tiero - Fotolia
FIC 2018 : la France apparaît rassurée sur les projets de Bruxelles pour l'Enisa
L'Europe de la cybersécurité se fera bien. Du moins, la France semble-t-elle prêt à soutenir les projets d'extension du mandat de l'agence européenne de la sécurité de l'information et des réseaux. Avec à la clé, une labélisation forte à l'échelle de l'Union.
Fin novembre, la question méritait d’être posée : l’idée, pourtant appelée de leurs vœux par de nombreux acteurs économiques, d’une certification européenne de la cybersécurité, avait-elle déjà fait long feu ?
Pour rappel, mi-septembre, Jean-Claude Juncker, président de la commission européenne, présentait son projet de règlement dotant l’agence européenne pour la sécurité des réseaux et des systèmes d’information (Enisa) d’un nouveau mandat, considérablement étendu, avec notamment une mission de création d’un cadre de certification européen pour les produits et services de cybersécurité.
Le sujet d’une Europe de la cybersécurité était déjà au menu de l’édition 2015 du Forum International de la Cybersécurité (FIC). Un an plus tard, toujours à l’occasion du FIC, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et son homologue allemand, le BSI, avaient évoqué travailler à des mécanismes de « reconnaissance croisée » de leurs certifications et labélisations respectives. Une première étape a été franchie fin 2016, quand l’Anssi et le BSI ont annoncé la création d’un label commun, European Secure Cloud.
De nombreuses craintes…
Mais patatras, fin novembre dernier, la commission des Affaires européennes du Sénat prenait position contre le projet de Bruxelles. Certes, ses membres assuraient « soutenir un renforcement des capacités européennes en matière de cybersécurité et la nécessité de disposer d’un cadre européen unique de certification ». Mais assurément pas avec l’Enisa aux commandes qui, selon la commission sénatoriale, « n’a aucune expertise en la matière ».
En fait, il semble que pour les sénateurs, il s’agissait surtout de protéger un acquis : « l’action menée depuis plusieurs années par une majorité d’Etats membres, dont la France, [qui] a permis de faire de l’Europe une référence mondiale en termes de certification de cybersécurité », rien de moins.
Mais aujourd’hui, Jean-Claude Junker semble avoir entendu le message. En ouverture du FIC, qui se déroule actuellement à Lille, le commissaire européen Julian King a souligné que l’Enisa « renforcée » doit servir avant tout « à mieux structurer la coopération entre Etats membres et, par la suite, à favoriser la montée en compétences de ceux qui en ont le plus besoin ». Pas question donc, de chercher à faire de l’Enisa un super-pompier cyber pour les pays européens les moins matures en la matière.
Qui ont toutes reçu une oreille attentive
Surtout, à écouter Julian King, Bruxelles semble avoir entendu les préoccupations exprimées par certains, dont la France : « notre proposition s’appuie sur ce qui a déjà été accompli dans [le domaine de la certification], notamment pas la France. Il est important que les schémas de certification existants – qui dans certains cas regroupent déjà plusieurs Etats membres – puissent prendre une dimension véritablement pan-européenne ».
Et le message semble avoir été pleinement reçu. Dans son discours d’ouverture du FIC, Gérard Collomb, ministre de l’Intérieur, l’assurait ainsi : « la France soutiendra sans réserve » les initiatives visant à s’attaquer à la cybercriminalité à l’échelon européen. Mieux, « nous soutiendrons la création d’un Centre européen de recherche et de compétences en matière de cybersécurité », et une Enisa au mandat étendu.
Un peu plus tard dans la journée, l’Anssi enfonçait le clou sur son fil Twitter, assurant que « l’Europe est un échelon naturel pour le développement d’une industrie forte, compétitive et innovante, et qui tire profit de l’expertise développée par les Etats membres ».
Et puisqu’il semble entendu que la nouvelle Enisa n’aura pas vocation à se transformer task force palliant les retards de certains états, Gérard Collomb assure que « nous soutiendrons la mise en place d’un plan d’urgence en cas de cyberattaque d’ampleur », solidarité en Etats membres oblige.
Pour approfondir sur Cyberdéfense
-
EUCS : la CNIL défend la réintroduction des critères d’immunité aux lois extraterritoriales
-
FIC 2021 : une édition sous le signe du collectif, à l’échelle européenne
-
L’année 2018 pour l’Anssi : un calme apparent qui peut être bien trompeur
-
L’Europe renforce son approche communautaire de la cybersécurité