Intervention de Jean-Marie Bockel

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, au sein de la mission « Direction de l’action du Gouvernement », la commission des affaires étrangères, de la défense et des forces armées s’est intéressée plus particulièrement aux crédits du programme 129, que je vais vous présenter avec Jean-Pierre Masseret, et à l’action 2, Coordination de la sécurité et de la défense.

Pour ma part, je concentrerai mon propos sur la cyber-défense.

Comme vous le savez, notre commission, et le Sénat de façon plus générale, n’a pas peu contribué, d’abord par le travail précurseur de Roger Romani en 2008, puis par notre rapport d’information de juillet 2012, à la prise de conscience de la faiblesse des moyens et des effectifs consacrés en France à la cyber-défense. Notre pays est en effet moins bien doté que ses voisins allemands et britanniques, alors que la menace augmente très rapidement et que le champ d’application de la cyber-défense ne cesse de s’étendre, comme l’actualité l’a montré à plusieurs reprises, au-delà d’internet et de la bureautique, pour toucher désormais les systèmes industriels. Ainsi, le cyber-commandant américain déclarait récemment que des attaques, vraisemblablement chinoises, seraient aujourd’hui capables de plonger les États-Unis dans le noir. En la matière, la réalité dépasse toujours l’imagination ; un certain nombre de conflits nous l’ont montré...

L’une de nos principales recommandations de 2012 visait à consacrer la cyber-défense comme une priorité. Ce fut fait avec le Livre blanc et la loi de programmation militaire de 2013, que j’ai votée avec plusieurs de mes collègues du groupe UDI-UC, notamment pour ces raisons-là. Il s’agissait également d’augmenter les moyens et les effectifs de l’ANSSI, qui ne comptait que 100 personnes à sa création en 2009 : ses effectifs atteindront 500 agents en 2015 et 600 en 2017, soit une moyenne de 50 recrutements par an. Au-delà de cette dimension quantitative, l’ANSSI, même avec des effectifs insuffisants, a dès le début été reconnue comme un outil adapté, à la qualité respectée.

Notons les progrès accomplis. La sensibilisation des différents ministères continue. Ainsi, au mois de juillet 2014, le Premier ministre a adressé une circulaire définissant une politique de sécurité des systèmes d’information de l’État. Certains ministères débutent à peine – je ne parle pas de Bercy, qui a découvert qu’il fallait se protéger au moment de l’attaque massive qu’il a subie lors de la préparation du G8 et du G20 en 2011 – et ne sont pas au niveau du ministère de la défense, qui est très mobilisé avec son « pacte cyber » et son « état-major cyber », respecté sur le plan international.

Oui, c’est vrai, les risques existent ! Il n’est qu’à citer le domaine de la santé. Cela ne concerne pas seulement la protection du secret des données médicales : il suffit de rappeler que les instruments de radiologie, par exemple, sont opérés via des applications internet... On progresse, mais lentement, car les moyens sont sous contrainte et la sécurité informatique peine parfois à émerger comme une priorité.

La France est aussi le premier pays au monde à s’être doté d’un cadre juridique contraignant pour les opérateurs d’importance vitale, les OIV. De nouveaux pouvoirs ont été confiés à l’ANSSI par la loi de programmation militaire, notamment l’obligation de notifier les incidents informatiques importants ou de réaliser des audits réguliers. Il s’agit d’un changement majeur : jusqu’à présent, l’ANSSI avait essentiellement un rôle de conseil et d’alerte. Désormais, elle dispose de pouvoirs d’action étendus et attendus.

Des arrêtés sectoriels préciseront les obligations de ces OIV. Ils prendront en compte la spécificité de chaque secteur, voire de chaque sous-secteur ou opérateur. Les travaux sont engagés pour les secteurs de l’énergie et des communications électroniques. La démarche me paraît bien menée : pour ne pas obérer la compétitivité de nos entreprises, les règles envisagées sont discutées avec les opérateurs et, dans la mesure du possible, elles seront complémentaires avec les obligations préexistantes, notamment dans le code des postes et des communications électroniques.

Il faut également favoriser l’émergence d’entreprises de confiance à chaque maillon de la chaîne de la cyber-sécurité, qu’il s’agisse des équipements ou du « soft ». C’est une question de souveraineté numérique ! C’est aussi un enjeu économique et en termes d’emplois. Le « plan 33 », qui vise précisément à encourager une filière industrielle d’entreprises de confiance – non seulement des groupes, mais aussi des PME –, est un acte de politique industrielle fort, dans un secteur où notre pays a beaucoup d’atouts et d’entreprises innovantes qui doivent être soutenues. Il nous reste encore à accroître notre effort en matière de formation d’ingénieurs et de techniciens de sécurité informatique : les débouchés sont nombreux, nos ingénieurs français sont excellents, mais trop rares. Il faut que le Gouvernement se penche davantage sur cette question au service de l’emploi et de notre compétitivité.

La commission des affaires étrangères, de la défense et des forces armées a donné un avis favorable à l’adoption des crédits de cette mission.