Ces dernières années, l’Agence européenne pour la cybersécurité (ENISA) est devenue un acteur de plus en plus important pour résoudre les défis croissants dans ce secteur. La compétence de l’Union européenne dans le domaine de la cybersécurité résulte de l’article 5 du traité sur l’Union européenne (TUE), qui prévoit une compétence partagée dans les domaines où il n’y a pas de compétence exclusive.

En vertu du principe de subsidiarité, dans les domaines qui ne relèvent pas de sa compétence exclusive, l’Union intervient seulement si, et dans la mesure où, les objectifs de l’action envisagée ne peuvent pas être atteints de manière suffisante par les États membres, tant au niveau central qu’au niveau régional et local, mais peuvent l’être mieux, en raison des dimensions ou des effets de l’action envisagée, au niveau de l’Union. (TEU Art 5.3 )

L’UE (et par extension l’ENISA) doit donc limiter son action aux questions qui ne peuvent être résolues par les États membres de façon individuelle. C’est pourquoi, en plus de cette agence européenne, chaque État membre a adopté son propre cadre institutionnel et ses propres instances chargées de la cybersécurité. La mission de l’ENISA est donc de soutenir les États membres et la Commission et de faciliter la coopération et l’échange d’informations.

Coordination européenne

Alors que la principale référence réglementaire concernant la cybersécurité européenne est actuellement la directive SRI EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu) , une mise à jour du texte est en cours de discussion et doit aboutir à l’acceptation de la directive SRI 2 .

En considérant la nature intrinsèque des directives européennes (article 288 du traité sur le fonctionnement de l’Union européenne, TFEU ) le texte se borne à indiquer aux États membres les résultats souhaités, en leur laissant une large autonomie pour organiser leurs propres agences de cybersécurité.

Parmi les obligations imposées aux États membres figure l’identification d’agences spécifiques qui coordonnent les mesures adoptées pour assurer un niveau élevé de cybersécurité. Il s’agit des autorités nationales compétentes, des points de contact uniques et des CSIRT (Computer Security Incident Response Team).

Déjà établis en 1990, les CSIRT sont des organisations chargées de collecter et de gérer les rapports d’incidents et de vulnérabilités potentielles des logiciels. Chaque pays a un nombre différent de CSIRTs qui peuvent être accrédités par divers consortiums internationaux tels que Trusted Introducer , First (Forum regroupant les Équipes de sécurité et d’intervention) et le Réseau Européen CSIRT Network .

La directive SRI oblige chaque État membre à désigner un ou plusieurs CSIRT pour rejoindre le réseau européen des CSIRT. Dans la plupart des cas, les États membres ont désigné un seul CSIRT, mais pas tous. En effet, certains pays en ont désigné deux ou trois.

Alors que les CSIRTs s’occupent des incidents informatiques et des vulnérabilités potentielles, les autorités compétentes des SRI opèrent au niveau de la réglementation et de la gestion. Il s’agit des organismes nationaux responsables de la sécurité des réseaux et des systèmes d’information dans les secteurs indiqués dans la directive. Dans ce cas également, chaque État peut désigner un ou plusieurs organismes compétents.

13 pays ont désigné une seule autorité compétente en matière de SRI.

Si une seule autorité est identifiée, elle devient automatiquement le point de contact unique. Dans le cas contraire, l’État doit indiquer quel organisme jouera le rôle de liaison pour assurer la coopération avec les autorités des autres États membres ainsi qu’avec l’ENISA et le réseau CSIRT.

Les autorités compétentes en matière de SRI : un regard sur l’Allemagne, la France et l’Italie

Comme nous l’avons vu, chaque pays a le droit de structurer ses propres organismes compétents comme il l’entend, dès lors qu’il respecte les obligations de la directive européenne. Si l’on prend l’exemple des trois pays les plus peuplés de l’UE, le premier fait qui ressort est que tous trois, à ce jour, ont identifié une seule autorité SRI.

Dans le cas de l’Italie, l’unique autorité SRI est la nouvelle agence de cybersécurité . Avant la création de cette agence en mai 2021, il existait cinq autorités désignées, à savoir les ministères du développement économique, des infrastructures, de l’économie, de la santé et de l’environnement, désormais définis comme des « autorités sectorielles » (article 7 du décret législatif 65/2018 ). L’Agence de cybersécurité représente donc le point de contact unique, tout en contenant également le CSIRT italien , qui était auparavant inclus dans le département de l’information pour la sécurité de la république (relevant ainsi de la rubrique du renseignement).

Comme nous l’avons expliqué dans d’autres articles , l’Agence de cybersécurité est, à bien des égards, autonome. Elle est toutefois placée sous la tutelle de la  présidence du Conseil, qui supervise la gestion du secteur ainsi que la nomination du directeur (Roberto Baldoni) et du vice-directeur (Nunzia Ciardi). En interne, l’agence est structurée en huit services généraux, subdivisés à leur tour en divisions. Actuellement, l’effectif envisagé devrait atteindre un maximum d’environ 300 personnes, pour un budget de 41 millions d’euros pour 2022. Cependant, une forte augmentation des ressources est attendue pour les prochaines années. 

Un budget de 122 millions d’euros est planifié à partir de 2026 pour l’agence italienne de cybersécurité.

En France, l’autorité compétente est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Comme en Italie, l’agence dépend du Premier ministre. Plus précisément, l’agence française fait partie du Secrétariat général de la défense, un organisme spécifique qui assiste le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. 

Créée par la loi en 2009, l’ANSSI s’est immédiatement fixé des objectifs ambitieux , dont celui de devenir un leader mondial de la cybersécurité. Cette formulation n’est plus présente dans la version la plus récente de la stratégie française en matière de cybersécurité.

L’ANSSI est chapeautée par une direction générale à la tête de laquelle siège le directeur général, Guillaume Poupard, ainsi que le directeur général adjoint et le chef de cabinet. Au niveau inférieur , on trouve quatre sous-directions composées de plusieurs divisions. Hors masse salariale, le budget de l’ANSSI s’élevait, en 2020, à environ 21 millions d’euros, pour un personnel qui comptait plus de 500 agents et 100 personnes en cours de recrutement.

L’ANSSI dispose d’un budget de 21 millions d’euros, hors coûts de personnel.

L’Allemagne est également dotée d’une autorité compétente unique : l’Office fédéral de la sécurité des technologies de l’information (BSI). Contrairement à ce qui se passe en France ou en Italie, cet organisme n’est pas placé sous l’autorité du Premier ministre (le chancelier, en l’occurrence), mais il fait partie de la Direction générale de la cybersécurité et de la sécurité de l’information du ministère de l’intérieur . L’office a été créé en 1991, mais aujourd’hui ses attributions sont principalement régulées par une loi de 2009 . Des mesures ultérieures ont ensuite été adoptées : la première en 2015 a anticipé de nombreux éléments de la directive européenne publiée l’année suivante, la deuxième il y a seulement quelques mois. Avec cette dernière législation , le gouvernement allemand entend renforcer davantage le BSI, notamment en matière de protection des consommateurs, de sécurité des entreprises et des réseaux de téléphonie cellulaire.

Le BSI est dirigé par un président, Arne Schönbohm, et par un vice-président. L’office fédère huit divisions, elles-mêmes regroupant 18 branches et plusieurs sections. En 2021, son budget s’est élevé à 200 millions d’euros, pour un effectif de 1 550 personnes.

En 2021, le budget de l’Office fédéral allemand de la sécurité des technologies de l’information s’est élevé à 200 millions d’euros

Les informations relatives aux budgets et aux effectifs de ces organismes – aussi intéressantes  soient-elles – sont difficilement comparables. Cela s’explique par la diversité des sources et les méthodologies utilisées, mais aussi par le fait que, dans aucun de ces pays, la cybersécurité ne relève d’une seule organisation. Différentes structures, comme les ministères, les institutions de défense et les services de renseignement jouent un rôle important dans ce domaine et il est donc difficile d’évaluer les efforts effectués respectivement par chaque pays en matière de cybersécurité.

La relation entre le secteur de la défense et le renseignement

Comme mentionné plus haut, avant la naissance de l’Agence italienne de cybersécurité, cette compétence était du ressort du Département de l’information pour la sécurité de la république (DIS). La nouvelle loi a toutefois fait sortir l’agence du domaine de compétence du renseignement, même si de nombreux liens subsistent entre les deux secteurs. Par ailleurs, la coordination avec le sous-secrétaire d’État chargé du renseignement est assurée par la présence de représentants des agences de renseignement au cœur du système de cybersécurité dont font également partie les représentants de divers ministères. La présence d’un représentant du ministère de la défense est également prévue, ce qui garantit le lien entre l’agence et Network Operations Command (COR), l’organe de cybersécurité placé sous le commandement du chef d’État-Major des armées. Dans les réglementations publiées jusqu’à présent, il n’existe cependant pas de lien explicite entre l’agence et le COR.

L’Office fédéral allemand de la sécurité des technologies de l’information trouve également son origine dans les services du renseignement . Au début des années 1990, son rôle était assuré par un bureau chargé de la protection technologique des secrets d’État. Au fil des ans, toutefois, le BSI est devenu une institution totalement autonome. Les relations avec la communauté du renseignement sont maintenues par l’intermédiaire de Centre national de cyberdéfense , un organisme interinstitutionnel qui regroupe diverses structures fédérales chargées de la sécurité. Les relations avec l’armée – un secteur qui joue un rôle fondamental en Allemagne – sont également maintenues. La cyberdéfense est, en effet, constitutionnellement attribuée aux forces armées. En 2017, le kommando Cyber -und Informationraum (CIR) a été créé. Cet organe est considéré – au même titre que les autres commandements des forces armées allemandes – comme chargé de la sécurité des infrastructures de cyberdéfense et des systèmes d’armement. Étant donné la relation étroite qui unit la défense et la cybersécurité, le CIR apporte son soutien au BSI en cas de nécessité. Cependant, compte tenu des limites constitutionnelles strictes imposées à l’armée allemande, il ne peut fournir qu’une assistance de nature « administrative ». En effet, lorsqu’il est nécessaire de déployer du personnel militaire en riposte à une cyberattaque d’envergure nationale, une autorisation préalable du parlement est constitutionnellement requise.

Comme nous l’avons vu, en France, l’ANSSI est intégrée au sein du Secrétariat de la défense et de la sécurité nationale . Cette structure garantit la coordination entre le secteur de l’armée et celui du renseignement. En effet, le Secrétariat de la défense et de la sécurité nationale dispose de diverses compétences en matière de défense et de renseignement et confère au président du Conseil des ministres le pouvoir de proposition, de coordination et de régulation des questions générales de défense et de sécurité nationale. En outre, comme nous l’avons vu, le Secrétariat de la défense et de la sécurité nationale est responsable devant le président du Conseil des ministres qui est également responsable des activités des services de renseignement intérieurs et extérieurs, même si ceux-ci relèvent respectivement du ministère de l’intérieur et du ministère de la défense. 

Liens :

La protection des données dans l’UE : étude comparative des rapports nationaux. Lire

La cyberdéfense dans les pays de l’OTAN : comparaison des modèles. Lire