Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Guillaume Poupard
Commission des affaires européennes — Réunion du 6 mai 2021 à 8h30
Justice et affaires intérieures — Audition de Mm. Guillaume Poupard directeur général de l'agence nationale de la sécurité des systèmes d'information et juhan lepassaar directeur général de l'agence européenne chargée de la sécurité des réseaux et de l'information
Nous traitons les questions éthiques au niveau national. Je ne sous-estime pas l'importance de préserver un équilibre entre la sécurité et la vie privée. Nous devons nous montrer dignes de la confiance que l'on nous accorde. Lorsque nous avons obtenu le droit d'installer des systèmes de détection d'attaques autour de serveurs hébergés que l'on pensait menacés, cela a donné lieu à débat. Il faut aller plus loin, mais nous devons avancer à petits pas sur ces sujets sensibles.
Il faut surtout veiller à éviter les mauvaises solutions. Un débat récurrent met en cause le chiffrement, alors que cette technologie est essentielle pour assurer la cybersécurité. Certes, des personnes malfaisantes peuvent l'exploiter, et il arrive que le chiffrement ait pour effet de nuire à la qualité des enquêtes. Toutefois, il serait excessif et inefficace de le supprimer. Nous devons veiller à donner aux services les moyens d'accomplir leur travail dans de bonnes conditions de contrôle, mais sans promouvoir de solutions dangereuses et inefficaces.
Le cercle vicieux de la cybercriminalité s'est développé plus vite que nous ne pouvions l'envisager. Nous avons sous-estimé l'asymétrie de l'effort entre les attaquants et les défenseurs. Les attaquants cyber sont très peu nombreux, mais font de très gros gains. Lutter contre le blanchiment de ces gains serait un moyen de sortir de ce cercle vicieux. Il faudrait aussi mieux travailler avec les acteurs concernés.
L'ordinateur quantique sera certainement néfaste, à court terme, en matière de cybersécurité. Il sera difficile de faire évoluer les standards mondiaux de l'internet. Cela prendra dix à quinze ans. Le sujet est toutefois bien pris en compte à l'échelle internationale, notamment aux États-Unis, mais aussi en France. Je suis confiant, mais il ne faut pas perdre de temps.
La CIA vient de publier son rapport sur la prospective, qui devrait nous donner de nouveaux éléments en matière de cybersécurité. Ma crainte porte surtout sur des attaques qui créeraient le chaos, en sabotant par exemple notre système d'électricité, d'eau ou de télécommunications, d'où l'attention particulière que nous portons à la 5G. Qu'arrivera-t-il si une attaque coupait tout, et si demain nous n'avions plus de 5G ? Nous devons prioriser les opérateurs et les services essentiels, et responsabiliser via la règlementation les acteurs qui portent ces systèmes critiques.
Quant à l'installation d'usines étrangères, le sujet relève de l'analyse de risques. Je ne suis pas certain que l'implantation de Huawei en Alsace soit une menace pour la sécurité militaire, hormis le fait que cette installation pourra influencer nos choix en matière d'équipements.
Il faut donc veiller à ce que ce type d'installation ne devienne pas un moyen de pression. La loi du 1er août 2019 doit s'appliquer, notamment sur le déploiement de la 5G en France, pour garantir un équilibre entre la sécurité nationale, la rentabilité des opérateurs et la multiplicité des équipementiers. Cet équilibre est très subtil.
