Intervention de Guillaume Poupard

Le rôle des industriels étrangers extra-européens est une question complexe, sur laquelle l'Europe est en retard. Point positif, la notion d'autonomie stratégique européenne est, depuis peu, pleinement intégrée par la Commission. Si maîtriser les technologies clés n'impose pas de tout faire en Europe, il est des domaines dans lesquels nous ne devons clairement pas être dépendants de certains industriels extra-européens, aussi bons soient-ils.

Le droit européen nous interdit de rendre publique une liste noire des équipements menaçants. Nous traitons au cas par cas. Les agissements de certains industriels nous occupent énormément, notamment dans le domaine des équipements de télécommunication. Tout ne pouvant pas être fabriqué en France, l'essentiel est de continuer à préserver l'architecture de nos systèmes, pour absorber les « briques » qui ne sont pas maîtrisées et nous concentrer sur celles qui nécessitent un effort particulier : cette doctrine est directement issue du monde de l'armement, d'où je viens.

S'agissant des véhicules PSA, je me suis laissé dire qu'il aurait été possible de faire avec des acteurs européens, voire français, pour un coût similaire. Kaspersky est très clairement au centre d'un conflit opposant le monde anglo-saxon à la Russie. Tout antivirus est un produit extrêmement intrusif. Ceux qui ne s'aperçoivent qu'aujourd'hui que Kaspersky est russe ne font pas preuve d'un grand professionnalisme. Ceux qui ont installé un antivirus sur des réseaux sensibles, en le laissant communiquer directement avec son éditeur, ont fait une très grosse faute de sécurité, une grave erreur en termes d'architecture. Il serait totalement inefficace de jeter l'opprobre sur Kaspersky du jour au lendemain. Nous allons continuer à nous servir de cet antivirus extrêmement efficace, dans des conditions maîtrisées.

Pour ce qui est de l'exploitation de données massives non structurées, j'avoue ne pas comprendre pourquoi l'on n'est pas capable de faire un Palantir européen. Cela ne me paraît pas hors de portée. Ceux qui dirigeront le monde demain sont ceux qui seront capables de posséder les données et de savoir comment les traiter. Renoncer au traitement des données nous condamne à être des vassaux. Le temps presse.

J'y insiste, ce n'est pas l'ANSSI qui sauvera la France. Il est essentiel que les métiers qu'elle développe et invente parfois en son sein deviennent des métiers développés dans le secteur privé, au profit du secteur privé. C'est ainsi que nous élaborons des listes, « blanches », d'acteurs compétents et de confiance : c'est ce qu'on appelle la qualification. Nous le faisons dans le domaine de la détection, de la réaction aux incidents, c'est-à-dire la remédiation, des audits, autant de domaines où la confiance envers les acteurs est primordiale. Ces listes sont établies après une évaluation en profondeur, avec l'idée de transférer la confiance des évaluateurs vers les utilisateurs. Elles sont publiées sur notre site internet. Point positif : de nombreux acteurs français de confiance se font qualifier dans ces nouveaux métiers et sont en mesure d'apporter des solutions.

Le commandement de la cyberdéfense (Comcyber), porté par la LPM, a deux activités puisqu'il couvre les aspects défensifs et offensifs. Sur les aspects défensifs, il travaille en étroite coordination avec l'ANSSI, qui est l'autorité nationale unique. Le Comcyber protège directement les réseaux, complexes et atypiques, du ministère des armées. C'est un modèle que je souhaiterais voir essaimer dans les autres administrations. Le Centre d'analyse de lutte informatique défensive (CALID) est hébergé au sein des locaux de l'ANSSI : loin d'être une coïncidence, cela illustre la bonne coordination entre ces deux structures. On voit tout l'intérêt qu'il y a à mettre les centres opérationnels côte à côte.

Officiellement, je n'ai pas connaissance des moyens alloués à la cyberattaque en France, mais je pense qu'il y a un bon équilibre avec ceux qui sont consacrés à la cyberdéfense. En cas de doute, les autorités rappellent que la priorité est aux activités défensives. Comparer nos moyens à ceux des autres États ne veut pas dire grand-chose. Je le dis en toute immodestie, nous sommes beaucoup plus efficaces. Cela n'est pas tout d'avoir des dizaines de milliers de personnes qui font de la cybersécurité, comme aux États-Unis, encore faut-il qu'elles travaillent ensemble. En Europe, les Britanniques sont très bons, s'appuyant sur un modèle qui leur est propre. Les Allemands ont un peu plus de moyens que nous, mais rencontrent d'autres difficultés. La Russie et la Chine sont un autre monde. Je n'échangerais pas la situation de la France contre celle de l'un de ces pays.

À l'évidence, c'est bien l'Europe dans son ensemble qu'il faut protéger. Cette nécessité de cohérence globale est bien comprise par la Commission européenne. Au travers du capacity building, nous aidons déjà concrètement les pays soucieux de se protéger. La base industrielle de cybersécurité est mise en commun. Nous devons parfois lutter contre de fausses bonnes idées, notamment celles qui figuraient dans le projet de Cyber Act, publié voilà un an par la Commission européenne. L'ENISA ne doit pas faire le travail des agences à leur place. Il faut d'abord se protéger soi-même, et ensuite coopérer. Faire de la cybersécurité aujourd'hui suppose d'avoir un État investi, des victimes conscientes, ainsi qu'un écosystème industriel capable d'agir.

Le partenariat dans le domaine cyber est autant compliqué qu'indispensable. Compliqué, car dans d'autres pays, y compris chez nos alliés, ce sont les services de renseignement qui s'occupent de cyberdéfense. On ne parle pas avec un service de renseignement sans prendre de précautions. Les partenariats bilatéraux, avec l'Allemagne, le Royaume-Uni, les États-Unis, se développent et ont atteint un niveau opérationnel : on lutte contre des attaques ensemble. Malgré certains partenariats multilatéraux, il n'existe pas encore de réelle défense collective.

La réunion est close à 13 h 5.