Intervention de André Gattolin

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, je concentrerai mon propos sur le programme 129 et, surtout, sur la politique en matière de sécurité des systèmes d’information, assurée depuis 2009 par l’Agence nationale de la sécurité des systèmes d’information.

Les missions de cette agence se concentrent sur la prévention et la défense contre les cyberattaques affectant l’administration publique et les opérateurs d’importance vitale, qu’ils soient publics comme privés.

Elle laisse ainsi le versant guerrier aux militaires, policier au ministère de l’intérieur et judiciaire au ministère de la justice, ce qui est, à mon sens, très pertinent et évite un mélange des genres douteux entre attaque et défense, que l’on retrouve dans certains pays anglo-saxons.

Je veux à ce propos féliciter notre collègue, Michel Canevet, pour son excellent rapport découlant de la mission de contrôle de l’ANSSI qu’il vient d’achever. Je ne peux que soutenir ses préconisations, quand il incite les ministères à coopérer davantage avec cette agence ou encore à créer un budget opérationnel de programme propre à l’ANSSI pour un meilleur suivi de son action.

La numérisation fulgurante des données et de l’information fragilise aujourd’hui tous les secteurs d’activité face à des cyberattaques d’envergure. Ces dernières ont d’ailleurs un coût économique astronomique, estimé récemment à près de 2 700 milliards d’euros d’ici à 2020, si nous ne nous armons pas.

Dès lors, je salue le dynamisme du budget de l’ANSSI, ce qui est bien inhabituel par ces temps d’austérité... De 2010 à 2016, il a plus que doublé, s’élevant à 100 millions d’euros l’année prochaine. Le budget triennal pour les années 2015 à 2017 prévoit d’ailleurs la création de 40 postes par an.

Cependant, il y a un bémol... Pour compléter ses équipes opérationnelles, l’agence peine à recruter des personnes expérimentées, évidemment plus séduites par l’attractivité salariale du secteur privé. En outre, le turn-over est très élevé au sein de l’agence, ce qui est handicapant en termes de maintien du niveau d’expertise interne. Il est indispensable de remédier à ces difficultés, notamment en repensant les niveaux salariaux, mais cela ne suffira pas, car l’ANSSI ne peut agir seule pour protéger l’État et ses nombreux OIV.

L’accent doit être mis sur une sensibilisation accrue à la cybersécurité de tous et par le plus grand nombre. Cela passe, à mon sens, par le renforcement de la coopération de l’État avec d’autres acteurs disposant de compétences complémentaires aux siennes. Je pense aux universités, aux écoles d’ingénieurs et aux centres de recherche, mais je pense tout autant à nos grandes sociétés informatiques et à nos brillantes start-ups – tout au moins celles dont l’éthique justifie une certification claire en matière de cybersécurité.

Cette coopération passe enfin par un signalement nettement plus systématique des attaques subies par nos entreprises privées, qui redoutent encore trop souvent de révéler leurs défaillances. Cela entraîne une absence de vision statistique sur ce sujet.

Bref, la tâche est d’ampleur, mais elle est vitale tant pour la sécurité de l’État, que pour la préservation de nos intérêts économiques et, surtout, pour la protection des droits de nos concitoyens.