Je n'insisterai pas sur le constat - cela a été fait, et fort bien, par les intervenants précédents - mais sur les avancées que je tiens à saluer et sur les progrès qui restent à accomplir.
Nous sommes dans un contexte particulier. Cette rencontre est la bienvenue à la veille de la publication du Livre blanc sur la défense et la sécurité nationale. Dans le rapport d'information sur la cyberdéfense que j'ai présenté au nom de la commission des affaires étrangères et de la défense du Sénat, j'ai abordé le sujet du risque numérique sous l'angle de la défense, mais c'est un sujet transversal, qui touche à nos intérêts vitaux, mais aussi à l'économie, à la vie quotidienne de nos concitoyens et aux services publics. Le Livre blanc sera donc une étape importante, et ce que nous disons dans cette dernière ligne droite revêt par conséquent un sens particulier.
S'agissant de notre stratégie de réponse, nous observons un certain nombre d'avancées. J'avais appelé, à l'image de ce que font les Britanniques ou les Allemands, à ériger la cyberdéfense en une priorité nationale portée au plus haut niveau de l'État. Nous avons progressé sur ce point : le président de la République François Hollande a explicitement évoqué cet enjeu dans la lettre de mission adressée à M. Jean-Marie Guéhenno - président de la commission chargée de rédiger le Livre blanc - comme dans ses voeux aux armées.
La question des moyens de l'ANSSI est évidemment centrale. Les États qui réduisent aujourd'hui leurs dépenses de défense, notamment en Europe, n'en augmentent pas moins les budgets dédiés aux outils en matière de cyberdéfense et de cybersécurité. Sans parler des États-Unis, on peut citer le cas du Royaume-Uni. Dans un tel contexte, les moyens de l'ANSSI ont vocation à se renforcer pour être portés au niveau de ceux de nos partenaires britannique ou allemand. La qualité de notre outil est reconnue, y compris à l'international, mais ses moyens sont encore insuffisants. Je me félicite donc de la création de 65 postes supplémentaires à l'ANSSI en 2013 ; ses effectifs devraient atteindre 500 agents à l'horizon 2015. Nous serons bientôt au même niveau que nos voisins non plus sur le seul plan qualitatif, mais aussi sur le plan quantitatif. Le ministre de la défense, M. Jean-Yves Le Drian, a également annoncé un renforcement des effectifs des armées dans le domaine de la cyberdéfense.
Mon rapport proposait aussi de créer une « cyber réserve » citoyenne, qui rassemble des spécialistes et des ingénieurs mobilisés sur ces questions. Cette proposition peut sembler anecdotique de prime abord, mais je crois savoir que l'état-major la prend très au sérieux.
J'en viens aux évolutions législatives ou réglementaires qui permettraient à ces outils publics de mieux exercer leurs missions. Lors de la réunion du Forum international de la cybersécurité (FIC) à Lille, le ministre de l'intérieur, M. Manuel Valls, a annoncé la création d'un groupe interministériel chargé d'étudier l'adaptation de notre droit aux nouvelles menaces liées au cyber. D'autres progrès pourront être envisagés dans le cadre de la future loi de programmation militaire.
Je m'étais montré assez critique en ce qui concerne le niveau européen, mais je me félicite aujourd'hui de la publication, le 7 février, de la nouvelle stratégie de l'Union européenne en matière de cybersécurité, qui s'accompagne d'une proposition de directive. Le président M. Jean-Louis Carrère m'a d'ailleurs désigné pour suivre ce sujet pour la commission des affaires étrangères, de la défense et des forces armées du Sénat avec notre collègue Jacques Berthou. Compte tenu des compétences de l'Union en matière de normes, de réglementation et de communication, il était important qu'elle se positionne sur ce sujet. Il y a d'ailleurs un lien entre législation nationale et européenne sur un point que j'avais mis en exergue, l'obligation de déclaration d'incident, notamment pour les entreprises et les opérateurs d'importance vitale. Lorsque ceux-ci sont attaqués, ils ont tendance à taire ce qu'ils considèrent comme un signe de faiblesse, qui pourrait leur faire perdre des marchés. Or c'est le contraire : plus ils ont de valeur, plus ils seront attaqués. Ils doivent donc l'assumer et accepter de se faire aider. L'obligation de déclaration d'incident les y aidera.
Après ces motifs de satisfaction, j'en viens aux aspects de mon rapport qui mériteraient d'être mieux pris en compte.
Tout d'abord, d'importants efforts restent à faire en matière de sensibilisation des administrations, du monde de l'entreprise, notamment des PME, et des opérateurs d'importance vitale. Je pense à l'organisation à l'intérieur des entreprises ou à la place donnée aux responsables des systèmes de sécurité. Ce n'est pas un enjeu technique, mais bien un enjeu économique ; nous sommes en guerre économique, et c'est notre chaîne de valeur qui est concernée. Les exemples qui ont été cités montrent que nous sommes confrontés à un véritable pillage. C'est donc un enjeu majeur pour notre économie et pour la préservation de nos emplois.
Il y a un lien entre cet aspect défensif et les opportunités de développement industriel et de création d'emplois qualifiés. Puisque nous avons parlé de l'actualité, permettez-moi d'évoquer l'entreprise chinoise ZTE, qui hésite toujours à s'implanter à Poitiers. Hier, notre collègue l'ancien Premier ministre Jean-Pierre Raffarin a estimé dans un quotidien local que mon rapport tenait des propos de café du Commerce sur ces sujets. L'actualité d'aujourd'hui - je pense au rapport de Mandiant, qui affirme sans ambiguïté l'existence d'un immeuble abritant des escouades entières de hackers à Shanghai - me donne raison. Je suis un ami de la Chine et je souhaite que l'on commerce avec elle ; ZTE est une belle entreprise. Pour autant, il ne faut pas être naïf : nous devons mettre en place un certain nombre de règles du jeu.
Un point a fait polémique dans mon rapport : la proposition d'interdire sur le territoire national et à l'échelle européenne le déploiement et l'utilisation des routeurs et autres équipements de coeur de réseau d'origine chinoise qui présentent un risque pour la sécurité nationale dans le contexte actuel. L'aspect positif dans tout cela, c'est que nous devons conforter notre outil industriel, tant au niveau français qu'au niveau européen. Nous avons de beaux fleurons - Thales, Cassidian, Bull, Sogeti ou Alcatel-Lucent - et de nombreuses PME innovantes. Sachons exploiter ces atouts.
Il y a là un enjeu de souveraineté nationale, voire de souveraineté européenne partagée. Nous avons déjà une Europe de l'aéronautique et une Europe spatiale. Pourquoi pas une Europe des industries de la cyber demain ? Le potentiel de développement et de création d'emplois est considérable. Il reste que notre capacité de formation n'est pas à la hauteur en termes quantitatifs, comme en témoigne la difficulté de l'ANSSI à recruter. Or les perspectives sont réelles dans des domaines comme la cryptologie, l'architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Nous sommes performants, et les échanges avec les Chinois, les Américains ou les Russes existent pour certains produits. Mais sur les routeurs et les équipements de coeur de réseau, nous devons construire pour demain, à partir de nos fleurons, une capacité française et européenne.
Nous avons aujourd'hui une base industrielle et technologique de défense (BITD). Pourquoi ne pas avoir demain une base industrielle et technologique en matière de cyber (BITC) ? Le séminaire gouvernemental du 28 février et la feuille de route pour le numérique devraient nous permettre d'avancer sur ce sujet. Vous recevrez d'ailleurs tout à l'heure la ministre chargée de l'économie numérique, Mme Fleur Pellerin, qui est sensibilisée à cette question ; des progrès importants sont possibles.
Il me paraît également nécessaire de renforcer la sensibilisation des utilisateurs au respect des règles élémentaires de sécurité, que Patrick Pailloux appelle à juste titre des règles d'hygiène élémentaires.
Il nous faut enfin poser la question - sensible - de nos capacités offensives. La France dispose de capacités offensives. Si nous n'avons pas à mettre sur la place publique le dispositif opérationnel qui est le nôtre, qui est un vrai dispositif de dissuasion, nous pourrions néanmoins avoir une doctrine d'emploi. Devant la grande vulnérabilité de nos sociétés, et la possibilité d'une déstabilisation qui confinerait quasiment à une cyber-guerre, les efforts de sensibilisation que nous poursuivons à travers une réunion comme celle-ci ont toute leur importance.