La régulation aux côtés

des entreprisesPaul Schuh

(Directeur de l’Institut

Luxembourgeois de Régulation)

Partie 1 : la régulation et son

avenir

Une définition

« La régulation, souvent confondue dans les pays francophones

avec la réglementation, désigne les mécanismes qui établissent

et maintiennent sur certains secteurs des équilibres à long

terme entre le principe de concurrence et d’autres principes,

tels que la prévention des risques, l’accès aux biens essentiels,

l’incitation à l’innovation, la protection de l’épargne ou cellel’incitation à l’innovation, la protection de l’épargne ou celle

des libertés. » Cette définition est issue du petit ouvrage

intitulé « Les 100 mots de la Régulation » dont l’auteur Marie-

Anne Frison Roche est, en doctrine directement opérationnelle,

la référence en matière de régulation.

Définition (suite)

Ainsi la régulation s’exerce dans des « secteurs » qui représentent en fait la

première référence historique de cette activité nouvelle. Il s’agit, du moins

en Europe, d’une activité nouvelle qui se définit encore comme la mise en

balance entre le principe de concurrence et un autre principe, a-

concurrentiel, voire anticoncurrentiel.

Le point de départ reste le principe de concurrence, mais la régulation

suppose que ce principe ne suffit point à l’organisation d’un marché, d’un

secteur ou d’une filière.

L’origine

• Ce sont les Etats-Unis qui ont établi des autorités de régulation dès la fin

du dix-neuvième siècle pour tempérer certaines défaillances des

marchés. La tradition de l’Europe est plutôt contraire : estimant que des

secteurs d’intérêt général sont inadaptés au schéma concurrentiel, ces

secteurs sont rentrés dans le giron étatique sous forme d’administrations

ou d’établissements publics.

• L’idée de la création d’un Marché unique européen consacrée par le• L’idée de la création d’un Marché unique européen consacrée par le

Traité de Rome de 1957 et prévoyant, entre autres, l’abolition, entre

Etats membres, des obstacles à la libre circulation des personnes, des

services et des capitaux a eu comme conséquence un revirement de la

politique de certains secteurs économiques. Le droit communautaire est

à l’origine de la régulation en Europe, et plus spécialement à l’origine de

la libéralisation et de l’ouverture à la concurrence des secteurs jusque là

protégés.

Les secteurs visés

Le premier secteur à être libéralisé fut celui des télécommunications (1993),

en fait un ensemble d’activités ayant pour point commun un objet

technique : le téléphone. Ce secteur, comme bien d’autres ouverts entre-

temps à la concurrence, jouissait d’un monopole légal. Un seul opérateur

était en charge de satisfaire aux demandes des clients considérés longtemps

comme des administrés. A côté du monopole légal abrogé depuis, cetcomme des administrés. A côté du monopole légal abrogé depuis, cet

opérateur, vu son temps de présence sur le marché et la technologie mise

en œuvre – des réseaux filaires de télécommunications, jouit d’un

monopole économiquement acquis que la loi ne saurait changer de nature.

C’est pourquoi il est souvent qualifié de « naturel ». Ce monopole naturel

persiste et persistera dans ce qu’il est convenu d’appeler les industries de

réseaux tels que les télécommunications, les transports ferroviaires ou

l’énergie.

Un “secteur” de trop ?

Un autre secteur emblématique est celui des services postaux, ouvert à la

concurrence en étapes, sans prise en compte de marchés spécifiques qui, à

mon avis, existent bel et bien. Pour les services postaux la notion de réseau

est maintenue en vie de manière artificielle par l’imposition du principe du

service postal universel qui n’est rien d’autre que le passage obligé, 5 fois

par semaine, d’un distributeur devant tout boîte aux lettres installée sur lapar semaine, d’un distributeur devant tout boîte aux lettres installée sur la

voie publique, indépendamment de la distribution à y faire.

Le carcan communautaire et légal qui entoure ce marché est beaucoup trop

rigide. Les règles imposées ne correspondent plus guère aux réalités d’un

marché en pleine mutation. Aussi ce marché, libéralisé en dernier, devrait-il

être le premier à passer sous la seule autorité de concurrence.

Vers un avenir sans régulation? (1)

• La coexistance entre industries de réseaux et régulation semble assurée -

du moins dans le réseau dédié au transport d’information - pour un long

terme. Les monopoles « naturels » ont la vie dure et certaines nouvelles

technologies - comme la fibre - signifient pour eux une cure de jouvence.

Un dédoublement des réseaux fixes est peu vraisemblable, mais point

utopique.

• Les tendances existantes dans les milieux des distributeurs d’énergie de• Les tendances existantes dans les milieux des distributeurs d’énergie de

vouloir construire leurs propres réseaux de communications pour

réaliser des réseaux intelligents de distribution d’énergie, conformément

au troisième paquet « énergie », font apparaitre de nouveaux opérateurs

de télécommunications qui peuvent facilement concurrencer les

monopolistes existants.

Mais le feront-ils et à quel prix?

Vers un avenir sans regulation? (2)

• Pour les services dépendants des industries de réseaux, l’avenir semble

plus rose. Les télécommunications par exemple ont vu tous leurs services

de détail échapper à la régulation, sauf l’abonnement fixe.

• Les marchés de gros d’accès à l’infrastructure seront vraisemblablement

les seuls survivants.

• Un doute subsiste:

Doit-on prévoir un traitement à part pour les entreprises verticalement

intégrées?

Partie 2 : un retour d'expérience

dans le secteur des

communications électroniques

• Application de la Directive 2009/140/EC, paragraphe 1 et 2 art 13a. et de la Loi

du 27 février 2011, article 45 :

• Les opérateurs de télécommunications doivent :

(1) prendre des mesures techniques et organisationnelles adéquates pour

gérer le risque en matière de sécurité des réseaux et des services de

manière appropriée

(2) prendre des mesures appropriées pour assurer l’intégrité des réseaux

et garantir ainsi la continuité des services fournis sur ces réseaux.

Contexte

et garantir ainsi la continuité des services fournis sur ces réseaux.

• Enquête effectuée par l’ILR en 2011 :

• « Une faible partie des opérateurs de services ont réalisé (ou en cours) une

analyse des risques : 19% »

• « Beaucoup de petites entreprises sont sans notion en matière de sécurité :

54%»

• Référentiels de l’ENISA :

• Technical Guideline on Risk Assessment

• Technical Guideline on Security Measures

• Résultats des projets du CRP Henri Tudor de 2005 à 2011 autour du

management de la sécurité et des normes de la famille ISO/CEI 27000

• Les opérateurs de télécommunications :

Contexte

• Les opérateurs de télécommunications :

• gèrent des infrastructures critiques

• sont très interdépendants

• ont des risques et des niveaux de maturité très différents

Objectif 1

Sensibiliser les opérateurs de télécommunications dans une démarche

d’amélioration continue du management de la sécurité

Objectif 2

Les accompagner dans cette démarche en fournissant des outils, guides ou

Objectifs du projet

Les accompagner dans cette démarche en fournissant des outils, guides ou

méthodes adaptés à leurs besoins

Objectif 3

Obtenir une meilleure visibilité sur les risques liés à la sécurité chez les opérateurs

de télécommunications et faciliter l’analyse des résultats

• Septembre 2012 : Présentation du projet aux opérateurs

• Novembre 2012 – Janvier 2013 : Définition des bases de connaissances en

collaboration avec 14 opérateurs dans 3 workshops

• Août/Septembre 2013 : Test d’une 1ière version de l’outil par les opérateurs

• Décembre 2013 : Version finale de l’outil d’analyse des risques

Etapes clés du projet

Décembre 2013 : Version finale de l’outil d’analyse des risques

• Mars/Avril 2014 : Formations des opérateurs à l’utilisation de l’outil

• Avril 2014 : Mise à disposition de l’outil (gratuitement) aux opérateurs

• Mai 2014 : Règlement ILR encadrant la mise en œuvre de l’article 45 de la loi du

27 février 2011

• Modèle sectoriel (bases communes d’infrastructures, menaces, vulnérabilités, etc.)

• Méthodologie d’analyse des risques adaptée aux opérateurs de

télécommunications et formation associée

• Outil d’analyse des risques adapté aux opérateurs de télécommunications

• Outil d’auto-évaluation de la maturité des opérateurs basé sur « technical

guideline » de l’ENISA

Livrables du projet

guideline » de l’ENISA

• Guide utilisateur

• EN COURS : plateforme de traitement des résultats (analyse des données,

statistiques, benchmark, etc.)

(Publication Scientifique : "Sector-Based Improvement of the Information Security Risk Management

Process in the Context of Telecommunications Regulation“, Conférence EuroSPI 2013)

• 14 opérateurs de télécommunications impliqués dans les workshops

• 8 workshops

• 2 présentations du projet à l’ENISA (et aux 26 autres régulateurs européens)

• 26 opérateurs de télécommunications formés à l’utilisation de l’outil

Chiffres clés du projet

26 opérateurs de télécommunications formés à l’utilisation de l’outil

• 50 personnes formées à l’utilisation de l’outil

• 26 licences d’utilisation de l’outil à ce jour

• Approche collaborative

• Conforme aux standards internationaux et bonnes pratiques du secteur (ISO/IEC

27001, ISO/IEC 27005, ISO/IEC 27011, ISO 31000, Technical Guidelines de l’ENISA,

etc.)

• Adaptée au secteur pour faciliter son utilisation

Conclusion

• Bases de connaissances communes et partagées

• Effort de sensibilisation et de formation

• Bénéfices mutuels pour le secteur des télécommunications :� Les opérateurs sont aidés dans leur démarche d’amélioration de la sécurité

� Le travail du régulateur est facilité

Merci de votre attentionpaul.schuh@ilr.lu