Je suis très heureux de cette audition diligentée par votre commission pour la deuxième année consécutive - la première fois pour moi depuis ma récente nomination. Elle est l'occasion d'un examen des crédits du SGDSN figurant dans le projet de loi de finances 2015 au programme 129 des services du Premier ministre. Le SGDSN est une institution qui a peu souvent l'occasion de s'exprimer publiquement sur ses missions. Je vous remercie donc de l'opportunité que vous m'offrez de le faire aujourd'hui.
J'ai trouvé en prenant mes fonctions une administration en bon ordre de marche, et je veux tout d'abord rendre hommage à mon prédécesseur Francis Delon, qui a présidé pendant 10 ans aux destinées du SGDSN. Le SGDSN, administration sans histoire quoiqu'au coeur de l'Etat, est insuffisamment connu du public. Peut-être faut-il en chercher la raison dans une certaine culture du secret, nécessaire à la réalisation et à la nature de ses missions. Le SGDSN agit en appui de la prise de décision politique : ses travaux n'ont pas forcément vocation à être portés sur la place publique. D'un autre côté, il lui faut aussi s'adapter aujourd'hui à certaines exigences de transparence, inhérente à la vie démocratique, et aux légitimes demandes de nos concitoyens d'évaluer mieux la performance des services de l'Etat. La Cour des comptes a d'ailleurs engagé ce mois-ci un contrôle de l'Agence nationale de sécurité des systèmes d'information, (ANSSI), rattachée au SGDSN, et l'Inspection générale des finances doit rendre prochainement ses conclusions sur l'organisation des services du Premier ministre dont fait partie le SGDSN. Autrefois concentré sur son travail de coordination ministériel, le SGDSN doit aussi aujourd'hui veiller à l'élargissement d'une culture de protection et de prévention, par exemple en matière de sécurité informatique qui touche non seulement les services de l'Etat, mais au-delà les opérateurs privés, et également nos concitoyens. Ainsi, le futur plan « Ebola », ou le récent plan « Vigipirate » rénové ont vocation à être largement diffusés et connus du public : nous avons d'ailleurs déclassifié la grande majorité des mesures du plan Vigipirate à cette fin.
Le SGDSN a trois missions principales : d'abord un rôle de veille et d'alerte, pour ainsi dire de vigie, face aux menaces et aux risques. Ensuite, un rôle de « notaire public », à la fois conseil et rédacteur des décisions prises par l'Exécutif en matière de défense et de sécurité nationales. Enfin, un rôle d'opérateur, qu'il s'agisse de la gestion des habilitations, et des documents classifiés, des communications gouvernementales, ou encore de la sécurité des systèmes d'information cyberdéfense avec l'ANSSI.
Le SGDSN est organisé en quatre pôles, deux sont constitués en directions d'administration centrale : protection et sécurité de l'Etat (PSE) ; affaires internationales et stratégiques (AIST) ; un pôle est érigé en service à compétence nationale, l'ANSSI ; et deux établissements publics sont placés sous sa tutelle : l'Institut des hautes études de la défense nationale (IHEDN) et l'Institut national des hautes études de sécurité et de justice (INHESJ). S'y ajoute un service d'administration générale, qui assure le soutien ou le suivi administratif de cet ensemble.
Au sein du programme 129, les crédits prévus en 2015 s'élèvent à environ 243 millions d'euros en crédits de paiement, dont 94 millions sont transférés à la défense pour financer des programmes interministériels, notamment le renforcement des capacités techniques d'interception, de chiffrage et de décryptement. Par ailleurs, le budget du SGDSN porte les 17 millions, correspondant aux subventions affectées aux deux instituts précités. En termes de moyens humains, le nombre de postes en équivalents temps pleins s'élève à 850 personnels, dont à partir de cette année, 184 personnels affectés au centre de transmission gouvernementale (CTG) rattachés au SGDSN.
Ce budget 2015 est marqué par trois faits notables :
- la poursuite du plan de renforcement des moyens de l'ANSSI, qui disposera fin 2015 d'un effectif de 500 personnes, ce qui situera cette agence à un niveau, certes en deçà des moyens britanniques et américains mais comparable aux moyens allemands ;
- l'intégration du centre de transmission gouvernemental déjà mentionnée ;
- la contraction légère prévue au plan triennal des moyens du SGDSN et des deux instituts sous tutelle.
Avec les crédits budgétaires et les personnels qui lui sont rattachés, le SGDSN est en mesure d'exercer correctement les compétences et les responsabilités qui lui sont confiées. La direction protection et sécurité de l'Etat est chargée du suivi des crises, de la préparation des plans gouvernementaux et de l'organisation de l'Etat en temps de crise. En son sein, un bureau spécifique fonctionnant 24h/24 est relié à l'ensemble des cellules de crise dans tous les ministères et il les alimente de notes de situation et de synthèse. Il a ainsi permis de diffuser des informations aux administrations centrales et décentralisées lors de l'intervention au Mali, de l'accident de la Malaysian Airlines ou encore au sujet de l'épidémie Ebola. J'envisage de réaliser un audit de satisfaction des organismes abonnés à ce service pour mieux répondre à leurs attentes et éventuellement d'en étendre la diffusion aux opérateurs qui ne sont pas aujourd'hui destinataires de nos productions, ainsi qu'aux services déconcentrés de l'État. La direction PSE contribue également à l'élaboration des projets de loi et des textes réglementaires dans le domaine de compétence du SGDSN : la récente loi anti-terrorisme, la mise en application de la loi de programmation militaire s'agissant de la cyberdéfense, la problématique du contrôle des services de renseignement, ou encore la question du fichier PNR (Passengers Name Record) dont l'un des décrets est publié et l'autre est en cours de validation interministérielle. Cette direction a enfin une mission générale d'actualisation de la planification, qu'il s'agisse de l'importante réforme de Vigipirate, conduite en 2014, - dont il faudra sans doute adapter la mise en oeuvre car, des préfets, remonte un besoin de meilleur croisement de l'information et des instructions, au niveau du département - ou de la préparation actuelle, à partir du plan de pandémie grippale de 2011, d'un plan interministériel de lutte contre la fièvre Ebola. Le SGDSN a également pour mandat de réfléchir à l'évaluation des vulnérabilités face aux récents survols de drones au-dessus des centrales nucléaires. Face à la multiplication des intrusions, il est en train d'élaborer une réponse, tant juridique que capacitaire.
Le deuxième pôle, l'ANSSI, exerce, outre une fonction de veille permanente, un rôle décisif dans l'élaboration des normes en matière de cyberdéfense. Cette agence développe aussi un grand nombre d'outils et de procédés techniques permettant de détecter et de corriger les vulnérabilités des systèmes informatiques. Une visite de l'ANSSI vous permettrait de découvrir que le profil des salariés de l'agence est caractérisé par l'expertise et la jeunesse. L'âge moyen des personnels de l'ANSSI est de 28 ans. Au-delà de son assistance aux administrations de l'État, pour secourir leurs systèmes informatiques, l'Agence a développé un dialogue avec les opérateurs d'importance vitale sur lesquels repose aussi le bon fonctionnement des services publics et de l'économie. Le rôle crucial de l'ANSSI s'exerce non seulement auprès des administrations (avec le déploiement par exemple du réseau crypté ISIS) mais aussi des opérateurs, il s'étend en outre au développement d'une véritable culture de sécurité informatique dans la société - en formant par exemple 1400 stagiaires cette année. L'ANSSI a aussi des fonctions de représentation internationale - je pense notamment à l'Union européenne et à l'OTAN - Ce n'est donc pas une agence purement technique. L'ANSSI a une responsabilité de coordination interministérielle et d'encadrement normatif, ce qui justifie pleinement son rattachement au Premier Ministre.
Le troisième pôle, affaires internationales et stratégiques, assure comme les deux autres, des missions de veille, de coordination et de contrôle. AIST effectue des synthèses de situation sur les grandes crises internationales (Libye, Mali, Syrie, Irak...), cette direction suit les négociations en matière de prolifération nucléaire (Iran...), ainsi que la mise en oeuvre des grands traités de désarmement, comme par exemple la convention internationale d'interdiction des armes chimiques ou la participation à la coordination des signalements concernant la prolifération. Cette direction assure le pilotage de notre politique d'exportation d'armement et actualise en ce moment les « directives de haut niveau » qui servent de cadre méthodologique aux décisions proposées à l'exécutif, par la commission interministérielle pour l'étude des exportations de matériels de guerre, la CIEEMG. Ce travail très important doit concilier deux impératifs : ne pas entraver les activités industrielles tout en veillant à ce que l'exportation de matériels sensibles ne constitue pas une menace pour la paix et la sécurité de notre pays. Le CIEEMG tient 17 réunions plénières par an, a traité environ 7 000 dossiers ces 18 derniers mois, soit un flux mensuel de 400 autorisations. Grâce à la réforme que vous avez votée en 2011, le nouveau dispositif de contrôle a été mis en place, avec de nouvelles procédures de licences, rénovées, et des moyens informatiques modernisés favorisant la dématérialisation des traitements.
La dernière mission du SGDSN est d'exercer la tutelle de l'Institut des hautes études de la défense nationale, l'IHEDN et de l'Institut national des hautes études de la sécurité et de la justice, l'INHESJ, deux instituts qui ont pour vocation de former et sensibiliser respectivement aux questions de défense, de sécurité et de justice. L'IHEDN, au travers de ses sessions nationales, régionales et jeunes, touche chaque année 2 000 personnes. L'INHESJ, par ses sessions et ses séminaires, sensibilise 1 200 personnes chaque année. Chacun des deux instituts bénéficiera de 9 à 10 millions d'euros de budget en 2015.