Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Guillaume Poupard
Commission des affaires étrangères, de la défense et des forces armées — Réunion du 3 octobre 2018 à 9h30
Projet de loi de finances pour 2019 — Audition conjointe de Mme Claire Landais secrétaire générale du sgdsn et de M. Guillaume Poupard directeur général de l'anssi
Le taux de sortie annuel observé au sein de l'ANSSI oscille entre 16 % et 18 %, légèrement inférieur à la moyenne du secteur. Nous avons réussi à stabiliser notre modèle de croissance. Il est assez naturel de voir nos jeunes repartir au bout de cinq ou six ans. Au début de 2017, l'ANSSI employait 497 personnes. Ayant connu 93 départs, il lui a fallu recruter 143 personnes, dans un domaine fortement concurrentiel.
Les retards pris par certains ministères pour satisfaire à leurs obligations en matière de protection sont une cause de frustration. Nous souhaitons impliquer au juste niveau les directeurs d'administration centrale, les chefs de projets, les directeurs des systèmes d'information, évidemment, et, demain, les directeurs du numérique. L'ANSSI ne peut pas tout faire sur ce sujet transverse. La conduite du changement demande du temps et de l'énergie. Dans le secteur privé, le responsable de la sécurité des systèmes d'information n'est plus le seul concerné par ces préoccupations, qui remontent dorénavant jusqu'au comité exécutif. J'espère qu'il en sera de même au niveau de l'État.
À l'instar de ce qui se fait dans le cadre des projets informatiques avec la direction interministérielle du numérique et du système d'information et de communication (DINSIC), nous avons proposé que l'ANSSI puisse donner un avis, pas forcément conforme, au lancement des projets en matière de protection. Ne prendre en compte la sécurité qu'à la fin des projets coûte très cher et n'est pas efficace. La DINSIC, avec laquelle nous avons d'excellentes relations, nous saisit déjà sur certains projets et cela mériterait d'être généralisé.
Je suis franchement étonné que le C4 fonctionne aussi bien. Réunir une fois par mois autour d'une même table des experts de la cybersécurité, des services de renseignement, des diplomates, Bercy, le ministère de la justice, dans un contexte permettant d'évoquer des questions classifiées, se révèle extrêmement efficace pour traiter les problèmes, dont certains traînaient depuis plusieurs années. Il faudra voir si cela se confirme dans la durée.
En ce qui concerne l'élaboration éventuelle d'une liste des infractions, ne confondons pas infraction et attaque. Quand un OIV est attaqué, il est victime ; s'il ne met pas en oeuvre les règles de sécurité, il est en infraction. L'ANSSI commence juste à procéder à des contrôles. Elle en est encore à faire de la pédagogie. Il lui faudra passer aux sanctions, mais il serait contre-productif de piéger des acteurs qui ne sont pas encore prêts.
Quant à instaurer un indicateur de performance, l'ANSSI y travaille très sérieusement. L'objectif est de disposer d'un outil qui représente le niveau de sécurité réel, ce qui s'annonce assez difficile à réaliser.
