Intervention de Louis Gautier

Monsieur Cazeau, le phishing que vous avez évoqué constituait un test, afin de connaître la réaction des personnels. Ils devraient être sensibilisés à ces questions et utiliser des systèmes sécurisés. Cette opération constitue sans doute la meilleure leçon possible s'agissant de la nécessité d'une certaine vigilance. Car c'est le comportement individuel qui est en cause ! Alors que nous avons été élevés avec l'idée qu'internet constituait un vaste espace de liberté, il faut aujourd'hui nous gendarmer pour changer notre culture en la matière.

Pour les agents publics, il existe désormais une obligation de discipline. Cette hygiène informatique doit également s'appliquer dans les entreprises. Les premières conséquences qu'elles ont eu à subir, en termes de notoriété et de chiffres d'affaires, les conduisent à considérer que la perte occasionnée par une attaque est bien plus dommageable que l'investissement nécessaire à la sécurité.

Monsieur Poniatowski, votre intervention me charme. Comment m'étonner de la volonté du Président de la République d'être complètement informé, quand on connaît les défis auxquels est confronté notre pays ?

Dans le domaine du renseignement, l'information doit parfois aller vite. Il peut être normal que les chaînes de la coordination, qui vivent forcément à un autre rythme, ne participent pas au cycle opérationnel de gestion du renseignement. C'est la même chose en matière de maintien de l'ordre ou de gestion opérationnelle des armées. Il existe des temporalités différentes. La temporalité opérationnelle, c'est le temps réel. Les responsables politiques ou administratifs doivent être informés le plus rapidement possible. Quant à la coordination d'actions prospectives, elle s'inscrit dans une temporalité plus longue, essentielle à la continuité des actions de l'État. Le SGDSN n'a pas forcément besoin d'être dans la boucle de l'immédiateté, si ce n'est dans le domaine de la cyberprotection ou bien si son intervention est utile dans la mobilisation d'autres chaînes opérationnelles. Je pense notamment à la gestion des catastrophes dues à un ouragan. En revanche, la construction d'un plan Vigipirate nécessite des semaines, voire des mois. S'il s'agit d'assurer une meilleure protection des gares, cela prend encore plus de temps.

La réponse à votre question, monsieur Ladislas Poniatowski, s'inscrit donc dans la thématique d'une judicieuse articulation entre des temporalités différentes.

S'agissant de la formation à la cybersécurité, le Livre blanc permettra de faire le point sur cette question. Effectivement, tout ne vient pas de l'État ! Nous oeuvrons beaucoup avec les opérateurs privés, comme en témoignent les contacts de l'ANSSI avec les pourvoyeurs de télécoms et un certain nombre d'industriels.

Nous procéderons ainsi à un état des lieux de ce qui se fait, notamment aux États-Unis, en Grande-Bretagne et en Allemagne. Notre avantage, c'est d'avoir transplanté la catégorie des opérateurs d'importance vitale à la dimension cyber. Cet outil permet de mettre en place des contraintes ou des suivis d'homologation ou de certification, qu'il s'agisse d'EDF ou de la SNCF. Une telle construction réglementaire n'existe pas en droit européen, même si l'on trouve la notion d'« infrastructure critique ». En réalité, la contrainte est assez faible, dans la mesure où nos contacts avec les acteurs concernés permettent une bonne compréhension mutuelle.

Ce point sera documenté dans le Livre blanc sur la cybersécurité. À nos yeux, les notions d'activités sensibles ou d'infrastructures critiques ne doivent pas recouvrir systématiquement la catégorie des opérateurs d'importance vitale, certaines activités essentielles ne relevant pas de celle-ci. L'ANSSI n'avait pas été configurée pour intervenir à TV5, qui n'est pas un opérateur d'importance vitale ! Toutefois, la mise en panne volontaire de TV5 entravait la liberté d'expression dans notre démocratie. Nous avons donc considéré que cette chaîne assurait une activité essentielle du fonctionnement de notre pays et n'avons pas hésité à l'autoriser à mener des investigations.

De la même manière, il a semblé opportun de considérer que l'ANSSI pouvait être mise à la disposition du juge de l'élection, ce qui a permis de répondre à une interrogation des partis, lesquels ne sont pas, bien évidemment, des opérateurs d'importance vitale. Il n'est pas non plus question que l'État s'ingère dans leur fonctionnement ! Pourtant, ils sont indispensables au fonctionnement de la démocratie. Nous devons donc nous interroger en la matière, pour adapter le cadre de la loi.

S'agissant des élections, il a également été décidé de délocaliser l'ANSSI, en tant qu'expert technique à la disposition du juge constitutionnel ou du président de la commission nationale de contrôle de la campagne électorale en vue de l'élection présidentielle.

Tous ces points nouveaux seront traités dans le Livre blanc sur la cybersécurité.