Évaluation du Cadre européen de certification de cybersécurité et de l’agence européenne ENISA : un rôle à optimiser et des faiblesses majeures

 

Un rapport sur l'ECCF (Cadre européen de certification de cybersécurité) et de l'ENISA a été publié qui présente un bilan contrasté. Concernant l'ENISA, l’agence pour la cybersécurité a rempli l'essentiel de son mandat, prouvant sa flexibilité lors de crises majeures comme la pandémie ou la guerre en Ukraine. Elle reste toutefois entravée par un manque de ressources et des difficultés de recrutement d'experts spécialisés. Quant au bilan de l'ECCF, il est plus en retrait. Son impact demeure largement potentiel, faute de schémas de certification pleinement opérationnels. Sa mise en œuvre a subi des délais majeurs et des blocages politiques liés à la souveraineté des données. Malgré une valeur ajoutée européenne reconnue, le rapport préconise une priorisation stratégique accrue et une révision de la gouvernance pour transformer ce potentiel en efficacité concrète.

Quels sont les éléments principaux du rapport ?

L'évaluation de l'ENISA pour la période 2017-2023 met en évidence son rôle crucial en tant qu'acteur central de la cybersécurité en Europe. L'agence est saluée pour sa flexibilité opérationnelle, sa capacité à fédérer les États membres et la qualité de son expertise technique. Ceci dit, l'évaluation de l'ENISA pour la période 2017-2023 identifie plusieurs points d'amélioration et défis structurels qui limitent l'impact de l'agence. Les critiques portent principalement sur le manque de ressources, les difficultés de recrutement et une visibilité insuffisante auprès du secteur privé.

Quant au bilan de l'ECCF (Cadre européen de certification de cybersécurité) pour la période 2017-2023, il met en avant plusieurs avancées stratégiques, bien que le cadre soit encore dans une phase de transition où son potentiel est jugé plus important que ses réalisations pratiques immédiates. Bien que l’ECCF soit considéré comme un outil prometteur, son bilan pour la période 2017-2023 révèle des faiblesses majeures, notamment des délais excessifs, une politisation des débats techniques et une fragmentation persistante du marché.


Qu’est-ce que le Cadre européen de certification de cybersécurité (ECCF) ?

Le Cadre européen de certification de cybersécurité (ECCF) est un système institué par le Règlement sur la cybersécurité (Cybersecurity Act - CSA) visant à établir une approche unifiée et horizontale de la certification de cybersécurité au sein de l'Union européenne.

L'ECCF a été conçu pour répondre à six besoins essentiels du marché européen :

• Harmonisation du marché : Créer des règles communes pour éviter la fragmentation entre les États membres concernant la certification des produits, services et processus TIC (Technologies de l'Information et de la Communication).
• Renforcement de la confiance : Promouvoir une confiance accrue des entreprises et des consommateurs dans le marché unique numérique.
• Amélioration de la résilience : Établir des normes de sécurité élevées et favoriser la "sécurité dès la conception" (security by design) et par défaut.
• Réduction des charges : Diminuer les obstacles administratifs et les coûts liés à la certification pour les entreprises opérant au-delà des frontières nationales.

Comment fonctionne l’ECCF ?

Le cadre repose sur la création de schémas européens de certification de cybersécurité spécifiques à certaines catégories de produits ou services (comme le cloud ou la 5G). Ce cadre : 

• couvre l'ensemble du cycle de vie des produits, services et processus TIC afin de garantir l'intégrité, la confidentialité et la disponibilité des données.
• vise à accroître la clarté sur le niveau d'assurance de sécurité des produits mis sur le marché.

La mise en œuvre de l'ECCF repose sur une collaboration entre plusieurs entités : 

• L'ENISA : Elle joue un rôle pivot en préparant les schémas de certification techniques et en consultant les parties prenantes.
• Le Groupe européen de certification de cybersécurité (ECCG) : Composé de représentants des États membres, il participe à la gouvernance et aux discussions sur les exigences.
• La Commission européenne : Elle est responsable de l'adoption finale des schémas sous forme d'actes juridiques.
• Le Groupe de certification de cybersécurité des parties prenantes (SCCG) : Il permet d'intégrer l'expertise du secteur privé et des organismes de normalisation.

Premier point positif de la mise en oeuvre de l’ECCF : la création d'une approche unifiée et horizontale

L'ECCF a jeté les bases d'une approche unifiée et horizontale pour la certification des produits et services TIC, ce qui est essentiel pour le marché européen : 

• Réduction de la fragmentation : Le cadre vise à remplacer les schémas de certification nationaux disparates par des schémas valables dans toute l'UE, facilitant ainsi les échanges transfrontaliers.
• Reconnaissance mutuelle : Il permet une reconnaissance mutuelle des certificats entre les États membres, ce qui réduit les coûts individuels pour les entreprises et simplifie l'accès au marché.
• Confiance du marché : En établissant des normes de résilience élevées, il renforce la confiance des consommateurs et des entreprises dans les solutions numériques.

Deuxième point positif de la mise en oeuvre de l’ECCF : une structure de gouvernance solide

Le cadre a réussi à créer une structure de gouvernance solide qui favorise le dialogue entre les acteurs clés: 

• Création de groupes dédiés : L'établissement du Groupe européen de certification de cybersécurité (ECCG) et du Groupe des parties prenantes (SCCG) a institutionnalisé la coordination entre la Commission, les États membres et le secteur privé. 
• Dynamique collaborative : L'ECCF a stimulé une dynamique de coopération sans précédent, encourageant le partage d'informations et l'élaboration de stratégies conjointes contre les cybermenaces. 
• Flexibilité technique : L'utilisation de groupes de travail ad hoc permet d'adapter le développement des schémas aux spécificités techniques de chaque secteur.

Troisième point positif de la mise en oeuvre de l’ECCF : une sensibilisation et une résilience accrue

Le cadre a joué un rôle pédagogique et stratégique important : 

• Prise de conscience politique : Le processus de mise en œuvre a permis de sensibiliser les États membres à l'importance et à la complexité de la certification de cybersécurité.
• Impact de la pandémie : La crise du COVID-19 a mis en lumière la nécessité de disposer d'infrastructures numériques résilientes et de chaînes d'approvisionnement sécurisées, renforçant la pertinence du cadre.
• Sécurité dès la conception : L'ECCF promeut les principes de "security by design" (sécurité dès la conception) et par défaut, contribuant à réduire les vulnérabilités dès le développement des produits.

Quatrième point positif de la mise en oeuvre de l’ECCF : une cohérence avec la stratégie législative de l'UE

L'ECCF est désormais un pilier central qui s'intègre dans un écosystème réglementaire plus large : 

• Synergies législatives : Le cadre est conçu pour fonctionner en complémentarité avec des textes majeurs comme la directive NIS2 et le Cyber Resilience Act (CRA). 
• Anticipation des technologies émergentes : Il est reconnu comme un outil essentiel pour accompagner l'évolution technologique, notamment pour encadrer l'intelligence artificielle

Premier point négatif de la mise en oeuvre de l’ECCF : des délais et des lourdeurs procédurales

L'efficacité du cadre a été lourdement impactée par la lenteur de sa mise en œuvre. 

• Lenteur d'adoption : Le premier schéma de certification (EUCC) a mis 57 mois entre son initiation et son adoption finale. 
• Complexité juridique : La difficulté de traduire des projets techniques complexes (comme le Cloud ou la 5G) en actes juridiques contraignants a ralenti le processus. 
• Résultats théoriques : En raison de ces retards, la valeur ajoutée de l'ECCF reste pour l'instant plus théorique que pratique, les schémas n'entrant que récemment en phase opérationnelle.

Deuxième point négatif de la mise en oeuvre de l’ECCF : une politisation et des pressions externes

Le rapport souligne que les discussions techniques ont souvent été détournées par des enjeux politiques. 

• Débats sur la souveraineté : Des discussions sur le schéma Cloud (EUCS) ont stagné en raison de débats non techniques sur la localisation des données et la souveraineté numérique. 
• Pressions internationales : Le cadre a subi des pressions politiques de la part de pays tiers et d'industries hors UE, ce qui a nui à la transparence et à la fluidité des échanges.

Troisième point négatif de la mise en oeuvre de l’ECCF : une fragmentation et des inégalités de ressources

L'un des objectifs premiers de l'ECCF — réduire la fragmentation du marché — n'est pas encore atteint. 

• Disparités nationales : Il existe un fossé important en termes de ressources et d'expertise entre les grands et les petits États membres, ce qui empêche un développement uniforme des schémas. 
• Manque de cohérence : L'absence de mécanismes de responsabilité clairs entraîne des difficultés pour aligner les objectifs de l'ECCF avec d'autres mesures législatives.

Quatrième point négatif de la mise en oeuvre de l’ECCF : gouvernance et engagement des parties prenantes

Le fonctionnement interne du cadre présente des lacunes organisationnelles. 

• Ambiguïté des rôles : Il existe une confusion sur les responsabilités et la reddition de comptes (accountability) entre les différentes parties prenantes. 
• Exclusion du secteur privé : Certains membres du Groupe de certification des parties prenantes (SCCG) ont exprimé un sentiment de manque d'implication réelle dans les processus de décision.

Enfin, des risques de redondance législative émergent. Le cadre doit faire face à un environnement réglementaire de plus en plus dense. Il existe en effet des risques de doublons ou d'incohérences avec d'autres législations comme la directive NIS2 ou le Cyber Resilience Act (CRA), ce qui pourrait créer de la confusion sur le marché. 


Premier point positif concernant l’ENISA : une capacité d'adaptation et une bonne réponse aux crises

L'ENISA a démontré une grande agilité face à des événements imprévus et majeurs : 

• Flexibilité durant la pandémie : L'agence a soutenu la Commission et les États membres en définissant rapidement les exigences de sécurité pour les applications liées au COVID-19. 
• Soutien face à la guerre en Ukraine : Elle a joué un rôle clé dans la coopération avec l'Ukraine pour prévenir les cyberattaques sur les infrastructures critiques, comme le secteur de l'énergie. 
• Réalisation des objectifs : L'agence a fourni la quasi-totalité des produits et résultats prévus dans son programme de travail.

Deuxième point positif concernant l’ENISA : un hub de coopération et une valeur ajoutée européenne

L'agence agit comme un moteur de collaboration au sein de l'Union : 

• Soutien aux États membres : Elle aide particulièrement les pays dont les infrastructures de cybersécurité sont moins développées, contribuant ainsi à l'harmonisation de la protection dans toute l'UE. 
• Expertise centralisée : En tant que pôle de compétences, elle consolide l'expertise technique et facilite l'échange d'informations entre les autorités nationales. 
• Harmonisation : Son travail sur les normes et les exigences communes renforce la préparation globale de l'Europe face aux menaces.

Troisième point positif concernant l’ENISA : une excellence technique et une bonne réputation

La qualité du travail produit par l'agence est largement reconnue par les parties prenantes : 

• Publications de haute qualité : L'ENISA est réputée pour la pertinence de ses rapports sur le paysage des menaces et ses recommandations de sécurité. 
• Crédibilité : L'agence jouit d'une solide réputation au sein de la communauté de la cybersécurité en Europe. 
• Renforcement des capacités : Ses initiatives de formation, ses exercices et ses ateliers sont particulièrement appréciés pour développer les compétences des professionnels et des décideurs.

Premier point négatif concernant l’ENISA : des contraintes de ressources et de personnel

• Pénurie d'experts : L'agence peine à pourvoir des postes spécialisés en raison de la pénurie mondiale d'experts en informatique, ce qui entraîne des retards et une charge de travail élevée pour le personnel en place. 
• Adéquation budget/personnel : Bien que le budget ait augmenté de 15 millions d'euros en 2022, cette hausse n'a pas été accompagnée d'une augmentation proportionnelle des effectifs, créant un déséquilibre opérationnel. 
• Réallocation forcée : Pour répondre à de nouvelles priorités législatives, l'agence a dû déplacer du personnel au détriment d'activités essentielles comme la sensibilisation et le développement des compétences.

Deuxième point négatif concernant l’ENISA : des lacunes dans la mesure de la performance et une agilité limitée 

• Absence d'indicateurs précis : Il n'existe pas d'indicateurs de performance suffisants pour mesurer objectivement l'efficacité de l'ENISA. L'analyse repose donc principalement sur les perceptions des parties prenantes via des entretiens et des enquêtes.
• Agilité limitée : L'ENISA présente une réactivité parfois insuffisante face à l'évolution rapide des cybermenaces, ce qui peut causer des retards dans ses activités

Troisième point négatif concernant l’ENISA : complexité administrative et difficultés budgétaires

Le rapport identifie des freins dans la gestion quotidienne : 

• Délais de passation de marchés : L'agence a été confrontée à des retards dans ses procédures d'achat (procurement), ce qui a nui à son efficacité interne. 
• Sous-utilisation des crédits : Entre 2019 et 2022, le rapport a observé une tendance à la baisse dans l'équilibre entre les crédits approuvés et les engagements réels, en partie à cause de retards dans certaines actions de soutien.

La manière dont l'agence communique ses résultats est également critiquée : 

• Rapports trop complexes : Les publications de l'ENISA pourraient être plus "user-friendly" et accessibles. Le rapport recommande l'usage de résumés concis et d'aides visuelles pour les rendre plus digestes.
• Manque de visibilité : Malgré ses services, l'ENISA souffre d'un manque de visibilité auprès de certains acteurs industriels et des réseaux de cybersécurité existants (comme les ISACs).

Cinquième point négatif concernant l’ENISA : des difficultés de coordination

• Structures décentralisées : La coordination avec les États membres est parfois compliquée par l'organisation interne complexe et décentralisée de certains pays, ce qui freine la fluidité des échanges avec l'agence. 
• Manque de prévisibilité : Les interactions de l'agence avec les partenaires privés et internationaux manquent parfois de transparence et de prévisibilité, ce qui peut affecter la confiance à long terme. 
• Cohérence : Une meilleure coordination est nécessaire avec d'autres organismes de l'UE (comme l'ECCC ou le JRC) pour éviter les doublons et créer des synergies. 

synthèse et traduction par Pierre Berthelet alias securiteinterieure.fr

• Rapport de la Commision européenne

A lire aussi sur securiteinterieure.fr :

• L’agence européenne ENISA fête ses 20 ans et poursuit sa croissance stratégique et opérationnelle  
• L’agence européenne de cybersécurité doit hiérarchiser ses priorités…mais pas trop!
• L’agence européenne de cybersécurité ne doit pas être un donneur d’ordre aux agences nationales
• Rapport sur la "stratégie de l'UE pour l'union de la sécurité" : des avancées tangibles en matière de cybersécurité et des progrès de la coopération policière  
• Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité  

Architecture européenne antifraude : la Cour des comptes se montre critique face au Parquet européen et à l’Office de lutte antifraude (OLAF). Europol et Eurojust s’en sortent à bon compte.

  

La Cour des comptes vient de rendre un rapport sur la lutte antifraude Elle émet des critiques sur l’architecture antifraude dont trois sont majeures : échanges d’informations défaillants entre l'Office de lutte antifraude (OLAF) et le Parquet européen ; lacunes en matière d'évaluation, le Parquet n'ayant aucune visibilité sur les milliers d'allégations rejetées unilatéralement par l'Office (ainsi le Parquet européen n'a informé l'OLAF que de 5 % des enquêtes abandonnées (hors TVA)), et enfin supervision insuffisante de la part de la Commission européenne. Les critiques majeures du rapport visent principalement la Commission et l'interface entre l'OLAF et le Parquet européen. Eurojust et Europol sont plutôt présentés comme des partenaires fiables dont le potentiel de soutien pourrait être davantage exploité si les flux d'informations globaux étaient améliorés.


La complexité des doubles signalements

Le système actuel de signalement est fragmenté en raison d'obligations légales divergentes selon la nature de l'entité qui rapporte la fraude : 

• Entités nationales : Elles ont l'obligation légale d'informer le Parquet européen uniquement. 
• Institutions et organes de l'UE (IOAUE) : Ils sont tenus de notifier à la fois l'OLAF et le Parquet européen. 
• Conséquences : Entre 2022 et 2024, ces instances ont reçu un total de 27 000 allégations. Cette multiplicité des canaux oblige les auteurs de signalements à utiliser des interfaces et des formulaires différents, ce qui alourdit considérablement leur charge de travail. Pour l'OLAF et le Parquet européen, cela implique de doubler les ressources consacrées à l'enregistrement et à l'évaluation des mêmes faits. 

L'absence d'interconnexion technologique (CMS)

Les systèmes de gestion des dossiers (CMS) de l'OLAF et du Parquet européen fonctionnent en "vases clos" : 

• Absence d'identifiants communs : Il n'existe pas de numéros de dossier partagés, ce qui rend impossible la vérification automatique pour savoir si une allégation est traitée simultanément par les deux organismes. 
• La procédure "hit/no-hit" (concordance) : Pour pallier ce manque, l'OLAF a mis en place une procédure manuelle de vérification. Cependant, l'OLAF n'a pas effectué ce contrôle pour 57 % des allégations ayant mené à l'ouverture d'une enquête administrative entre 2022 et 2024, augmentant le risque d'enquêtes parallèles. 

L'angle mort des dossiers rejetés

C'est le point le plus problématique pour la protection des intérêts financiers de l'UE : l'OLAF agit comme un filtre dont le Parquet européen ne peut pas contrôler la pertinence. 

• Compétence exclusive ignorée : L'évaluation du caractère criminel d'un fait relève de la compétence exclusive du Parquet européen, et non de l'OLAF. 
• Volume de rejets massifs : Entre 2022 et 2024, l'OLAF a classé sans suite 2 314 allégations faute d'éléments de preuve suffisants selon ses propres critères. 
• Manque de transparence : Pour la grande majorité de ces dossiers rejetés (2 252 cas), le Parquet européen n'a reçu aucune information et n'a donc aucune visibilité sur ces allégations, ce qui empêche de vérifier si des crimes ont été ignorés

Une collaboration limitée et enquêtes administratives entravées

Le manque de fluidité dans l'échange de données pendant les enquêtes limite la capacité de l'UE à récupérer les fonds détournés : 

• Faiblesse des enquêtes complémentaires : L'OLAF ne réalise des enquêtes administratives en parallèle des procédures pénales que pour 2 % environ des dossiers du Parquet européen. 
• Rétention d'informations : Le Parquet européen applique strictement le principe du "besoin d'en connaître" pour protéger la confidentialité pénale. En conséquence, il communique peu d'informations sur les enquêtes en cours ou abandonnées à l'OLAF. 
• Dossiers abandonnés : Sur 681 enquêtes abandonnées par le Parquet européen (hors TVA), seules 33 (environ 5 %) ont été notifiées à l'OLAF. Sans ces informations, l'OLAF ne peut pas recommander à la Commission de prendre des mesures de recouvrement financier ou d'exclusion (liste noire), laissant le budget de l'UE sans protection administrative complémentaire. 

Vers un système interconnecté ?

Pour résoudre ces problèmes, la Cour recommande la mise en place, d'ici fin 2028, d'un système antifraude interopérable. Ce répertoire central permettrait d'enregistrer toutes les allégations et de garantir que les informations essentielles soient immédiatement partagées entre le Parquet européen, l'OLAF et la Commission pour déclencher des actions financières rapides.


Une transmission aléatoire des allégations de fraude

• Absence de répertoire central : En l'absence de système interconnecté, le Parquet européen dépend
  de la diligence de l'OLAF pour recevoir les dossiers. Sur la période 2022-2024, l'OLAF a reçu 12 959 allégations, mais n'en a transmis que 162 au Parquet européen comme infractions présumées. 
  Le cadre actuel ne garantit pas que le Parquet européen soit saisi de toutes les affaires qui relèvent de sa compétence. 
• Absence de mesures de protection : Sans ces informations, l'OLAF ne peut pas recommander de mesures administratives (comme la mise sur liste noire) pour protéger le budget, ce qui laisse 95 % des dossiers abandonnés sans évaluation administrative complémentaire. 

Des délais d'évaluation excessifs à l'OLAF

Le règlement impose à l'OLAF un délai maximal de deux mois pour évaluer si une allégation doit être transmise au Parquet européen. Or, ce délai est fréquemment ignoré : 

• Moyenne dépassée : L'évaluation de ces dossiers prend en moyenne 68 jours, et le délai légal a été dépassé dans la moitié des cas. 
• Cas extrêmes : Certaines évaluations de comportements délictueux ont duré plus de 100 jours, le cas le plus long ayant nécessité près de neuf mois (256 jours). 
• Lourdeur du signalement : Une fois l'évaluation terminée, la préparation du signalement d'infraction (ECR) rajoute en moyenne 17 jours supplémentaires (jusqu'à 55 jours dans certains cas). 

Une supervision insuffisante des incidences financières

La Commission européenne, responsable en dernier ressort de l'exécution du budget, manque de données précises : 

• Absence de vue d'ensemble sur les recouvrements : La Commission ne dispose pas d'un mécanisme complet pour vérifier si les montants dus au budget de l'UE sont réellement recouvrés à la suite des décisions des juridictions nationales. Il ressort que la Commission ne sait pas si les montants ordonnés par les juridictions nationales à la suite d'enquêtes pénales sont réellement récupérés. 
• Résultats non comparables : Les données fournies par l'OLAF et le Parquet européen ne sont pas comparables, car l'OLAF se concentre uniquement sur le budget de l'UE alors que le Parquet européen évalue le préjudice total (incluant les budgets nationaux). 

Des écarts géographiques : le « ratio de signalement »

Pour évaluer la cohérence des signalements, les auditeurs ont calculé un ratio de signalement en comparant la part d'allégations transmises par un État membre à sa part dans les recettes ou dépenses du budget de l'UE. 

• Résultats disparates : Le ratio est supérieur à 1 lorsqu'un pays signale proportionnellement plus de fraudes que sa part budgétaire. À l'inverse, de nombreux États affichent un ratio inférieur à 1, signalant bien moins de cas que ce que leur poids économique dans l'Union laisserait supposer. 
• Absence d'analyse : La Commission n'a pas cherché à savoir si ces faibles signalements sont le signe d'une prévention très efficace ou, au contraire, de faiblesses majeures dans la détection des fraudes au niveau national. 

Des disparités institutionnelles : OLAF vs Parquet européen

Le rapport révèle un déséquilibre frappant dans le choix de l'instance destinataire des signalements par les institutions, organes et organismes de l'UE (IOAUE). 

• Un volume de signalement inégal : Entre 2022 et 2024, les IOAUE ont transmis environ trois fois plus d'allégations à l'OLAF (1 026 cas) qu'au Parquet européen (321 cas). 
• Sources principales : Pour l'OLAF, 567 allégations provenaient de la Commission et 459 d'autres organismes (notamment le Parquet européen lui-même, la BEI et la Cour des comptes). Pour le Parquet européen, les principales sources au sein de l'UE sont l'OLAF (196 allégations), la BEI et la Cour des comptes. 

Les causes possibles non vérifiées

Bien que la Commission n'ait pas formellement analysé ces écarts, le rapport avance des explications théoriques qui pourraient justifier une partie de cette différence de traitement : 

• Nature des faits : L'OLAF traite des cas internes aux institutions (fautes professionnelles non criminelles) et des dossiers concernant des États membres ne participant pas au Parquet européen (Danemark, Hongrie, Irlande). 
• Évaluation préalable : Certaines institutions demandent d'abord à l'OLAF de réaliser une évaluation préliminaire avant de décider d'un éventuel signalement au Parquet européen. 
• Manque de précision des données : Le Parquet européen indique que les services répressifs sont sa source principale, mais ses données ne précisent pas si ces signalements résultent de leurs propres détections ou d'une simple transmission d'allégations reçues par d'autres biais. 

Une importante recommandation de la Cour des comptes

Face à ces constats, la Cour recommande à la Commission d'analyser ces écarts d'ici fin 2026. L'objectif est de comprendre pourquoi les signalements sont parfois très inférieurs aux fraudes estimées et de fournir des orientations claires aux États membres et aux instances de l'UE pour harmoniser leurs pratiques. 


Europol et Eurojust, des mandats clairs et complémentaires

Le rapport souligne que, contrairement à d'autres aspects de la lutte antifraude, le cadre légal d'Eurojust et d'Europol ne pose pas de problème de chevauchement : 

• Mandats bien définis : Les rôles et responsabilités d'Eurojust (coopération judiciaire) et d'Europol (coopération policière) sont jugés spécifiques, clairs et complémentaires. 
• Absence de conflits : Leurs compétences ne se chevauchent pas avec celles du Parquet européen ou de l'OLAF, ce qui permet théoriquement une protection efficace des intérêts financiers de l'UE. 

Un soutien des deux agences « très apprécié »

Bien que l'audit pointe des faiblesses dans les échanges d'informations entre l'OLAF et le Parquet européen, il note une satisfaction réelle concernant Europol et Eurojust : 

• Qualité de la collaboration : Le personnel de l'OLAF et du Parquet européen a indiqué aux auditeurs que le soutien apporté par Eurojust et Europol en réponse à leurs demandes est généralement très apprécié. 
• Expertise spécifique : Europol est notamment cité pour son soutien en matière d'analyse du renseignement criminel et de support opérationnel, tandis qu'Eurojust facilite l'entraide judiciaire avec les pays tiers ou les États membres ne participant pas au Parquet européen. 

Toutefois, une observation sur le faible volume de dossiers

La seule réserve, qui n'est pas une critique directe de leur fonctionnement mais une observation statistique, concerne le nombre de collaborations : 

• Volume limité : Le nombre de dossiers où ces agences apportent leur soutien reste faible par rapport au nombre total d'enquêtes ouvertes par l'OLAF ou le Parquet européen. 
• Justification structurelle : Le rapport explique ce phénomène par le fait que le Parquet européen s'appuie prioritairement sur les autorités nationales et que les compétences de l'OLAF sont de nature administrative, ce qui limite mécaniquement le besoin de solliciter Eurojust ou Europol

 

 synthèse du texte par Pierre Berthelet alias securiteinterieure.fr
 

• Rapport spécial de la Cour des comptes

A lire sur securiteinterieure.fr :

• Rapport antifraude 2025: l'autorité douanière de l'UE et l'Autorité de lutte contre le blanchiment vont venir étoffer l'architecture antifraude de l'Union 
• Future stratégie de lutte antifraude : la révision du mandat d’Europol, d’Eurojust, de l’Office de lutte antifraude (OLAF) et du Parquet européen est envisagée 
• L’Europe se dote d’une nouvelle stratégie antifraude et d’un comité d’éthique pour protéger ses institutions de l'influence des lobbies
  
• Fraudes: un rapport suggère de mettre l’accent sur la numérisation des données et sur le Procureur européen  
• Alors que le crime organise lorgne toujours plus sur l’argent européen, l’Office européen de lutte anti-fraude accroit sa coopération avec le Parquet européen, Europol et Frontex
• Fraude aux intérêts financiers : un rapport européen identifie des points faibles majeurs dans le dispositif législatif