Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Guillaume Poupard
Commission des affaires européennes — Réunion du 6 mai 2021 à 8h30
Justice et affaires intérieures — Audition de Mm. Guillaume Poupard directeur général de l'agence nationale de la sécurité des systèmes d'information et juhan lepassaar directeur général de l'agence européenne chargée de la sécurité des réseaux et de l'information
Nous sommes confrontés à des menaces extrêmement fortes. Elles sont au nombre de trois.
La première, c'est la grande criminalité. Aujourd'hui, des groupes criminels cherchent à rançonner. Les victimes sont parfois des hôpitaux. J'ai en permanence une quarantaine d'opérations ouvertes, soit une dizaine d'opérations nouvelles par semaine. La lutte contre cette activité criminelle est un enjeu majeur.
La deuxième, c'est l'espionnage. Personne ne veut en parler, mais c'est d'une gravité extrême d'un point de vue stratégique et économique. Nous ne sommes pas capables d'estimer le préjudice lié à cet espionnage, qui est le fait d'acteurs de très haut niveau, parfois des États.
La troisième est de nature quasi militaire. Aujourd'hui, des attaques informatiques peuvent avoir des effets aussi destructeurs que ceux d'opérations militaires conventionnelles : en créant le chaos, par exemple dans les transports, on peut bloquer toute une nation.
Il est donc impératif de nous protéger face aux cybermenaces, avec des acteurs et des capacités de coopération entre les États qui diffèrent évidemment.
L'Anssi a été créée en 2009. Le modèle français est basé sur la séparation des activités offensives et défensives, ce qui n'est pas le cas chez nos amis anglo-saxons. La séparation des activités ne signifie pas, tant s'en faut, l'absence de discussions entre nous : nous travaillons ensemble de manière intelligente depuis douze ans, et nous avons atteint un niveau de confiance absolument remarquable.
L'Anssi ne fait pas d'enquêtes judiciaires. Mais nous avons un lien étroit avec les services d'enquête spécialisés, en particulier pour aider les victimes. Nous ne faisons pas le même métier, mais nous agissons de concert.
En 2013, nous nous sommes rendu compte que la pression était très forte sur les opérateurs critiques. Depuis cette date, ces derniers ont l'obligation d'appliquer des règles de cybersécurité établies par l'Anssi et de nous informer quand ils sont attaqués. Nous pouvons effectuer des contrôles et donner des instructions très fortes au nom du Premier ministre en cas de crise majeure. Un dispositif comparable existe en Allemagne.
Il y a une sorte de jeu de ping-pong entre la France et l'Union européenne. Il s'agit de voir comment une bonne idée d'un État membre peut être étendue à l'échelle européenne. Nous le faisons avec la Commission européenne et les États membres impliqués sur les questions de cybersécurité. Évidemment, monter à l'échelle européenne permet d'obtenir un effet de masse et d'éviter un morcellement mais le souci de ne pas empiéter sur les souverainetés nationales est permanent. En matière de cybersécurité, nous sommes souvent confrontés à des problématiques de souveraineté nationale ; on ne peut pas tout partager, notamment sur le renseignement, même avec des alliés très proches. Tout l'enjeu est de maintenir un équilibre entre ce qui relève des souverainetés nationales et ce qui peut être traité à l'échelon européen pour plus d'efficacité.
C'est le sens de la directive Network and Information System Security (NIS), votée en 2016 et transposée en 2018, qui a permis d'ajouter de nouveaux opérateurs au dispositif des opérateurs d'importance vitale. L'intérêt est de ne pas être en concurrence ; les systèmes se complètent. Ainsi, si les centres hospitaliers universitaires (CHU) sont des opérateurs d'importance vitale, une centaine d'hôpitaux plus petits sont également considérés comme critiques au titre de la directive européenne. C'est un très bon mécanisme.
Nous avons beaucoup travaillé avec la Commission européenne, l'Enisa et les États membres à la mise en place de réseaux. Voilà une dizaine d'années, on nous disait que les petits pays n'arriveraient pas à se protéger et qu'il faudrait une défense européenne. Outre que cela aurait empiété sur les souverainetés nationales, c'était assez irréaliste. Depuis dix ans, le modèle que nous promouvons consiste à demander à chaque État membre de développer ses propres capacités, puis à les faire fonctionner en réseau. Le rôle de l'Enisa est essentiel : faire des réseaux à vingt-sept, ce n'est pas simple.
Le réseau technique d'échanges d'informations, qui est ô combien crucial, fonctionne très bien : il y a un centre opérationnel au sein de chaque État membre, et ces centres opérationnels échangent des informations. Il y a évidemment une marge de progrès, mais nous obtenons de très bons résultats.
Le réseau Cyber crisis liaison organization network (Cyclone) regroupe des directeurs d'autorités nationales, dont votre serviteur pour la France. Là, nous sommes au niveau stratégique. Si une crise touche l'Europe, nous sommes capables de nous coordonner pour avoir une réponse commune. Le système doit être rodé. Nous faisons des simulations. La coordination européenne est absolument essentielle.
La certification est un enjeu majeur pour permettre la confiance. Je mets au défi quiconque de savoir qui est de confiance dans des domaines aussi complexes que la 5G, le cloud computing, etc. Même pour nous, il est difficile d'avoir un avis fiable. La France, l'Allemagne, les Pays-Bas et d'autres pays européens pratiquent de longue date la certification. Nous avons entrepris une démarche auprès de la Commission européenne pour souligner que cette pratique gagnerait à devenir européenne. Construisons une certification européenne. Là encore, l'Enisa a un rôle majeur à jouer, notamment pour organiser tous les travaux en cours.
Sur la question, moins technique et plus politique, de la souveraineté, nous sommes en train de travailler sur le schéma de certification pour les offres de cloud. La France plaide pour que celles-ci soient sûres d'un point de vue non seulement technique et opérationnel, mais également juridique. Acceptera-t-on qu'elles soient soumises à des droits non européens, en particulier le droit américain ? Je pense que ce serait une erreur fondamentale. Pour les systèmes les plus critiques, seul le droit européen doit pouvoir s'appliquer. Il y a là un enjeu très fort en termes de souveraineté européenne, domaine dans lequel la France est plutôt en pointe, mais qui ne fait pas consensus.
La révision de la directive NIS va arriver à maturité au premier semestre de l'année prochaine, période qui coïncidera avec la présidence française de l'Union européenne. J'espère que nous pourrons aboutir. Je trouve cette révision excellente. Elle permet d'augmenter le niveau d'ambition du texte tout en respectant la souveraineté de chaque État membre. L'équilibre est très subtil et de grande qualité.
Nous souhaitons aussi tester la mise en place de mécanismes de solidarité pendant la présidence française de l'Union européenne. Ainsi que je l'ai indiqué, les capacités sont mises en réseau. Il faut désormais passer à la troisième étape : l'aide mutuelle face à de vrais problèmes. Pour l'instant, cela ne fonctionne pas encore.
Ceux qui opposent souveraineté nationale et souveraineté européenne ou sécurité nationale et sécurité européenne sont nos ennemis. D'ailleurs, bien souvent, ils ne sont pas européens. Une Europe morcelée, cela bénéficie évidemment à certains.
Avec le recul, nous savons que l'on peut tout à fait combiner les deux souverainetés, avec des États à la fois individuellement forts et capables de travailler ensemble. C'est ce que l'on peut faire de mieux pour avoir une cybersécurité véritablement efficace à l'échelle européenne.
