Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, mon intervention portera uniquement sur les crédits du Secrétariat général de la défense nationale, le SGDN, et plus particulièrement sur notre politique nationale de sécurité des systèmes d’information.
Le nouveau Livre blanc sur la défense et la sécurité nationale a très clairement érigé la protection des systèmes d’information en composante à part entière de notre politique de défense et de sécurité.
Au vu des attaques informatiques survenues contre l’Estonie l’an dernier et des tentatives d’intrusion dans nos propres systèmes gouvernementaux, comme dans ceux de près d’une dizaine d’autres États occidentaux, la France a enfin pris conscience d’une menace qui dépasse désormais le simple domaine de la malveillance ou de la délinquance, et qui touche véritablement aux intérêts collectifs de notre pays.
La commission des affaires étrangères, de la défense et des forces armées m’a chargé d’un rapport qui constate le retard de notre pays dans la prise en compte de cette menace. Nous avons souligné que nos moyens actuels tournent autour d’une centaine d’agents, soit cinq fois moins que dans les services analogues britanniques ou allemands, que nous ne disposons pas d’un véritable système de détection d’éventuelles attaques – et je pèse mes mots – et que les réseaux publics sont encore insuffisamment sécurisés, en dehors du réseau ISIS, l’Intranet sécurisé interministériel pour la synergie gouvernementale.
Des orientations claires ont été fixées par le Livre blanc, avec la création, à partir du SGDN, d’une agence de la sécurité des systèmes d’information.
Ma question est simple, monsieur le secrétaire d’État : comment le Gouvernement va-t-il traduire dans les budgets successifs ce renforcement des moyens préconisé par le Livre blanc, renforcement que la commission des affaires étrangères juge bien évidemment impératif ?
Je dois dire que les documents budgétaires n’apportent pas, sur ce plan, les éclaircissements que l’on pouvait espérer, faute de détails sur la programmation des moyens qui seront dévolus, en 2009 et au-delà, à cette future agence de la sécurité des systèmes d’information.
Je crois savoir que les programmes d’investissement destinés notamment à développer des produits de sécurité se poursuivent de manière satisfaisante. Je m’en réjouis, car, jusqu’à présent, nos achats étaient principalement réalisés aux États-Unis ; demain, ce sera peut-être en Chine…
Nous souffrons aussi, je l’ai déjà dit, d’un déficit en moyens humains. Nous avions préconisé, dans notre rapport, un plan pluriannuel de renforcement des effectifs qui pourrait permettre à l’Agence, d’ici trois à quatre ans, de compter environ 300 personnes, l’objectif étant, à moyen terme, de disposer d’effectifs équivalents à ceux des Britanniques et des Allemands, lesquels mobilisent déjà, pour leur part, plus de 500 personnes au service de cette fonction de protection.
C’est à nos yeux une condition nécessaire pour franchir un palier significatif dans un certain nombre de domaines : la surveillance et l’audit des réseaux publics, la formation, la communication et la labellisation des produits sécurisés.
Nous ne constatons pas, dans les documents budgétaires, d’effort particulier à cet égard. Je sais qu’il faudra, dans un premier temps, mettre en place l’Agence et définir ses missions, avant de la doter progressivement en moyens. Je souhaite qu’elle ait un véritable rôle directif et qu’elle puisse imposer aux autres ministères, qui multiplient les réseaux, ses préconisations et ses directives.
Il est probable que, dans cette première phase de démarrage, les besoins en personnels puissent être couverts par des redéploiements internes. Il paraît cependant important que le Gouvernement puisse d’ores et déjà afficher ses objectifs pour les deux à trois prochaines années quant à la montée en puissance de l’Agence de la sécurité des systèmes d’information.
La commission des affaires étrangères, de la défense et des forces armées souhaiterait pouvoir être pleinement rassurée sur la mise en œuvre rapide des décisions annoncées.
Sachez, mes chers collègues, que, en dehors du réseau interministériel ISIS, le seul réseau qui soit véritablement sécurisé dans notre pays est le Réseau national de télécommunication pour la technologie, l’enseignement et la recherche, dit RENATER. S’il m’arrive parfois de critiquer les universitaires et les chercheurs, je souhaiterais, en l’occurrence, que les autres ministères s’en inspirent.