L’amendement présenté par le président de la commission des Affaires étrangères et de la Défense demandait un transfert de 2 millions d’euros vers le programme 129 en faveur du SGDSN pour soutenir Viginum et la montée en charge de l’Anssi. Pourtant le SGDSN avait défendu son budget devant la commission sans réclamer d’argent supplémentaire.
Pour y parvenir, le sénateur a pris des crédits au programme 308 « Protection des droits et libertés » qui regroupe les crédits de sept autorités administratives indépendantes, d’une autorité publique indépendante, l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), du Comité consultatif national d’éthique (CCNE) et de la Commission nationale consultative des droits de l’homme (CNCDH).
Même si comme mes collègues, je considère la cyberguerre comme une priorité, il ne m’apparaît pas pertinent de “déshabiller Pierre pour habiller Paul”.
Je me suis donc opposé à cet amendement qui a été voté par le Sénat. Si la CMP ne revient pas en arrière sur ce vote, le gouvernement devra choisir quel organisme fera les frais de cette décision.
Résumé de mon intervention :
Lors de nos auditions, avec Mickaël Vallet, nous avons demandé au SGDSN si les crédits alloués lui permettraient de fonctionner, y compris d’accompagner NIS2 : il n’a pas dit qu’il avait besoin de plus d’argent, mais qu’il pourrait faire avec ce budget.
Protéger la France en matière de cybersécurité requiert tout un écosystème, pas seulement de l’argent public. Le public et le privé doivent fonctionner ensemble. Quel pays est le modèle en la matière ? Taïwan, où l’écosystème intervient avec le soutien de l’État. Nous devons repenser notre fonctionnement. Ne créons pas une ligne Maginot imaginaire pour contrer les attaques cyber ; nous ne réglerons pas le problème avec 2 millions d’euros supplémentaires. Rappelons qu’une commission spéciale sur la cybersécurité travaille sur ces questions.
Compte tenu de l’évolution de nos finances publiques, le gouvernement a proposé de porter la réduction des crédits de la mission de 26 à 41 millions d’euros.
Afin de préserver le SGDSN qui représente 45% des crédits, Patrick Mignola, ministre délégué chargé des relations avec le Parlement, a proposé le transfert du budget de l’IHEDN (Institut des Hautes études sur la Défense nationale) de 7 millions d’euros vers le ministère des Armées à budget constant.
Une initiative acceptée par Sébastien Lecornu, ministre des Armées qui permet de protéger les moyens l’Anssi et de Viginum, d’autant que le Sénat a maintenu le budget des Armées.
J’ai soutenu cet amendement. En effet, lors de mon échange à Matignon avec le cabinet du précédent premier ministre, j’avais évoqué la trajectoire du financement de l’IHEDN. Nous avions convenu que cela devrait conduire le Premier ministre à s’interroger si ce financement ne relevait pas plutôt de la mission défense, pour mieux s’assurer que la fonction stratégique d’influence de l’IHEDN s’inscrit bien dans les priorités de la revue nationale stratégique de 2022.
J’avais également évoqué cette option avec le ministre Patrick Mignola. Je suis ravi que cette vision ait prospéré au niveau gouvernemental.
Malheureusement, cela n’a pas été compris par mes collègues qui ont rejeté l’amendement.
J’espère que la CMP sera favorable à cette évolution.
Résumé de mon intervention :
C’est un amendement difficile. Co-rapporteur de ce budget depuis huit ans, j’auditionne l’Anssi régulièrement, mais je n’achète pas l’idée que c’est parce qu’on mettra plus d’argent qu’on sera forcément mieux défendus. L’Anssi et Viginum ont prouvé qu’ils avaient la capacité de répondre aux attaques.
Dans une entreprise, lorsque le chiffre d’affaires baisse, on fait des choix. Avec le cabinet du précédent Premier ministre, nous avions envisagé d’intégrer le budget de l’IHEDN à celui des Armées, à la mission Défense. Nécessité fait loi.
Je remercie le ministre des Armées de l’avoir accepté, ce qui permet d’amortir la baisse de crédits pour qu’elle n’impacte pas plus l’Anssi et Viginum.
Si nous ne prenons pas en compte notre situation budgétaire, nous irons vers de plus grandes menaces encore.
Ce budget 2025 « nécessite un effort inédit de maitrise de la dépense publique », nous a averti Patrick Mignola, ministre délégué chargé des relations avec le Parlement.
Le budget 2025 du Programme 129, pour l’action n°2 « Coordination de la sécurité et de la défense » dédiée plus particulièrement à la cybersécurité, à la lutte contre les ingérences numériques étrangères et à l’appui aux services de renseignement, se caractérise par une baisse de 13 M euros des crédits (-3%) et une progression à la marge des effectifs.
Dans un contexte de contrainte budgétaire, rapporteur de ce programme depuis 8 ans, j’ai défendu les ajustements proposés par le SGDSN, car ils m’ont paru nécessaires et pertinents.
Comme je l’ai dit devant mes collègues, qui souhaitaient rehausser ce budget, je n’ai pas souhaité entrer dans une logique de ponction de crédits sur un programme pour en abonder un autre, car il s’agit de la responsabilité du gouvernement avant tout.
C’est principalement pour ces motifs que la commission des affaires étrangères et de la défense a émis un avis défavorable à l’adoption des crédits de la mission « Direction de l’action du Gouvernement ».
Avant de présenter les chiffres du budget, je suis revenu sur les motifs de satisfaction de l’année 2024 concernant la lutte contre les attaques cyber et les ingérences numériques étrangères, dont il faut féliciter les services concernés et l’écosystème.
> Lire aussi le rapport “L’Essentiel : Cybersécurité, ingérences numériques et sécurité nationale : un budget 2025 sous contrainte”. Lire
VERBATIM de mon intervention
Monsieur le Président
Monsieur le Ministre
Mes chers collègues,
Il me revient depuis maintenant 8 ans de vous présenter le budget du programme 129 « Coordination du travail gouvernemental » dédié plus particulièrement à la cybersécurité, à la lutte contre les ingérences numériques étrangères et à l’appui aux services de renseignement.
Cyberattaques, guerre informationnelle, opérations de déstabilisation des outre-mer, tensions causées par les conflits en Ukraine et au Moyen-Orient, sont reliées à trois sources principales : la Chine, la Russie et l’écosystème cybercriminel.
En dépit de l’augmentation des menaces de tous ordres, le dôme cyber français a tenu en 2024. Je veux donc saluer l’action de l’ANSSI, de Viginum et, évidemment, de tout l’écosystème qui les entourait. Ils ont préparé et protégé avec succès les grands rendez-vous de l’année 2024 : les élections européennes puis législatives et bien sûr les Jeux olympiques et paralympiques de Paris 2024.
Outre l’Agence nationale de sécurité des systèmes d’information et Viginum, qui agit aujourd’hui comme une force de réaction rapide pour contrer la désinformation venant de puissances étrangères, je veux également saluer le lancement en décembre 2024 de la plateforme de signalement 17 Cyber, que nous appelions de nos vœux depuis 6 ans. C’est un outil majeur destiné à l’ensemble des Français, les particuliers comme les entreprises.
Maintenant qu’en est-il pour 2025 ?
Avec 425 millions d’€ au lieu de 438 millions d’€, les crédits de paiement de l’action n°2 « Coordination de la sécurité et de la défense » subiront en 2025 une baisse de 3 % par rapport à 2024.
Les services du SGDSN (principalement l’ANSSI et Viginum) vont devoir fonctionner avec 8 millions d’€ en moins.
On relève aussi une réduction de 4 millions d’€ des fonds spéciaux et 1 M€ des moyens du Groupement interministériel de contrôle (GIC) qui met en œuvre des techniques de renseignement pour les services.
Quant à l’IHEDN, la subvention à ce centre de formation baisse de 3%, soit 300 K euros.
Pour les effectifs, le plafond d’emplois passe de 1 283 équivalents temps plein travaillé en 2024 à 1 300 pour 2025.
Ce budget se caractérise donc par une baisse modeste des crédits et une progression à la marge des effectifs.
C’est principalement pour ces motifs que la commission a émis un avis défavorable à l’adoption des crédits de la mission « Direction de l’action du Gouvernement ». Néanmoins, j’estime que dans un contexte de contrainte budgétaire, les ajustements proposés par le SGDSN sont nécessaires et pertinents.
A titre personnel, je n’ai pas souhaité entrer dans une logique de transfert de crédits, car il s’agit d’une responsabilité du Gouvernement avant tout.
Nous aurons l’occasion d’en débattre lors de l’examen des amendements, puisque certains plaident pour une hausse des crédits, tandis que le gouvernement propose par un nouvel amendement, une baisse de 40 M€ des crédits du programme 129.
Les résultats et la motivation des équipes que nous avons rencontrées avec mon collègue Mickaël Vallet permettent de penser que la France dispose d’une capacité de premier niveau pour s’adapter et relever les défis.
Que ces services soient pleinement assurés de notre soutien et de notre vigilance sur l’exécution budgétaire de l’exercice 2025 pour qu’ils puissent assurer leur mission.
Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.
J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.
Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.
Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.
J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.
Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).
Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.
J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.
Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.
C’est la condition pour atteindre une résilience cyber réussie.
Ma collègue Vanina Paoli-Gagin, vice-présidente de la commission spéciale, a participé à la table ronde qui a suivi, intitulée “la résilience : une stratégie nationale”. +d’images
– – – – – – – – – – – – – – –
(1) Depuis 2018, rapporteur pour avis des crédits du programme 129sur la coordination du travail gouvernemental en matière de sécurité et de défense nationale. Cela recouvre la résilience de la Nation, la cybersécurité (ANSSI) et la lutte contre les menaces hybrides dont les manipulations de l’information (Viginum)
(2) 3 directives européennes :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission des Finances.
En cas d’incendie, vous appelez immédiatement les pompiers. En cas de cyberattaque… personne n’a pas encore de réflexe conditionné.
En notre qualité de co-rapporteur du programme 129 du budget, nous nous sommes rendus avec mon collègue Mickaël Vallet au GIP ACYMA (Groupement d’intérêt public Action contre la Cybermalveillance), où nous avons été accueillis par son directeur, Jérôme Notin.
Après avoir travaillé sur la synthèse budgétaire du GIP, nous avons bénéficié d’une présentation en détail du dispositif « 17Cyber » qui viendra en complément des dispositifs existants pour constituer une réponse aux victimes de cyberattaques qu’il s’agisse d’entreprises, d’organisation ou de tout citoyen.
Ce dispositif 24h/24 permettra successivement de qualifier la menace, poser un constat, donner des conseils, faire la mise en relation avec des prestataires et, enfin, accompagner les victimes dans l’étape de judiciarisation, par le biais d’un policier/gendarme, dans les cas les plus graves (rançongiciel, violation de données, virus, piratage de système informatique…).
Lorsque j’ai accueilli une réunion organisée par le CyberCercle au Sénat, le mois dernier, Jérôme Notin m’avait fait l’honneur de rappeler que j’ai cherché à mettre en place ce concept depuis janvier 2019, cette « très belle idée d’un équivalent numérique du 17 police secours », reprise par le président de la République, début 2022 (compte-rendu).
Cette année, le GIP a mis en place ce dispositif 17Cyber en collaboration avec le ministère de l’Intérieur.
Nous avons pu constater que
. le développement a été achevé en mai ;
. la communication est prête (nous avons vu le spot info) ;
. les délais ont été tenus ;
. le budget a été respecté ;
On attend seulement le feu vert du ministre de l’Intérieur pour effectuer le lancement officiel… depuis mai dernier.
Nos remerciements et nos félicitations à Jérôme Notin et à son équipe qui démontrent une fois encore leur capacité d’innovation et leur efficacité.
Avec mon collègue Mickaël Vallet, en qualité de rapporteurs du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), nous avons présenté notre avis budgétaire devant notre commission des Affaires des étrangères et de la Défense, le 15 novembre dernier.
Notre rapport a été publié et il en ressort que l’exercice 2024 se caractérise par un renforcement des moyens de l’agence nationale de la sécurité des systèmes d’information (ANSSI) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), constituant ainsi le volet civil de l’effort prévu par la loi de programmation militaire 2024-2030 (4 milliards d’euros de besoins programmés sur la période).
Pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse, nous avons ont identifié 4 principaux défis à relever :
– assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Pour l’image internationale de la France, il n’y aura pas de médaille d’argent ;
– coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
– réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security3(*)). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;
– réorganiser le dispositif de coordination en s’inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.
Ce 15 novembre, en qualité de co-rapporteur pour avis avec mon collègue Mickaël Vallet, j’ai défendu le budget du programme 129 « Coordination du travail gouvernemental » devant notre commission des Affaires étrangères, de la Défense et des Forces armées, qui a été approuvé à l’unanimité.
Les crédits du programme 129 que nous présentons chaque année portent sur l’action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l’information.
La cybersécurité mérite d’être érigée au rang de grande cause nationale et d’être dotée d’une stratégie nationale, incluant tout l’écosystème, pour répondre à 4 défis criants.
Mon intervention
Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour la cyber française en 2024 :
Défi 1 – D’abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Il n’y aura pas de médaille d’argent ou de bronze pour la France dans cette discipline ;
Défi 2 – Ensuite, coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
Défi 3 – Dans le prolongement, réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;
Défi 4 – Enfin, s’ajoute un 4ème défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l’organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse.
Cette nécessité de refonte de la stratégie résulte des nombreux points d’attention que les services et entreprises que nous avons auditionnées ont soulevés :
– À commencer par un brouillard quant à l’organisation de la réponse aux incidents cyber entre l’ANSSI responsable des systèmes de l’Etat et des opérateurs d’importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l’amorçage par l’ANSSI de centres régionaux ou sectoriels dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité.
– En réalité, chaque ministère et chaque entité s’est doté d’un coordinateur : l’ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l’investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c’est le rôle d’être à la croisée de tous les chemins, et maintenant le ministère de l’Intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.
Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le directeur général de la Gendarmerie nationale. En revanche, il nous semble qu’une chaîne claire de traitement et d’escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2014. Mais à quelques mois de ce rendez-vous important il reste encore à définir les services offerts par cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?
Le message de l’ANSSI est de dire qu’il est encore trop tôt pour dessiner un « jardin à la française » et qu’il faut d’abord laisser l’écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C’est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales), car elles ont besoin d’une feuille de route claire et d’y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.
Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle. Si cette orientation perdure, il est à craindre que tout le monde soit perdu en cas d’incident national majeur et que l’engorgement de nos services sera amplifié par des sollicitations multiples à différents endroits. J’ajoute que l’enjeu de sécurité des Jeux Olympiques justifie l’urgence de la concertation, ce qui est un métier nouveau pour l’ANSSI.
C’est pourquoi, parmi nos propositions figurent celles :
– Tout d’abord d’actualiser la stratégie nationale de cybersécurité (l’actuelle date de 2018) en y associant en amont tout l’écosystème sans oublier les collectivités locales, ni vos serviteurs ;
– Et de s’inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles.
Est-ce le rôle de l’ANSSI ou d’un délégué interministériel clairement identifié ? C’est à l’exécutif de le décider mais c’est à nous de signaler que l’année 2024 est le bon moment pour le faire.
Au bénéfice de ces observations, nous vous proposons l’adoption des crédits de la mission « Direction de l’action du gouvernement ».
FRANÇAIS DE L’ÉTRANGER & AFFAIRES ÉTRANGÈRES
. Attentat de Grand Bassam.
. PLF 2023 : partie « Recettes »
Budget 2023 : rapport pour avis de la commission de la Culture, de l’Éducation et de la Communication > Réseau d’enseignement français à l’étranger (droits d’écolage, plan de développement, effectifs et formation, immobilier, régulation de la croissance du réseau)
. Budget du réseau.
. Création de comités de gestion au sein des EGD
. Ils appellent à voter CIOTTI
. Plan d’urgence pour les titres d’identité
. Créneaux de rendez-vous pour les demandes de visa
. Télétravail pour les transfrontaliers (Luxembourg, Suisse, Belgique)
LE CLUB DES INDÉPENDANTS
. Richard ORTOLI, conseiller à l’AFE, conseiller des Français de New York (visite d’État aux États-Unis du président MACRON)
. Amelie MALLET, conseillère à l’AFE, conseillère des Français du Royaume-Uni (Levée de fonds sauver Philo, atteint d’une maladie grave).
LE BLOG D’OLIVIER CADIC
. Cyberdéfense. Rapport pour avis du budget du programme 129 (gestion de crises, cyberdéfense, renseignement)
. Koweït. Mohammad ALJUDAJE DOB, ambassadeur du Koweït en France
. Brexit. Alister JACK, Secrétaire d’État du gouvernement britannique pour l’Écosse.
. Institut français. Conseil d’administration, présidé par Eva NGUYEN BINH
. Fapée. Nouveau président Hugo CATHERINE.
. Innovation. Pablo SUÑER, DG du groupe espagnol El Suplemento
. En circonscription en CÔTE D’IVOIRE (1/2) – Grand Bassam / Jacqueville (25–28 nov. 2022), à l’initiative de Bruno MARTINATO, conseiller des Français de l’étranger. Accueilli à Abidjan par Jean-Christophe BELLIARD, ambassadeur de France.
Doter la stratégie de cyberdéfense et d’influence d’une composante offensive !
Dans le cadre du projet de loi de finances 2023, je suis intervenu ce 1er décembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).
J’ai réitéré l’idée devant le ministre Franck Riester qu’il nous faut assumer une posture moins passive dans le domaine de la cybersécurité en nous dotant d’une stratégie offensive face aux cyber-attaques et d’un directeur national de la cybersécurité, tout en nous coordonnant avec nos principaux partenaires, car c’est un combat sans frontières.
> Rapport pour avis de MM. Olivier CADIC et Mickaël VALLET sur les crédits de l’action n°2 « Coordination de la sécurité et de la défense » du programme 129 (17 nov 2022) Lire
> L’Essentiel : “Doter la stratégie de cyberdéfense et d’influence d’une composante offensive” Lire
VERBATIM
Monsieur le Président, Monsieur le Ministre, Chers Collègues,
L’avis sur les crédits du programme 129 que nous allons vous présenter, avec mon collègue Mickaël Vallet, porte sur la coordination de la sécurité et de la défense, et plus précisément sur la cyberdéfense et les stratégies d’influence que le Président de la République vient d’élever au rang de nouvelle fonction stratégique dans le cadre de son discours de Toulon du 9 novembre dernier.
L’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la loi de programmation militaire en 2018, est enfin pleinement reconnu. Je m’en félicite.
J’avais salué la création de Viginum l’an dernier.
Mais je reste circonspect, en observant le champ restreint de ses missions qui s’arrêtent à la caractérisation de situations d’ingérence et de désinformation, sans pouvoir intervenir dans la réponse – ou la contre-attaque – à apporter, nous sommes loin de Taiwan qui répond à une désinformation en 2 heures et 200 mots.
J’espère que l’impulsion donnée par la revue nationale stratégique sera de nature à rendre plus efficace nos actions de contre ingérence.
La passivité est une erreur qui nous a couté très cher. Je parle de l’opération de désinformation dont l’armée française a été victime dans l’affaire de Bounti au Mali en janvier. Les leçons en ont été tirées. L’efficace riposte pour déjouer le stratagème de Wagner du charnier de Gossi l’a démontré. Il nous faut maintenant assumer une posture plus offensive y compris dans le domaine de la cybersécurité.
Il nous faut un nouvel ordre de bataille car les menaces de cybersécurité croissent suivant un rythme exponentiel. L’augmentation des moyens humains et budgétaires du SGDSN cette année comme les précédentes doit être saluée.
Malgré cela, la progression des attaques contre les services publics, les collectivités territoriales et les établissements de santé n’a pas été ralentie.
Nos capacités techniques, notamment l’expertise de l’ANSSI, sont reconnus par nos partenaires. Mais allons-nous nous contenter de regarder chaque année le compteur s’affoler et tendre l’autre joue lorsque les hackers auront paralysé un hôpital de plus ?
Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et ainsi pratiquer une forme de dissuasion numérique.
Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.
Pour conclure, je voudrais insister sur deux points :
1-La nécessité de continuer à former tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ; et en conséquence rechercher les responsabilités des gestionnaires de collectivités ou d’administrations, s’ils n’ont pas suivi les recommandations en matière de sécurité informatique, à l’image de la sécurité-incendie.
2-Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.
J’émets un avis favorable à l’adoption de ce volet des crédits de la mission Direction de l’action du Gouvernement.
Ce 16 novembre, avec mon collègue Mickaël Vallet, nous sommes intervenus devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental», plus précisément sur la cyberdéfense et les stratégies d’influence.
Je me suis félicité du fait que l’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la LPM en 2018, soit désormais été élevé au rang de “nouvelle fonction stratégique” par le Président de la République, dans son discours de Toulon du 9 novembre dernier.
Allons-nous nous contenter de regarder chaque année le compteur des cyber-attaques s’affoler ?
Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et pratiquer une forme de dissuasion numérique.
Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.
Je voudrais insister sur deux points :
La nécessité de former et responsabiliser tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.
Tous les pays occidentaux sont dépassés par l’échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative. Nous avons un retard à rattraper.
Dans le cadre du projet de loi de finances 2022, j’ai présenté avec mon collègue co-rapporteur Mickaël Vallet, le 24 novembre, devant la commission des Affaires et de la Défense un rapport pour avis consacré au programme 129 « Coordination du travail gouvernemental » (compte-rendu).
Ce programme comprend les moyens destinés au Secrétariat général de la défense et de la sécurité nationale (SGDSN), les fonds spéciaux et les crédits du groupement interministériel de contrôle (GIC).
Nos remarques et suggestions ont été reprises par la presse :
– La Lettre A : Les cyberattaques contre les ministères en hausse de 58 % en 2020. (02-12-2021)
Extrait : Chargée de contrer les attaques informatiques visant les réseaux de l’Etat, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a connu une année 2020 particulièrement chargée. Selon les données que l’agence dirigée par Guillaume Poupard a transmises au sénateur Olivier Cadic, les cyberpompiers ont traité 128 incidents informatiques ciblant les ministères, contre 81 en 2019, soit une hausse de 58 %.
(…)
L’agence est beaucoup moins intervenue pour le compte du ministère des armées, une diminution qui ne laisse pas présager un nombre d’attaques en baisse. Le périmètre de l’Hôtel de Brienne est en effet couvert par le commandement de la cyberdéfense, mené par le général Didier Tisseyre. Or contrairement à celui portant sur l’année 2019, le rapport du sénateur Olivier Cadic occulte le nombre d’interventions réalisées par les cybermilitaires pour défendre leur ministère.
(…)
Enfin, si Olivier Cadic a vanté la réponse de l’Etat face aux cybermenaces, il a toutefois déploré le manque de financement du groupement d’intérêt public Acyma. Lire l’article
– L’Usine digitale : Les ministères ont connu une hausse des cyberattaques de 58% en 2020. (02-12-2021)
Extrait : Les cyberattaques visant les ministères ont connu une augmentation notable pendant la pandémie de Covid-19 en 2020 (…) 128 incidents ont été relevés par l’Agence nationale de la sécurité des systèmes d’information (Anssi), contre 81 en 2019 (+58%).
(…)
La pression ne faiblit pas en 2021, bien au contraire. “Selon le Secrétariat général de la défense et de la sécurité nationale, sur les neuf premiers mois de l’année 2021, le nombre de cyberattaques recensées a doublé par rapport à celui qui avait été dénombré sur l’ensemble de l’année 2020”, a précisé Olivier Cadic, toutes cibles confondues. Lire l’article
– Next Impact : Cybermalveillance.gouv.fr : un rapport parlementaire demande plus de moyens pour le GIP Acyma. (03-12-2021)
Extrait : Les sénateurs Olivier Cadic et Mickaël Vallet applaudissent le travail du groupement d’intérêt public (GIP) Actions contre la Cybermalveillance. Ce GIP ACYMA est derrière cybermalveillance.gouv.fr, site lancé en 2017 qui a connu une progression fulgurante.
(…)
Pour les auteurs du rapport parlementaire, il est désormais “urgent d’augmenter significativement ses moyens », pour les porter à au moins 3 millions d’euros. “Au vu des enjeux et de l’ampleur des risques encourus dans le champ cyber, un tel effort est indispensable et ne paraît pas hors de portée, surtout s’il est partagé entre ses différents membres”. Lire l’article
– Siècle Digital : Les cyberattaques visent plus régulièrement les ministères français. (06-12-2021)
Extrait : 20 millions d’euros seront consacrés à la mise en place de solutions nationales automatisées comme la création d’une plateforme antivirus qui devrait être utile pour les ministères. En parallèle, le gouvernement souhaite également accélérer le déploiement de l’open source au sein de l’administration.
(…)
Pour ce qui est de 2021, les résultats sont déjà alarmants alors que l’année n’est pas encore terminée. “Selon le Secrétariat général de la défense et de la sécurité nationale, sur les neuf premiers mois de l’année 2021, le nombre de cyberattaques recensées a doublé par rapport à celui qui avait été dénombré sur l’ensemble de l’année 2020”, a précisé Olivier Cadic, l’un des sénateurs ayant travaillé sur ce rapport. Lire l’article
RAPPORT D’INFORMATION & LA SYNTHESE faits au nom de la commission des Affaires étrangères, de la Défense et des Forces armées sur la coordination du travail gouvernemental (cyberdéfense, SGDSN), par MM. Olivier Cadic et Mickaël Vallet.
Le 24 novembre, avec mon collègue co-rapporteur Mickaël Vallet, j’ai présenté devant la commission des Affaires et de la Défense le rapport pour avis consacré au programme 129 « Coordination du travail gouvernemental » de la mission « Direction de l’action du gouvernement » (mon intervention).
Ce programme du projet de loi de finances 2022 comprend les moyens destinés au Secrétariat général de la défense et de la sécurité nationale (SGDSN), les fonds spéciaux et les crédits du groupement interministériel de contrôle (GIC) qui gère les demandes d’autorisation de mise en œuvre des techniques de renseignement émises par les services. Pour l’essentiel :
> Les moyens du SGDSN, qui comprend l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont confortés pour ce budget 2022. Cette progression du budget permettra une augmentation des effectifs de 77 ETP pour la cybersécurité et le financement de nouvelles missions. > Nous saluons la création de l’agence VIGINUM qui aura pour mission de lutter contre les ingérences numériques étrangères et d’en informer les pouvoirs publics. Sa mise en place, à quelques mois de l’élection présidentielle était plus que nécessaire. > La Présidence française de l’Union européenne au premier semestre 2022 doit constituer une fenêtre d’opportunité pour faire avancer les dossiers cyber au plan européen.
“Face à cette menace en expansion, l’Etat ne cesse d’adapter sa réponse, qui vise à renforcer la sécurité des acteurs publics et à accompagner les acteurs privés dans leur démarche de sécurisation. Mais beaucoup reste à faire.”
RAPPORT D’INFORMATION & LA SYNTHESE faits au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur la coordination du travail gouvernemental (cyberdéfense, SGDSN), par MM. Olivier Cadic et Mickaël Vallet
Intervenu ce 28 novembre pour la commission des Affaires étrangères et de la Défense au sujet des crédits destinés au financement du Secrétariat général de la défense et de la sécurité nationale (SGDSN), de la cybersécurité (ANSSI) et de l’IHEDN.
Face à la recrudescence des actes malveillants dans l’espace cyber et la professionnalisation des outils des cybercriminels, les organismes publics et les opérateurs critiques commencent à prendre en compte leur risque numérique.
L’Agence de la sécurité des systèmes d’information (ANSSI) joue depuis dix ans un rôle essentiel en matière de sensibilisation, de protection et d’assistance aux victimes de cyberattaques.
Pour 2021, les crédits de l’action 2 du programme 129 s’établissent à 389,56M€ (en hausse de 3,3M€). Cette action bénéficiera de 62 recrutements, dont 40 au profit de l’ANSSI.
En 2021, l’essaimage des compétences de l’ANSSI à la fois au Pôle cyber de Rennes et au Campus cyber de la Défense sera une contribution significative à la construction d’un “écosystème français de la cybersécurité”.
Avec mon collègue Mickaël Vallet, également rapporteur, nous avons formulé deux recommandations :
1 – Malgré les avancées, les administrations publiques restent dans l’ensemble insuffisamment réceptives au risque cyber et ne prennent vraiment en compte celui-ci qu’après la survenue d’un problème majeur. Il est donc tout à fait urgent d’appliquer la politique de sécurité des systèmes d’information de l’Etat récemment refondue. En effet, celle-ci conforte le pilotage de l’ANSSI sur les administrations et permettra, nous l’espérons, d’améliorer la diffusion des mesures préventives.
2 – Accélérer la désignation des opérateurs de services essentiels (OSE) afin d’étendre l’application de normes de cybersécurité à des activités ou fonctions qui, sans être « critiques » sont pourtant essentielles à la vie de la Nation. La recrudescence actuelle des cyberattaques plaide en ce sens. Il s’agit belle et bien d’une course de vitesse.
5G et Huaweï
L’ANSSI délivre aux opérateurs télécoms les autorisations d’utiliser des équipements 5G. Toutes les décisions de refus et toutes les autorisations pour des durées réduites ont concerné des équipements Huawei.
L’ouverture d’un nouveau centre de recherche de Huawei à Paris, en septembre 2020, consacré à l’intelligence artificielle, constitue un motif de préoccupation pour notre commission.
Le groupe technologique chinois fournit des systèmes de surveillance par intelligence artificielle qui permettent le contrôle de population à grande échelle par des régimes autoritaires. Il sera nécessaire de veiller à ce que les travaux de recherche sur l’IA localisés chez Huaweï en France ne puissent participer à la violation des droits humains dans le monde.
Ce 4 novembre, Guillaume Poupard, directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a été auditionné par notre commission des Affaires étrangères et de la Défense.
Je suis intervenu en qualité de rapporteur pour avis sur les crédits du programme 129 (gestion de crises, cyberdéfense, renseignement). L’ANSSI et l’institut de formation IHEDN sont deux organismes qui dépendent du SGDSN.
Ce fut l’occasion de saluer, à travers son directeur, le travail de l’Agence, véritable force de dissuasion, qui lui vaut une notoriété internationale comme j’ai pu le constater aux États-Unis ou en Israël.
Mes interrogations ont porté sur deux sujets :
1- Quel a été le nombre d’attaques de nos ministères ayant nécessité l’intervention de l’ANSSI en 2019 ? En 2018, l’Agence avait été amenée à traiter 78 événements de sécurité, consécutifs à des attaques informatiques visant des ministères français.
Réponses clés :
“On a une stabilité des événements”.
“La menace criminelle, les rançongiciels, touchent peu aujourd’hui les administrations”.
“La menace principale dans les administrations centrales reste l’espionnage”.
2- Où en est-on du projet de Cyber-campus qui devrait s’ouvrir en 2021 dans le quartier de la Défense ? Nous nous attendons à une coopération exemplaire entre le public et le privé.
Réponses clés :
“L’idée c’est d’avoir une coopération public-privé, ce qui existe déjà du côté de Rennes (…) Il nous manquait un tel lieu en région parisienne”.
“Il y aura des mécanismes incitatifs pour permettre à des petits acteurs de venir s’y installer, des aides en termes de bail”.
“Ce projet a été inspiré par Beer-Sheva en Israël”.
Ce 4 novembre, Stéphane Bouillon, secrétaire général du SGDSN (Secrétariat général de la défense et de la sécurité nationale) a été auditionné par notre commission des Affaires étrangères et de la Défense.
Je suis intervenu en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental» qui regroupe les crédits affectés au SGDSN, un service du Premier ministre.
Mes questions ont porté sur deux points :
1- Où en est-on de la réforme du « secret défense » ? Une nouvelle instruction interministérielle était attendue pour l’automne 2020. Est-elle sortie et quelles en sont les grandes lignes ?
Réponses clés :
“Nous allons nous mettre en phase avec l’ensemble des pays européens qui appliquent la même nomenclature”.
“Il s’agit de préparer les gens à la culture du secret défense et à la manière de se comporter et d’apprendre”.
“Il y aura moins de documents classifiés, mais que la classification sera plus ciblée, donc plus efficace pour le futur”.
2- Pour 2021, la subvention destinée à l’IHEDN est en légère diminution. Or, l’Institut doit désormais assumer seul certaines charges qu’il mutualisait jusqu’à l’année dernière avec l’INHESJ, dont notre commission a regretté la suppression. La crise sanitaire affecte-t-elle son équilibre financier ?
Réponse clé :
“Compte tenu de son rayonnement et de ses capacités à réfléchir en matière de Défense nationale, l’IHEDN est irremplaçable”.
La crise sanitaire favorise le déploiement de stratégies d’influence par certaines puissances étrangères et accroit l’exposition au risque informatique.
C’est la raison pour laquelle nous avons publié un rapport issu d’auditions que nous avons réalisé avec Rachel Mazuir, en qualité de co-rapporteurs du programme 129 (gestion de crises, cyberdéfense, renseignement), au nom de notre commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon.
Notre rapport se veut alarmant car la crise a enclenché une guerre de la communication entretenue par certaines puissances étrangères. Ainsi, comme chacun peut l’observer sur le site de leur ambassade à Paris, la Chine distille des informations inexactes ou tronquées, afin de se prévaloir d’un succès contre la pandémie ou montrer son caractère indispensable dans la lutte mondiale, grâce à la fourniture de produits sanitaires.
Voilà pourquoi il faut d’urgence que notre gouvernement instaure une force de réaction « cyber » pour lutter contre les campagnes de désinformation ou d’influence d’États totalitaires ou autoritaires qui s’en prennent aux démocraties.
Nous avons également estimé que les systèmes d’information des acteurs de la santé doivent être mieux protégés : ils sont vulnérables (18 attaques par rançongiciels en 2019 d’après l’ANSSI), conséquence d’un sous-investissement chronique en dépense de sécurité informatique.
Depuis le début de la crise, des attaques par déni de service ont eu lieu contre l’AP-HP (Paris) le 22 mars dernier et contre l’AP-HM (Marseille), ainsi qu’une attaque par rançongiciel contre l’établissement public de santé de Lomagne (Gers).
Pour leur part, les cyber-attaquants ont tout de suite exploité l’inquiétude ambiante en multipliant les opérations d’hameçonnage. Les sites de vente en ligne proposant médicaments, masques, gels hydro-alcooliques et autres produits de santé ont proliféré, avec pour objectif, outre une escroquerie à la vente, de récupérer des numéros de cartes bancaires. Désormais les attaques par “rançongiciel” se développent (déblocage contre rançon des systèmes d’information d’une entreprise).
Afin d’anticiper et de réagir aux menaces cyber, il nous apparaît fondamental d’organiser une communication à grande échelle pour mieux faire connaître la plateforme cybermalveillance.gouv.fr. en diffusant plus largement les “gestes barrière numériques”. J’ai alerté Thomas Courbe, directeur général des entreprises, à cet effet.
Nous préconisons d’initier la communication régulière, au travers des médias, d’un top 10 des cyber-crimes constatés sur le territoire afin d’aider à la prise de conscience générale des menaces qui pèsent sur la population et les entreprises.
Enfin, les outils d’entrave et de répression de la cybercriminalité doivent être simplifiés. L’unification de la chaîne de recueil et de traitement des plaintes en ligne nous apparaît nécessaire et urgente; elle demeure, sauf évocation par la section spécialisée du parquet de Paris, la compétence des autorités de police et de gendarmerie locales, alors que les faits procèdent de mêmes auteurs et de mêmes modes opératoires sur tout le territoire.
Nous sommes convaincus que notre pays a les talents et les forces pour gagner cette autre guerre du Covid-19.
CINQ RECOMMANDATIONS
de l’étude intitulée “Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid 19”
1 – Mettre en œuvre une force de réaction cyber afin de répondre aux fausses informations dans le domaine sanitaire, aux attaques contre les valeurs démocratiques et pour lutter contre les campagnes de désinformation ou d’influence de certains acteurs étrangers ; 2 – Investir dans la sécurité informatique des acteurs de la santé ; 3 – Lancer sans tarder une campagne de communication à grande échelle pour promouvoir la plateforme cybermalveillance.gouv.fr et diffuser les « gestes barrière numériques » ; 4 – Initier une communication régulière, au travers des médias, d’un top 10 des cyber-crimes constatés sur le territoire ; 5 – Unifier la chaîne de recueil et de traitement des plaintes en ligne, aujourd’hui de la compétence des autorités de police et de gendarmerie locales.
Le 28 novembre, en ma qualité de rapporteur des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crise, cybersécurité, renseignement), et au nom de mon collègue Rachel Mazuir, je suis intervenu en séance publique pour donner un avis favorable au crédit du programme 129, en me réjouissant du renforcement des moyens de l’ANSSI et en encourageant le gouvernement dans cette direction.
Par ailleurs, j’ai regretté le manque de transparence dans la présentation des crédits de personnel du programme, qui sont en baisse alors que les effectifs augmentent.
J’ai aussi relayé, au nom de mon collègue Rachel, notre incompréhension face à la décision de suppression de l’INHESJ et nos inquiétudes quant aux moyens de l’IHEDN.
ANSSI : Agence nationale de sécurité des systèmes d’information
INHESJ : Institut des hautes études de Défense nationale
IHEDN : Institut national des hautes études de la sécurité et de la justice
Le 13 novembre, en qualité de co-rapporteur avec mon collègue Rachel Mazuir, j’ai défendu le budget du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement) devant notre commission des Affaires étrangères, de la Défense et des Forces armées.
Ce programme comprend les crédits affectés à l’ANSSI (Agence nationale de Sécurité des systèmes d’information), dont j’ai abordé l’évolution des effectifs et la politique de protection des systèmes d’information de l’État, face au risque de cyberattaques.
Pour faire face à une menace qui s’accroît en fréquence et en intensité, le gouvernement a décidé, cette année, de stimuler la croissance des effectifs de l’ANSSI qui s’était ralentie ces deux dernières années.
En 2018, l’Agence a été amenée à traiter 78 événements, consécutifs à des attaques informatiques visant des ministères français.
Suite à la cyberattaque dont a été victime la plateforme Ariane du ministère de l’Europe et des Affaires étrangères, en décembre 2018, nous avions effectué avec Rachel un audit au nom du Sénat avec l’idée qu’un retour d’expérience pouvait être riche d’enseignements (rapport).
Aujourd’hui, les trois ministères les plus ciblés par des attaques pirates sont l’Éducation nationale, puis la Défense et enfin les Affaires étrangères. Toutefois, en termes d’intensité, ce sont les ministères des Armées et celui des Affaires étrangères qui ont été les plus menacés.
A l’issue de la réunion (compte-rendu), je me réjouis que notre commission, présidée par Christian Cambon, ait donné son avis favorable, à l’unanimité, pour l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique dans les prochains jours.
Le 2 octobre, notre commission des Affaires étrangères et de la Défense a auditionné Claire Landais, secrétaire générale de la Défense et de la Sécurité nationale (SGDSN), pour faire le point sur l’évolution des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), dont je suis le rapporteur.
Puisque le Projet annuel de performance pointait les “faibles moyens dédiés aux enjeux de sécurité des système d’information de certains ministères”, j’ai voulu savoir quel étaient les ministères les plus “faibles”. Une question dans le prolongement de nos recommandations avec Rachel Mazuir pour renforcer les capacités d’intervention de l’ANSSI (*), suite à la cyberattaque dont a été victime la plate-forme Ariane.
J’ai également voulu savoir si la France soutenait un projet équivalent au site de Beer-Sheva que j’ai visité en Israël, réunissant les agences de cyberdéfense, les pôles universitaires et les unités de R&D des entreprises dans un même écosystème.
Claire Landais a fait immédiatement remarquer que le niveau de menace allait croissant avec des attaquants de plus en plus forts. La secrétaire générale m’a honnêtement répondu que tous les ministères n’avaient pas fait l’effort suffisant pour que nous soyons aujourd’hui sereins, en précisant que tous ne méritent pas le même niveau de protection.
Avec la création de la direction générale du numérique, l’avis de l’ANSSI est requis avant tout projet informatique majeur au sein des services de l’état, a-t-elle rappelé.
Enfin, bonne nouvelle, nous avons appris qu’à la demande du président de la République, les services de Mme Landais travaillent sur un projet de création d’un “campus cybersécurité à la française” qui serait d’abord porté par le monde industriel, où l’ANSSI aurait toute sa place en termes de formations, de qualifications et de solutions.
(*) ANSSI : Agence nationale de la sécurité des systèmes d’information
Le 07 novembre, dans le cadre du projet de loi de finances 2019, je suis intervenu devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement).
Le monde est de plus en plus connecté et donc de plus en plus vulnérable. Le rapport Symantec 2018 classe la France au 9ème rang des pays où la cybercriminalité est la plus active. Les réseaux criminels se partagent le cyberespace avec des acteurs étatiques qui, eux, se livrent à l’espionnage et parfois même à l’ingérence et la déstabilisation.
Pour contrer ces menaces, la France dispose de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation), créée en 2009.
Avec mon collègue Rachel Mazuir, également rapporteur, nous nous sommes montrés globalement satisfaits de l’évolution des moyens de l’ANSSI en 2019. Ses effectifs passeront de 555 à 595 ETP (+ 40) et ses crédits de 72,9 à 79,4M€ en Crédits de paiement (+8,8 %) et de 70,2 à 94,7M€ (+35 %) en Autorisations d’engagement.
J’ai toutefois marqué quelques points de préoccupation en proposant des solutions :
– Il faut s’alarmer de la vulnérabilité persistante de nos ministères non régaliens, faute d’investissements de cybersécurité. Ceux-ci devraient être obligatoires lors du développement de tout nouveau programme informatique.
– Le ministère de l’Enseignement supérieur doit jouer un rôle d’orientation des universités et des grandes écoles vers le développement de filières produisant des spécialistes de la cybersécurité. Les difficultés de recrutement et de fidélisation des ingénieurs sont criantes. L’ANSSI affronte un turn-over supérieur à 15 % et une inflation des exigences salariales…
– Il est nécessaire de mettre en place un réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre États disposant d’opérateurs comme l’ANSSI – ils sont rares – et la mise à niveau des États qui n’en disposent pas avec l’appui de l’Union européenne.
Notre commission a donné son avis favorable à l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique le 4 décembre prochain. Lire ma présentation et mes réponses aux questions.
Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.
Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.
