Vue d’Europe En fait, l’Europe, c’est important

A partir du 1er janvier, la France a pris la présidence tournante du Conseil de l’UE. Ce dernier rassemble les ministres des 27 pays membres de l’Union et est colégislateur au même titre que la Commission et le Parlement. Le Conseil de l’UE est notamment l’institution européenne qui influence l’agenda des sujets législatifs. La présidence de cette institution est appelée « tournante » car elle change tous les 6 mois.

Oui, c’est assez compliqué à comprendre. C’est même souvent complexe à naviguer, entre les procédures et autres trilogues. C’est, toutefois, ainsi que fonctionne une union de 27 pays, chacun avec ses ambitions, priorités, histoire et culture. Le modèle est le consensus, et pour l’obtenir, il vaut mieux avoir de l’ouverture d’esprit et de la patience.

Je suis venue vous parler de politique européenne sur inCyber parce que le numérique est politique. La cybersécurité est le volet « protéger et défendre » du numérique : serait-il sain de l’exciser de la prise de décision politique au niveau européen ? (Pour celles et ceux au fond de la salle, c’est une question rhétorique.) Pour accompagner notre compréhension commune des enjeux et des actions, je viendrai apporter une « Vue d’Europe » tous les mois ici.

Une harmonisation européenne croissante

L’UE prend de plus en plus d’ampleur dans le domaine de la cybersécurité et de la protection des données à caractère personnel. Il est, je crois, inutile de s’appesantir sur l’impact du RGPD, le Règlement européen sur la protection des données ; au-delà des critiques qu’on peut lui adresser, le RGPD a donné un sérieux coup de pouce à de nombreux budgets cyber.

Bien sûr, le RGPD est seulement une facette de l’action européenne en matière d’harmonisation. Depuis le premier texte européen de cybersécurité, la Directive NIS entrée en vigueur en 2016, beaucoup d’eau a coulé sous les ponts. On a révisé cette même Directive en 2020 ; sa finalisation est prévue pour cette année. On a créé un véritable mandat pour l’ENISA, l’Agence européenne de cybersécurité, avec le Règlement dit CyberAct. On est en passe de publier le premier schéma européen de certification en cybersécurité : celui des produits cloud. Le catalogue à la Prévert peut continuer avec les projets législatifs autour de la cyber-résilience, e-Evidence, la sécurité des produits, les semi-conducteurs,…

Grâce à un socle commun d’exigences et de repères, on harmonise donc. La beauté du geste est secondaire ; l’objectif est de créer un niveau de sécurité minimum commun à tous les pays membres et de continuer à construire le Marché unique. Le défi – et l’opportunité qui va avec – est celui de dépasser les frontières nationales et de défragmenter le marché européen.

Pour illustrer, prenons en exemple la certification européenne. Disons que j’ai une offre de produits et services « Cocoricloud », le cloud Made in France. Aujourd’hui, mes clients sont majoritairement français : même si j’obtiens la qualification SecNumCloud de l’ANSSI à la sueur de mon front, ça ne parlera guère au-delà des frontières nationales. Si je veux vendre en Allemagne, il me faudra de nouveau transpirer pour assurer l’équivalence par la BSI (l’ANSSI allemande). Si je veux vendre en Lituanie ou en Bulgarie, je peux toujours transpirer : il n’existe pas de schéma équivalent.

Avec une certification européenne des produits et services cloud, je peux parvenir à une lisibilité au niveau de l’UE des garanties de sécurité que propose « Cocoricloud ». C’est possible car le schéma reprend différentes exigences – dont certaines issues du référentiel SecNumCloud – et les rend lisibles et valables dans chacun des 27 pays membres. Je certifie « Cocoricloud » d’après les exigences communes européennes d’un schéma unique et je peux vendre en Lituanie, en Allemagne et en Bulgarie.

L’Europe de la cybersécurité doit commencer à se faire

Bien sûr, en théorie, c’est génial, facile et lumineux. En pratique, on découvre tous les jours le goût exquis d’une nouvelle couleuvre qu’on avale : c’est le prix du consensus. Maintenant que j’ai bien vendu le sujet, pourquoi continuer à promouvoir davantage d’Europe dans la cybersécurité ?

Parce qu’en cybersécurité, on est habitué à gérer du transverse, à envisager des risques et leurs contre-mesures, à lire des trucs compliqués (genre, du binaire) dans le texte. La fabrique de la loi européenne est tout ça. Là où le bât blesse, c’est qu’il y a trop peu de voix émanant de la cybersécurité dans la conversation des 27.

C’est parce qu’on participe à cette conversation qu’une nouvelle mouture de la Directive NIS verra le jour avec des exigences de sécurité dédiées, par ex., à la chaîne d’approvisionnement numérique. C’est également à une telle participation qu’on doit l’importance toujours croissante des sujets liés à la gestion des vulnérabilités. Il en est de même de la création de portefeuilles dédiés d’investissements dans les pépites européennes de la cyber. La liste est, en réalité, assez longue.

Reconnaître que l’Europe est importante pour la cybersécurité, c’est s’impliquer pour construire une autonomie stratégique, consolider notre résilience et faire société à 550 millions. On peut tergiverser sans fin sur les réseaux sociaux sur le bien-fondé de telle alliance ou sur le sens exactement précis de telle ou telle phrase, la solution est simple : pour construire une place sous le soleil démocratique, la vision politique s’appuie sur une offre technologique et sa viabilité économique.