Intervention de Guillaume Poupard

Dans le domaine de la cybersécurité, les menaces sont polymorphes du fait de la transformation numérique des activités humaines dans les pays développés et donc de l'omniprésence des systèmes d'information qui soutiennent cette transformation. Les entreprises et les États sont les cibles prioritaires. Le phénomène est inquiétant. Cette menace rapporte plusieurs milliards d'euros à des groupes qui agissent souvent loin du territoire national. C'est une menace qui est prise au sérieux car elle a des conséquences sur la disponibilité des services affectés, le patrimoine et la compétitivité des entreprises et peut provoquer des pertes de vies humaines.

L'atteinte au fonctionnement des systèmes informatiques qui soutiennent nombre de services publics tels que les hôpitaux ou les distributeurs d'électricité est une forme nouvelle de menace. Comme l'a montré l'actualité récente des élections présidentielles américaines, c'est le fonctionnement des démocraties qui est désormais visé. Des partis politiques sont ciblés par des actes de piratages de messageries, de révélations de données ou plus de déstabilisation informatique par dénis de service. Nous allons donc sensibiliser les partis politiques à de telles menaces à l'approche des élections présidentielles françaises, et ce dès la semaine prochaine.

Nos deux inquiétudes principales relatives à la cybersécurité concernent en premier lieu le vol de données qui est quotidien. Ainsi, 20 attaques majeures à des fins d'espionnage ont été subies par des grandes entreprises françaises au cours de l'année ce qui représente des pertes économiques et stratégiques lourdes (vols de brevets, courriels, appels d'offres, données financières et commerciales) et a donc un impact en terme d'emplois. Ces attaques informatiques sont pilotées par des concurrents, des États également. La seconde inquiétude porte sur le sabotage informatique qui peut causer des pertes de vies humaines lorsqu'il vise des systèmes d'information d'infrastructures critiques (aiguillages ferroviaires, contrôle aérien, équipement hospitalier par exemple).

Il faut ainsi bien prendre en compte que si la numérisation représente de nombreux avantages, elle est parallèlement une menace pour beaucoup d'acteurs du fait de ses différentes mises en oeuvre qui exposent davantage ceux qui effectuent leur transition numérique.

Face à cette menace qui va continuer à se développer, il n'y a aucun doute là-dessus, l'ANSSI va poursuivre sa montée en puissance. Elle est passée d'une centaine de personnes en 2009 à 500 aujourd'hui avec un niveau de compétence et d'expertise exceptionnel, déployé de façon préventive et réactive au profit des victimes et des cibles potentielles des attaques informatiques. Le Royaume-Uni et l'Allemagne s'inscrivent dans la même démarche. Les Britanniques sont en train d'ouvrir leur centre national de cybersécurité doté d'emblée de 700 personnes et le BSI allemand, qui dépend du ministère de l'intérieur et emploie 600 personnes, annonce le recrutement de 180 salariés supplémentaires en 2017, de manière à répondre à l'accroissement des missions.

Je ne vous cacherai pas que le recrutement n'est pas une chose facile : recruter des experts, c'est compliqué -on a de très bons experts en France mais on n'en a pas assez - les conserver, c'est aussi une question. On a la chance d'avoir une image attrayante pour attirer des jeunes, qui sont patriotes, et qui ont envie de faire de la technique de haut niveau. Ils ont vocation à repartir un jour car ils ne viennent pas pour faire toute leur carrière à l'ANSSI, ce qui n'a plus beaucoup de sens dans ce secteur. L'enjeu consiste donc à gérer la montée en puissance de l'agence en assurant le turn over et donc en restant le plus attractif possible. Il s'agit d'un travail permanent et exigeant. On arrive à être sur la courbe de montée en puissance, mais cela nous demande beaucoup d'énergie.

En termes de type d'actions, nous essayons de maintenir l'équilibre entre celles qui relève de la prévention et celles qui correspondent à la réaction. Prévenir, cela consiste à pousser les gens à être de mieux en mieux sécurisés, à faire développer des équipements et des services capables d'apporter aux différentes cibles potentielles ce dont elles ont besoin pour se protéger avec un aspect de politique industrielle que l'on pilote avec le ministère de l'économie et des finances et avec le ministère de la défense, notamment avec la direction générale de l'armement. Côté réaction, l'ANSSI développe aujourd'hui ses propres équipements techniques, ses propres sondes qui sont mises à l'entrée de l'ensemble des réseaux de la quasi-totalité des ministères qui permettent de détecter, le plus tôt possible, les attaques informatiques en cours. Nous envoyons alors nos équipes de réaction, comme nous le faisons pour les opérateurs d'importance vitale mais également, de façon exceptionnelle, dans des cas particulier comme celui de TV5 Monde en 2015, pour aider la victime à limiter les conséquences de l'attaque et à reprendre en main son propre système d'information.

Nos priorités sont clairement orientées vers les opérateurs d'importance vitale. La loi de programmation militaire 2014-2019 nous donne les moyens d'imposer à ces opérateurs des obligations dans le domaine de la cybersécurité, au-delà du simple conseil. Nous avons été les premiers au monde à faire ce choix, mais beaucoup d'Etats se rallient à cette méthode désormais. Le conseil n'est pas suffisant, si l'on veut pouvoir mobiliser les acteurs avant qu'ils soient attaqués, il faut passer par une politique réglementaire intelligente. C'est ainsi que la loi a été adoptée en décembre 2013, que les décrets d'application ont été publiés en mars 2015 et que les arrêtés qui fixent secteur par secteur les règles de sécurité imposées aux opérateurs le sont depuis l'été 2016. Ce délai s'explique par notre volonté de coécrire des règles avec les opérateurs, pour mettre en place une réglementation efficace, soutenable financièrement et humainement, et adaptée à chaque secteur. Nous avons voulu être au plus proche de la réalité des métiers, à leurs contraintes et à la nature des menaces qui correspondent à chaque secteur.

Nous avons également influencé l'Union européenne puisqu'une directive Network & Information Security (NIS) allant exactement dans le même sens a été adoptée au début de l'été. Elle permet que soit reprise au niveau européen cette démarche fondée sur trois grands principes : l'identification des acteurs critiques, la fixation des règles de sécurité obligatoires qui leur sont applicables et l'obligation qui leur est faite de notifier les incidents de sécurité dont ils seraient victimes. Ainsi, le système promu par l'ANSSI ne sera plus une exception franco-allemande, mais sera uniforme et unifié une fois la directive transposée, d'ici deux ans.

Pour les autres victimes que les opérateurs d'importance vitale, nous conduisons une démarche originale pour une administration : nous « incubons » un dispositif d'assistance aux victimes d'actes de cybermalveillance. Ce n'est pas forcément la mission de l'ANSSI mais je crois indispensable de créer une assistance aux PME, très nombreuses et très vulnérables aux attaques. Ce dispositif est aujourd'hui élaboré au sein de l'ANSSI s'adressera également aux collectivités territoriales et plus largement encore aux particuliers. Il est élaboré en collaboration avec le ministère de l'intérieur et en lien avec l'industrie privée qui a tout intérêt à l'élévation du niveau de sécurité globale. Ce système a vocation, à voler de ses propres ailes, d'ici deux à trois ans.