Intervention de Olivier Cadic

L'action 2 « Coordination de la sécurité et de la défense » du programme 129 est dotée pour 2020 de 387,13 M€ en autorisations d'engagement et 354,32 M€ de crédits de paiement. Ces crédits progressent de 2,85 % en AE et diminuent de 1,77 % en CP.

Cette action expose les moyens du Secrétariat général de la défense et de la sécurité nationale (SGDSN) et des services qui lui sont rattachés.

Cette année nous avons décidé de consacrer notre exposé à 4 de nos observations. Deux thèmes seront traités par Rachel Mazuir. Pour ma part, j'aborderai l'évolution des effectifs de l'ANSSI et la politique de protection des systèmes d'information de l'Etat face au risque de cyberattaques.

Pour faire face à une menace qui s'accroît en fréquence et en intensité, le Gouvernement a décidé cette année de reprendre la croissance des effectifs de l'ANSSI qui s'était ralentie ces deux dernières années, pour satisfaire les objectifs de la programmation des finances publiques, à 25 créations d'emplois par an au lieu de 50 au cours des exercices précédents. Ce rythme sera repris à compter de 2021. En 2020, il est prévu la création de 42 emplois. En outre, des mesures de desserrement de la contrainte salariale ont été mises en oeuvre permettant de recruter des collaborateurs de bon niveau au prix du marché. Ces recrutements sont évidemment nécessaires compte tenu de l'accroissement de ses activités avec la mise en oeuvre de la directive NIS, des dispositions de l'article 34 de la loi de programmation militaire et, enfin, de la récente loi sur la sécurité des réseaux de 5 G dont notre collègue Pascal Allizard fut le rapporteur pour avis

L'ANSSI sera également davantage sollicitée par la rénovation de la politique de protection des systèmes d'information de l'Etat. Nous avions eu l'occasion de souligner la vulnérabilité de ces systèmes d'information, analyses confirmées par la revue stratégique de cyberdéfense de février 2018 et de les conforter en procédant très concrètement, en ce début d'année, à un audit à la suite de la cyberattaque dont a été victime la plateforme Ariane du Ministère de l'Europe et des affaires étrangères.

Afin de mesurer concrètement la vulnérabilité des administrations de l'Etat aux cyberattaques, nous avons demandé la communication par ministère, du nombre d'incidents consécutifs à des cyberattaques ayant fait l'objet d'une intervention de l'ANSSI.

Entre le 1er janvier et le 31 décembre 2018, l'ANSSI a été amenée à traiter 78 événements de sécurité consécutifs à des attaques informatiques ayant touché des ministères français. Sur ces 78 incidents, 31 se sont révélés mineurs au sens où un engagement minimal a été requis pour leur traitement, 32 peuvent être qualifiés de notables puisque demandant l'emploi d'expertises particulières pour leur résolution, alors que 15 se sont avérés majeurs nécessitant pour leur traitement un engagement et une expertise importants et de moyen à long terme de la part de l'ANSSI (trois d'entre eux ont d'ailleurs fait l'objet d'une opération de cyberdéfense). Les ministères les plus attaqués sont, dans l'ordre, l'éducation nationale, la défense et les affaires étrangères. Mais, en intensité, ce sont les ministères des armées et des affaires étrangères qui ont été les plus menacés.

Si l'on constate une meilleure prise en compte des enjeux par les autorités, l'importance de la menace montre que les réponses restent, à ce jour, insuffisantes et maintiennent nos administrations dans un état de vulnérabilité inquiétant.

Certes, les ministères sont désormais plus nombreux à se doter de plans de renforcement de leur niveau de sécurité, ce qui traduit leurs volontés de se prémunir des principales menaces, mais ces plans d'actions restent à mettre en oeuvre.

Le niveau effectif de conformité, qui fait l'objet d'un indicateur sous l'objectif 6 du programme 129 tarde toujours à atteindre des niveaux en adéquation avec les enjeux.

Nous constatons fort heureusement l'engagement d'un travail interministériel de remédier à cette situation.

La refonte de la gouvernance SSI de l'Etat, suivie dans le cadre du Comité de pilotage présidé par le cabinet du Premier ministre, a fait l'objet de travaux interministériels, menés notamment par deux missions d'inspection interministérielle de mars à juin 2019 que nous avons rencontrées. Elles ont remis leur rapport fin mai 2019. Celui-ci formule 21 propositions d'amélioration, en vue :

- d'assurer, au sein de chaque ministère, un pilotage au plus haut niveau de la politique SSI ;

- de poursuivre la responsabilisation des directions métiers et la sensibilisation de leurs dirigeants ;

- d'organiser la montée en compétence des responsables par la formation ;

- de créer une enceinte de gouvernance interministérielle présidée par le Premier ministre ou le Président de la République ;

- de formaliser les relations entre les ministères et l'ANSSI ;

- de réviser la PSSIE pour inscrire dans la norme cette nouvelle organisation.

En conséquence, l'ANSSI a décliné ces propositions dans une feuille de route dont nous partageons les objectifs et suivrons avec attention la mise en oeuvre.

Cette remédiation passe enfin par le nécessaire renforcement des moyens juridiques de l'ANSSI pour le contrôle des grands projets de l'Etat, basé désormais sur le décret du 25 octobre 2019.

Ce texte soumet les projets interministériels et ministériels importants et les projets des organismes placés sous la tutelle de l'Etat à un avis du directeur interministériel du numérique (DiNum), conforme pour les premiers, simple pour les seconds. Ce dernier les transmet à l'ANSSI pour observations. Le DiNum peut demander les compléments d'information nécessaires à la formation de son avis, ce qui suspend les délais d'instruction, qui, à défaut, est réputé conforme.

Nous estimons souhaitable que les observations de l'ANSSI soient obligatoirement transmises aux administrations concernées et que la délivrance de l'avis conforme soit soumise à une appréciation par l'ANSSI de la qualité des réponses à ses observations.

S'agissant des opérateurs, la DINum n'a qu'un pouvoir de recommandations. Nous le regrettons car nombre de projets développés par les organismes placés sous la tutelle de l'Etat peuvent s'avérer très sensibles.

Nous nous réjouissons de cette prise de conscience et des premières actions mises en oeuvre. Mais sans portage politique majeur permanent, sans moyens financiers significatifs et sans outils réglementaires plus coercitifs, il sera difficile de lutter contre une logique qui valorise la multiplication de systèmes d'information et des applications numériques permettant d'abaisser des coûts de fonctionnement ou de personnels des services de l'Etat sans se préoccuper suffisamment de leur sécurité et laisse perdurer des logiques de défense des pré-carrés ministériels qui freinent encore une mobilisation générale contre des menaces croissantes et viennent retarder la mise en oeuvre de mesures indispensables. Nous appelons à la mise en place de dispositifs d'incitation/sanction sur le financement des projets en fonction de la prise en compte des normes de sécurité, d'une formation solide, obligatoire, évaluée par l'ANSSI pour tout recrutement des nouveaux DINum ministériels et des directeurs « métiers » pilotant la mise en oeuvre de projets numériques ; et que les objectifs en matière de sécurité informatique définis par l'ANSSI soient explicitement imposés dans leurs lettres de mission et pris en compte dans leur évaluation.

Pour conclure, nous enregistrons des progrès mais nous souhaitons qu'il y ait une intensification et une accélération dans la mise en oeuvre des actions.