Intervention de Stéphane Bouillon

Je vous remercie de votre accueil. Je suis très heureux de pouvoir vous présenter nos activités.

Le changement de dimension des crises appelle une planification plus concrète, plus lisible et prenant en compte le temps long. Depuis la fin du premier confinement, nous travaillons à cette remise à plat de notre préparation aux crises, en lien notamment avec les conclusions du rapport de votre commission d'enquête sur la gestion de la pandémie de covid.

En effet, si nous savons collectivement réagir aux catastrophes et aux crises de courte durée, la crise que nous venons de traverser, qui a entrainé l'interruption des échanges humains et économiques à l'échelle mondiale, a complètement modifié nos scénarios, car il n'était plus possible de s'approvisionner grâce au commerce international, ni de recourir à la solidarité de nos voisins, eux-mêmes touchés par le virus.

Nous travaillons à un nouveau dispositif fondé sur le concept de résilience. Ce terme désigne, en physique, le retour d'un matériau à son état initial après un choc, et en psychologie, l'aptitude d'un individu ou d'un groupe d'individus à se reconstruire après un événement traumatique. Ce concept est évoqué au sein de l'Union européenne, mais aussi au sein de l'OTAN, puisqu'il sera à l'ordre du jour du sommet qui se réunit à partir d'aujourd'hui.

La démarche de résilience comporte trois étapes : la réévaluation des risques et menaces, l'élaboration d'une politique d'atténuation de nos vulnérabilités et le développement des capacités nécessaires au rétablissement du fonctionnement normal. Nous refondons l'ensemble de nos plans et nous les complétons dans cette perspective.

Nous disposons actuellement d'une quinzaine de plans qui représentent 1 500 pages, comprennent 1 000 fiches de mesures et prévoient 100 domaines d'application. En période de crise, malgré les formations que nous dispensons, les responsables ont parfois du mal à s'y retrouver. Nous travaillons donc à rationaliser ces plans et à mieux les articuler entre eux. Nous développons un outil numérique pour agréger le suivi des mesures prises, organiser une meilleure communication de ces mesures entre l'administration centrale et l'administration territoriale, rassembler l'ensemble des éléments législatifs et réglementaires qui doivent être mis en oeuvre et assurer le suivi budgétaire.

Enfin, nous devons mieux former les responsables, dès leur formation initiale et tout au long de leur carrière.

Nous élaborons donc une demi-douzaine de nouveaux plans génériques, conçus autour de situations de référence : les violences extrêmes, les troubles sociétaux graves, les crises cybernétiques, les risques naturels technologiques ou industriels et les risques sanitaires. Nous croiserons ces plans avec une vingtaine de fonctions thématiques - alimentation et eau, communications, transports, lieux recevant du public ...- afin de disposer d'un tableau complet nous permettant de parer à toutes les situations. L'objectif est de parvenir, par ces arborescences logiques, à une utilisation plus facile pour les ministères et à une plus grande souplesse d'évolution de la planification.

Nous préparons ainsi, avec le ministère de la santé, un plan générique commun à l'ensemble des maladies infectieuses hautement pathogènes qui comportera un guide d'aide à la décision proposant une déclinaison spécifique pour chaque type de pathologie, complété par un contrat capacitaire prévoyant les ressources critiques mobilisables pour mettre en oeuvre le plan, et un guide de déclinaison territoriale.

Nous présenterons une première ébauche de ce premier plan à la rentrée.

Nous travaillons également sur la notion de gestion de crise. Lorsque la crise a éclaté, en janvier 2020, le ministre de la santé a été désigné par le Premier ministre comme le ministre « menant ». Ce dernier a mobilisé le centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales (Corruss) en coordination avec la cellule interministérielle de crise (CIC). Deux cellules se sont ainsi constituées : l'une pour gérer l'ensemble des problèmes relatifs à la santé, l'autre pour traiter les problèmes de la vie quotidienne des Français. Chaque jour, une réunion de synthèse en présence du Premier ministre ou de son directeur de cabinet permettait de prendre les arbitrages nécessaires.

Faut-il revoir ce dispositif pour lui substituer un centre de crise unique ? Nous pourrons y revenir en détail, mais j'estime, pour ma part, qu'une amélioration de la coordination effectuée par le Premier ministre serait souhaitable.

J'en viens au deuxième point sur lequel vous m'avez interrogé : le développement de nouvelles menaces, hybrides, qui s'appuient sur la numérisation de nos sociétés et qui permettent à des acteurs étrangers, soit par des attaques cybernétiques, soit par des actions d'exploitation des réseaux sociaux, de nuire à notre pays.

Pendant la crise sanitaire, l'ANSSI a été avertie de plusieurs milliers de cyber-attaques, dont une vingtaine de grosses opérations visant des médias, des entreprises et des administrations. Par ailleurs, nous avons subi des campagnes de fake news, notamment à l'automne dernier. Ces attaques sont difficiles à gérer, car elles ne sont pas attribuables à un commanditaire immédiatement. Nous nous attendons à ce que ce type d'attaques se développe à l'approche des élections présidentielles et législatives. C'est pourquoi nous travaillons sur les dispositifs que nous pouvons mettre en place pour les contrer.

La troisième menace, de nature juridique, est le lawfare, qui désigne la capacité d'un État étranger à imposer à tous les autres États ses propres normes pour des raisons monétaires ou commerciales. Nous agissons très fortement sur cette forme de menace.

Les fonds alloués dans le cadre du plan de relance permettront de remédier au manque de protection, notamment des hôpitaux et des collectivités territoriales, contre les menaces cybernétiques. De même, d'autres dispositifs, comme la création, en lien avec les régions, de centres de réponse aux incidents cybernétiques (CSIRT), visent à doter les petites et moyennes entreprises (PME) et les entreprises de taille intermédiaire (ETI) de meilleures protections contre les cyber-attaques et les rançongiciels.

J'en viens à la menace d'ingérence numérique. En 2018, vous avez voté la loi relative à la lutte contre la manipulation de l'information. Certaines dispositions de la loi relatives à l'élection du Président de la République au suffrage universel visent également à lutter contre les fausses nouvelles et leur diffusion.

Nous avons travaillé avec le Conseil supérieur de l'audiovisuel (CSA), qui est chargé de la lutte contre la manipulation de l'information, mais aussi avec le Conseil d'État et bientôt avec le Conseil constitutionnel et la Commission nationale des comptes de campagne et des financements politiques (CNCCFP).

Notre objectif est de créer un outil utile à ces institutions et au succès de leurs missions pendant la campagne présidentielle. Il s'agit aussi, plus globalement, dans le cadre de l'article 12 de la loi de 2018, de pouvoir aider le CSA à lutter contre la diffusion de fausses informations susceptibles de troubler l'ordre public ou de porter atteinte à la sincérité d'un des scrutins.

Pour ce faire, nous avons l'intention de créer par décret en Conseil d'État un service à compétence nationale qui travaillera auprès du SGDSN, en complémentarité avec l'ANSSI. Cette structure ne sera pas un service de renseignement, mais elle oeuvrera avec l'ensemble des administrations, dont le ministère des affaires étrangères, pour détecter et caractériser les menaces qui viennent de l'étranger.

Il n'est pas question de nous mêler de la vie politique en France lorsque tel ou tel responsable politique livrera une information qui mériterait d'être corrigée. Ce qui nous importe, c'est de suivre le parcours des informations, par exemple lorsqu'elles proviennent d'une agence de presse étrangère avant d'être reprises, puis développées et amplifiées sur les réseaux sociaux par le biais de robots, d'intelligences artificielles ou d'opérateurs humains installés dans différents pays.

Certains médias choisissent les sujets de leurs reportages en fonction du nombre de reprises qui leur sont consacrés sur les plateformes numériques. Les chaînes de télévision nationales les reprennent ensuite. Une sorte de feu de forêt prend ainsi et s'étend. Notre objectif est de pouvoir remonter jusqu'à l'incendiaire, le plus vite possible, afin de faire intervenir le CSA, le Conseil d'État, le ministère de la justice au titre de la loi de 1880, ou encore le Service d'information du Gouvernement (SIG) en les avertissant que telle ou telle information circule pour nous nuire et a fait l'objet d'un gonflement artificiel. De fait, c'est à ces instances et pas à nous qu'il reviendra d'intervenir. A ce titre, le Quai d'Orsay pourra ainsi faire des observations à ses homologues concernés, le SIG pourra produire un contre-discours, le ministère de la justice pourra lancer des poursuites, et le CSA pourra faire des recommandations aux plateformes numériques pour leur demander d'intervenir.

Le sujet est sensible, car il est politique. Nous devons donc déployer des dispositifs de contrôle très forts. Le Parlement y participera pleinement par le contrôle qu'il exerce sur le SGDSN ; votre commission au premier chef. De plus, nous avons proposé de constituer un comité éthique et scientifique qui sera présidé par un conseiller d'État et dans lequel siégeront un membre du CSA, un magistrat désigné par le ministère de la justice, un représentant du ministère de l'enseignement supérieur et de la recherche, par exemple un chercheur du CNRS, des journalistes et une ou des personnalités connaissant bien les plateformes numériques.

Cette structure devrait être opérationnelle d'ici au mois de septembre prochain, et dotée de 40 personnes à la fin de l'année, puis 60 personnes dans le courant de l'année 2022. Nous pourrons faire le point avec vous, après les élections présidentielles, notamment sur l'éventuelle nécessité d'amender la législation contre la manipulation de l'information.

Certains États nous préoccupent particulièrement, dont ceux qui sont très actifs dans le domaine cybernétique et que vous connaissez déjà. Ils sont aussi actifs dans le domaine des ingérences numériques. D'autres s'y ajoutent, dont certains dans la péninsule arabique ou sur le plateau iranien. D'autres encore sont des mouvements d'opinion comme QAnon, très actif dans les élections allemandes qui auront lieu au mois de septembre prochain. Nous travaillons de manière transversale avec tous les ministères qui sont concernés afin de ne pas perdre de vue ces perturbateurs.