Intervention de Guillaume Poupard

L'article 22 de la loi de programmation militaire fait que la France est le seul pays qui protège, par la loi, les opérateurs d'importance vitale, en imposant la mise en place des règles de sécurité définies par l'ANSSI, la remontée d'informations de la part des victimes d'attaques afin de donner l'alerte, de voir s'il y a d'autres attaques simultanées et de les aider à y répondre. Cet article permet également à l'ANSSI d'effectuer des contrôles sur les opérateurs en vue de vérifier que les moyens de sécurisation sont réellement mis en place et là, nous sommes dans le domaine règlementaire. Enfin cet article nous permet, en cas de crise majeure, comme celle subie par l'Estonie en 2007 avec une paralysie du pays, de donner des consignes strictes aux opérateurs afin de limiter, dans l'urgence, les conséquences de ces attaques. S'agissant du calendrier, nous sommes en « courte finale » pour les décrets d'application. Dans les différents domaines comme le transport, la défense, il y en a environ 18, nous allons définir des règles de sécurité et les différentes modalités d'application de la loi en coopération avec les opérateurs. L'ANSSI définit avec les différents opérateurs des règles applicables et soutenables, notamment sur le plan humain et financier. Ce travail est à même de rassurer les opérateurs qui voient que l'on travaille à leur sécurité en même temps qu'à celle de la Nation. Les arrêtés fixant ces règles sortiront au fil de l'eau en 2015. C'est un gros travail, mais je suis optimiste sur son issue. Nous sommes le premier pays au monde à entreprendre cette démarche, mais cet article de loi suscite l'intérêt en Allemagne, qui rédige actuellement une loi en ce sens, et plus largement en Europe. En termes de diffusion de ces questions de cyber, nous nous sommes intéressés d'abord aux réseaux des ministères et de l'administration - et c'est toujours le cas -. L'article 22 a permis l'extension aux opérateurs d'importance vitale et donc aux entreprises privées, mais il va falloir aller plus loin et protéger toutes les cibles potentielles contre les attaques cyber, le domaine industriel et le domaine de la recherche. Le domaine croît de manière exponentielle et il va falloir y adapter nos moyens. On ne peut pas travailler avec les opérateurs d'importance vitale comme avec les PME. Nous avons un lien direct avec les opérateurs, alors que nous sommes davantage dans une démarche de conseils à l'égard des PME, auxquelles nous diffusons déjà des guides de bonnes pratiques et des conseils. Nous sommes également dans une stratégie de démultiplication de l'effort avec la qualification de prestataires privés capables de détecter des incidents et de sécuriser des réseaux. Nous créons ce faisant de nouveaux métiers liés à la cybersécurité, pour permettre aux gens de se défendre et de se trouver en situation de cybersécurité acceptable. Je signalerai que l'ANSSI n'est pas le seul acteur, c'est une démarche interministérielle. Nous avons des liens étroits avec le ministère de la défense, de l'intérieur, des affaires étrangères et de l'économie. S'agissant de la sécurité des ministères en général, il y a une très forte hétérogénéité dans le traitement des menaces informatiques. Le ministère de la défense est un des seuls à atteindre un niveau « mature ». Nous travaillons avec eux au quotidien, puisque leur centre opérationnel est co-localisé avec le nôtre. Des arbitrages devront être pris en termes d'allocation de ressources dans certains ministères car la cybersécurité a un coût. S'agissant du format, nous avons aujourd'hui les moyens de répondre à notre mission. Pour moi, ce sont les hommes qui comptent. Nous gérons le turnover mais nous n'avons pas de marge. S'agissant de la coopération, c'est un domaine de souveraineté. La matière à échanger est très sensible, si bien qu'elle prend plutôt la forme de liens bilatéraux dans lesquels peut s'installer une relation de confiance. Nous en avons par exemple avec le Royaume-Uni et nous y travaillons avec l'Allemagne. Il faut un intérêt à se défendre ensemble.