Intervention de Francis Delon

Merci. Je vous avais apporté en avant-première, en juillet dernier, un certain nombre d'informations sur l'élaboration de la loi de programmation militaire (LPM).

Je suis aujourd'hui en mesure d'être plus précis et concentrerai mon propos sur la sécurité des systèmes d'information, le renseignement et la création d'une plateforme dite « Passenger name record » (PNR), les sujets liés à la programmation militaire relevant plutôt, me semble-t-il, du ministre de la défense et de ses services. Je répondrai toutefois à vos questions si vous en avez...

En premier lieu, le président Carrère et les vice-présidents Reiner et Gautier, membres de la commission du Livre blanc, savent combien la sécurité des systèmes d'information nous a occupés lors des travaux menés dans le cadre de cette commission. Les dispositions que je vais vous présenter reprennent pour l'essentiel celles que nous vous avions présentées en juillet avec Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

Au préalable, je souhaite vous rappeler en quelques mots les cybermenaces auxquelles nous sommes confrontés...

L'espionnage tout d'abord. Les informations visées peuvent être de nature politique, militaire, diplomatique ou économique lorsqu'un État est visé, technologiques, commerciales ou financières lorsque l'attaque cible certains acteurs publics ou des entreprises. La situation que nous observons est préoccupante. L'espionnage, souvent d'origine étatique, est massif. En matière industrielle, il atteint tous nos secteurs de souveraineté. Or ce n'est qu'une fois l'attaque réussie et le pillage accompli que les entreprises victimes comprennent la nécessité de renforcer la sécurité de leurs systèmes d'information. Nous ne voulons pas attendre que toutes nos entreprises se rendent compte au moins une fois d'une atteinte grave à leur compétitivité avant de réagir, d'où le choix du Gouvernement de proposer des mesures appropriées au Parlement. Les efforts déployés doivent aussi contribuer à protéger la compétitivité de nos entreprises nationales.

Le deuxième objectif possible pour un attaquant est la déstabilisation. L'attaque est alors médiatisée. Il s'agit de messages de propagande ou d'hostilité, placés sur des sites internet mal protégés, à l'occasion d'un conflit, armé ou non, ou bien même d'une décision politique qui suscite la controverse. On se souvient par exemple du black-out de l'internet estonien en 2007, qui a privé ce pays de l'accès aux services bancaires et à l'administration en ligne.

Le troisième objectif possible est le sabotage. L'attaquant cherche alors à perturber le fonctionnement d'installations connectées aux réseaux de communications électroniques. Il peut s'agir d'un service bancaire, d'un château d'eau de l'une de nos communes, d'une centrale de production d'énergie. L'exemple le plus frappant nous est donné par le virus informatique Stuxnet, qui a perturbé le fonctionnement des centrifugeuses de la centrale de Natanz, en Iran, détruisant un millier d'entre elles et retardant ainsi le programme nucléaire iranien.

Les précisions sur le cyberespionnage figurant dans le rapport de la société de sécurité informatique américaine Mandiant confirment le caractère méthodique d'un pillage systématique effectué à distance par des unités militaires. Depuis quelques mois, les révélations quasi quotidiennes issues des documents de l'ex-consultant en sécurité de la National security agency (NSA), Edward Snowden, montrent l'ampleur de l'espionnage et les moyens considérables qui y sont alloués...

Si les protestations diplomatiques et politiques sont indispensables et pleinement justifiées, elles ne sont pas suffisantes pour nous protéger. Il est urgent de renforcer de manière significative la sécurité des systèmes d'information de nos opérateurs les plus importants.

Les dispositions proposées dans le chapitre III du projet de loi, ont deux objectifs.

Le premier objectif est politique. Il est l'affirmation de la nature interministérielle et stratégique de la sécurité et de la défense des systèmes d'information. Le Livre blanc a placé les cyberattaques parmi les menaces majeures auxquelles nous sommes exposés. Et à travers l'Agence nationale de la sécurité des systèmes d'information qui m'est rattachée, je suis témoin, au quotidien, de la réalité de cette menace, qui vise et touche tant le gouvernement et les administrations que les entreprises.

Le Parlement est également exposé, comme l'a montré l'attaque en déni de service dont a été victime le site internet de la Haute assemblée fin 2011.

Il s'agit ici de donner un signe à tous les acteurs concernés, y compris à ceux qui nous attaquent, de notre volonté collective de faire face à cette menace en adaptant notre droit, notre organisation et nos moyens.

Le second objectif découle du premier. Il s'agit d'accroître de manière sensible le niveau de sécurité des systèmes d'information les plus critiques pour la Nation.

J'en viens maintenant aux détails des dispositions qui vous sont proposées...

L'article 14 du projet de loi insère deux articles dans le chapitre consacré à la sécurité des systèmes d'information du code de la défense. Il précise les responsabilités du Premier ministre, qui a la charge de la définition de la politique en matière de défense et de sécurité des systèmes d'information, et coordonne à ce titre l'action gouvernementale.

Le Premier ministre dispose de l'agence nationale de sécurité des systèmes d'information (ANSSI) pour l'assister dans cette mission ; elle est chargée 24 heures sur 24 de prévenir et de réagir aux attaques contre nos infrastructures les plus importantes. Rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), son domaine d'intervention, initialement centré sur les administrations et les organismes dépendant de l'Etat s'est rapidement élargi aux opérateurs d'importance vitale (OIV) et aux entreprises indispensables à notre stratégie de sécurité nationale.

L'article 14 a aussi une vocation opérationnelle et politique.

Opérationnelle, car il faut mettre un terme à la situation actuelle dans laquelle l'attaquant a tous les droits et ceux qui sont chargés de la défense, à peu près aucun. L'attaquant a généralement l'avantage sur le défenseur. Les agents de l'État chargés de la sécurité et de la défense des systèmes d'information doivent être en mesure d'utiliser toutes leurs capacités pour mieux appréhender la nature et l'ampleur d'une attaque, en prévenir et en atténuer les effets, ou la faire cesser lorsque les circonstances l'exigent.

Il est arrivé que, dans le cadre du traitement d'une attaque informatique en cours contre un fleuron de notre industrie, les ingénieurs de l'ANSSI soient en mesure de collecter des informations susceptibles d'anticiper les mouvements de l'attaquant. Ils auraient dû, pour cela, accéder au système d'information utilisé par l'attaquant. Ils ne l'ont pas fait : une telle intrusion aurait été illégale.

Dans l'état de notre législation, les agents de l'ANSSI comme ceux du ministère de la défense ou d'autres administrations de l'État compétentes, ne sont pas autorisés par la loi à effectuer toutes les opérations techniques qui leur permettraient d'être pleinement efficaces dans leurs actions. Ainsi, le code pénal prohibe-t-il de manière générale la pénétration de systèmes de traitement automatisé de données.

Le projet de loi vise donc à rétablir une forme d'équilibre, en permettant au défenseur d'accéder aux systèmes d'information participant à l'attaque, d'en collecter les données disponibles et, en tant que de besoin, de mettre en oeuvre des mesures visant à neutraliser les effets recherchés par l'attaquant qui « porte atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation ».