Intervention de Olivier Cadic

Je m'associe aux propos de Rachel Mazuir et formulerai pour ma part quelques observations concernant l'ANSSI.

La cyberdéfense est un enjeu majeur. Dans une société de plus en plus connectée, les systèmes d'information sont des points de vulnérabilité. Assurer la protection contre une cybercriminalité puissante et virulente, mais aussi face au développement de l'espionnage et désormais, des actions d'ingérence de puissances étrangères, comme on a pu l'observer lors des campagnes électorales américaines et françaises, est devenu un impératif. Selon le rapport « Symantec 2017 », la France est passée au 8ème rang des pays où la cybercriminalité est la plus active et au 4ème rang en Europe. Le rapport observe une recrudescence des e-mails contenant des pièces jointes malveillantes. Un mail sur 131 est malveillant dans le monde contre 220 en 2015. Le rapport enregistre une hausse de 36 % du nombre de rançongiciels et en a identifié plus de 100 nouvelles familles. Cette activité se révèle toujours plus lucrative ; la rançon moyenne est passée en un an de 294 à 1077 $. Ce type d'attaques n'a pas progressé en France sans doute parce que seules 30% des victimes paient les rançons contre 64% aux États-Unis. En mai 2017, l'attaque massive à base de logiciels malveillants, exploitant une faille de Windows, a touché plus de 100 000 systèmes dans près de 100 pays dont ceux d'un certain nombre de grandes entreprises, en France et à l'étranger, ainsi que le service de santé britannique. Notre pays n'est pas épargné par les vols d'identifiants. Avec 85,3 millions d'identifiants volés, elle pointe à la 2ème place mondiale. Enfin, 2016 a connu la plus grande attaque par déni de service distribuée exploitant des réseaux d'objets connectés marquant l'émergence fulgurante de ce risque. Au plus fort de cette action massive, on enregistrait des attaques toutes les 2 minutes.

Face à cette menace croissante, l'ANSSI met en oeuvre la stratégie nationale de sécurité informatique. Elle a développé toute une série d'activités à partir de ses laboratoires d'expertise. Son périmètre d'action s'est élargi au-delà de la protection des administrations de l'État. Les textes d'applications de la LPM de décembre 2013 concernant les opérateurs d'importance vitale sont désormais publiés. Elle investit dans la mise au point de certains produits de sécurité. Elle en labélise d'autres, mais aussi des prestataires de confiance et des filières de formation. Elle apporte du conseil aux services déconcentrés de l'Etat, aux collectivités territoriales et aux entreprises grâce au déploiement d'un réseau en région. Enfin, elle a participé à la création de la plateforme cybermalveillance.gouv.fr, ouverte le 17 octobre, qui met en relation particuliers et administrations locales avec des spécialistes susceptibles de leur venir en aide.

Pour autant, un point de faiblesse demeure. Trois ans après la publication de la Politique de sécurité des systèmes d'information de l'Etat (PSSIE), le retard, au regard des objectifs de conformité affichés peine à être comblé. L'insuffisance des moyens consacrés à la sécurité dans les ministères ainsi que des contraintes techniques et d'organisation qui ne permettent pas toujours à l'ANSSI de déployer des sondes dans des conditions adaptées à la menace, ni de recueillir toutes les informations nécessaires pour assurer une détection optimale, explique cela. Les ministères régaliens sont les bons élèves, mais quand on voit les attaques se développer comme en Grande-Bretagne en mai dernier, contre les services de santé, on peut légitimement être inquiet. Ce point avait déjà été relevé l'année dernière.

Il nous semble nécessaire qu'une inspection identifie les difficultés et propose un plan d'action et que soient étudiés rapidement les moyens permettant à l'ANSSI d'imposer ses préconisations aux directions des systèmes d'information des ministères.

La politique de cyberdéfense connaîtra sans doute en 2018 de nouveaux développements. Une revue est conduite par le SGDSN, et vous aurez également remarqué la présence accentuée du cyber dans la revue stratégique de défense qu'est venue nous présenter Arnaud Danjean récemment.

Pour ce faire, l'ANSSI voit ses moyens progresser en 2018.

Ses effectifs passeront de 547 à 572 ETP, +25. L'Agence considère toutefois que son effectif devrait être d'une centaine d'agents supplémentaires. Au vu des perspectives actuelles, à raison de 25 ETP par an, cette cible ne devrait être atteinte qu'en 2022. C'est pour nous un facteur de préoccupation, compte tenu de l'évolution des menaces. Espérons que la revue de cyberdéfense sera un levier en faveur d'une montée en puissance plus rapide. Les problèmes de recrutement et de fidélisation des cadres sont en voie de solution progressive, mais la vigilance demeure car les spécialistes de la sécurité informatique continueront à être très recherchés, tant dans le secteur public que dans le secteur privé.

La faiblesse du vivier demeure inquiétante. L'engagement de l'ANSSI dans une politique de labélisation des formations est positif, mais il devrait être conforté par une action plus intense du ministère de l'enseignement supérieur et de la recherche pour orienter les universités et les grandes écoles à développer ces filières et à diffuser dans toutes les filières la culture de la cybersécurité qui est désormais, soyons-en conscients, un enjeu majeur de société.

Les crédits affectés à l'ANSSI sont compris dans le budget du SGDSN, ce qui ne permet pas une lecture aisée des documents budgétaires. Il serait souhaitable, ce sera une de nos recommandations, de les faire apparaître indépendamment, sous forme d'une unité opérationnelle à l'instar du GIC, qui comme l'ANSSI est un service à compétence nationale.

Ils progressent sensiblement en crédits de paiement atteignant 73,39 M€ (+ 11,4%) et sont stables en autorisations d'engagement (- 1,1%). La principale opération d'investissement concerne le centre de stockage des données pour stocker et traiter les données recueillies lors des cyberattaques. L'investissement est porté par le ministère de l'intérieur pour un coût total de 24,2 millions d'euros, que le SGDSN finance aux trois-quarts. Les AE (18,2 millions d'euros) ont été transférées en 2016. En 2018, 6 millions sont inscrits en CP. Pour le reste, les crédits servent, pour l'essentiel, au développement de produits de sécurité pour la protection des informations classifiées, à des acquisitions de matériel informatique, au fonctionnement des systèmes d'information sécurisé, à la politique d'expertise scientifique et technique de l'Agence et à son fonctionnement opérationnel.

Globalement, nous sommes satisfaits de l'évolution des crédits de cette action et donc de ce programme 129 et vous proposons d'exprimer un avis favorable à l'adoption de la mission « Direction de l'action du gouvernement ».