Intervention de Bruno Sido

Mme Le Dain, députée, et moi-même, avons donc aujourd'hui le plaisir de vous présenter ce rapport de l'OPECST sur le risque numérique. C'est à partir d'une saisine de la commission des affaires économiques, en effet, que nous avons entrepris une étude de faisabilité adoptée par l'Office le 16 avril 2014.

Cette saisine faisait elle-même suite à une journée d'auditions publiques organisée conjointement par l'OPECST et les commissions chargées de la défense de l'Assemblée nationale et du Sénat au mois de février 2013. Ce jour-là, l'audition publique avait été scindée en deux parties, la première relative au risque numérique militaire et la seconde au risque numérique civil, qui était apparue moins documentée.

Au début de nos investigations, nous comptions donc réaliser notre rapport en approfondissant la seule question du risque numérique civil afin de compléter la journée d'audition du 21 février 2013. Mais il nous est rapidement apparu que, en matière de risque numérique, la distinction entre le civil et le militaire était artificielle, compte tenu justement de la nature du numérique, qui est présent partout.

Au terme d'une centaine d'auditions comprenant trois journées d'auditions publiques et des déplacements à Bruxelles et en province, notamment près de Rennes pour visiter le centre de haute sécurité de la direction générale pour l'armement (DGA) et le laboratoire de haute sécurité de l'Institut national de recherche en informatique et en automatique (INRIA), proche de Nancy, vos rapporteurs ont établi une douzaine de constats sur la situation de la sécurité numérique et procédé à trois choix pour mener à bien leur étude.

Au début de celle-ci, nous avons pris soin de rencontrer notre collègue Daniel Raoul, alors président de la commission des affaires économiques du Sénat, et qui est aujourd'hui de retour à l'OPECST, ce dont nous nous réjouissons.

Nous lui avons indiqué que nous centrerions notre réflexion sur les opérateurs d'importance vitale (OIV), prioritairement sur ceux des secteurs des télécommunications et de l'énergie, c'est-à-dire les entreprises dont le fonctionnement ne doit en aucun cas être interrompu, notamment pas par une défaillance de leur système d'information numérique.

Ces entreprises sont d'ailleurs soumises à des directives nationales de sécurité (DNS) qui leur imposent des obligations extrêmement précises, que la loi de programmation militaire de 2013 a renforcées.

Après quelques mois de nos travaux, l'angle d'attaque pour aborder l'étude à partir des OIV s'est révélé avoir été intéressant pour le raisonnement mais nous a conduit bientôt à replacer l'ensemble des activités desdits opérateurs dans la chaîne de sécurité numérique qu'ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.

En outre, pour être tout à fait complet, alors que le Gouvernement annonce depuis des mois un ambitieux projet de loi sur le numérique, il n'a cependant pas attendu le dépôt de celui-ci pour prendre, comme déjà dans la loi de programmation militaire, en 2013, des initiatives relatives justement aux OIV et, d'autre part, pour élaborer, au cours de l'été 2014, des mesures relatives à la sécurité numérique concernant les administrations.

Ce qui montre que le Gouvernement, comme nous-mêmes, avons été conduits à effectuer en parallèle des analyses rigoureuses sur les différents secteurs pour finalement constater que tout se recoupe et que la sécurité numérique, voire la sécurité tout court, ne peuvent être assurées qu'à partir de mesures reliées entre elles.

Par quelque bout que l'on considère la question, les ramifications du numérique apparaissent constituer le système nerveux de la société et même, en partie, celui des individus qui la composent, d'où l'impossibilité de scinder artificiellement les préoccupations de sécurité en divers segments d'études.

C'est bien ce qu'ont vu, les premiers, les personnes s'attaquant aux systèmes numériques. À l'heure où notre pays se trouve placé sous le plan Vigipirate à son plus haut degré - soit alerte attentats -, le thème d'étude de l'OPECST s'est trouvé être, de plus en plus, au coeur des préoccupations de tous les parlementaires comme de nos concitoyens.

Pour relever le défi de la sécurité numérique, depuis quelques années, des dispositifs ingénieux ont été imaginés et des moyens réels en hommes et en moyens ont été accordés. Par exemple, en 2009, l'Agence nationale de sécurité des systèmes d'informations (ANSSI) a été créée.

Mais, dès l'abord, je dois préciser que des dispositifs étaient déjà en place avant 2009 et que, à présent, ce n'est pas en accordant toujours davantage de compétences à l'ANSSI ni en portant, par exemple, ses effectifs de 300 à 1 000 ou à 3 000 - seuils qui ne sont d'ailleurs nullement envisagés -, qu'on résoudrait toutes les questions posées par les failles de la sécurité numérique ni qu'on parerait à toutes les attaques dont cette sécurité est l'objet.

En effet, cette question transversale de sécurité suppose l'acquisition par l'ensemble de la société d'une culture du numérique et d'une éducation initiale et continue à la hauteur des services rendus par la technique, à la fois en dépit et en raison des fragilités qu'elle recèle.

Depuis le début de mon propos, vous vous demandez peut-être si les rapporteurs de l'OPECST n'ont pas cédé à quelque alarmisme. Je vous rassurerai en disant que nous avons d'abord souhaité démontrer dans une analyse, que nous avons voulu extrêmement fouillée, le mécanisme de transmission d'un message au sein du système d'information de l'entreprise et les fragilités, souvent de conception, des matériels, des réseaux, des services et des diverses applications numériques.

Mais avant cela, nous devons lever une ambiguïté. En dépit de l'actualité sur les aspects les plus médiatisés du risque numérique et ses liens avec le terrorisme, le présent rapport de l'Office n'a rien d'une fresque générale ou journalistique sur le numérique ou, par exemple, de considérations sur la gouvernance mondiale de l'Internet, car il s'agit d'un rapport centré sur la sécurité d'une technique.

L'OPECST produit de tels rapports directement liés aux préoccupations des entreprises que, malheureusement, l'Assemblée nationale comme le Sénat ont parfois tendance à négliger. C'est pourquoi je rappelle que la commission des affaires économiques du Sénat, à l'origine de la saisine, s'inquiétait fort pertinemment de l'éventuelle fragilité des entreprises liée notamment aux vulnérabilités des réseaux, des matériels et des logiciels numériques. Cela est particulièrement technique.

En qualité de membre de cette commission, j'insiste sur l'importance de l'interrogation exprimée lors de la saisine et sur la réalité du risque numérique.

La question sous-jacente posée à l'Office était notamment celle du pillage organisé des informations des entreprises. En effet, il serait déraisonnable de continuer à ignorer que des tiers, des concurrents, puisent dans ces informations comme dans un libre-service. La situation de l'économie française s'accommode-t-elle de tels pillages ou bien résulte-t-elle en partie de ceux-ci, alors justement qu'ils durent depuis des années ?

Face à cela, à un moment donné, il nous est apparu que les imperfections constatées pourraient constituer également des chances et c'est cet aspect que Mme Anne-Yvonne Le Dain va maintenant développer pour vous montrer aussi que la situation comporte bien des facettes pouvant inciter à une mobilisation constructive.