La dernière difficulté porte sur le niveau de sécurité des systèmes d'information de l'État et la peine qu'a l'agence à faire respecter ses préconisations par l'administration, ce qui me semble particulièrement préoccupant. Selon l'Anssi, le niveau de sécurité des systèmes d'information de l'État est inégal et souvent trop faible, malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques liés à l'espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements en cas d'attaque massive. Imaginez, par exemple, que les données relatives aux casiers judiciaires soient détruites ou volées, ou que le site impots.gouv.fr soit hors d'état de fonctionner pendant plusieurs semaines !
À l'issue de ma visite, je souhaite donc émettre quelques observations et recommandations. Il me semble d'abord utile de réfléchir au positionnement institutionnel de l'Anssi. Son rattachement au SGDSN limite son autonomie de gestion financière et en ressources humaines, ses moyens sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services. Si, de l'avis de l'agence elle-même, ce positionnement doit être conservé car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l'État, je réitère la proposition que j'avais faite en 2015 de créer un BOP propre à l'Anssi, qui lui permettrait de renforcer son autonomie de gestion. Cette proposition s'inscrit dans l'esprit du programme Action publique 2022, qui propose de donner aux managers publics davantage de liberté et de responsabilité en matière de gestion budgétaire et de ressources humaines.
La création d'un BOP spécifique offrirait, en outre, au Parlement un moyen d'assurer un meilleur suivi du budget, ce qui m'amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l'Anssi au profit d'une meilleure évaluation des actions menées. Les deux sous-indicateurs associés à l'agence, qui mesurent respectivement la maturité des systèmes d'information ministériels et le niveau d'avancement des projets interministériels en matière de sécurité des systèmes d'information, se concentrent sur l'État. De nouveaux indicateurs portant sur la capacité de réaction de l'Anssi en cas d'attaque et la mise en oeuvre de ses recommandations par les directions des systèmes d'information des ministères et les opérateurs d'importance vitale pourraient utilement être envisagés pour mesurer l'impact du travail réalisé, notamment par la quantification des attaques identifiées.
S'agissant de la gestion des ressources humaines, il me semble indispensable de mettre en oeuvre une politique indemnitaire volontariste pour attirer et, surtout, fidéliser les ingénieurs informatiques de l'Anssi, en créant notamment un régime attractif de prime en fonction du travail réalisé. À cet égard, je salue à nouveau l'effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, destiné à la revalorisation du régime indemnitaire des agents de l'Anssi. Je suivrai attentivement les travaux portés sur ce sujet par la direction interministérielle du numérique et du système d'information et de communication (Dinsic).
Enfin, si la croissance interne de l'Anssi semble progressivement arriver à son terme, son développement territorial est encore embryonnaire et doit être poursuivi afin d'installer un véritable service de proximité. Je vois pour cela deux moyens : d'une part, achever la désignation, lancée fin 2015, de référents dans chacune des treize régions métropolitaines et, surtout, en Outre-mer, où aucun référent n'a encore été identifié ; d'autre part, renforcer les relations de l'Anssi avec les services interministériels départementaux des systèmes d'information et de communication (Sidsic), placés sous l'autorité des préfectures. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui suscite une attente croissante des entreprises et des collectivités territoriales.