EurActiv.fr

Actualités & débats européens dans votre langue

06/12/2016

L’agence de cybersécurité européenne veut quitter la Crète

Innovation & Entreprises

L’agence de cybersécurité européenne veut quitter la Crète

Udo Helmbrecht, directeur de l'ENISA.

[European Parliament]

L’agence européenne de cybersécurité souhaite déménager depuis trois ans, mais reste bloquée à Héraklion par les autorités locales.

L’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), tente de fermer son siège à Héraklion, la plus grande ville de Crète, et de déplacer son personnel vers le bureau d’Athènes. Il semblerait pourtant que le bureau crétois soit resté ouvert pour des raisons de politique locale, ce qui a déjà coûté environ un million d’euros de frais inutiles au gouvernement grec.

Depuis 2013, l’ENISA a donc gardé ses deux bureaux ouverts, alors que la plupart des agences européennes n’en ont qu’un. Le gouvernement grec paie le loyer de l’agence, soit environ 640 000 euros par an, un arrangement inhabituel censé compenser l’éloignement de l’île. Les employés de l’ENISA se plaignent en effet des écoles et du manque de possibilités d’emploi pour leurs familles à Héraklion. De plus, le personnel est ainsi forcé de se déplacer entre Athènes et Héraklion pour des réunions, ce qui coûte cher et leur fait perdre du temps.

« Tous les membres du personnel dont les enfants sont dans les écoles européennes se plaignent », a expliqué Udo Helmbrecht, directeur de l’agence, à EurActiv.

Lors d’une réunion le 16 mars, les eurodéputés de la commission budget ont soutenu le projet de fermeture du bureau d’Héraklion. Le président de la commission, Jean Arthuis (ALDE), rencontrera le ministre grec des transports, chargé de l’emplacement des bureaux de l’ENISA, avant la fin du mois. « J’espère que la Grèce nous écoutera », a-t-il déclaré.

L’ENISA estime que le gouvernement ferait une économie de 250 000 euros par an en les laissant fermer le bureau crétois et environ 1 million d’euros depuis 2013.

Udo Helmbrecht souligne également que le gouvernement transfère l’argent à l’agence avec un retard pouvant aller jusqu’à quatre ou cinq mois, ce qui fâche les propriétaires. Le loyer au mètre carré du bâtiment d’Héraklion est plus élevé que celui d’Athènes et n’est pas utilisé dans son entièreté.

>> Lire : L’UE ne consacre pas assez de fonds à la cybersécurité

Selon des sources européennes, les autorités locales veulent absolument garder une agence européenne dans la région, pour des raisons de prestige.

Paul Timmers, responsable de la cybersécurité à l’unité technologique de la DG CONNECT a expliqué aux eurodéputés de la commission budget que ses services étaient intervenus pour assurer une médiation entre l’ENISA et le gouvernement grec.

« À la demande de l’ENISA, nous avons eu un certain nombre d’échanges avec le gouvernement grec pour que le paiement des loyers arrive à temps », a-t-il précisé.

En plus de l’économie sur le loyer, la fermeture du bureau d’Héraklion permettrait à l’agence de dépenser entre 100 000 et 200 000 euros de moins par an pour le financement de ses activités.

EurActiv avait déjà rapporté que l’ENISA avait un budget restreint de 10 millions d’euros par an.

Depuis l’an dernier, l’agence grevée de dettes n’a pas les fonds nécessaires pour faire travailler des experts de la cybersécurité sur les objets connectés et ne possède que deux experts sur l’informatique en nuage. L’ENISA n’a commencé à faire des recherches sur les voitures connectées et la cybersécurité que cette année. Difficile, dans ces conditions, d’assurer un contrôle efficace des menaces cybersécuritaires.

Injecter 100 000 euros ou plus dans les caisses de l’ENISA pourrait lui permettre de soumettre un nouveau projet à une entreprise travaillant sur la cybersécurité. Udo Helmbrecht veut que l’agence travaille sur les nouvelles technologies et notamment dans le domaine de la santé et de l’automobile.

L’agence pourrait voir son personnel diminuer encore plus une fois que les nouvelles règles européennes sur la sécurité entreront en vigueur d’ici à 2018. Dans le cadre de ces dernières, l’ENISA devra aider les États membres à gérer les signalements des entreprises ayant subi des atteintes à leur sécurité.

>> Lire : L’UE ne consacre pas assez de fonds à la cybersécurité

Pour faire face à la nouvelle charge de travail engrangée par la nouvelle directive relative à la cybersécurité (SRI), l’ENISA a demandé 5 millions d’euros supplémentaires pour pouvoir embaucher 25 nouveaux employés en 2017.

Les eurodéputés font pression sur le gouvernement grec pour qu’il déplace l’ENISA avant l’examen prévu pour 2018.

Certains comparent la décision de fermer le bureau d’Héraklion à celle de fermer le second siège du Parlement à Strasbourg. Tomáš Zdechovský, eurodéputé tchèque du PPE a déclaré à la commission budget du Parlement que s’il pouvait il fermerait le Parlement de Strasbourg pour économiser de l’argent et faire taire les critiques qui considèrent qu’avoir deux sièges est un gâchis.

« Je pense que dans ce cas particulier, il peut y avoir un véritable débat sur l’efficacité », a déclaré Tomáš Zdechovský à propos des deux agences de l’ENISA. « Parfois il faut simplement accepter que quelque chose ne fonctionne pas. »

Contexte

Une stratégie européenne pour la cybersécurité a été présentée par la Commission en 2013. Elle couvrait les aspects cybersécuritaires du marché intérieur, de la justice et des affaires intérieures et des affaires étrangères.

La Commission européenne a ensuite proposé une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

La directive laisse également penser que les exploitants du marché seront responsables de leur réseau, que son entretien soit réalisé en interne ou en externe.

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

Selon la directive, tous les États membres devraient adopter des stratégies de sécurité des réseaux et de l'information et mettre sur pied des équipes pour répondre aux incidents éventuels. Des réseaux de coopération seraient mis en place au niveau européen.