L’Enisa, l’Agence européenne chargée de la sécurité des réseaux et de l’information, est destinée à devenir l’acteur européen de la cybersécurité selon les vœux de la Commission européenne. L’organisme n’a pourtant que très peu de pouvoirs et les États ne sont pas prêts à lui laisser leurs prérogatives.
| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »
C’est lors de la séance plénière des 14 et 15 février prochain que le Conseil économique, social et environnemental rendra son avis sur le « paquet cybersécurité », présenté le 13 septembre par la Commission européenne pour renforcer la sécurité du numérique à l’échelle européenne. Parmi les mesures avancées, la Commission européenne propose la création d’un centre de recherche et de compétences en matière de cybersécurité et d’un cadre européen de certification de sécurité garantissant la sécurité d’utilisation des produits et services dans l’environnement numérique en Europe.
La mesure phare de cette feuille de route reste la transformation de l’Enisa en une Agence de cybersécurité de l’Union européenne (UE) qui assistera les États dans la gestion des cyberattaques dans le cadre d’un mandat permanent. Parmi ses nouvelles attributions définies, l’organisation chaque année d’exercices de cybersécurité paneuropéens. Le renforcement de son rôle suit ce qui avait déjà été énoncé en mai 2016 dans la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union. « Aucun pays ne peut relever seul le défi que représente la cybersécurité, assure Andrus Ansip, vice-président de la Commission pour le marché unique numérique. Ces initiatives doivent permettre aux pays de l’UE de présenter un front uni. »
Créée le 10 mars 2004 en Grèce avec un siège en Crète, l’Enisa a pour objectif de conseiller et assister la Commission européenne et les États membres en matière de sécurité de l’information. Elle est vivement critiquée, notamment par l’Allemagne, en raison de son faible champ d’action. Son mandat actuel, qui doit s’achever en 2020, la restreint à un rôle consultatif ne lui permettant pas d’effectuer de tâches opérationnelles, et ses ressources restent limitées. L’Agence dirigée par Udo Helmbrecht ne compte par ailleurs que 84 employés et un budget annuel de 11 millions d’euros. A titre de comparaison, le budget annuel de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France s’élève à 80 millions d’euros, pour 500 employés. L’Europe tente d’inverser la donne, la cybersécurité ayant été définie comme l’un des dix problèmes susceptibles d’occuper cette l’année une place importante dans l’agenda européen.
L’extension de ses missions, saluée par l’ensemble des États, risque pourtant de rester lettre morte. Les membres de l’UE ne souhaitent en effet pas lui transférer la tutelle sur les agences nationales. L’Anssi, qui s’est réjoui des efforts portés sur la cybersécurité et l’Enisa, pointent les limites de cet organe et refuse avec le Sénat que l’Enisa se substitue pas aux capacités opérationnelles des États membres et qu’elle dispose pas d’une équipe d’intervention en cas de crise. « Les agences nationales ont acquis des compétences, un savoir-faire dans la matière et elles ont une souveraineté dont elles ne veulent pas se défaire », confirme le Club des juristes.
Steve Purser, directeur des opérations à l’Enisa, a déclaré au média Euractiv qu’il y avait déjà beaucoup de concurrence entre les bureaux européens en charge de la cybersécurité. L’AESA, l’Agence européenne de la sécurité aérienne, a ainsi récemment créé sa propre unité sur la cybersécurité dans l’espace aérien. Les entreprises – directement confrontées aux cyberattaques – ne seront quant à elles pas impactées, l’Enisa n’aura pas vocation à devenir leur interlocuteur. Mais à ce jour, seule une poignée d’États ont des services suffisants.