Intervention de Louis Gautier

Monsieur Bockel, si les documents budgétaires présentent globalement les choses, la ventilation exacte des ressources et des personnels est largement connue, notamment au travers des réponses que nous avons adressées aux questions des sénateurs.

Nous abordons à l'heure actuelle la deuxième partie du travail du Livre blanc consacré à la cybersécurité. La première partie, qui porte sur la gouvernance et l'organisation, a permis d'ouvrir les échanges. Hier, nous avons organisé un séminaire à l'École militaire avec les régulateurs, les agences techniques et les industriels sur les problèmes de souveraineté numérique. Nous tirerions grand bénéfice des discussions que nous pourrions avoir avec les membres de votre commission, et notamment les rapporteurs de travaux sur ces questions.

S'agissant du GIC, son rattachement au SGDSN est organique : soutien administratif et partage des bâtiments, des infrastructures et des grands programmes. Dans la chaîne opérationnelle, en revanche, il existe une étanchéité complète entre les demandes émanant des services de renseignements, la préinstruction de ces demandes par le GIC, la consultation pour avis de la CNCTR, la Commission nationale de contrôle des techniques de renseignement, l'autorisation du Premier ministre et l'exploitation des interceptions par les services.

L'une des gageures du SGDSN a d'ailleurs été de permettre le transfert d'agents dans un organisme juridiquement indépendant. Ce processus de régularisation n'a pas été simple, mais nous l'avons mené dans les meilleures conditions pour les personnels et le fonctionnement de l'État. Je le rappelle, l'objectif pour 2020 est de 223 ETP.

La Cour des comptes a effectué un contrôle du GIC : une régularisation de l'ensemble de ses process devra être conduite.

Le rattachement du GIC au SGDSN permet des mutualisations utiles. Je pense notamment à la protection de son enceinte, le groupement étant localisé aux Invalides.

S'agissant des deux instituts, l'IHEDN et l'INHESJ, une plus grande synergie serait souhaitable. Si l'agence comptable est désormais commune, il convient de développer des produits de formation partagés. Je souhaite donc que me soient proposées assez rapidement par les deux directeurs des maquettes prévoyant un certain nombre de modules en commun, les deux instituts étant désormais localisés sur le site de l'École militaire.

S'agissant de la protection du secret de la défense nationale, nous avons publié en décembre 2015 un rapport sur cette question. J'envisage la publication d'un nouveau document, qui précisera un certain nombre de points concernant la gestion, les habilitations et les procédures. Nous sommes en effet à la fin d'un travail de modification de notre réglementation, notamment de l'instruction générale interministérielle n° 1300, qui fixe les règles en matière de sécurité nationale. Il s'agit ainsi de faire converger notre système de classification avec celui de nos partenaires européens et des pays de l'OTAN.

S'agissant de notre lenteur à atteindre certains objectifs, la revue consacrée à la cybersécurité viendra préciser plusieurs points. En effet, face à l'élévation de la menace, l'ANSII ne doit plus être un simple prescripteur. À l'avenir, elle devra pouvoir mettre en oeuvre rapidement les dispositions qu'elle préconise.

Par le passé, un certain nombre de ministères portaient à ces questions un intérêt assez faible, n'ayant pas perçu à quel point la cybersécurité concerne désormais tous les secteurs de la société. Je pense notamment à l'attaque menée contre le système de santé britannique. Désormais, la captation de données personnelles n'est plus seule en jeu, la cybercriminalité ciblant désormais le coeur du fonctionnement des administrations.

S'agissant de l'organisation des élections, nous avons pris, selon moi, la bonne décision. En effet, constatant, à la veille du scrutin, que le système de vote électronique n'était pas à l'abri d'attaques, nous avons dû annuler la procédure. Certes, cette décision a compliqué le travail des services consulaires et le vote des Français de l'étranger. Toutefois, la sécurité des élections conditionne leur crédibilité. Face à l'augmentation de la menace sur notre processus électoral au travers d'un faisceau d'indices, la SGDSN a pris les mesures adéquates, notamment la décision d'en revenir au vote manuel. Pour autant, il ne s'agit pas d'un abandon définitif du vote électronique ! Il nous faut simplement développer la protection de ce processus, qui doit être absolument imperméable.

Dans le cadre d'un vote physique, une certaine pondération est encore possible. La situation est totalement différente dans le cadre informatique, où une seule erreur entache la crédibilité de l'ensemble du processus, ce qui est inacceptable. Le problème est identique pour ce qui concerne les moyens de paiement mal sécurisés.

Un travail est donc mené par l'ANSSI, le ministère des affaires étrangères et les industriels sous-traitants, lesquels offrent aujourd'hui des solutions qui nécessitent d'être consolidées. Je constate d'ailleurs qu'un pays comme le Danemark, qui était passé au vote électronique, est revenu, considérant l'étendue des problèmes, au vote manuel.

Quoi qu'il en soit, la charge financière du dispositif repose sur le ministère des affaires étrangères, qui est l'opérateur en la matière. L'ANSSI accompagne ce mouvement, pour l'orienter et le certifier.

Pour ce qui concerne le data center de Rosny-sous-bois, le coût a été estimé à 25 millions d'euros, dont une grande partie est déjà engagée, pour une ouverture prévue en 2019, sur un site du ministère de l'intérieur.

Nombre d'entre vous ont évoqué la problématique du recrutement, qui est bien évidemment essentielle. La revue consacrée à la cybersécurité pointera la question de la formation initiale. En effet, les besoins de l'État, des opérateurs et des entreprises augmentent. Or le vivier est pour le moment trop restreint et nous devons donc adapter notre offre de formations. On estime ainsi que 10 % d'un budget informatique doit désormais être consacré aux fonctions de sécurité, ce qui donne une idée de l'effort à fournir en termes d'investissements et de personnels.

À l'ANSSI, nous nous efforçons de desserrer le goulet d'étranglement de deux manières. Bien qu'il s'agisse d'une agence « jeune », je ne souhaite pas que la pyramide des âges y soit complètement déformée. Nous souhaitons donc que les recrutements interviennent régulièrement, les personnes restant idéalement trois ans dans le cadre d'un CDD. Même si les conditions salariales ne sont peut-être pas aussi attractives que celles du secteur privé, l'expérience acquise à l'ANSSI constitue une sorte de brevet favorisant la suite de leur carrière.

Cela dit, il convient également de conserver les compétences et les connaissances. Plusieurs moyens sont à notre disposition : les évolutions de salaire liées à l'ancienneté, une meilleure reconnaissance de certaines qualifications professionnelles, certaines primes de technicité et la CDIsation. Pour autant, vous le savez, le but n'est pas de concurrencer les références salariales du secteur privé.

Je termine par la question très technique des algorithmes, pour lesquels nous avons demandé à reporter le temps de l'expérimentation. Le traitement des métadonnées est bien évidemment essentiel au perfectionnement de nos résultats en matière de lutte contre le terrorisme. Je ne peux donc qu'encourager une définition et une mise en oeuvre rapide de ces algorithmes.