Intervention de Olivier Cadic

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, les crédits du programme 129 progressent de 1, 2 % en autorisations d’engagement et de 3 % en crédits de paiement. Il faut s’en réjouir, car ils portent les moyens de services indispensables à la politique de défense et de sécurité de notre pays. C’est pourquoi la commission des affaires étrangères, de la défense et des forces armées s’est déclarée, à l’unanimité, favorable à l’adoption des crédits de cette mission.

Je concentrerai mon propos sur les crédits attribués à la cybersécurité et formulerai plusieurs observations.

Première observation, les personnels de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, représentent 60 % des effectifs du programme et le tiers des crédits, hors titre 2, de l’action n° 02. Pourtant, ils ne font pas l’objet d’une présentation distincte dans le programme annuel de performances, alors que ce serait un moyen de distinguer les efforts en matière de cybersécurité et les moyens dévolus aux autres missions du SGDSN.

La commission demande que l’ANSSI soit, à l’instar du GIC, considérée comme une unité opérationnelle et que la maquette de présentation du programme soit modifiée dans ce sens.

Deuxième observation, tous les indicateurs sont au rouge en matière de cybermenace. L’ANSSI va poursuivre sa montée en puissance, ce qui est une bonne chose. Mais pourquoi ralentir le rythme de moitié, de cinquante créations d’emploi par an à vingt-cinq, et attendre 2022 pour atteindre le niveau optimal des besoins exprimés par l’Agence ? Ses missions vont s’accroître dans le cadre tant de la mise en œuvre de la directive NIS, Network and Information Security, que des mesures qui, on peut le pronostiquer, seront issues de la revue de stratégie Cyber actuellement menée par le SGDSN. Ne peut-on accélérer sa montée en puissance ?

Les problèmes de recrutement qu’a connus l’ANSSI semblent largement résolus, mais il faudra demeurer vigilant, car le vivier des spécialistes recrutables est faible et la concurrence vive.

Notre commission estime que, au-delà de la politique de labellisation, une politique active de développement de filières de formation initiale par une implication plus forte du ministère de la recherche, de l’enseignement supérieur et de l’innovation et des partenaires économiques est indispensable. Le Premier ministre entend-il avancer sur ce terrain ?

Troisième et dernière observation, trois ans après la publication de la circulaire du Premier ministre exposant la politique de sécurité des systèmes d’information de l’État et fixant des règles de protection, le niveau effectif de conformité des systèmes d’information de l’État tarde à atteindre les cibles en adéquation avec les enjeux. Les moyens organisationnels et budgétaires sont insuffisants pour combler ce retard.

Le service interministériel de supervision confié à l’ANSSI se heurte à des contraintes techniques et d’organisation qui ne permettent pas toujours de déployer ses sondes sur les réseaux dans des conditions adéquates, ni de recueillir toutes les informations nécessaires pour assurer une détection optimale.

Cette situation reste insatisfaisante et la commission s’en inquiète. Elle demande qu’une évaluation soit conduite par un corps d’inspection pour identifier les difficultés et proposer un plan d’action. Elle souhaite également que soient étudiés sur les plans juridique et technique les moyens pour l’ANSSI de contraindre les directions des systèmes d’information des ministères et de leur imposer ses préconisations.