Intervention de Guillaume Poupard

Comme l'indiquait le secrétaire général, la montée en puissance de l'ANSSI se poursuit. Elle est passée de 100 emplois en 2009 à 450 aujourd'hui, pour une grande partie des experts d'un très haut niveau technique. Cette croissance a pu être poursuivie grâce aux moyens qui lui ont été alloués. Le champ de ses missions concerne d'abord les administrations et les opérateurs d'importance vitale, mais aussi d'autres acteurs.

Il convient de trouver un savant équilibre dans ses activités entre prévention et réaction. Les victimes de cyberattaques sont de plus en plus nombreuses, ces attaques sont de plus en plus graves et la plupart ne sont pas médiatisées. L'ANSSI ne communique pas sur ce sujet, elle ne se substitue pas aux victimes à qui il appartient de le faire et très souvent, elles choisissent de ne pas le faire. Il y a des cas où, au contraire, ces attaques sont visibles comme celle qu'a subie TV5 Monde. Nous pensons que la visibilité des attaques va s'accroître, ce qui amplifiera le sentiment d'une aggravation de la menace.

En matière de prévention, nous avons un rôle dans la connaissance des technologies et de la menace, ce qui justifie que nous recrutions des experts et des chercheurs. Nous avons un travail à réaliser pour soutenir l'émergence d'un secteur industriel de cyberdéfense par une politique industrielle, ainsi que le développement de produits et de services par des entreprises de confiance. Cela va de produits courants à des produits de très haute sécurité, dont le développement est couvert par le secret de la défense nationale et dont la DGA assure la maîtrise d'ouvrage.

Dans le domaine de la prévention, la loi de programmation militaire a étendu le champ de compétence de l'ANSSI à l'égard des opérateurs d'importance vitale. C'est un élément très important. La France est le premier pays à mettre en place une approche législative volontariste avec l'imposition de règles de sécurité, l'obligation de déclaration des incidents et la mise en place de contrôles. Cet aspect régulateur a surtout été l'occasion d'échanges avec des opérateurs que nous connaissions peu et qui ne nous connaissaient pas non plus. Un dialogue au sein de groupes de travail nous a permis une meilleure compréhension des contraintes, mais aussi une meilleure information des opérateurs. Notre objectif est de leur permettre de rehausser le niveau de sécurité de leurs systèmes d'information les plus critiques grâce à des règles soutenables humainement, financièrement et techniquement. Cela ne va pas les protéger instantanément mais la démarche engagée va les placer en avance par rapport aux opérateurs des autres pays. Les premiers arrêtés vont être publiés par secteur dans les prochaines semaines. Nous allons poursuivre cet effort. Il s'agit d'une contribution importante à la sécurité nationale car ces recommandations ont pour vocation de s'étendre à d'autres, pour qu'ils puissent se protéger. Nous pensons pouvoir nous appuyer notamment sur la directive européenne « sécurité des réseaux et des infrastructures » (Network and Information Security - NIS) en préparation.

Dans le domaine de la réaction, TV5 Monde fournit un bon exemple des niveaux d'intervention mis en oeuvre par l'ANSSI qui est le seul intervenant français à pouvoir le faire à ce niveau. Dès l'attaque détectée, nous avons pu projeter des équipes dans les premières heures pour conserver les traces pour les analyses, un peu comme sur une scène de crime, ce qui est une opération compliquée. Il s'agit ensuite de relancer le service. Nous avons pu dans l'exemple de TV5 monde rétablir un service, certes dégradé mais visible en moins de 18 heures, ce qui était indispensable pour une chaîne de télévision internationale. Enfin, nous avons accompagné ce média dans la reconstruction d'un réseau solide avec un niveau de sécurité élevé. Notre action est associée au développement d'une capacité de détection efficace, qui nous permet de réagir très rapidement.

Je voudrais vous sensibiliser à deux préoccupations. La première est la capacité à trouver des experts. Nous recrutons beaucoup mais notre volonté est de ne pas abaisser le niveau de recrutement. Nous avons besoin d'experts dont le niveau ne puisse pas être remis en cause et nous sommes confrontés à un problème d'insuffisance du vivier. La formation française est qualitativement très bonne, mais quantitativement insuffisante. Nous avons des actions pour favoriser la mise en place de filières de formations, mais il faut du temps. Nous avons en attendant besoin de plus de souplesse de gestion et de pouvoir lisser dans le temps les recrutements qui n'ont pu être réalisés, une trentaine, au cours de l'exercice 2015 en nous autorisant la capacité de conserver les emplois créés, même s'ils ne sont pas encore pourvus.

La seconde est notre besoin de disposer d'un data center professionnel. Il s'agit d'un projet coûteux que nous menons avec le ministère de l'intérieur avec une implantation en région parisienne.

Pour 2016, l'activité de l'ANSSI sera orientée autour de trois axes. D'abord, la recherche-développement dans le domaine des nouveaux usages et des objets connectés devra être renforcée. Nous constatons que la question de la sécurité n'est pas une préoccupation suffisante pour les entreprises qui développent ces objets, il y a donc un véritable besoin d'accompagnement de l'écosystème. Ensuite, le développement de prestataires privés dans le domaine de la cybersécurité. L'ANSSI ne pourra faire face à elle seule à tous les besoins. Nous avons impérativement besoin d'avoir en France un secteur disposant d'un niveau de compétences élevé et d'une grande confiance. Nous assurons la qualification de ces prestataires. Enfin, le troisième axe concerne l'extension des missions de l'Agence. Nous allons mettre en place des correspondants de l'ANSSI dans les régions pour développer l'information et le conseil. Nous allons aborder également les sujets liés à la sécurité des données. Nous avons un regard sur la négociation des traités transatlantiques de façon à éviter que les données personnelles ne soient abusivement considérées comme des données marchandes car nous sommes convaincus que le traitement de sommes non maîtrisées de données personnelles peut avoir un impact grave sur la sécurité de la Nation.