Intervention de Guillaume Poupard

Dans quelle mesure les ministères et agences de l'État font-ils l'objet de cyberattaques ? Entre 2018 et 2019, le nombre d'attaques a été stable, mais les chiffres doivent être interprétés - en l'occurrence, le ministère des armées, qui est un bon élève, enregistre un nombre plus élevé d'attaques, parce qu'il sait de mieux en mieux les détecter. D'une manière générale, on peut dire que la protection a progressé. Est-ce suffisant ? Je n'en suis pas sûr et je crois qu'il faut rester prudent ; la situation varie fortement entre les ministères et, si l'État lui-même n'est guère affecté par les « rançongiciels », le phénomène touche des collectivités territoriales, ce qui est inquiétant. La menace centrale reste l'espionnage, dont le mode opératoire change rapidement et qui exige un bon niveau de protection.

Le Campus cyber vise une coopération du public et du privé sur la recherche, la formation, les projets, comme il en existe depuis plusieurs années autour de Rennes sous l'impulsion du ministère des armées. Il nous manquait un lieu en Île-de-France, non pas pour faire un showroom ni un lieu de travail commun, mais pour profiter de la proximité qui rend plus propice la définition de projets communs. Le campus est à La Défense, dans une tour de treize étages et 25 000 mètres carrés, dont 7 000 mètres carrés d'espaces communs - il y aura des incitations pour que des petites entreprises s'y installent ; nous nous inspirons d'expériences qui ont été couronnées de succès à l'étranger, en particulier en Israël, et je salue l'enthousiasme de nos partenaires industriels dans ce projet.

Il nous faut développer une culture du risque cyber, ce n'est effectivement pas l'ANSSI qui va porter seule la diffusion de cette culture en France, nous avons besoin que tous les acteurs se sentent responsables et qu'ils s'engagent ; il y a encore grands progrès de sensibilisation à faire. On remarque d'ailleurs que les attaques sont un puissant vecteur de mobilisation. Notre rôle est de tout faire pour que le risque numérique ne soit pas traité à part, mais bien intégré dans la gouvernance ordinaire des organisations : c'est aux décideurs de décider, pas aux techniciens.

Comment rendre les enjeux et les techniques de la sécurité numérique accessibles au tissu économique dans son ensemble ? Le groupement d'intérêt public Action contre la cybermalveillance (Acyma) fait de la prévention, à des niveaux compréhensibles par tout un chacun : en tant que GIP, il s'agit d'une alliance entre le public et le privé. Nous financerons d'autres actions dans ce sens via le plan de relance, en particulier pour mettre en relation des « petites » victimes et « petits » prestataires.

Sur la 5G, oui nous maîtrisons, mais c'est une maîtrise que je qualifierais d'« inquiète ». Nous avons fait de bons choix, fixés par la loi précitée. Faut-il une revoyure ? Cela dépend de ce que l'on entend par là. Le texte n'a pas démontré de défaut, le décret d'application est bon, mais l'arrêté qui liste les équipements peut évoluer, car la technologie évolue. La loi prévoyait un rapport, il a été réalisé, la transparence est respectée. Quelle est la bonne réponse européenne ? Une analyse de risque conjointe a été faite, les États de l'Union européenne ont conclu que les pressions chinoises et américaines étaient trop fortes. Ils ont identifié des risques communs et défini une boîte à outils pour les aider à maîtriser les réseaux 5G, tout en respectant le principe de souveraineté nationale. Cette démarche est positive, car cela montre une voie à suivre dans un cadre commun. Les relations entre l'État et les opérateurs mobiles varient d'un pays à l'autre, la France se distingue par un encadrement qui surprend dans d'autres pays où l'on a longtemps considéré que les opérateurs devaient se débrouiller, et où donc il est difficile de leur imposer aujourd'hui des contraintes, ce qui nous semble plus naturel.

Les collectivités territoriales sont encore mal protégées contre les cyberattaques, nous l'avons vu à Marseille à la veille des élections municipales. C'est un enjeu, il faut renforcer leur cybersécurité.

Je reviens sur la coopération européenne. Le principe, c'est ne pas opposer les échelons européen et national, alors que tout nous y pousse. Il y a un sujet de souveraineté, puisque nous parlons des intérêts vitaux et d'une compétence propre aux États, mais chacun a besoin de coopération. La Commission européenne l'a compris, avec l'Agence pour la cybersécurité (ENISA), qui n'est pas un concurrent de l'ANSSI, mais qui vient en complément, pour aider à la constitution de réseaux opérationnels - le résultat est satisfaisant, l'Agence européenne a su trouver sa place. Un nouveau réseau vient d'être créé entre les agences nationales telles que l'ANSSI et qui a été dénommé CyCLONe, - le Cyber Crisis Liaison Organisation Network -, pour échanger sur la stratégie et l'opérationnel, aussi bien en temps ordinaire qu'en cas de crise. Je suis donc positif sur l'ensemble, l'Europe de la cybersécurité se construit.

La formation et l'éducation à la cybersécurité progressent, un Mooc - j'emploie l'anglicisme pour désigner un cours d'enseignement diffusé sur internet - est accessible. Nous avons aussi travaillé avec l'Éducation nationale, et un enseignement est dispensé, depuis septembre dernier, en classe de seconde, ce qui est très positif, car cela n'avait rien d'évident. Le ministère de l'éducation nationale a créé un groupement d'intérêt public, dénommé Pix, qui est un service en ligne d'évaluation et de certification des compétences numériques pour tous, tout au long de la vie, et qui aborde les questions de la cybersécurité. Tout cela est dynamique même si, j'en conviens parfaitement, il reste beaucoup à faire.

Le télétravail pose des problèmes de sécurité, effectivement. Chacun l'a éprouvé pendant le confinement : pour la visioconférence, nous avons le choix entre des produits européens ou nationaux qui paraissent sûrs, mais qui ne fonctionnent pas assez bien, et des produits qui remplissent bien leur tâche, mais qui nous paraissent peu sûrs. Il y a ici plusieurs sujets. Oui, une offre européenne est possible, elle existe même, il y a une ambition européenne, des compétences, des entreprises, nous ne sommes pas en retard sur le cloud par exemple - cette offre n'équivaut certes pas à celle des Gafam, mais nous pouvons aider les entreprises européennes en utilisant leurs produits.

Le terrorisme cyber n'existe pas au sens où, jusqu'à aujourd'hui, il n'y a pas eu d'attaque cyber de grande ampleur. Je ne sais pas dire pourquoi, c'est un simple constat - que j'assortis aussitôt d'une alerte sur le risque qu'un tel terrorisme apparaisse, par le développement des compétences de terroristes ou par les liens entre des criminels et des terroristes : il faut donc être très prudents et s'y préparer. Lorsque nous disons que la meilleure défense, c'est la défense, nous parlons de la préparation, mais cela n'interdit en rien l'attaque, en particulier pour neutraliser les attaques de l'adversaire. La loi de programmation militaire de 2013 nous y autorise, en précisant que les services peuvent, en cas d'attaque majeure, se connecter sur les réseaux de l'assaillant pour le neutraliser.

La réserve opérationnelle est compliquée à mettre en oeuvre, car les gens compétents dans la cybersécurité travaillent déjà dans les instances idoines. L'IHEDN a installé une réserve, nous envisageons de faire de même à l'ANSSI, sans aucune idée de concurrence et avec prudence, car lancer une réserve nous engage.

Enfin, je suis prudent sur le vote électronique, qui est une question complexe sur le plan technique même. On l'a utilisé en 2012 pour le vote des Français de l'étranger, mais pas en 2017 justement parce que nous avions analysé que la menace était devenue plus forte. L'objectif est d'y parvenir en 2022, le ministère des affaires étrangères est maître d'ouvrage, je suis plutôt confiant, mais la réalisation va dépendre de l'évolution de la menace.