité directe dans les programmes d’éducation et de sensibilisation à la cybersécurité, en particulier ceux destinés aux citoyens et aux PME.

4.3.

Lorsque le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en 2013, il ne disposait que d’un budget opérationnel de 7 millions d’EUR, soit moins de 10 % du budget total d’Europol (Note de la Commission européenne/13/6 du 9 janvier 2012). En 2014, le directeur de l’EC3 a déclaré que les coupes budgétaires avaient considérablement limité les ressources allouées à son unité, et que celle-ci avait fort à faire pour suivre l’évolution rapide de la menace informatique (Security Magazine, 1er novembre 2014). Le CESE estime que les moyens alloués à Europol pour lutter contre la cybercriminalité doivent être considérablement accrus pour rester en phase avec l’évolution de la menace. Le budget d’Europol n’est toujours que de 100 millions d’EUR en 2016 (4).

4.4.

Le Comité accueille favorablement les dispositions de la directive SRI ainsi que les actions proposées dans la communication qui vise à améliorer la coopération en matière de cybersécurité entre les États membres. Dans l’intérêt de la sécurité de tous les citoyens, et en vue de parvenir à une forte cyber-résilience dans toute l’Union européenne, au sein de laquelle les systèmes d’information des infrastructures critiques sont souvent interconnectés, il est important que les mesures de coopération tiennent compte de l’écart croissant entre les pays qui disposent des compétences les plus avancées en matière de cybersécurité et les autres États membres dotés de compétences moins développées.