Intervention de Olivier Cadic

Madame la présidente, monsieur le ministre, mes chers collègues, la cyberdéfense est un enjeu majeur. Pour vous en convaincre, je vous invite à lire l’article paru dans Le Monde d’hier, intitulé « La cyberguerre est déclarée ».

Les menaces sont croissantes, multiples et sophistiquées. À titre d’exemple, pour pirater un casino, des hackeurs sont passés par un thermomètre situé dans un aquarium relié aux ordinateurs de la réception du casino.

La cybermenace est prise en compte par l’État avec la création et la montée en puissance de l’ANSSI. Ses compétences ont été étendues en 2018 suivant les conclusions de la Revue stratégique de cyberdéfense, ainsi que par les dispositions de la loi de programmation militaire 2019-2025 et celles qui sont issues de la transposition de la directive NIS – Network and Information Security.

Pour conduire cette politique, l’ANSSI voit ses moyens progresser en 2019. Ses effectifs passeront de 555 à 595 équivalents temps plein ou ETP, avec 25 emplois au titre de son schéma initial et 17 qui auraient dû être créés en 2018, mais que l’Agence n’a pas été en mesure de financer en raison de la sous-évaluation des crédits de titre 2.

Avec un turn-over de 15 %, l’ANSSI doit recruter une petite centaine de collaborateurs chaque année. Le montant des rémunérations demandées à l’embauche par les jeunes ingénieurs excède désormais celui des cadres qu’ils remplacent. Ces tensions ont conduit également à un rebasage de la masse salariale en titre 2, celle-ci progressant de 8 %.

Hors titre 2, et pour la seule ANSSI, les crédits progressent de 9 % en crédits de paiement et de 35 % en autorisations d’engagement en raison de l’engagement des trois dernières annuités du bail de la tour Mercure où l’ANSSI est installée, et qui viendra à échéance le 1er janvier 2022. Il faut engager dès maintenant les études pour rechercher une nouvelle implantation.

Nous sommes satisfaits de cette évolution des crédits de l’ANSSI. Pour autant, nous devons vous faire part de notre inquiétude et relever deux points de vulnérabilité.

Le premier concerne le retard persistant de mise en œuvre de la politique de sécurité des systèmes d’information de l’État. On peut légitimement être inquiet. Le faible portage politique par les ministres et l’insuffisance des capacités d’investissement de la DINSIC et des DSI ministérielles par rapport aux enjeux de sécurité sont assez consternant.

Nous lançons un cri d’alarme. Les administrations multiplient les programmes informatiques pour réaliser des économies, mais au détriment des investissements de cybersécurité.

Notre second point de préoccupation, ce sont les problèmes structurels de recrutement et de fidélisation des ingénieurs spécialistes de cybersécurité. Rachel Mazuir y reviendra.

Globalement, nous sommes satisfaits de l’évolution des crédits de cette action dans le programme 129. Il faut les maintenir. La commission a exprimé un avis favorable.