Intervention de Olivier Cadic

Monsieur le président, monsieur le ministre, mes chers collègues, l’avis que nous allons vous présenter, mon collègue Mickaël Vallet et moi-même, sur les crédits du programme 129 porte sur la coordination de la sécurité et de la défense, et plus précisément sur la cyberdéfense et les stratégies d’influence, que le Président de la République vient d’élever au rang de nouvelle fonction stratégique lors de son récent discours de Toulon.

L’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la loi de programmation militaire (LPM) en 2018, est enfin pleinement reconnu, et je m’en félicite.

J’avais salué, l’an dernier, la création de Viginum, le service de vigilance et de protection contre les ingérences numériques étrangères, mais je reste circonspect en observant le champ restreint de ses missions, qui s’arrêtent à la caractérisation de situations d’ingérence et de désinformation, sans faculté d’intervenir dans la réponse ou la contre-attaque. Nous sommes loin de Taïwan, qui répond à une désinformation en deux heures et 200 mots.

J’espère que l’impulsion donnée par la revue nationale stratégique sera de nature à rendre plus efficaces nos actions de contre-ingérence.

La passivité est une erreur qui nous a coûté très cher. Je parle de l’opération de désinformation dont l’armée française a été victime dans l’affaire de Bounti au Mali en janvier. Les leçons en ont été tirées ; l’efficace riposte pour déjouer le stratagème de Wagner à propos du charnier de Gossi l’a démontré. Il nous faut maintenant assumer une posture plus offensive, y compris dans le domaine de la cybersécurité.

Un nouvel ordre de bataille s’impose, car les menaces de cybersécurité croissent suivant un rythme exponentiel. L’augmentation, cette année comme les précédentes, des moyens humains et budgétaires du secrétariat général de la défense et de la sécurité nationale (SGDSN) doit être saluée, quoiqu’elle n’ait pas permis de ralentir la progression des attaques contre les services publics, les collectivités territoriales et les établissements de santé.

Nos capacités techniques, notamment l’expertise de l’Anssi, sont reconnues par nos partenaires. Mais allons-nous nous contenter de regarder chaque année le compteur s’affoler et tendre l’autre joue lorsque les hackers auront paralysé un hôpital de plus ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et ainsi pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyberattaques et d’un directeur national de la cybersécurité, mais aussi que nous nous coordonnions avec nos principaux partenaires, car il s’agit d’un combat sans frontières.

Pour conclure, je voudrais insister sur deux points.

Il est nécessaire tout d’abord de continuer à former tous les acteurs de la cybersécurité, à commencer par les simples utilisateurs, et de responsabiliser les gestionnaires de collectivités ou d’administrations, auxquels incombe une obligation de suivi des recommandations en matière de sécurité informatique comme en matière de sécurité incendie.

Il faut ensuite alerter sur la nocivité du paiement des rançons : ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils contribuent au financement du terrorisme.

J’émets un avis favorable sur l’adoption de ce volet des crédits de la mission « Direction de l’action du Gouvernement ».