Intervention de Jean-Marie Bockel

Au sein du programme 129 - « Coordination du travail gouvernemental», votre commission s'intéresse exclusivement à l'action n° 2 « Coordination de la sécurité et de la défense » dotée, en 2016, de 289,46 millions d'euros en autorisations d'engagement et de 283,94 millions d'euros en crédits de paiement. Cette action regroupe en effet : les crédits du Secrétariat général de la défense et de la sécurité nationale (SGDSN) et de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) , les subventions pour charges de service public de l'Institut des Hautes études de défense nationale (IHEDN) et l'Institut national des Hautes études de la sécurité et de la justice (INHESJ), la dotation en fonds spéciaux et enfin une partie des crédits du Groupement interministériel de contrôle (GIC).

Par rapport à 2015, la dotation de cette action enregistre une diminution de 3,2 % en CP (- 9,3 millions d'euros). Cette évolution est liée, pour l'essentiel, à une diminution des dépenses d'investissement (- 11,5 millions d'euros). En revanche, la dotation progresse de 10,7 % en autorisations d'engagement (+ 27,9 millions d'euros), ce qui devrait permettre une remontée du niveau de ces investissements en crédits de paiement dans les prochaines années.

L'évolution du budget du SGDSN continue de s'inscrire principalement dans la priorité, portée par l'ANSSI, de montée en puissance de la politique de sécurité des systèmes d'information et de protection des intérêts nationaux contre la cybercriminalité.

Je vais vous présenter les crédits destinés à l'ANSSI et son activité, Jean-Pierre Masseret ceux alloués aux autres entités.

Première observation : la menace cyber ne cesse de s'accroître. La France est classée au 14ème rang des pays où la cybercriminalité est la plus active. Selon l'ANSSI, on dénombre une attaque majeure en moyenne tous les quinze jours à l'image de ce qu'a subi TV5Monde, en début d'année. La cyberdéfense reste dans ce contexte une priorité nationale.

Deuxième observation : les dispositions prévues dans la LPM sont mises en place progressivement. Les décrets ont été publiés en mars 2015. Parallèlement, une concertation avec les Opérateurs d'importance vitale a été engagée début 2015. Les premiers arrêtés devraient être publiés avant la fin de l'année. C'est un progrès majeur que les opérateurs soient dans l'obligation de déclarer leurs incidents et acceptent de se faire aider par l'ANSSI.

Un premier bilan de la mise en oeuvre de la « Politique de sécurité des systèmes d'information de l'État » publiée en juillet 2014 est en cours, en vue de son actualisation.

L'ANSSI a engagé un travail d'élaboration d'une « stratégie nationale de sécurité du numérique » présentée par le Premier ministre le 16 octobre. Elle constitue une nouvelle feuille de route.

Pour protéger les communications de l'État, des outils et des réseaux sécurisés ont été déployés. Le réseau de données interministériel Confidentiel Défense ISIS poursuit sa modernisation et son extension. Au total, 230 sites sont raccordés et on comptabilise 2 300 abonnés, sur 900 postes.

L'ANSSI développe une capacité de détection des attaques informatiques des systèmes d'information de l'État. Elle continue d'industrialiser les solutions et d'améliorer ses capacités afin d'anticiper de nouvelles menaces. Les développements ont principalement porté sur l'intégration de techniques de détection innovantes et sur la conception de sondes haut-débit destinées à la supervision du Réseau interministériel de l'État.

Elle dispose d'un « centre opérationnel de cyberdéfense » et a affiné son organisation de crise suite aux attentats survenus à Paris en janvier et à la résolution de l'attaque contre TV5 Monde.

Elle poursuit son action de sensibilisation auprès des administrations, des acteurs économiques et du grand public par ses publications et va déployer des correspondants dans les régions.

Elle attribue un label attestant de la sécurité des produits qui lui sont soumis et a initié une politique de certification de prestataires compétents techniquement et de confiance. Le développement d'un écosystème privé est indispensable car l'ANSSI n'a ni la vocation, ni les moyens de tout faire. Nous avons de belles entreprises, notamment dans le domaine militaire, qui ont été les premières à s'engager dans ce domaine et des PME innovantes, il faut les protéger.

Enfin, le développement de nouveaux usages et des objets connectés ouvre un nouveau champ de recherche pour l'ANSSI.

Troisième observation : L'ANSSI représente désormais plus de la moitié des effectifs budgétaires, et des efforts d'investissement ainsi que 70 % des crédits de fonctionnement du SGDSN. Cette proportion augmentera avec sa montée en puissance.

La poursuite des créations d'emplois est confirmée. Le plafond d'effectifs fixé à 455 ETPT en 2015 est porté à 507 en 2016. Cette montée en puissance constitue un défi structurel pour l'ANSSI qui doit également pourvoir au turn over relativement important de ses agents. Recruter en nombre et maintenir le niveau qualitatif est compliqué compte tenu de la faiblesse du vivier et du niveau des rémunérations offertes par le secteur privé lorsqu'il s'agit de cadres expérimentés. Le départ d'agents de l'ANSSI peut favoriser l'émergence d'un réseau lorsque les industriels et les prestataires de services de cybersécurité qui embauchent ces personnels sont considérés comme de confiance. Mais paradoxalement plus son action de sensibilisation est efficace, plus la concurrence sur le marché du travail est vive.

Nous estimons que face à ces difficultés spécifiques, l'ANSSI doit être soutenue, en pérennisant d'une année sur l'autre les emplois autorisés mais non pourvus en fin d'année afin de lui permettre de lisser les recrutements et par le maintien d'une certaine souplesse au niveau des rémunérations susceptibles d'être servies. À plus long terme, une politique active de développement de filières de formation doit être conduite.

Hors titre 2, les dotations de l'ANSSI sont passées de 25,3 millions d'euros en 2009 à 68,8 millions en 2016. Par rapport à 2015 elles progressent en crédits de paiement (+1,5 %) comme en autorisations d'engagement (+29 %).

La réalisation d'un data center sécurisé représente le principal investissement : 16,1 millions d'euros en AE et 8,5 en CP lui est consacré. Il sera cofinancé avec le ministère de l'intérieur, et livré en 2019. Le coût global de l'opération immobilière est estimé à 24,2 millions d'euros et la quote-part à la charge du SGDSN à 18,2 millions.