Intervention de Bruno Sido

sénateur, premier vice-président, rapporteur. - Mme Anne-Yvonne Le Dain et moi-même avons aujourd'hui le plaisir de vous présenter le projet de rapport sur le risque numérique dont vous nous avez confié l'élaboration.

C'est à partir d'une saisine de la commission des Affaires économiques du Sénat que nous avons entrepris une étude de faisabilité adoptée le 16 avril 2014.

Cette saisine faisait elle-même suite à une journée d'auditions publiques organisées conjointement par l'OPECST et la commission des Affaires étrangères et de la Défense du Sénat au mois de février 2013. Ce jour-là, l'audition publique avait été scindée en deux parties, l'une relative au risque numérique militaire et l'autre au risque numérique civil.

Nous comptions donc réaliser notre rapport en approfondissant la question du risque numérique civil mais il nous est rapidement apparu que, en matière de risque numérique, la distinction entre le civil et le militaire était artificielle compte tenu justement de la nature du numérique qui est présent partout.

Au terme d'une centaine d'auditions comprenant trois journées d'auditions publiques et des déplacements à Bruxelles et en province, notamment pour visiter le centre de haute sécurité de la Direction générale pour l'armement et le laboratoire de haute sécurité de l'INRIA, vos rapporteurs ont établi une douzaine de constats sur la situation de la sécurité numérique et procédé à des choix pour mener à bien leur étude.

Au début de celle-ci, nous avons pris soin de rencontrer le président de la commission des Affaires économiques du Sénat, M. Daniel Raoul, aujourd'hui de retour à l'OPECST ce dont nous nous réjouissons.

Nous lui avons indiqué que nous centrerions notre réflexion sur les opérateurs d'importance vitale, c'est-à-dire les entreprises dont le fonctionnement ne doit en aucun cas être interrompu, notamment du fait d'une défaillance de leur système d'information numérique.

Ces entreprises sont d'ailleurs soumises à des directives nationales de sécurité (DNS) qui leur imposent des obligations extrêmement précises. La loi de programmation militaire de 2013 les a renforcées.

L'angle d'attaque pour aborder l'étude à partir des opérateurs d'importance vitale s'est révélé intéressant pour le raisonnement mais conduisait aussitôt à replacer l'ensemble des activités desdits opérateurs dans la chaîne de sécurité qu'ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.

En outre, pour être tout à fait complet, au moment où le Gouvernement annonçait un ambitieux projet de loi sur le numérique, il n'a cependant pas attendu le dépôt de celui-ci pour prendre, d'une part, comme déjà indiqué, dans la loi de programmation militaire, en 2013, des initiatives relatives justement aux opérateurs d'importance vitale et, d'autre part, pour élaborer, au cours de l'été 2014, des mesures relatives à la sécurité numérique concernant les administrations.

Ce qui montre que le Gouvernement comme nous-mêmes avons été conduits à effectuer des analyses rigoureuses sur les différents secteurs pour finalement constater que tout se recoupe et que la sécurité numérique, voire la sécurité tout court, ne peuvent être assurées qu'à partir de mesures reliées entre elles.

Par quelque bout que l'on considère la question, il est impossible de ne pas voir dans les ramifications du numérique le système nerveux de la société et des individus qui la composent, d'où l'impossibilité de scinder artificiellement les préoccupations de sécurité en divers segments d'études.

C'est bien ce qu'ont vu, en premier, les attaquants des systèmes numériques. À l'heure où notre pays se trouve placé sous les dispositions du plan vigipirate à un très haut degré - dit « écarlate » -, le thème d'étude de l'OPECST ne peut qu'être au coeur des préoccupations de tous les parlementaires.

Pour relancer ce défi, depuis quelques années, des dispositifs ingénieux ont été imaginés et des moyens réels en hommes et en moyens ont été accordés. Par exemple, en 2009, l'Agence nationale de sécurité des systèmes d'informations (ANSSI) a été créée.

Mais je dois préciser, dès l'abord, que des dispositifs étaient déjà en place et que, maintenant, ce n'est pas en accordant toujours davantage de compétences à l'ANSSI ni en portant ses effectifs de trois cents à mille ou à trois mille - seuils qui ne sont d'ailleurs nullement envisagés -, qu'on résoudrait les questions posées par les failles de la sécurité numérique et qu'on parerait aux attaques dont elle est l'objet.

En effet, cette question transversale suppose l'acquisition, par l'ensemble de la société, d'une culture du numérique et d'une éducation initiale et continue à la hauteur des services rendus par cette technique, en dépit des fragilités qu'elle recèle.

Depuis le début de mon propos et surtout à la suite de la vidéo que vous venez de regarder, vous vous demandez peut-être si vos rapporteurs n'ont pas cédé à quelque alarmisme. Je vous rassurerai en disant que nous avons d'abord souhaité démontrer, dans une analyse que l'on a voulu extrêmement fouillée, le mécanisme de transmission des messages et les fragilités, souvent de conception, des matériels, des réseaux, des services et des diverses applications numériques.

À un moment donné, il nous est apparu que les imperfections constatées peuvent constituer également des chances et c'est cet aspect que Mme Anne-Yvonne Le Dain va maintenant développer pour vous montrer la face optimiste de l'analyse de vos rapporteurs.