Intervention de Olivier Cadic

Puisqu'on évoque Huawei, je voudrais, de manière connexe, alerter sur l'ouverture récente - en septembre 2020 - d'un centre de recherche de ce groupe chinois à Paris, consacré à l'intelligence artificielle. Quand on sait que Huawei fournit des systèmes de surveillance par intelligence artificielle permettant le contrôle de populations à grande échelle par des régimes autoritaires et qu'il est sous le coup de sanctions américaines depuis le mois d'août 2020 pour aide à la violation des droits de l'homme en Chine, on ne peut qu'être préoccupé par la présence de ce site en plein Paris, à deux pas de nos institutions.

Je voudrais maintenant faire un point sur l'état de la menace cyber dans notre pays et les réponses qui lui sont apportées.

Avec l'évolution technologique et la généralisation des usages du numérique, la menace cyber ne cesse de se développer.

La cybercriminalité s'est beaucoup professionnalisée et se développe à grande échelle grâce à des « rançongiciels » de plus en plus performants. Je rappelle les chiffres particulièrement frappants cités par le directeur de l'ANSSI : 128 attaques par rançongiciels traités par l'agence au 30 septembre 2020, contre 54 sur l'ensemble de l'année précédente ! Pour les cybercriminels, c'est un moyen facile pour gagner de l'argent et même une manière de capter des devises étrangères pour un pays comme la Corée du Nord !

Les organismes publics et les opérateurs critiques comme les hôpitaux ne sont désormais plus épargnés et l'on voit se multiplier les attaques contre les collectivités territoriales, qui commencent tout juste à prendre la mesure du problème.

L'explosion du cyberrançonnage ne doit pas occulter la progression, en parallèle, des formes plus classiques de la cyber-menace, comme l'espionnage, qui pourrait être favorisée par le télétravail - ou les piratages, qui ciblent particulièrement les institutions et administrations publiques. Sur l'année 2019, l'ANSSI a été amenée à traiter 81 incidents de sécurité numérique ayant affecté les ministères français, un chiffre en augmentation (+3 %) par rapport) à 2018.

Enfin, il faut se préparer aux cybermenaces de demain (cyber guerre et cyber terrorisme) qui sont déjà une réalité.

Sans oublier les actions insidieuses qui transitent par les réseaux - manipulations, désinformation, propagande - de plus en plus utilisées par l'ennemi. Celles-ci présentent un grand potentiel de mobilisation en vue de déclencher des opérations terroristes. Il s'agit d'une menace très grave, qu'il nous faut prendre en compte.

Face au renforcement de cette menace, la réponse de l'Etat comporte à la fois un volet offensif, porté principalement par le ministère des armées, et un volet défensif confié à l'ANSSI. Dix ans après la mise en place de l'ANSSI, où en est-on?

Connue comme le « pompier du cyber » pour ses interventions en cas de cyber-attaques, l'ANSSI est avant tout chargée de préparer l'Etat et les opérateurs critiques à la menace et de renforcer leur protection et leur résilience.

Son action dans ce domaine, à travers le contrôle de l'application de la réglementation et la réalisation d'audits, a incontestablement contribué à renforcer la cybersécurité des opérateurs critiques. Depuis 2017, les ministères sont plus nombreux à se doter de plans de cybersécurité. Dans l'ensemble, les administrations publiques restent cependant encore peu sensibilisées à un risque perçu d'abord comme technique et ne coopèrent réellement qu'après la survenue d'un problème majeur. Il faut espérer que la refonte en cours de la politique de sécurité des systèmes d'information de l'Etat, qui conforte le pilotage de l'ANSSI, permettra d'améliorer cette gouvernance.

Par ailleurs, il convient d'accélérer la désignation des opérateurs de services essentiels (OSE), afin d'étendre l'application de normes de sécurité à des activités ou fonctions qui, sans être « critiques » sont pourtant essentielles à la vie de la Nation. La recrudescence actuelle des cyberattaques rend la mise en oeuvre de cette mesure prévue par la directive NIS encore plus urgente.

Au-delà de la mission de surveillance renforcée qu'elle exerce auprès des administrations publiques et des opérateurs privés régulés, l'ANSSI incite à la prise en compte du risque numérique dans le secteur privé, notamment à travers une politique de labellisation des produits et de certification des prestataires de services de sécurité et par des actions dans le domaine de la formation... Elle soutient également le groupement d'intérêt public (GIP) Action contre la cybermalveillance (Acyma) qui anime, au moyen d'une plateforme numérique, un dispositif de sensibilisation, prévention et d'assistance aux victimes d'actes de cybermalveillance.

Enfin, en 2021, l'Agence rejoindra le Campus Cyber qui va regrouper sur un même site, dans le quartier de la Défense, divers acteurs du secteur cyber. Nous nous félicitons que l'ANSSI participe à ce projet phare, qui vise à permettre la structuration d'un « écosystème français de la cybersécurité ».

Au final, des progrès considérables ont été accomplis depuis dix ans sous l'égide de l'ANSSI en termes de cybersécurité. Dans ce domaine, notre compétence est reconnue et respectée et la France fait partie des pays « du premier cercle ». Il nous faut poursuivre dans cette voie et développer la résilience de l'économie et de la société toute entière face à une menace cyber qui ne cesse de renforcer. Il s'agit d'une course de vitesse.

L'augmentation des crédits soumis à notre examen est le signe que cet enjeu important est bien pris en compte, nous vous proposons donc de donner un avis favorable à leur adoption.

A l'issue de la présentation des rapporteurs, la commission des affaires étrangères, de la défense et des forces armées a donné, pour ce qui concerne le programme 129, un avis favorable à l'unanimité à l'adoption des crédits de la mission « Direction de l'action du Gouvernement » dans le projet de loi de finances pour 2021.