Rapport d’information déposé par la commission des affaires européennes sur l’avenir de la cybersécurité européenne

Date de remise :

Auteur(s) : Eric Bothorel

Auteur(s) moral(aux) : Assemblée nationale. Commission des Affaires européennes

Consulter nos sélections de rapports publics

En savoir plus

Présentation

80% des entreprises européennes connaissent au moins 1 incident de cybersécurité par an. Les cybermenaces peuvent prendre des formes multiples comme l’indique le rapport sur l’état de la menace lié au numérique en 2019 du ministère de l’Intérieur.
La législation européenne (directive SRI et l’Acte de cybersécurité) cherche à mettre en place une coopération européenne sur ce sujet, conciliant respect de la souveraineté des États et collaboration européenne sous la houlette d’une agence, l’ENISA. Par ailleurs, la cybersécurité peut être une source de prospérité économique pour les Etats européens.
Ce rapport porte sur deux volets de l’Acte de cybersécurité :

  •  Le volet sécuritaire et opérationnel avec le renforcement de l’ENISA,
  •  Le volet économique avec l’introduction d’un système européen de certification pour la cybersécurité.
Revenir à la navigation

Sommaire

INTRODUCTION

I. LA LENTE MONTÉE EN PUISSANCE DES ENJEUX EUROPÉENS DE LA CYBERSÉCURITÉ

A. LES ENJEUX SOUS-ÉVALUÉS DE LA CYBERSÉCURITÉ
1. Des menaces diffuses et peu visibles pour le grand public
a. La cybersécurité : une notion aux contours souvent imprécis
b. Une typologie de menaces pour la cybersécurité qui ne cesse de s’enrichir
c. Le cyberespace : particularités

2. Les atteintes à la cybersécurité ont pourtant des conséquences sécuritaires et économiques de plus en plus préoccupantes
a. L’évaluation incertaine du nombre d’attaques
b. La difficile constitution d’un indice de cybersécurité
c. Un paysage de menaces amené à se densifier
d. Des menaces en mutation et qui brouillent encore un peu plus les limites entre guerre et paix : la montée des menaces hybrides

B. UN FOISONNEMENT D’INSTITUTIONS INTERNATIONALES SAISIES DES ENJEUX DE CYBERSÉCURITÉ
1. L’ONU
2. L’OTAN
3. Interpol
4. Le Conseil de l’Europe

II. L’ENISA, UNE AGENCE EUROPÉENNE RENFORCÉE AU SERVICE D’UNE CYBERSÉCURITÉ PLUS INTÉGRÉE

A. LE PAYSAGE TRÈS ÉCLATÉ DE LA CYBERSÉCURITÉ EUROPÉENNE
1. Premières esquisses stratégiques de l’Union européenne
2. Une action de cybersécurité dispersée
a. Sécurité des réseaux et de l’information
b. Sécurité intérieure : Centre européen de lutte contre la cybercriminalité
c. Recherche et diplomatie

B. UNE STRATÉGIE EUROPÉENNE DE CYBERSÉCURITÉ QUI TEND À SE CRISTALLISER
1. Le cadre stratégique de 2013 et l’adoption de la directive SRI : concilier volet sécuritaire et volet industriel
2. La directive SRI : amorcer une architecture européenne de la cybersécurité plus intégrée pour les États membres
a. Une volonté de clarification des acteurs et de leurs missions
b. Des modèles nationaux qui restent très divers
c. Les conclusions mitigées de la Commission sur l’application de la directive SRI

C. L’ENISA PÉRENNISÉE DEVRA CONTRIBUER À RENFORCER L’ARCHITECTURE EUROPÉENNE DE LA CYBERSÉCURITÉ
1. L’ENISA : une agence pour diffuser la culture de la cybersécurité et assister les États membres
2. Certaines faiblesses justifiaient une révision du rôle de l’agence
3. La réforme de l’ENISA s’inscrit dans une relance plus globale de la stratégie de cybersécurité de l’Union
4. L’ENISA doit devenir un organe de coordination et de soutien aux missions corrélées à ses moyens
5. L’ENISA doit être une agence facilitatrice, mais ne peut ni ne doit devenir l’organe supranational de cybersécurité de l’Union
6. Il sera nécessaire de clarifier les liens entre l’ENISA et le futur Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité

III. LA CERTIFICATION EUROPÉENNE DOIT DÉFINIR UN STANDARD PERMETTANT DE CONCILIER SÉCURITÉ ET PROSPÉRITÉ

A. LA CERTIFICATION EUROPÉENNE DOIT COMPOSER AVEC DES CERTIFICATIONS QUI EXISTENT DÉJÀ AUX NIVEAUX NATIONAL ET INTERNATIONAL
1. La certification existe déjà dans des versions nationales
2. Des standards internationaux préexistent également

B. SUR LA BASE DE CES ACQUIS, LA CERTIFICATION DOIT DEVENIR UN AVANTAGE COMPARATIF POUR LA CYBERSÉCURITÉ EUROPÉENNE
1. Le système prévu par le règlement 
a. Le règlement européen prévoit une certification facultative et sur trois niveaux :
b. Certains aspects du rôle de la Commission européenne et de l’ENISA dans la certification seront à préciser dans la pratique

2. Les points d’attention dans la mise en œuvre prochaine du règlement 
a. La multiplication des enceintes
b. La prise en compte des schémas existants
c. La question du périmètre des schémas de certification de sécurité
d. La difficile conciliation entre réactivité et stabilité des schémas de certification

TRAVAUX DE LA COMMISSION

I. TABLE RONDE SUR LA CYBERSÉCURITÉ EN PRÉSENCE DE M. JUHAN LEPASSAAR, DIRECTEUR EXÉCUTIF DE L’ENISA, M. STEVE PURSER, DIRECTEUR DES OPÉRATIONS DE L’ENISA, M. JEAN-BAPTISTE DEMAISON, PRÉSIDENT DU CONSEIL D’ADMINISTRATION DE L’ENISA, ET M. CYRIL CUVILLIER, SOUS-DIRECTEUR ADJOINT DE LA STRATÉGIE DE L’ANSSI 

II. PRÉSENTATION DU RAPPORT D’INFORMATION 

LISTE DES PERSONNES AUDITIONNÉES PAR LE RAPPORTEUR

Revenir à la navigation

Fiche technique

Type de document : Rapport parlementaire

Pagination : 71 pages

Édité par : Assemblée nationale

Collection : Documents d'information de l'Assemblée nationale

Revenir à la navigation