Intervention de Jean-Marie Bockel

Trois principales mesures sont prévues dans la partie normative. Le projet renforce les moyens d'action de l'État, grâce à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). En cas d'attaque informatique grave « portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la survie de la Nation », celle-ci pourra accéder légalement à l'ordinateur utilisé par l'attaquant, surveiller son comportement et éventuellement neutraliser ses effets. Lors de son audition, le directeur général de l'ANSSI, Patrick Pailloux, a comparé cette disposition à la situation des pompiers : en cas d'incendie ils ont le droit d'enfoncer la porte pour sauver les occupants d'un immeuble.

En outre, ce texte renforce, comme nous l'avions demandé, les obligations des quelque 250 opérateurs d'importance vitale en matière de protection de leurs systèmes d'information. Cette loi reprend plusieurs propositions de notre rapport, ainsi que des mesures prévues par une proposition de directive européenne. Ainsi, ces opérateurs signaleront, sous peine de sanction, les incidents informatiques significatifs à l'ANSSI. L'État pourra imposer aux opérateurs des règles de sécurité informatique, définies secteur par secteur, en concertation avec les opérateurs. Il pourra aussi procéder à des audits ou des contrôles en matière de sécurité informatique, comme c'est déjà le cas pour la sécurité physique des installations sensibles. Enfin, en cas de crise informatique majeure, l'État pourra imposer des mesures drastiques, comme la déconnexion de l'Internet.

Le troisième volet renforce la sécurité des grands équipements de réseau, à l'image des routeurs de coeur de réseau, en prévoyant un régime d'autorisation. Il s'agit d'éviter que ces équipements, par lesquels transitent toutes les communications, ne soient utilisés par certains États ou organisations à des fins d'espionnage en y plaçant des dispositifs d'interception.

Au total, les dispositions normatives renforcent la protection de nos systèmes d'information et légalisent des actions que nous serions amenés à mener. Avec Jacques Berthou, nous vous proposerons de compléter ces mesures par deux amendements pour autoriser l'étude des vulnérabilités informatiques des laboratoires de recherche et des entreprises spécialisées dans la sécurité informatique.

Le rapport annexé prévoit un renforcement des moyens humains et financiers des armées, de la DGA et des services spécialisés consacrés à la cyberdéfense, afin de combler notre retard.

Je salue votre engagement, monsieur le Ministre, dans le domaine de la cyberdéfense, qui a été rappelé par le contre-amiral Arnaud Coustillière, officier général à la cyberdéfense, lors de son audition. Malgré la diminution des effectifs du ministère et dans un contexte économique difficile, vous avez récemment annoncé à Rennes que les effectifs et les moyens financiers consacrés à la cyberdéfense seront renforcés. Compte tenu de l'importance de ce sujet, nous avons pensé utile, avec Jacques Berthou et en accord avec notre président, de proposer un amendement afin de graver cela dans le marbre de la loi.