Intervention de Guillaume Poupard

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation — Réunion du 15 mai 2019 à 10h55
Risque cyber dans les domaines économique et financier — Audition commune de Mm. Alain Bouillé président du cesin christophe delcamp directeur-adjoint assurance de dommages et responsabilité de la ffa bertrand peyret secrétaire général adjoint de l'acpr et guillaume poupard directeur général de l'anssi

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) :

Je pense qu'il faut se saisir pleinement du règlement général sur la protection des données (RGPD) car les règles qu'il pose répondent à la menace. Au-delà, il convient, naturellement, de faire le travail de police préventive et répressive nécessaire mais il faut faire du RGPD un succès.

Il y a, aussi, le sujet de la formation qui est central. En France, nos experts sont bons mais il n'y en a pas assez au regard des besoins. On souffre de quelques biais sur lesquels nous devons travailler. Nos experts sont insuffisamment fidélisés ou recrutés par la voie des filières professionnelles, par exemple. Nous connaissons, en outre, une mauvaise synergie entre les développeurs, d'un côté, et les experts en cybersécurité, de l'autre. Des initiatives existent néanmoins et, par exemple, nous travaillons avec le ministère de l'Éducation nationale pour inciter à l'apprentissage des langages de programmation dès le collège.

Vous m'avez interrogé sur la pertinence des moyens dont nous disposons. L'Agence nationale de la sécurité des systèmes d'information compte, aujourd'hui, près de 600 personnels. C'est beaucoup pour un service rattaché au Premier ministre même si cela pourrait être plus. Toutefois, le sujet est moins celui des effectifs de l'Agence nationale de la sécurité des systèmes d'information que celui de l'effort à consentir pour doter l'ensemble des administrations des moyens de répondre à ces défis qui ont une nature transverse. Il faut trouver un équilibre et être capable d'identifier précisément les besoins. Récemment une mission d'inspection s'est trouvée en grande difficulté pour dénombrer les experts en cybersécurité au service des administrations.

La question de la sécurité informatique des collectivités territoriales nous préoccupe car elle est globalement faible et inégale alors que la menace est réelle. Notre constat, c'est que leurs besoins se recoupent souvent. Il faudrait parvenir à concilier la liberté de choix de chaque collectivité avec la possibilité de proposer des solutions sécurisées communes.

Enfin, le sujet du vote électronique me parait constituer une thématique à part entière. Pour les élections majeures, comme les présidentielles, ce serait une erreur de le mettre en place. Au niveau local, à l'étranger ou pour les élections professionnelles, on peut faire un bilan des risques et des avantages pour se prononcer. Aujourd'hui, avec le ministère de l'Intérieur, nous travaillons aussi à sécuriser davantage les chaînes de remontée d'information lors des élections. En effet, il nous parait peu probable qu'une attaque parvienne à modifier le résultat d'une élection par ce biais. A l'inverse, elle pourrait déstabiliser le processus d'agrégation des données et provoquer des difficultés importantes.

Pour conclure, je voudrais rappeler que la cybersécurité n'est pas une affaire de spécialistes mais de gouvernance. Je le rappelle régulièrement lors de mes interventions : les décisions dans ce domaine appartiennent à des personnes qui ne sont pas des experts. Il y a donc une urgence à intégrer le risque cyber dans le processus général de maitrise des risques et à ne pas l'en dissocier comme c'est souvent le cas.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion