Je m'associe aux propos de Rachel Mazuir et formulerai pour ma part quelques observations concernant l'ANSSI.
La cyberdéfense est un enjeu majeur. Les menaces sont croissantes, multiples et plus sophistiquées. Elles évoluent à raison de la puissance et de la virulence des réseaux criminels qui investissent le cyberespace à la recherche de gains massifs à moindre risque et par l'action d'autres acteurs, notamment étatiques qui se livrent à des actions d'espionnage, d'ingérence, de sabotage et de déstabilisation. On l'a vu encore récemment avec une affaire d'espionnage russe aux Pays-Bas. Elles évoluent, également à raison de l'accroissement des enjeux dans un monde de plus en plus connecté, et donc de plus en plus vulnérable. Le rapport « Symantec 2018 » classe la France au 9e rang des pays où la cybercriminalité est la plus active et détaille les nouvelles tendances comme des détournements de puissantes machines pour générer de la cryptomonnaie, la banalisation des demandes de rançons, ou et l'injection de programmes malveillants au sein de logiciels légitimes. On assiste même sur le « dark web » à l'émergence d'un marché d'outils informatiques offensifs sophistiqués, porteurs de vulnérabilités. L'attaque NotPetya, en juin 2017, qui a démarré en Ukraine et qui a touché en France le groupe Saint-Gobain en est un parfait exemple. Idem pour la vague d'attaques par le rançongiciel Wannacry en mai 2017 qui a impacté près de 250 000 entités dans plus de 150 pays.
Cette menace est prise en compte depuis une dizaine d'années par l'Etat avec la création de l'ANSSI en 2009. La LPM de 2013 lui a confié de nouvelles missions en matière de protection des systèmes d'information des opérateurs d'importance vitale. Ce champ de compétences a été étendu en 2018 suivant les conclusions de la Revue stratégique de cyberdéfense, ainsi que par les dispositions de la LPM 2019-2025 que nous avons votées cet été et celles issues de la transposition de la directive NIS.
Pour conduire cette politique, l'ANSSI voit ses moyens progresser en 2019 :
· Ses effectifs passeront de 555 à 595 ETP, + 40. 25 emplois au titre de son schéma initial et 17 emplois qui auraient dû être créés en 2018, que l'Agence n'a pas été en mesure de financer en raison de la sous-évaluation des crédits de Titre 2. En effet, avec un turn over supérieur à 15 % de son effectif, c'est une petite centaine de collaborateurs que doit recruter l'ANSSI et le montant des rémunérations demandées à l'embauche par les jeunes ingénieurs excède désormais celui des cadres dont ils assurent le remplacement. Ces tensions sur un marché très concurrentiel ont conduit également à un rebasage de la masse salariale qui se traduit par un accroissement des crédits du titre 2 du SGDSN de 8 % qui passe (hors GIC) de 77,1 M€ à 83,4 M€. Deux emplois seront transférés à l'ARCEP en 2019 au titre du contrôle en application des dispositions votées en LPM 2019-2025.
Hors titre 2, et pour la seule ANSSI, les crédits passent de 72,9 M€ à 79,4 M€ en CP (+8,8 %) et de 70,2 à 94,7 M€ (+35 %) en AE. L'écart est largement dû à l'engagement des trois dernières annuités du bail de la tour Mercure où l'ANSSI est installée.
Les principales opérations concernent le financement direct de l'aménagement des salles serveurs du data center, construit en partenariat avec le ministère de l'intérieur, l'engagement de crédits pour le financement du réseau Rimbaud des communications de l'Etat ou de son successeur, le développement de produits de sécurité pour la protection des informations classifiées dans le cadre de programmes conjoints avec le ministère des armées et le fonctionnement des systèmes d'information sécurisés.
Nous sommes satisfaits de cette évolution des crédits de l'ANSSI. Pour autant, nous devons vous faire part de notre inquiétude et relever quelques points de vulnérabilité :
· Le premier concerne le retard persistant de mise en oeuvre de la Politique de sécurité des systèmes d'information de l'Etat. L'insuffisance des moyens consacrés à la sécurité dans les ministères ainsi que des contraintes techniques et d'organisation qui ne permettent pas toujours à l'ANSSI d'assurer une détection optimale, explique cela. Les ministères régaliens sont les bons élèves, mais on peut légitimement être inquiet s'agissant des autres ministères. Les entreprises privées sont conscientes de l'obligation pour elles de rehausser leur niveau de sécurité. Ces décisions sont débattues aujourd'hui en comité exécutif dans les grandes entreprises. Le faible portage politique par les ministres et l'insuffisance des capacités d'investissements de la DINSIC et des DSI ministérielles par rapport aux enjeux est assez consternant. Les administrations multiplient les programmes informatiques pour réaliser des économies, mais au détriment, des investissements de cybersécurité, ce qui fragilise la résilience des services publics. Nous lançons un cri d'alarme. Il nous semble nécessaire de poser une règle de principe d'interdiction de développer de nouvelles applications sans investissement conséquent dans le domaine de la sécurité.
· Notre deuxième point de préoccupation, ce sont les problèmes structurels de recrutement et de fidélisation des ingénieurs spécialistes de cybersécurité. Ceux-ci continuent à être très recherchés tant dans le secteur public que dans le secteur privé. L'insuffisance du vivier issu de la formation en école d'ingénieurs ou en université est patente. Ceci induit de fortes tensions sur le marché du travail. Les administrations ne pourront suivre sans un alignement des rémunérations, mais ce sera un puits sans fond sans une action plus intense du ministère de l'enseignement supérieur et de la recherche pour orienter les universités et les grandes écoles à développer ces filières. C'est désormais un enjeu majeur de société qui devrait être porté au plus haut niveau de l'Etat.
· Notre troisième point d'attention est l'importance de la détection en matière de prévention des cyberattaques. Elle doit être réalisée le plus en amont possible. Nous avons, dans la LPM, renforcé les capacités d'action de l'ANSSI. Plus en amont encore, il est souhaitable de mettre en place un véritable réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre Etats disposant d'opérateurs comme l'ANSSI - ils sont rares - et la mise à niveau des Etats qui n'en disposent pas avec l'appui de l'Union européenne.
· Enfin, s'agissant de l'ANSSI, le bail de la Tour Mercure viendra à échéance le 1er janvier 2022, c'est demain. Il faut engager dès maintenant les études pour rechercher une nouvelle implantation qui concilie montée en puissance, attractivité pour ses personnels (les conditions de travail sont un facteur évident d'attractivité pour ces professions) et coût raisonnable. J'ai eu l'occasion de visiter récemment tant les locaux de l'ANSSI que ceux du ComCyber à Rennes et je peux vous dire que nous sommes loin des conditions confortables de travail que peuvent offrir certaines grandes entreprises. Or, il ne faut pas se leurrer, c'est devenu aussi un élément d'attractivité et de fidélisation. Quand j'entends que des parlementaires ont critiqué la présence d'un babyfoot dans les locaux, je trouve la remarque déplacée et sans beaucoup d'égards pour des personnels rivés sur leurs écrans qui font un travail remarquable requérant une grande attention et générant beaucoup de stress et qui ont besoin de temps à autres d'un peu de détente.
Globalement, nous sommes satisfaits de l'évolution des crédits de cette action et donc de ce programme 129 et vous proposons d'exprimer un avis favorable à l'adoption de la mission « Direction de l'action du gouvernement ».
Nous devons toutefois vous informer que la Commission des finances a estimé nécessaire, dans un souci d'exemplarité, de réduire les crédits du Premier ministre. Elle a donc adopté un amendement pour réduire de 13,1 millions d'euros les crédits du programme « Coordination du travail gouvernemental », dont 1,5 million pour le titre 2 en les fléchant vers l'ANSSI.
Nous considérons que nos collègues ne font pas une juste analyse et donnent un mauvais signal. Nous avons mis en avant l'importance et la croissance des menaces, nous avons donné à l'ANSSI de nouveaux moyens, ce n'est pas en rabotant ses moyens que l'on réduira de façon significative les déficits publics, - on risque même de les accroître si demain il faut réparer les dommages qu'aura permis leur déficience. Cet amendement ne contribue pas à renforcer la sécurité nationale. Nous vous proposons donc si vous en êtes d'accord d'exprimer notre désaccord qui sera soumis au Sénat en séance publique lors de l'examen des crédits.