Monsieur le Président, Mes chers collègues, comme vous le savez, c'est l'année dernière que notre commission a décidé pour la première fois de se prononcer par un avis budgétaire sur le programme 129 de la mission « Direction de l'action du Gouvernement », qui relève du Premier ministre. C'est donc cette année pour la première fois que nous pourrons porter -si le Sénat vote la 1ère partie de la loi de finances cet après-midi !- la voix de la commission en séance sur ce sujet lors de l'examen de ces crédits le 5 décembre. Car ce programme comprend une action « Coordination de la sécurité et de la défense » où sont inscrits les crédits du Secrétariat général de la défense et de la sécurité nationale (SGDSN), de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), mais aussi de l'Institut des hautes études de la défense nationale (IHEDN) et de l'Institut national des hautes études de la sécurité et de la justice (INHESJ), soit au total 293 millions d'euros, dont la plus grosse part revient à l'ANSSI et au SGDSN.
Il était donc important que notre commission, notamment dans le prolongement de nos travaux sur la cyberdéfense, se prononce, et je saisis cette occasion pour remercier la commission et son président de nous avoir désignés comme co-rapporteurs.
Comme vous le savez, notre commission a beaucoup contribué, d'abord par le rapport précurseur de notre ancien collègue Romani, qui a permis de poser dans le Livre blanc de 2008 des bases solides, puis par notre rapport d'information de juillet 2012, adopté à l'unanimité, à la prise en compte de la faiblesse des moyens et des effectifs consacrés en France à la cyberdéfense, par rapport non seulement à ceux de nos principaux partenaires européens, mais aussi par rapport à l'augmentation très vive de la menace et à l'extension continue de son champ, qui au-delà d'Internet et de la bureautique, touche désormais aux systèmes industriels. L'une de nos principales recommandations visait à augmenter les moyens et les effectifs de l'ANSSI, qui ne comptait que 100 personnes à sa création en 2009. Or, l'actualité ne cesse de nous rappeler l'importance d'assurer la protection des systèmes d'information les plus sensibles face aux attaques informatiques, qu'il s'agisse d'espionnage massif, d'actions de déstabilisation, voire carrément de sabotage : la réalité dépasse toujours la fiction ! Cela vaut naturellement pour l'Etat mais aussi pour les opérateurs d'importance vitale, opérant dans des secteurs comme l'énergie ou les transports. C'est un secteur dans lequel avec peu de moyens, on peut faire des dégâts immenses.
La cyberdéfense a été consacrée comme l'une des premières priorités par le Livre blanc et la Loi de programmation militaire de 2013 qui ont programmé une augmentation régulière des moyens et des effectifs de l'ANSSI, des armées et de la DGA consacrés à la cyberdéfense.
En particulier, les effectifs de l'ANSSI vont atteindre 500 agents en 2015, et 600 en 2017, soit une moyenne de 50 recrutements par an. La sensibilisation des ministères continue, et une circulaire du Premier ministre de juillet 2014 a fixé des règles de protection des systèmes d'information dans une « Politique de sécurité des systèmes d'information de l'Etat ». Même si je dois avouer devant vous que la prise de conscience et les moyens consacrés varient du tout au tout, entre le ministère de la défense, très mobilisé avec son état-major cyber, son « pacte cyber » et ses exercices « Defnet » et certains autres ministères, -je ne parle pas du ministère de l'économie et des finances qui a subi une attaque en 2011 et découvert à cette occasion qu'il fallait se prémunir- qui en sont à peine à la prise de conscience. Oui, il y a des risques par exemple dans le domaine de la santé : et pas que pour la protection du secret des données médicales ! Il suffit de dire -simple exemple- que les instruments de radiologie, par exemple, sont opérés via des applications Internet, pour le mesurer !!! On progresse, mais lentement, car les moyens sont sous contrainte, et la sécurité informatique peine parfois à émerger comme une priorité.
La France est aussi le premier pays au monde à s'être dotée d'un cadre juridique contraignant pour les opérateurs d'importance vitale. De nouveaux pouvoirs ont été confiés à l'ANSSI par la loi de programmation militaire, avec une obligation de notifier les incidents informatiques importants ou l'obligation de réalisation d'audits réguliers. Il s'agit d'un changement majeur : jusqu'alors, l'ANSSI avait un rôle essentiellement de conseil et d'alerte. Désormais, elle dispose de pouvoirs d'action étendus. Il s'agit de la défense de nos intérêts économiques.
Comme l'a confirmé lors de son audition le directeur de l'ANSSI, des arrêtés sectoriels (publics ou classifiés), en préparation, préciseront les obligations des opérateurs. Guillaume Poupard nous a confirmé qu'ils seront publiés, pour l'essentiel, courant 2015, même si c'est un travail important à réaliser. Les arrêtés prendront en compte la spécificité de chaque secteur voire de chaque sous-secteur et, dans certains cas même, de l'opérateur lui-même. Les premiers groupes de travail dédiés à la préparation de ces règles de sécurité ont été lancés mi-octobre 2014 pour les secteurs de l'énergie (électricité et gaz) et des communications électroniques. Je tiens à souligner que la démarche me paraît intelligemment menée : pour ne pas obérer la compétitivité de nos entreprises, les règles envisagées sont discutées avec les opérateurs, et elles seront, dans toute la mesure du possible, complémentaires et cohérentes avec les obligations préexistantes, notamment dans le code des communications électroniques. Je me félicite donc que nos préconisations aient été suivies d'effets, malgré un contexte budgétaire difficile et un vivier de recrutement assez limité en raison du manque d'ingénieurs formés : cela vaut pour la DGA, l'ANSSI, le ministère de la défense et les opérateurs d'ailleurs ; la pénurie se profile d'ici deux ans si nous n'accentuons pas notre effort de formation dans ce domaine. Nous avons vraiment, avec l'ANSSI, un beau modèle « à la française », qui me parait efficace.
Je mentionne rapidement le « plan 33 » qui vise à constituer une filière industrielle d'entreprises de confiance, groupes mais aussi PME (je ne parle pas du mal français qui veut qu'une PME ait le choix entre se faire racheter ou disparaitre !) et qui est soutenu par l'ANSSI : nous avons déjà eu l'occasion de l'évoquer à la commission, il s'agit d'un acte de politique industrielle fort, dans un secteur où notre pays a beaucoup d'atouts et d'entreprises innovantes. C'est un potentiel d'emplois et de développement industriel.