Intervention de Olivier Cadic

Le Sénat a, en effet, joué un rôle de lanceur d'alerte dans le domaine de la cybersécurité comme Jean-Marie Bockel l'a souligné.

Je voudrais préciser, en réponse à Isabelle Raimond-Pavero, que les crédits de l'ANSSi progressent dans le projet de loi de finances pour 2019, simplement la commission des finances va déposer un amendement pour les réduire. Nous estimons que ce n'est pas une bonne idée. L'effort de l'ANSSI doit être soutenu. C'est une priorité. Donc, je partage son inquiétude.

Vis-à-vis des entreprises, il faut distinguer les opérateurs d'importance vitale (OIV) sur lesquels pèsent des obligations réglementaires d'assurer leur cybersécurité, des autres entreprises pour lesquelles l'ANSSI n'intervient que pour sensibiliser et favoriser l'émergence de produits et de services dont elle soutient le développement, qu'elle référence et labellise.

Pour répondre à Richard Yung, l'organisation française préserve l'autonomie des armées, notamment sur le volet opérationnel de leur cybersécurité, dont la confidentialité doit être préservée et qui relève du Commandement Cyber et les autres secteurs de l'Etat qui relèvent de l'ANSSI. Cette répartition présente aussi un grand avantage par rapport à l'organisation adoptée dans d'autres pays dans lesquels la cybersécurité relève des agences techniques de renseignement, notamment en ce qu'elle ne provoque aucune ambiguïté quant aux interventions de l'ANSSI et les rend plus faciles. Lorsque je rencontre des interlocuteurs dans ce domaine et que nous abordons ces sujets, j'ai tendance à leur dire que si cette organisation leur convient, s'ils y sont confortables et si elle leur permet d'agir avec efficacité, c'est qu'elle est pertinente. Pour autant, il ne faut pas en faire un totem et il faudra savoir la faire évoluer si elle perd en efficacité.

S'agissant de la réserve de cyberdéfense, j'étais récemment à Rennes au Commandement Cyber et me suis entretenu avec les responsables en charge des réserves. Effectivement, comme l'a rappelé Joëlle Garriaud-Maylam, il y a un nombre important de réservistes citoyens. C'est encourageant, mais il faut déterminer les missions susceptibles de leur être confiées et réaliser l'adéquation entre les missions, les profils et leur disponibilité. Un travail de réflexion et d'organisation est en cours.

S'agissant de la gendarmerie et de la police, elles prennent résolument le virage de la numérisation avec le déploiement de terminaux sécurisés dans le cadre du dispositif NéO avec le concours de l'ANSSI.

Dans le domaine capacitaire européen, un partenariat public-privé dédié à la cybersécurité a été lancé par la Commission avec pour objectif de générer 1,8 milliard d'euros d'investissements via l'effet de levier de 450 millions de fonds alloués au programme pour la recherche et l'innovation afin d'améliorer la résilience de l'Europe et de renforcer la compétitivité des entreprises européennes du secteur de la sécurité numérique.

Enfin, il a été cité une marque de logiciel grand public américaine, ce n'est sans doute pas la menace principale. Il y a d'autres logiciels vecteurs porteurs de vulnérabilité, y compris certains anti-virus... mais le maillon de vulnérabilité, c'est souvent l'utilisateur avant l'outil, c'est nous quand nous ne mettons pas à jour nos logiciels, quand nous n'installons pas de VPN (virtual private network) sur nos portables lorsque nous nous rendons à l'étranger... Enfin, il ne faut pas méconnaître la diversité des menaces en ce qui concerne notre indépendance et notre autonomie dans ce domaine, notamment dans la compétition économique. N'oublions pas que les entreprises françaises peuvent se développer aux États-Unis, c'est rarement le cas en Chine. Enfin, nous aurons l'occasion d'entendre M. Sarts, responsable du centre d'excellence de l'OTAN, le 19 décembre qui pourra nous présenter un panorama des menaces du point de vue de cette organisation.