H. LE RENFORCEMENT DE L'INFLUENCE DE L'ANSSI DANS LE CADRE D'UNE COOPÉRATION INTERNATIONALE
1. Le rôle de l'ANSSI dans la préparation des positions françaises au sein de l'Union européenne
Les institutions européennes s'approprient davantage le cadre normatif de la sécurité du numérique, ce qui doit conduire l'ANSSI à mieux faire partager son expérience afin que les réglementations adoptées soient compatibles avec les choix nationaux.
L'ANSSI a ainsi participé activement à la négociation sur la stratégie européenne de cybersécurité 57 ( * ) , à la finalisation des EU Standard Operating Procedures , négociation du mandat de l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), préparation des éléments relatifs à la cybersécurité des conclusions des Conseil numérique et défense, travaux de seconde évaluation des produits de sécurité protégeant des informations classifiées, etc.).
Elle a porté, comme chef de file, la contribution de la France à l'élaboration de la directive européenne, sur la sécurité des réseaux et des informations ( Network and Information Security - NIS ) 58 ( * ) adoptée, après près de trois ans de négociations. Le Parlement européen et le Conseil de l'Union européenne (UE) ont adopté le 6 juillet 2016. Les Etats membres auront jusqu'au 9 mai 2018 pour la transposer dans leur droit national.
Cette directive, qui positionne l'Union européenne en pointe en matière de cybersécurité, prévoit le renforcement des capacités nationales et établit un cadre formel de coopération entre Etats membres, auquel l'ANSSI entend prendre une part active. Elle prévoit également le renforcement de la cybersécurité d'opérateurs issus de secteurs clés ainsi que de certaines plateformes numériques. La transposition de la directive NIS en France, qui sera assurée par l'ANSSI en lien avec l'ensemble des acteurs concernés, pourra bénéficier des travaux réalisés dans le cadre du renforcement de la cybersécurité des opérateurs d'importance dont la compatibilité avec la directive a été assurée. L'Agence européenne chargée de la sécurité des réseaux et des systèmes d'information (ENISA) avec laquelle l'ANSSI travaille étroitement, sera chargée d'aider les Etats dans la bonne mise en oeuvre de la directive. |
L'agence suit également de façon attentive la négociation des traités transatlantiques de façon à éviter que les données personnelles ne soient considérées comme des données marchandes. L'agrégation de masses de données personnelles peut également concerner la sécurité nationale.
2. Les autres enjeux dans les enceintes internationales
En dehors de l'Union européenne, l'ANSSI s'implique au sein des instances internationales actives dans le domaine de la cybersécurité : l'OTAN (Organisation du traité de l'Atlantique nord), l'ONU (Organisation des Nations unies) et l'OCDE (Organisation de coopération et de développement économique). Elle participe à l'élaboration des positions françaises et à leur défense, ainsi qu'à des groupes de travail, mais aussi à des exercices internationaux. Ces activités sont menées en liaison étroite avec les administrations concernées. Grâce à ce travail interministériel, la France est l'un des pays les plus présents dans la majorité de ces organisations.
3. Les partenariats bilatéraux
L'ANSSI développe des relations bilatérales et multilatérales avec ses principaux partenaires de confiance, soit plus de trente pays parmi lesquels l'Allemagne, avec laquelle l'agence a renforcé et rendu public son partenariat autour du développement d'une industrie européenne de la sécurité numérique. Ces échanges, plus ou moins développés, sont de natures variées : dialogue stratégique, coopération opérationnelle...
L'agence contribue par ailleurs à la mise en place d'une coordination interministérielle des activités d'assistance capacitaire. Elle soutient également des opérateurs dans la réponse à des appels d'offres internationaux relatifs au développement d'organisations nationales de cybersécurité. Elle participe enfin à l'ouverture du dialogue avec des pays qui hébergent des menaces importantes pour la France.
* 57 Audition de M. Guillaume Poupard en octobre 2015: « Dans le cadre des négociations sur la directive européenne pour la sécurité des réseaux, nous oeuvrons pour que les autres pays européens aient l'obligation de se doter d'une structure homologue de l'ANSSI, dans l'optique de constituer un réseau d'agences. Nous incitons ainsi les pays qui ont actuellement une faiblesse dans ce domaine à développer cette capacité et nous faisons du « capacity building », c'est-à-dire l'aide au développement. Il est en effet dans notre intérêt que ces maillons faibles de la cybersécurité améliorent leur protection : leur vulnérabilité est aussi la nôtre, les attaquants entrant souvent dans les réseaux par les pays les moins protégés. Enfin, le développement d'une capacité autonome européenne dans le domaine du numérique figure parmi les cinq axes de la stratégie nationale de sécurité publique. Ceci va au-delà de la cybersécurité ; il s'agit d'identifier les technologies-clefs qu'il est nécessaire de maîtriser en Europe afin de pas être dépendants des États-Unis ou de la Chine. » http://www.senat.fr/compte-rendu-commissions/20151012/etr.html#toc4
* 58 https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/