La Commission européenne veut renforcer largement les pouvoirs de son agence de cybersécurité, l’ENISA. En France, au Sénat, la proposition fait grincer des dents, car l’ENISA se substituerait aux agences nationales pour des capacités liées à la défense nationale et pour les certifications.
En termes de sécurité et de protection de la vie privée, 2018 sera une année charnière. D’abord par la mise en place en mai du RGPD (Règlement général de protection des données), pour lequel de nombreuses entreprises se préparent, et l’arrivée supposée d’ePrivacy, qui le complète. Ce dernier n’est cependant pas encore voté, son application au printemps reste donc sujette à caution. En janvier sera également transposée la directive SRI (Sécurité des réseaux et de l’information).
En plus de cet agenda chargé, la Commission européenne aimerait un lourd renforcement de l’ENISA, l’agence centrale de cybersécurité, afin d’augmenter significativement son périmètre d’action, tout en lui donnant plus de moyens. Au Sénat, la Commission des affaires européennes a examiné la proposition de règlement le 9 novembre. Elle a publié, le 21, une proposition de résolution listant ses griefs, très proches finalement de ceux de l'agence de cybersécurité française, l'ANSSI.
Renforcer l’ENISA pour mieux lutter contre la cybercriminalité
La proposition de règlement COM (2017) 477, soumise à l’examen des pays membres de l’Union, vise à renforcer largement les pouvoirs de l’ENISA. L’agence ne serait plus seulement consultative, mais aurait plusieurs tâches cruciales, notamment l’harmonisation des règles de sécurité et la création de nouvelles normes communes (voir le brouillon des conclusions du Conseil, en anglais).
Si la proposition était acceptée en l’état, l’ENISA aurait six missions principales :
- Développer les moyens et la préparation des États membres
- Améliorer la coopération et la coordination entre les différents acteurs
- Compléter les actions des États membres en cas de crise transfrontalière
- La sensibilisation des particuliers et entreprises à la cybersécurité
- Améliorer la transparence
- Éviter la multiplication des systèmes de certification dans l'Union
L’ENISA deviendrait l’acteur principal de la cybersécurité en Europe, ce qu’elle n’est pas actuellement. Elle fournit en effet des formations, sensibilise les acteurs, apporte un soutien technique : un rôle essentiellement complémentaire et consultatif auquel s’ajoute la coordination de certains efforts. Elle facilite donc les interactions et huile les engrenages.
En cas d’adoption du règlement, son mandat temporaire deviendrait permanent. Son budget augmenterait de manière significative pour lui donner les moyens de ses missions, particulièrement humains et matériels. Objectif final pour l’Union, largement mentionné dans le texte, doter l’Europe de moyens plus efficaces de lutte contre la cybercriminalité au sens large.
Elle récupèrerait également la prérogative de certification, se substituant alors aux agences nationales telles que l’ANSSI. Au Sénat, ce point provoque la grogne.
Souveraineté et défense nationales
Au Palais du Luxembourg, on note bien que l’ENISA « contribue pleinement à l'élévation générale du niveau de la cybersécurité en Europe » et acquiesce l’idée d’un renforcement, mais la proposition de règlement irait trop loin.
Elle mélange dans un même texte, selon Commission des affaires européennes (CAE), deux attributions fortes. D’une part, l’élaboration et la mise en œuvre de la politique de l'Union en matière de cybersécurité. D’autre part, la mise en place d'un cadre unique de certification de cybersécurité.
Or, la Haute assemblée estime que la cybersécurité est intimement liée à la défense nationale. Cette dernière n’étant pas soumise aux règlements européens, la cybersécurité ne devrait pas être contrôlée par un organe central, doté de plus d’un pouvoir de sanction. Car la nouvelle ENISA serait en capacité de déclencher des enquêtes techniques, à la demande de la Commission européenne ou de plusieurs de ses États membres, dans l’éventualité d’un incident affectant tout ou partie de l’Union.
« La cybersécurité est autant la sécurité des États que celle des entreprises. En outre, quand ces dernières relèvent de secteurs sensibles comme par exemple l'énergie, les transports ou le secteur bancaire, c'est bien de sécurité nationale dont il s'agit » martèle ainsi le Sénat, évoquant les OIV. Le principe de subsidiarité n’est donc, selon lui, pas respecté.
La certification est également un sujet très problématique pour la CAE. Érigeant la France et l’Allemagne en modèles à suivre sur les normes de sécurité, il rappelle que des entreprises – Apple en tête – viennent faire certifier leurs produits en France car les normes y sont élevées. Les pays ayant en bonne partie d’entre eux mis en place depuis longtemps des équivalences, ces certifications sont reconnues et valides ailleurs.
En cas d’aboutissement du règlement, ces certifications n’auraient plus court. L’ENISA établirait un nouveau cadre et le ferait appliquer. Il se substituerait aux cadres nationaux, même dans le cas de certifications plus poussées localement. En filigrane, l’interrogation se devine aisément : des pays « en avance » comme la France et l’Allemagne devront-ils revoir leurs standards à la baisse alors que d’autres, plus en retard, pourraient profiter des nouvelles compétences de l’ENISA, au risque de se laisser porter ?
Pour la France, l’ENISA a encore du chemin à parcourir
La perte de souveraineté dans l’un des aspects de la défense nationale est bloquante pour le Sénat. De manière plus générale, il souligne que l’ENISA n’a ni les moyens, ni l’expérience pour basculer d’un seul coup sur des missions si importantes au regard de ses attributions actuelles. L’agence européenne compte en effet une petite centaine de personnes pour l’ensemble de l’Union, à comparer aux plus de 500 qui travaillent à l’ANSSI.
Une position totalement calquée sur celle de l’ANSSI, vent debout elle aussi contre cette proposition. On se souvient que Guillaume Poupart, son directeur, pestait le mois dernier aux Assises de la sécurité à Monaco contre l’idée de « pompiers volants » qui auraient à intervenir partout en Europe pour gérer des crises.
D’ailleurs, la CAE estime aussi « que la place prépondérante envisagée pour l'ENISA dans la certification de cybersécurité, alors qu'elle ne dispose d'aucune expertise, n'est pas justifiée et qu'elle pourrait entraîner un affaiblissement de la cybersécurité dans l'Union, ce qui est contraire à l'objectif de la proposition. »
Chambouler les certifications aurait par ailleurs un impact négatif sur la confiance accordée d’un côté par les acteurs économiques, et de l’autre par les consommateurs. Elle ne souhaite pas pour autant que l’ENISA reste à sa place actuelle.
Un référentiel plutôt qu’un règlement
Les propositions faites en Commission consistent essentiellement à séparer le renforcement général de l’agence et le pouvoir de certification.
Dans son rapport, on peut ainsi lire que deux textes seraient souhaités, « l'un fixant le mandat de l'ENISA, l'autre établissant un cadre pour la certification ». Ce dernier serait donc un référentiel commun et simplifierait, tout en les normalisant, les équivalences entre pays. Aux Assises de Monaco, nous avions pu constater qu’un tel cadre faciliterait la vie des entreprises, qui n’auraient alors plus qu’un interlocuteur unique pour l’ensemble de l’Europe.
L’ENISA ne se substituerait alors pas aux agences nationales. Elle les encouragerait, les aiderait dans leurs démarches, fournirait les bases, mais ne pourrait empêcher, par exemple, qu’un pays aille plus loin. Établir, en somme, un socle commun pour faire progresser le niveau général de cybersécurité. L’ENISA n’aurait toutefois aucune capacité opérationnelle.
Contactée, la Commission des affaires européennes nous fait remarquer (via ses deux rapporteurs, René Danési et Laurence Harribey) que ce projet de règlement pose d’ailleurs un souci de calendrier. Il propose en effet que l’ENISA se substitue aux agences nationales pour certaines compétences, alors même que la directive SRI (ou NIS), en cours d’implémentation dans les pays, oblige à la création de telles agences dans les pays qui n’en ont pas.
Un travail est en outre en cours pour faire déménager l’ENISA. L’agence est en effet située à Héraklion, en Crète, une position géographique peu pratique pour les réunions et les déplacements. L’idée serait donc d’établir ses nouveaux locaux à Athènes.
Meet me halfway
La Commission se dit consciente des évolutions très rapides des menaces. Elle cite les propres chiffres fournis par la Commission européenne, par exemple les 4 000 attaques par ransomware chaque jour en 2016 à l’échelle de l’Union. Un chiffre en augmentation de 300 % par rapport à 2015. Elle évoque également Wannacry et NotPetya, tout autant que la faille des puces Infineon, aboutissant au rappel de nombreuses cartes d’identité et de sécurité, notamment en Estonie.
Elle tient cependant à ce que l’Europe garde son « avance dans le domaine de la cybersécurité ». Le règlement proposé serait à ce titre contre-productif, en bridant notamment ses acteurs les plus énergiques (l’ANSSI et le BSI allemand), qui ont une grande expertise à faire valoir. L'agence française se voit d'ailleurs comme le moteur de la cybersécurité des États en Europe, avec pour seul alter ego le BSI, avec lequel elle aurait des contacts quotidiens et a monté un label commun pour les services cloud, ESCloud.
Quel futur législatif pour le texte ?
Ce « non » flagrant de la CAE devrait en théorie devenir la position officielle du Sénat le 6 décembre. Ce ne sera pour autant pas un blocage pour la proposition européenne, puisqu’il ne s’agit que de l’une des 39 chambres parlementaires de l’Union. Sur l’ensemble, seule une quinzaine a demandé à réaliser un examen de subsidiarité sur le texte. Comme nous l’explique la CAE, il faudrait qu’un tiers des chambres expriment leur désaccord pour que le texte soit refusé et retravaillé, en tenant compte si possible des critiques formulées.
Si ces conditions ne sont pas réunies, la Commission européenne a un « devoir de courtoisie » – comprendre une obligation de répondre aux craintes formulées, mais pas de modifier le cœur de son projet. Celui-ci sera ensuite débattu et négocié en Conseil de l’Europe, donc par les 27 gouvernements de l’Union. Ces négociations commencent d'ailleurs sous forme de discussions techniques, sans attendre le texte définitif de la Commission européenne.
Notez que le texte a également été présenté à l’Assemblée nationale, mais que celle-ci s’exprime plus rarement sur les questions européennes. La date butoir étant le 6 décembre, il y a de bonnes chances pour qu’elle n’émette pas d’avis. Dans le cas contraire, elle représenterait une deuxième voix pour la France. Si bien sûr son avis suivait celui du Sénat.
Ce texte n'aura probablement pas le temps d'être examiné en séance publique. Pour autant, dans les coulisses de la Commission des affaires européennes, on considère qu'il aurait franchi cette étape sans difficulté. Avec une telle résolution, le message politique renforcerait alors les positions de l'ANSSI, du Secrétariat général de la défense et de la sécurité nationale, et de Mounir Mahjoubi, secrétaire d’État au Numérique. Des avis clairement établis lors de la cinquième édition du Mois de la cybersécurité, que nous avions couvert début octobre. Dès lors, on peut considérer que la position française est parfaitement claire, résumée finalement par le SGDSN le mois dernier : « la France milite pour une maîtrise concertée ».
Commentaires (5)
#1
“Meet me halfway” BEP
“la France milite pour une maîtrise concertée”
Mais chacun de son côté:" /> (je suppose)
#2
L’agence ne serait plus seulement consultative, mais aurait plusieurs tâches cruciales, notamment l’harmonisation des règles de sécurité et la création de nouvelles normes communes
faudrait savoir* :
* et qu’on le dise, une bonne fois pour toute…mais cet éternel “à hue et à dia” me gave=“gnagnagna”
c’est bon, là !!!
#3
L’Europe… sans Europe " />
#4
#5