Le SGDSN avait préparé le Livre blanc par un document d'orientation stratégique dès la fin de l'année 2011 ; il a participé à l'élaboration du Livre blanc et au projet de loi de programmation militaire. Cette activité intense s'est ajoutée aux missions générales et quotidiennes du SGDSN au service du Président de la République et du premier ministre sur l'ensemble des sujets relevant de la sécurité nationale et de la défense. La croissance exponentielle du nombre d'intrusions informatiques contre les infrastructures nationales a conduit le Gouvernement en 2009 à créer une agence nationale de la sécurité des systèmes d'information (Anssi) qui m'est rattachée et est chargée de répondre aux attaques contre les administrations de l'État, mais aussi désormais contre les opérateurs d'importance vitale (OIV) et les entreprises indispensables à notre stratégie de sécurité nationale.
Le SGDSN est structuré autour de deux directions consacrées d'une part à la protection et à la sécurité de l'État (PSE) et d'autre part aux affaires internationales, stratégiques et technologiques (AIST). Elle comporte une agence, l'Anssi et assure la tutelle de deux établissements publics de formation : l'institut des hautes études de défense nationale (IHEDN) et l'institut national des hautes études de la sécurité et de la justice (INHESJ).
Le SGDSN est d'abord un outil au service du gouvernement pour le traitement des sujets sensibles en matière de défense et de sécurité nationale. Il assure ainsi le secrétariat du Conseil de défense et de sécurité dans toutes ses formations. Cette instance présidée par le Président de la République est compétente sur la programmation militaire, la politique de dissuasion, la programmation de sécurité intérieure, la sécurité économique et énergétique, la lutte contre le terrorisme ou la planification de réponse aux crises. Au cours des douze derniers mois, elle a notamment préparé les travaux permettant de valider le Livre blanc de la défense et de la sécurité nationale et le projet de loi de programmation militaire. Ce conseil dans sa formation restreinte a examiné les orientations à prendre pour la conduite des crises diverses, comme celles du Mali, de la Syrie ou de la République centrafricaine. Il comporte deux formations spécialisées qui traitent de sujets spécifiques avec une composition adaptée : le Conseil des armements nucléaires et le Conseil national du renseignement.
Le SGDSN dispose d'une capacité d'analyse et de synthèse, de veille, d'alerte et d'appui à la décision relatives aux questions de sécurité internationale afin de répondre à des demandes du cabinet du Premier ministre ou de la présidence de la République. Sa direction AIST suit les conflits et les crises internationales susceptibles d'affecter les intérêts français, en particulier ceux dans lesquels nos forces sont engagées et anime des groupes interministériels d'analyse sur des sujets tels que les crises affectant le monde arabe, l'Iran ainsi que les zones sahélo-saharienne et afghano-pakistanaise. En fonction de l'actualité, elle peut être sollicitée pour produire des synthèses sur l'évolution de la situation de certains théâtres d'opération, comme depuis janvier 2013 avec la diffusion régulière d'une synthèse de la situation au Sahel. Elle assure la coordination interministérielle sur des questions d'ordre stratégique, telles que le terrorisme, la défense anti-missiles balistiques, le développement du recours aux entreprises de services de sécurité et de défense, la protection des navires dans les zones à risques. Elle est chargée sur ces dossiers de proposer au Président de la République et au gouvernement des orientations et arbitrages.
Le SGDSN assure aussi une veille scientifique et technique permanente dans les domaines nucléaire, radiologique, biologique, chimique et relatif aux explosifs (NRBCE), ainsi que dans le domaine des missiles et le domaine spatial. Il coordonne ou concourt activement aux actions interministérielles portant sur la lutte contre la prolifération, la protection du potentiel scientifique et technique de la Nation, la sécurité du programme européen de navigation par satellite Galileo et le contrôle des images spatiales. Il coordonne des études en matière de lutte contre la prolifération des armes de destruction massive et de leurs vecteurs et produit des documents de synthèse sur les dossiers d'actualité, tels que l'Iran, la Syrie et la Corée du nord. Il assure le secrétariat du comité interministériel pour l'application de la convention sur l'interdiction des armes chimiques (Ciac) et coordonne les travaux portant sur la biologie de synthèse. Il coordonne la réponse nationale à l'initiative internationale Proliferation Security Initiative (PSI), consistant à échanger entre pays membres des informations sur des transits par voie maritime de cargaisons proliférantes et à faciliter leur interception. Celles-ci se multiplient : huit affaires d'interception de biens proliférants ont été menées dans ce cadre depuis l'été 2012.
La France dispose d'une importante base industrielle et technologique de défense qui contribue à la préservation de notre souveraineté, participe à la croissance économique et représente des dizaines de milliers d'emplois. L'exportation de matériels de guerre est soumise à une procédure d'autorisation préalable par décision du Premier ministre - ou du SGDSN par délégation - après avis de la commission interministérielle pour l'étude des exportations de matériels de guerre (CIEEMG), dont le SGDSN assure le secrétariat tout en construisant une doctrine dans ce domaine. Le dispositif de contrôle des exportations de matériels de guerre découlant de la loi du 22 juin 2011 évolue : l'année prochaine, un système simplifié de licence unique d'exportation et de transferts intracommunautaires remplacera le mécanisme actuel. Par ailleurs et conformément aux conclusions du Livre blanc de 2013, le SGDSN contribue à une réflexion plus générale sur le renforcement du contrôle des exportations de biens et technologies à double usage et participe à la totalité des commissions interministérielles des biens à double usage (CIBDU). La France a obtenu, dans le cadre de l'arrangement de Wassenaar, que les outils de surveillance et de contrôle de l'internet soient soumis à autorisation avant leur exportation, comme les matériels d'interception des communications téléphoniques mobiles depuis 2011.
Le SGDSN contribue ensuite à la politique de sécurité nationale. Il procède à la rénovation des plans de protection de la famille Pirate - dont le plan Vigipirate de lutte contre le terrorisme - dans la continuité du travail engagé en 2012, pour aboutir fin 2013 à un nouveau plan Vigipirate qui gardera les principes qui font la force du plan actuel mais qui sera rendu plus efficace par une meilleure visibilité. Une grande partie du plan, aujourd'hui classifié, devrait ainsi être rendue public. Le pilotage des postures de protection sera également amélioré par une caractérisation plus fine des menaces terroristes et des vulnérabilités. Dans les deux ans à venir, les autres plans d'intervention de la famille Pirate - Pirate-air, Pirate-mer, Piranet - seront révisés, à l'exception du plan NRBC qui date de 2011.
Le premier ministre a confié en août dernier au SGDSN une mission relative à la mise en oeuvre d'une stratégie nationale de prévention de la radicalisation, visant à identifier et réduire les vulnérabilités des individus et des groupes face aux idées radicales de toute nature pouvant déboucher sur l'action violente. Lancés début septembre, les travaux associent l'ensemble des ministères concernés et permettent une analyse des dispositifs existants en les comparant avec les initiatives étrangères.
L'organisation gouvernementale de gestion de crise a été consolidée ; la professionnalisation de ses acteurs a été engagée depuis 2012 par des exercices majeurs rénovés et des entrainements spécifiques permettant de former les personnels armant la cellule interministérielle de crise (CIC). Les premiers effets positifs de ce programme global de professionnalisation ont pu être mesurés lors des derniers exercices majeurs, ainsi qu'au travers du bon fonctionnement de la CIC lors des dernières crises, à l'exemple de l'épisode neigeux de l'hiver 2012-2013. Le SGDSN a poursuivi son action de développement d'une culture d'anticipation des crises au sein des ministères.
La gestion de crise s'accompagne d'un renforcement de la résilience qui doit être perçue à la fois comme un objectif (renforcer la cohésion et la solidité de la Nation face aux risques et menaces) et comme une méthode (mobiliser tous les acteurs). Pour atteindre ce double objectif, le SGDSN a initié en 2012 les travaux visant à instaurer une politique nationale de résilience qui s'appuie sur le dispositif de sécurité des activités d'importance vitale, ainsi que sur des actions complémentaires permettant d'améliorer la continuité des activités indispensables à la nation. Il a ainsi publié un guide d'aide à l'élaboration des plans de continuité d'activité à destination des administrations, des collectivités et des entreprises.
Le contrat général interministériel créé par le Livre blanc déterminera, dans une perspective de programmation budgétaire, les capacités critiques des ministères civils et leur niveau d'engagement dans la réponse aux crises majeures. Cette démarche sera prolongée à l'horizon 2016 sous l'autorité du ministre de l'intérieur par une planification territoriale.
Le SGDSN a préparé la mise en place du comité de la filière industrielle de sécurité (Cofis), qu'installera ce soir le Premier ministre. Rassemblant onze ministres, vingt et un présidents-directeurs généraux de sociétés, cinq présidents de groupements industriels et dix-neuf personnalités qualifiées, dont des représentants de la recherche académique, la présidente de la commission informatique et liberté (Cnil) et plusieurs parlementaires, le Cofis définira les besoins et les orientations de la filière : à la différence de l'industrie de défense, qui n'a qu'un seul client, l'État, l'industrie de la sécurité n'a jamais fait l'objet d'une planification. Nos forces font dès lors leurs achats bien souvent sur étagère, et parfois au profit de fournisseurs étrangers.
Le Livre blanc sur la défense et la sécurité nationale marque une nouvelle étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité. La France doit faire face à l'espionnage et au sabotage - encore peu présent, mais auquel il faut se préparer. Les dispositions de la loi de programmation militaire font écho à cette préoccupation.
L'Anssi, quant à elle, a la responsabilité de conduire ou de coordonner l'ensemble des actions destinées à prévenir les attaques contre les systèmes d'information et à réagir en cas d'atteinte à leur disponibilité ou à leur intégrité. Son action s'exerce principalement au profit de l'État, mais également des opérateurs d'importance vitale du secteur public et privé. Elle est chargée, dans son champ de compétences, d'élaborer la stratégie de l'État et de développer et d'entretenir la coopération internationale. Cette stratégie nationale partiellement couverte par le secret de la défense nationale se fixe pour objectifs la protection de l'information de souveraineté de l'État, la sécurisation des systèmes d'information des entreprises les plus sensibles et le positionnement de la France comme nation majeure en matière de cyberdéfense. Elle protège ainsi les systèmes d'information de l'État et des OIV et assure la sécurité des communications du Président de la République et du gouvernement ; elle coordonne l'action gouvernementale en cas d'attaque ou de compromission des systèmes et prend la main en cas d'attaque majeure. Elle donne des instructions aux opérateurs conformément à la loi de programmation militaire et mobilise des groupes d'intervention rapide.
En 2012, l'Anssi a traité 27 cyberattaques majeures visant des administrations ou des grandes entreprises nationales ; ses effectifs étaient insuffisants pour traiter toutes les attaques dont elle a eu connaissance. Elle héberge le centre d'alerte et de réaction aux attaques informatiques (CERT), qui est alerté sur des incidents, analyse les codes malveillants, rédige des synthèses des incidents traités et propose le cas échéant des mesures générales de prévention. Le CERT a reçu en 2012 plus de 700 signalements mais n'a pu - ou pas voulu, car certains s'avèrent anodins - en traiter que 70.
La loi de programmation militaire représente une avancée sur la sécurisation des entreprises appartenant aux secteurs d'activité d'importance vitale. Le renforcement de la sécurité des systèmes d'information passe aussi par la labellisation de produits et de services et par le maintien d'un tissu industriel de confiance. Nous encourageons ainsi des PME, dont certaines sont des perles technologiques en matière de cyberdéfense et auxquelles nous déléguons des activités. L'agence apporte aussi son expertise technique dans le cadre des investissements d'avenir et est consultée par la direction générale du trésor lorsque des demandes d'autorisation d'investissements étrangers concernent des entreprises du secteur de la sécurité des systèmes d'information.
L'Anssi mène une politique de communication de plus en plus active en direction des administrations de l'État, des entreprises et même du grand public. À travers son centre de formation à la sécurité des systèmes d'information (CFSSI), elle forme des acteurs publics à ces questions.
L'accomplissement de l'ensemble de ces missions suppose de disposer de personnels très compétents - c'est le cas - et d'un budget préservé. Ce dernier est globalement de 195 millions d'euros de crédits de paiement, y compris le titre II, dont une soixantaine de millions sont transférés au ministère de la défense pour des projets interministériels. Le budget de l'Anssi bénéficie de la montée en puissance de la politique de lutte contre les cybermenaces, tandis que celui du reste du SGDSN tend plutôt à la baisse. Ce dernier dispose d'un service d'administration générale capable de répondre aux multiples sollicitations liées à la multiplicité des statuts et des personnels militaires ou civils, fonctionnaires ou contractuels, et qui a géré 220 embauches en 2013.
La croissance rapide de l'Anssi implique une augmentation du titre II. Le Livre blanc fixe un effectif cible de 500 agents en 2015 ; le projet de loi de finances prévoit 65 équivalents temps plein supplémentaires en 2014 pour arriver à 422 à la fin de l'année. L'objectif du Livre blanc implique 110 embauches par an, soit le tiers de son effectif. Or la ressource devient rare et chère ; nous avons passé un gentleman agreement avec le ministère de la défense, mais la concurrence avec le secteur privé est ardue. Pourtant la bonne image de l'Anssi lui permet de recruter. Elle embauche en général des jeunes sortis d'école qui iront ensuite irriguer le secteur privé en constituant des relais efficaces de la politique de cybersécurité.
Le SGDSN hors ANSSI, dont les missions ne cessent de s'approfondir et de se renforcer depuis deux Livres blancs, respecte la discipline budgétaire générale et contracte ses effectifs : il comptera 207 agents à la fin de 2014. Il applique les mêmes règles aux établissements placés sous sa tutelle. Il alloue par transfert budgétaire une part importante de son budget d'investissement à des opérations conduites par la Direction générale de la sécurité extérieure (DGSE) ou la DGA. Il est maître d'ouvrage des réseaux de communication gouvernementaux sécurisés. Le renouvellement quasi simultané de l'intranet sécurisé interministériel pour la synergie gouvernementale (ISIS) et du réseau interministériel de base uniformément durci (RIMBAUD) devrait donner lieu à des engagements importants en 2016. Au sein du centre de transmissions gouvernemental (CTG), des investissements particuliers couvrent le développement des moyens de communication du Président de la République, notamment le système embarqué dans l'avion à usage gouvernemental. Les plafonds de crédits révisés s'élèvent à 64,1 millions d'euros d'autorisations d'engagement et 70,5 millions d'euros de crédits de paiement. Ils seront ajustés l'année prochaine dans le cadre des travaux sur le budget triennal 2015-2017.