Après dix ans à la tête de l'Agence européenne chargée de la sécurité des réseaux et de l'information, renommée récemment Agence de l'UE pour la cybersécurité, Udo Helmbrecht s'apprête à tirer sa révérence à la fin de l'année. En marge d'un événement avec l'industrie coorganisée par la représentation de Bavière auprès de l'UE, il nous fait part de ses observations sur l'évolution des opérations. (Propos recueillis par Sophie Petitjean)
Sophie Petitjean : L'Union européenne est-elle correctement préparée aux cyberattaques? Peut-on dire qu'elle est cybersûre?
U. Helmbrecht : C'est difficile d'identifier un niveau de sécurité. Mais ce qu'on peut dire, c'est que les États membres, compétents en la matière, font beaucoup dans ce domaine. Au niveau européen, il y a eu beaucoup de choses en matière de réglementation, de campagnes de sensibilisation, de coopération, etc. Donc, si on compare avec les années précédentes, je pense que nous avons beaucoup progressé, oui. Il n'y a pas eu de gros incidents du type Wannacry (2017) depuis plusieurs années et les élections européennes se sont bien déroulées. Cela montre qu'avec une bonne préparation vous atténuez les risques.
Aujourd'hui, les discussions se concentrent sur l'équipementier chinois Huawei. Représente-t-il un danger pour l'Europe, selon vous, et doit-il, par conséquent, être interdit?
Interdire, c'est une décision politique. Mais on a l'impression que les gens viennent de se réveiller et de réaliser qu'on n'avait plus de fournisseurs en Europe. Ceux qui travaillaient avant pour Nokia et Ericsson travaillent maintenant pour Huawei. Les entreprises européennes ont manqué leur chance quand Nokia a été racheté par Microsoft, qui a fini par l'abandonner ('turn down'). La question n'est pas que nous n'avons pas assez de talents en Europe, la question est : où innover en Europe avec ces talents et pourquoi cette innovation vient-elle d'entreprises américaines ou chinoises? (...) La réponse, pour moi, vient d'une autre mentalité : alors qu'en Europe on regarde les revenus d'une entreprise avant d'investir, en Amérique ou en Chine, ils regardent la valeur future de l'entreprise. Nous avons besoin de davantage de capital-risque, de plus d'appétence pour le risque, d'être plus innovants, plutôt que de nous asseoir sur les succès de la dernière décennie.
Le rôle et les missions de l'ENISA sont en train de changer avec l'Acte pour la cybersécurité. Où en est-on dans sa mise en œuvre?
Le règlement deviendra applicable le 26 juin. Il établit un cadre européen de certification, qui en est au stade des préparatifs. Il faudra commencer par mettre en place deux groupes spéciaux : le Groupe européen de certification de cybersécurité (ECCG) et le Groupe des parties prenantes pour la certification (SCCG) doivent être mis en place. (...) L'ENISA recevra ensuite la mission d'établir un schéma de certification. Et quand celui-ci sera établi, on aura un acte d'exécution. (...) Mais nous ne partons pas de nulle part: à l'heure actuelle, nous avons déjà des critères communs de certification, les fameux 'SOG-IS', qu'appliquent quatorze d'États membres. L'idée est de partir de là et de les harmoniser pour les Vingt-huit. Ensuite, nous travaillerons sur la certification du nuage (cloud), dans la mesure où nous avons déjà des schémas de certification volontaire à travers la Cloud Security Alliance. Puis nous aurons également une grosse discussion sur l'Internet des objets.
Et en ce qui concerne le renforcement du mandat de l'ENISA, est-ce que ça va vous aider à faire face au manque de ressources ?
Pour l'instant, nous sommes approximativement 83 personnes et nous devrions être 126 d'ici à 2020. Je pense que cette croissance de l'agence va attirer de nouvelles personnes. Ce n'est pas facile, vous savez, d'attirer de nouveaux talents ! De toute évidence, il existe un besoin de plus de personnes qui se forment à la cybersécurité.
Et tant qu'on parle de l'Agence et de son personnel, comment avez-vous réagi à la publication de cette enquête révélant que le harcèlement sexuel préoccupait un tiers des membres de l'agence?
Nous avons pris de nombreuses actions en interne, en particulier pour sensibiliser. L'équipe a aussi la possibilité de s'adresser anonymement à des conseillers confidentiels de la Commission. Donc il y a plusieurs choses. Nous avons également eu une évaluation externe où quelqu'un du réseau d'agences est venu quelques jours. Et malgré les rumeurs, cette évaluation n'a pas mis en lumière de véritables cas, basés sur des preuves. Le problème est que, parfois, c'est une question de culture : c'est une zone grise où il peut y avoir des perceptions différentes d'un même comportement. Ce dont nous avons besoin, c'est d'un code de conduite qui dit ce qui est permis et ce qui ne l'est pas. Et nous y travaillons ensemble. Ça sera disponible dans les prochains mois.
Et au-delà de cet acte pour la cybersécurité, qu'est-ce qui manque aujourd'hui en Europe?
Quelque chose en matière de responsabilité ! Ce principe existe dans certains secteurs, la sécurité aérienne, le secteur de la finance. Mais dans le domaine informatique, il n'y a rien. Il faudrait mettre au point une sorte de responsabilité, de sorte que, quand quelqu'un commercialise un appareil informatique, il est aussi responsable des fonctions de sécurité. Lorsque vous achetez une voiture, vous savez que le fabricant en est responsable et, s'il arrive quelque chose, il y a un mécanisme de rappel qui existe. Mais ça n'existe pas pour les produits informatiques, il n'y a pas de mécanisme correctif pour les éléments de sécurité. Je pense qu'il faudrait agir là-dessus. Il faudrait commencer avec l'Internet des objets et les appareils des ménages. Mais, contrairement aux associations de consommateurs, c'est vrai que l'industrie n'en veut pas. Il faut de vrais politiques qui s'engagent.
C'est un appel du pied?
Oui, c'est un appel au prochain Parlement et à la prochaine Commission pour s'engager dans ce domaine. La Commission se dit consciente du problème, mais elle ne fait montre d'aucun empressement.
Vous quitterez l'ENISA à la fin de l'année (octobre), après 10 ans à la tête de celle-ci. Avez-vous un conseil à donner à votre successeur?
Je pense que l'ENISA a réalisé ce qu'on attendait d'elle. Dans cette atmosphère bruxelloise, il est est difficile de survivre dans ce réseau Parlement/Commission/Conseil/agences. Donc, ce que je lui dirais, c'est qu'il est important de comprendre comment ce système fonctionne et également de trouver sa place au regard des nombreux lobbyistes qui gravitent autour.