Je m'associe aux propos de Jean-Pierre Masseret. Pour illustrer son propos sur les activités de l'INHESJ, je voudrais vous indiquer que j'ai eu l'occasion de visiter leurs nouveaux locaux sur le site de l'Ecole militaire et, notamment, la salle de formation à la gestion de crises qui accueille régulièrement des sessions de formation des préfets ou des ambassadeurs qui viennent d'être nommés, des élèves de l'école nationale d'administration, des fonctionnaires territoriaux, au cours desquels ils sont initiés à la conduite d'un état-major en situation d'être nommé. J'ai été très favorablement impressionné.
Il m'appartient de formuler quelques observations concernant l'ANSSI dont la montée en puissance se poursuit.
La cyberdéfense est devenue un enjeu majeur dans une société de plus en plus connectée. Nous avions travaillé ce sujet dans un rapport d'information en 2012 au sein de la commission et formulé des recommandations qui sont aujourd'hui progressivement mises en application. En effet, les systèmes d'information sont des points de vulnérabilité. Il est impératif d'en assurer la protection face au développement, naturellement, de l'espionnage industriel, scientifique et commercial, mais aussi contre le développement d'une cybercriminalité de plus en plus puissante et active. Selon le rapport Symantec 2016, 430 millions de variantes de programmes malveillants sont apparus sur le marché en 2016. Les grands groupes criminels sont à la fois des acteurs et des prestataires pour exploiter certaines failles, mais aussi les vendeurs de solutions de hacking de petits escrocs. Un demi-milliard de dossiers personnels ont été volés ou perdus. Le rançonnage qui consiste à chiffrer des données et à vendre la clef de déchiffrement contre rançon a augmenté de 35 % (391 000 attaques en France en 2015). La France est passée du 14e au 9e rang des pays où la cybercriminalité est la plus active.
Face à cette menace, la plupart des Etats ont mis en place des agences de cyberdéfense, de taille comparable à celle de l'ANSSI, qui poursuivent leur montée en puissance.
Sur la base de la stratégie nationale de sécurité informatique, l'ANSSI a développé toute une série d'activités à partir de ses six laboratoires d'expertise qui sont maintenus à un haut niveau de compétence et reconnus sur le plan international. Son périmètre d'action s'est élargi au-delà de la protection des administrations de l'Etat. Cela commence par la réglementation. Les textes d'application des dispositions de la loi de programmation militaire de décembre 2013, à la rédaction desquelles nous avions travaillé en commission concernant les opérateurs d'importance vitale, sont progressivement mis au point et publiés. Cela va jusqu'à l'investissement dans la mise au point de certains produits de sécurité en passant par une labellisation des produits, des prestataires de confiance et des filières de formation, et enfin du conseil apporté aux collectivités territoriales et aux entreprises avec le développement d'un réseau de correspondants en région.
Pour ce faire, l'ANSSI voit ses moyens progresser.
Ses effectifs passeront en 2017 de 497 à 547 ETP, +50. L'ANSSI considère toutefois que son effectif devrait être d'une centaine d'agents supplémentaires pour réaliser l'ensemble de ses missions. Ces effectifs ont des caractéristiques particulières, 25 % des agents étaient âgés de moins de 30 ans, et 40 % avaient entre 30 et 40 ans. Enfin, trois quarts des agents étaient des contractuels. En effet, les profils recherchés par l'ANSSI sont rares dans la fonction publique.
La montée en puissance reste un défi structurel de l'agence qui doit également pourvoir au turn over relativement important de ses agents. Elle doit à la fois recruter en nombre et maintenir la qualité de ce recrutement.
Le recrutement à la sortie des grandes écoles et des universités demeure relativement aisé en raison de la bonne réputation de l'agence. Le maintien de cadres et de techniciens expérimentés est plus problématique, compte tenu des rémunérations offertes par le secteur privé malgré l'existence d'une procédure permettant la transformation des CDD en CDI et la souplesse dont elle bénéficie pour fixer le niveau de rémunération. Le départ d'agents de l'ANSSI permet également l'émergence d'un réseau dans le secteur privé et un moyen de développer la « culture » de la cybersécurité.
Face à ces difficultés spécifiques, l'ANSSI doit être soutenue, en pérennisant les emplois autorisés mais non pourvus et en maintenant une certaine souplesse au niveau des rémunérations.
À plus long terme, une politique active de développement de filières de formation doit être conduite. La faiblesse du vivier demeure inquiétante et la concurrence devient de plus en plus forte entre les employeurs, y compris au sein du secteur public. Nous approuvons l'engagement de l'ANSSI dans une politique de labellisation des formations, mais cet effort devrait être conforté par une action plus intense du ministère de l'enseignement supérieur et de la recherche, mais aussi des partenaires économiques, qui sont maintenant impliqués, pour orienter les universités et les grandes écoles à développer ces filières d'avenir. La formation est aussi un investissement d'avenir.
S'agissant des crédits affectés à l'ANSSI au sein du budget du SGDSN, la principale opération d'investissement concerne la création d'un centre sécurisé de serveurs informatiques pour stocker et traiter les données recueillies lors des cyberattaques. L'investissement, porté par le ministère de l'intérieur, représente un coût total de 24,2 millions d'euros que le SGDSN finance aux trois quarts. Les crédits ont été inscrits en AE (18,2 millions d'euros) en 2016 et transférés au ministère de l'intérieur. En 2017, 6,5 millions sont inscrits en CP. Pour le reste, les crédits servent pour l'essentiel à de l'acquisition de matériel informatique et au fonctionnement de l'agence et, notamment, du centre opérationnel.
Globalement, nous sommes satisfaits de l'évolution des crédits de cette action et donc du programme 129 et vous proposons d'exprimer un avis favorable à l'adoption des crédits de la mission « Direction de l'action du gouvernement ».