Mesdames et Messieurs,

Je suis ravi de participer à nouveau au Forum international de la cybersécurité ici, à Lille. Chaque année en janvier, ce Forum nous offre une excellente occasion de revenir sur les 12 derniers mois et d’exposer ce que seront nos priorités pour l’année à venir et au-delà, à court, à moyen et à long termes.

Les élections européennes approchant à grands pas, nous nous trouvons à un moment charnière. De plus en plus nombreuses et sophistiquées, les cyberattaques n’épargnent aucun secteur de l’économie, ni la gouvernance, ni notre vie quotidienne. 

Des terroristes, des criminels ou des acteurs étatiques peuvent recourir à des attaques cyber dans un but lucratif ou pour des motifs politiques. Cela peut avoir des effets particulièrement destructeurs, atteignant le cœur même de nos sociétés et de nos systèmes démocratiques. Face à notre monde de plus en plus interconnecté, la surface des menaces s’étend et notre vulnérabilité à celles-ci augmente.

Au cours de l’année écoulée, nous avons intensifié nos efforts de collaboration avec les pouvoirs publics, le secteur privé et des partenaires internationaux pour contrer ces menaces et contribuer à un monde en ligne plus sûr.

Réaction aux menaces de type «classique» pesant sur la cybersécurité

D’abord, nous nous sommes intéressés aux menaces de type «classique» qui visent les systèmes et les données. A la suite de la nouvelle stratégie de cybersécurité que la Commission a présentée en septembre 2017, nous avons travaillé avec les Etats membres  et le Parlement européen pour aboutir à un accord sur les différentes propositions présentées qui s’articulent autour des trois piliers que sont la résilience, la dissuasion et la coopération internationale.

Il s’agit notamment de créer une véritable Agence européenne pour la cybersécurité, qui contribuera à la mise au point d’un nouveau système de certification cyber à l’échelle de l’UE afin de renforcer la cybersécurité des services en ligne et des grands équipements. Cette agence coordonnera aussi les réactions en cas d’incidents de grande ampleur.

Puisque la résilience repose également sur les technologies, nous avons aussi proposé la création d’un réseau de centres de compétence accompagné d’un Centre européen de recherche en cybersécurité. Ce Centre aidera à stimuler et à favoriser le développement et le déploiement des technologies de cybersécurité nécessaires, tout en faisant de la cybersécurité un avantage concurrentiel pour l’industrie européenne.

Cette année a été marquée par la fin du délai de transposition de la directive sur la sécurité des réseaux et des systèmes d’information et par l’entrée en application du règlement général sur la protection des données. Ces textes constituent deux éléments importants d’une approche plus efficace et mieux coordonnée de la cybersécurité. Nous comptons à présent sur les États membres pour mettre ces mesures en œuvre de manière rapide et efficace.

Nous avons également pris des mesures importantes en matière de dissuasion, pour disposer de moyens de dissuasion crédibles envers ceux qui envisageraient de commettre des cyberattaques. Les services répressifs ont besoin d’aide pour retrouver les auteurs et les identifier.  C’est pourquoi nous intensifions actuellement avec Europol et son centre cyber EC3 désormais mondialement connu, la coopération et le partage d’expertise au niveau européen. Mais nous devons travailler aussi au renfort des capacités en matière de cyber criminalité et de détection, y compris sur le darknet, dans l’ensemble de l’UE. Je tiens dans ce cadre à souligner l’expertise de la police et de la gendarmerie française, avec notamment la mise en place d’unités spécialisés cyber, que j’ai pu visiter.

Par ailleurs, nous avons présenté des propositions pour améliorer l’accès des services répressifs et judiciaires aux preuves électroniques, y compris lorsque ces preuves sont  localisées dans un autre pays. Nous travaillons avec le Parlement européen et le Conseil pour trouver un accord dans les semaines à venir, avant les élections européennes du mois de mai.

Réaction aux menaces amplifiées par l’internet

Au cours de l’année écoulée, nous avons également observé la croissance et l’évolution continues de types plus subtils de menaces amplifiées par l’internet.

Nous avons présenté une série de propositions de lutte contre la désinformation et la manipulation des données et des comportements, compte tenu notamment de la menace qui pèse sur nos processus démocratiques. Tout récemment, nous avons adopté un plan d’action sur la désinformation.

Nous demandons dans ce plan que des mesures soient prises qui permettent de relever les défis à plus long terme, tels que la garantie de la diversité des médias et le renforcement du sens critique. Mais nous devons aussi agir dès maintenant, et notamment avant les élections européennes.

Nous devons améliorer nos modalités de détection et de démenti des campagnes de désinformation, en faisant appel notamment aux task forces sur la communication stratégique et à la cellule de l’UE contre les menaces hybrides. Nous devons mieux protéger les scrutins électoraux en travaillant avec les États membres sur les cybermenaces amplifiées par l’internet, notamment via le système d’alerte rapide qui sera mis en place à cet effet. Enfin, il faut que les plateformes internet s’engagent davantage et progressent réellement dans la mise en œuvre de leurs engagements.

En particulier, ces plateformes doivent assurer le suivi des engagements auxquels elles ont souscrit dans le cadre du code de bonnes pratiques contre la désinformation: il faut de toute urgence une amélioration en ce qui concerne le placement des publicités en ligne, une plus grande transparence  sur les contenus sponsorisés, l’identification et la suppression rapides et effectives des faux comptes, l’établissement de règles plus claires sur l’utilisation de robots, la promotion plus efficace de contre-discours et de discours alternatifs et le renforcement de la transparence sur le fonctionnement des algorithmes.

Et toutes ces actions devraient évidemment faire l’objet de contrôles et d’audits indépendants.

Contenus à caractère terroriste en ligne

La menace que représentent les contenus à caractère terroriste en ligne constitue un autre défi majeur.  Bien qu’il y ait eu, ces derniers mois, une diminution du nombre d’attentats en Europe, le danger est encore bien réel, comme l’ont montré les faits tragiques survenus le mois dernier à Strasbourg. Les contenus à caractère terroriste en ligne représentent un danger manifeste.

Ces contenus ont joué un rôle dans chaque attentat perpétré sur le sol européen ces deux dernières années, que ce soit pour inciter à commettre une attaque, pour donner des instructions sur le mode opératoire ou pour en glorifier les effets meurtriers.

Les contenus de propagande de Daech repartent à la hausse, avec 894 contenus publiés en septembre 2018 contre 326 en décembre 2017, malgré la perte de territoires subie en Irak et en Syrie.

Nous  travaillons depuis un moment pour lutter contre ces contenus malveillants, au sein du forum Internet, qui offre un cadre de coopération volontaire avec les grandes plateformes internet.

Mais les progrès n’ont pas été suffisants. C’est pourquoi le président Juncker a présenté de nouvelles mesures législatives.

Le règlement relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne instaure trois nouvelles obligations.

Tout d’abord, un nouvel instrument, l’injonction de suppression, qui oblige les plateformes à réagir dans un délai d’une heure lorsque les autorités policières ou judiciaires leur adressent une telle injonction.

Ensuite, si une plateforme est utilisée pour la diffusion de contenus à caractère terroriste, elle a l’obligation de prendre des mesures proactives pour détecter ces contenus et les empêcher de réapparaître; des règles et des garanties précises sont prévues à cet égard.

Enfin, les États membres doivent disposer d’un service répressif spécialisé doté des moyens nécessaires pour détecter efficacement les contenus à caractère terroriste et pour émettre des injonctions de suppression.

Des garanties solides seront mises en place, dont un dispositif de réclamation effectif et la possibilité d’un recours juridictionnel. En cas de non-respect systématique des injonctions de suppression, un fournisseur de services d’hébergement est passible de sanctions financières pouvant atteindre jusqu’à 4 % de son chiffre d’affaires global.

Priorités futures — court terme

Nous avons coopéré étroitement avec les colégislateurs pour faire avancer cette proposition et les États membres ont réagi rapidement au sein du Conseil pour parvenir à un accord politique l’année dernière.

Après un certain retard, le Parlement européen vient de confirmer la semaine dernière les commissions compétentes sur le texte. Nous devons donc désormais concentrer tous les efforts pour obtenir un accord avant les élections européennes.

C’est la première de nos trois priorités pour cette année, et la plus urgente à court terme.

Priorités futures — moyen terme

Ensuite, à moyen terme, nous devons avancer dans la lutte contre la désinformation et la manipulation de l’information. Pour vérifier la mise en œuvre du code de bonnes pratiques et du plan d’action, nous assurons une surveillance étroite et continue des plateformes, avec des indicateurs fiables. Nous analysons actuellement les données recueillies jusqu’à la fin de l’année dernière et publierons les résultats d’ici la fin du mois.  Par la suite, des mises à jour mensuelles des progrès accomplis seront publiées jusqu’aux élections européennes en mai.

Nous procéderons ensuite à une évaluation complète des douze premiers mois de mise en œuvre du code.

Si nous ne constatons pas d’avancées notables, nous n’hésiterons pas à examiner les possibilités législatives.

Priorités futures — long terme

Enfin, à plus long terme, il nous faut déterminer comment garantir la sécurité des infrastructures numériques stratégiques critiques de l’Europe. C’est une question que nous devons nous poser. Une nouvelle révolution en matière de connectivité est en cours, notamment en ce qui concerne les infrastructures, qui modifiera fondamentalement nos modes d’interconnexion.

Il nous faut examiner la vulnérabilité stratégique induite par ces technologies, et prévoir comment des acteurs malveillants pourraient chercher à exploiter les nouvelles infrastructures numériques critiques.

Le déploiement de la 5G représente un défi particulier car celle-ci constituera le cœur de la connectivité mondiale.Mais nous devons prendre en considération d’autres éléments essentiels aussi, tels que le Cloud.

Face à ce défi, nous devons éviter les réactions à court terme, comme le protectionnisme et d’autres mesures qui empêchent l’innovation. Pour cela, il faut prendre la mesure du risque, et décider ce qui est véritablement stratégique.

Pour assurer la sécurité de la chaîne d’approvisionnement de l’infrastructure numérique, il nous faut plus de transparence concernant la provenance des composants technologiques. Et il faut maintenir une certaine diversité des fournisseurs.

Mais pour l’Europe, il s’agit aussi de réaliser des investissements dans sa propre industrie technologique.

Conclusion

Concentrer nos efforts sur ces trois priorités, est notre résolution pour cette nouvelle année.  Ce sont les prochains éléments que nous devons mettre en place pour construire une union de la sécurité réelle et effective au sein de l’UE, en continuant à travailler avec les États membres afin de restreindre le périmètre d'action des terroristes et des criminels, et de renforcer notre résilience.

2019 sera, à n’en pas douter, une année de bouleversements dans l’UE avec les élections au Parlement européen, la fin du mandat de la Commission actuelle et bien sûr, à un moment donné, le Brexit. Cependant, ni les menaces auxquelles nous sommes confrontés ni les acteurs malveillants qui sont à leur origine, étatiques ou non, cybercriminels ou terroristes, ne vont disparaître.

Alors, soyez assurés que les travaux de l’UE en matière de cybersécurité se poursuivront. Nous sommes plus fort pour lutter contre ces menaces en travaillant ensemble.

Merci de votre attention.