Intervention de Christophe Castaner

J'ai pris l'engagement de dire toute la vérité, eu égard à la connaissance que nous avons aujourd'hui en la matière. Or, sur ce sujet, la connaissance d'aujourd'hui n'est jamais celle de demain, ni celle d'après-demain. Ce sujet absolument majeur concerne l'ensemble des ministères : il importe d'être extrêmement vigilant et armé. Vous avez rappelé la fonction régalienne du ministère de l'intérieur, mais presque tous les ministères doivent contribuer à traiter de la question de la souveraineté numérique, ainsi que les collectivités locales et les acteurs publics.

Il faut agir à deux niveaux : tout d'abord, il faut agir sur la conscience. L'intérêt de votre commission d'enquête est d'attirer l'attention sur l'importance de ce sujet en soulignant combien il convient d'être vigilant dans les comportements. Le rapport de 2019 sur la cybermenace pose au préalable la question essentielle de la prévention - il faut avoir conscience du risque. Il faut aussi agir sur la question de la transversalité, avec l'ensemble des autres ministères, dont celui de la défense notamment, et sur celle de la modestie, car la question de la souveraineté numérique relève non pas d'un ministère, mais de la France, qui vit dans un enclos numérique mondial. Compte tenu de tous les enjeux, la France est-elle suffisamment protégée ?

J'apporterai enfin des éléments de réponse à votre question très précise concernant l'attitude des grandes plateformes numériques.

La question de la souveraineté numérique est au coeur des préoccupations du ministère de l'intérieur. Nous aurons beau nous armer de multiples façons, si nous ne sommes pas en capacité de résister à des cyberattaques, c'est tout l'édifice qui tombera. Je l'ai vécu il y a quelques jours avec la préparation du sommet du G7. Nous savions que les cyberattaques étaient l'une des menaces majeures dont nous aurions pu faire les frais. Nous le savons, certains de nos adversaires n'hésitent pas à choisir des moments sensibles ou médiatiques pour attaquer un pays comme la France. Il est donc indispensable que l'ensemble du Gouvernement s'engage sur cette question. J'insiste sur le lien qui existe entre le ministère de l'intérieur et celui de la défense sur la question de la cyberdéfense, sans oublier le travail engagé par le secrétariat d'État au numérique.

Comme je l'ai dit dans mon propos liminaire, il s'agit à la fois d'une question pédagogique et d'une question de travail collectif - c'est ce que j'appelle l'« hygiène cyber ».

Aujourd'hui, il est indispensable que les particuliers, les entreprises, les administrations aient cette hygiène cyber. Nous sommes entrés dans l'ère du numérique par les usages, mais pas forcément par la protection. Les remparts existent, mais ils sont fragiles. C'est de notre capacité à adopter les bonnes pratiques et à ne pas ouvrir nous-mêmes de brèches que dépend notre cybersécurité. Un constat s'impose, le numérique est présent partout : il structure nos échanges, nos déplacements, nos services publics ; il intervient dans toutes les étapes de notre vie et de notre quotidien ; on en est aujourd'hui dépendant. De plus, l'actualité le montre régulièrement, des pans entiers de notre économie s'appuient sur le numérique. Tant le secteur privé que le secteur public sont touchés. Le numérique est un outil formidable qui offre des opportunités extraordinaires, mais si l'on pèche par naïveté, on néglige les risques nouveaux qui y sont associés.

Quand on regarde le seul sujet de la délinquance classique, on voit bien comment les méthodes et le profil des auteurs ont évolué. Par le piratage des données, les mails d'hameçonnage ou d'usurpation d'identité, des champs entiers de criminalité se développent grâce au numérique. L'information est devenue une source d'enjeux et, en parallèle, une source de conflits. La manipulation de l'information peut battre son plein sur internet et peut alimenter des théories totalement délirantes, qui deviennent des vérités pour certains par le biais d'algorithmes. Ceux-ci vont vous envoyer des informations en lien avec ce que vous pensez et non pas ce que vous cherchez. On voit aujourd'hui comment on peut créer un univers qui va vous influencer et, de fait, comment certains vont manipuler l'information pour interférer dans la vie d'un pays, voire, comme vous l'avez relevé, dans le bon déroulement des élections. Notre économie et nos services publics sont, eux aussi, exposés. Il nous faut donc parvenir à construire des remparts.

Nous avons vécu des cyberattaques majeures sur des services publics : un système hospitalier a été attaqué, avec des conséquences extrêmement graves, mais des attaques contre des gares, des moyens logistiques, voire des moyens de production d'énergie peuvent bloquer un pays et donc menacer sa souveraineté.

C'est pourquoi le ministère de l'intérieur agit depuis plusieurs années pour lutter contre la cybercriminalité, les arnaques et les escroqueries en ligne. À cet égard, la plateforme de signalement Percev@l a été créée pour les victimes d'usages frauduleux de leur carte bancaire. L'idée est simple : d'un côté, pouvoir signaler rapidement et facilement afin de limiter le préjudice et, de l'autre, regrouper les éléments d'information et les moyens pour avoir une enquête unique pour des infractions similaires. L'équipement nécessaire pour procéder à une cyberattaque est très différent de celui dont on avait besoin pour braquer une banque.

Par ailleurs, nous avons mis l'accent sur la formation. Aujourd'hui, 80 % de nos policiers et de nos gendarmes sont sensibilisés aux enjeux cyber. Nous formons aussi des enquêteurs spécialisés dans le domaine du numérique. À cet égard, je citerai le réseau cyberGend de la gendarmerie nationale : nous comptons 4 500 enquêteurs cyber sur le territoire, avec l'objectif de parvenir à 6 500 d'ici à la fin du mandat du Président de la République.

Nous sommes particulièrement vigilants en ce qui concerne les attaques contre les entreprises. La Direction générale de la sécurité intérieure (DGSI) se tient à la disposition de toutes les entreprises qui pensent avoir été victimes d'une cyberattaque. Il est essentiel que la Direction générale de la sécurité extérieure (DGSE) centralise les principales attaques pour avoir connaissance des opérations d'ingérence étrangère.

Enfin, nous avons renforcé le dispositif de prévention, et ce dès le plus jeune âge. Pour ne prendre qu'un exemple, j'évoquerai le permis Internet grâce auquel 2 millions d'enfants ont été sensibilisés aux risques d'internet. Ce n'est pas anecdotique ; c'est souvent de cette manière que les bonnes pratiques dont je parle depuis le début de mon propos se développeront. Il faut qu'elles soient des automatismes.

En matière de cybercriminalité, je n'oublie pas que le numérique est un vecteur majeur de menaces terroristes. On voit bien comment les pires actes peuvent s'afficher librement sur les réseaux sociaux. En témoigne l'attentat de Christchurch : alors que la vidéo de treize minutes avait été retirée au bout de vingt-quatre minutes, si je me souviens bien, elle a été vue 1,5 million de fois en vingt-quatre heures - ceux qui la diffusaient s'étant adaptés pour contourner les mesures techniques mises en place par les plateformes.

Sur ce sujet, la France a pris ses responsabilités en créant la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos), qui permet aux internautes de signaler les contenus terroristes ou haineux. Sur le plan européen, elle soutient l'adoption du règlement européen actuellement en cours de négociation afin de permettre le retrait d'un contenu terroriste en moins d'une heure après son signalement. Nous souhaitons que ce dossier puisse très vite revenir devant le nouveau Parlement européen.

Pour réussir en la matière, nous aurons besoin des géants du numérique, mais pas seulement. Lors du premier G7 des ministres de l'intérieur, j'ai invité les responsables des Gafam - Google, Apple, Facebook, Amazon et Microsoft - afin d'avancer sur ce sujet, qui a également été abordé par les chefs d'État et de gouvernement dans le cadre du G7. Ces grands opérateurs ont plutôt été réactifs et se montrent généralement très réceptifs à nos demandes, ce qui a conduit à un infléchissement de la position des États-Unis sur cette question. C'est ce que nous avions appelé « les engagements de Paris » après le G7 ministériel. Le Canada, qui n'était pas du tout offensif en la matière, nous a suivis dans la coopération. Mais nous nous heurtons à une difficulté : concilier la nécessité de lutter contre le terrorisme et la liberté de l'information qui doit circuler sur les réseaux - les Gafam et les entreprises y sont très attachés. Il nous faut donc continuer à faire pression sur ces entreprises.

Concernant la question des grandes plateformes que vous avez évoquée, Monsieur le Président, elles sont plutôt coopératives sur des sujets tels que celui de la lutte contre le terrorisme, contrairement à d'autres opérateurs moins importants mais qui permettent de diffuser des informations et font partie des angles morts, et sur lesquels je voudrais insister.

Les grands opérateurs ont, en effet, des représentants physiques en Europe : Laurent Solly, qui représente Facebook pour la France et l'Europe, est un ancien préfet et un interlocuteur que les administrations connaissent. Ainsi, en matière de lutte contre le terrorisme, Facebook peut se montrer proactif. En revanche - sans même parler du darknet - nous ne disposons pas toujours de correspondant pour d'autres plateformes de communication très utilisées, notamment par les jeunes - le site « jeuxvideo.com » par exemple, s'il ne fallait en citer qu'un exemple. On se focalise beaucoup sur les Gafam - et pour plusieurs raisons, y compris pour des raisons de citoyenneté fiscale, sur lesquelles il ne m'appartient pas de me prononcer - mais le risque se situe aussi au-delà de ces acteurs : les cybercriminels qui utilisent les réseaux savent très bien s'adapter au caractère coopératif ou non des intermédiaires techniques.

Aussi, au fil des années, la plateforme Pharos a enregistré une très forte baisse du nombre de sollicitations, et ce pour plusieurs raisons. Même si elle existe encore, la menace exogène est affaiblie. Daech, qui avait beaucoup utilisé les réseaux sociaux pour diffuser ses outils de haine, est affaiblie, et a aussi compris qu'il avait plus de libertés sur d'autres réseaux, comme le darknet, qui pose de véritables difficultés. Il nous faut donc mener le combat sur ces différents fronts. J'y insiste, se focaliser uniquement sur les Gafam reviendrait à passer à côté d'une partie de la menace.

Pour répondre ensuite à votre question concernant le risque de manipulation de l'information et la sincérité des scrutins, je veux rappeler qu'en France notre mode de scrutin nous protège : la proclamation des résultats ne se fait que sur le fondement des procès-verbaux papier, ce qui limite très sensiblement le risque d'attaque. Il existe certes d'autres types de fraudes, plus locales - je ne pense pas qu'elles soient nombreuses -, mais elles ne sont pas dirigées depuis l'étranger et ne relèvent pas de la question de la souveraineté numérique. Depuis 2007, 66 communes peuvent utiliser des machines à voter, ce qui représente 3 % du corps électoral, leur sécurité est très surveillée, et il n'est pas dans notre intention de revenir sur le moratoire qui avait été décidé sur cette question.

Par ailleurs, des manipulations de l'opinion peuvent être orchestrées par une nation étrangère via la propagation de fausses informations. Ce risque est réel, il touche tous les États occidentaux, cibles de systèmes organisés d'influences. Ainsi a-t-on vu comment 1 % des émetteurs, sur Twitter, pouvaient être à l'origine, sur tel ou tel sujet, de 50 % des tweets, ce qui ne saurait relever du hasard.

En la matière, le ministère de l'intérieur a adopté une posture de grande vigilance. De plus en plus d'outils pour vérifier la véracité d'une information sont à la disposition du public. Des bonnes pratiques existent contre la désinformation en ligne ; la Commission européenne les a recensées dans un guide avant les élections européennes. Le problème reste que chacun peut aujourd'hui se créer sa propre communauté ou banque de données d'informations et s'y enfermer. Les médias traditionnels, y compris les chaînes d'information en continu, sont dépassés par ce phénomène.

J'en viens à énumérer un certain nombre de défis pour notre souveraineté numérique. Premier défi : celui de l'intelligence artificielle. En pleine expansion, elle suscite des débats, notamment sur son usage public, qui doit s'assortir de nécessaires contrôles. À l'heure où toutes les sociétés industrielles investissent massivement dans ce domaine, le ministère de l'intérieur ne saurait passer à côté et il s'est d'ailleurs doté d'un coordonnateur ministériel en matière d'intelligence artificielle.

Autre défi : celui de l'identité numérique, levier fort de garantie de notre souveraineté numérique. Sur ce sujet, nous ne sommes pas en avance, et des pays comme l'Estonie peuvent nous donner des leçons de modernité. Néanmoins, nous avançons : l'année dernière, un programme interministériel chargé de l'identité numérique et hébergé par le ministère de l'intérieur a été mis en place. Il conduit le chantier de la future carte d'identité numérique. Il nous faut garantir le meilleur niveau de sécurité possible.

Dernier défi majeur : celui de la sécurité de nos données. Le piratage de nos données sensibles peut représenter une faille de sécurité majeure pour notre pays et nous placer en situation dangereuse. Nous avons pris des mesures de protection maximales - ce qui ne signifie évidemment pas que le système soit infaillible : j'en appelle à la modestie. Nous assurons nous-mêmes la maîtrise de nos centres d'exploitation informatique, et nous sommes dotés d'un Cloud souverain, particulièrement protégé, pour héberger nos données sensibles. Nous venons de surcroît de créer une direction du numérique unique au sein du ministère - j'ai pris cette décision il y a quelques semaines, et la direction sera opérationnelle au 1er janvier prochain.

La souveraineté numérique est vraiment une question de premier plan. Peut-être ma culture, dans ce domaine, est-elle une culture de l'ancien monde. N'y voyez aucune provocation de la part d'un ministre ayant accompagné la création de La République En Marche : la plupart d'entre nous avons un rapport appris au numérique, et non un rapport d'évidence, comme l'est celui de certains des acteurs auxquels nous avons à faire face. Sur cette question sensible et très complexe, aucune affirmation ne saurait être réputée à l'épreuve du doute, l'imagination de nos ingénieurs et de certains de nos adversaires étant souvent sans limites pour exploiter toutes les failles. J'insisterai sur un mot : vigilance absolue. Et je l'assortirai d'un autre, qui qualifie le mieux l'action du ministère pour lutter contre ces risques : détermination absolue.