Intervention de Mickaël Vallet

Madame la présidente, monsieur le ministre, mes chers collègues, les crédits du programme 129, que mon collègue Olivier Cadic et moi vous présentons chaque année, portent sur un champ bien délimité : l’action relative à la coordination de la sécurité et de la défense, plus précisément à la cybersécurité et à la lutte contre les manipulations de l’information.

S’il n’est nul besoin de rappeler que la cybermenace est devenue un enjeu qui n’a rien de virtuel et qui concerne tous les secteurs de la société, il n’est pas inutile de rappeler quelques chiffres.

Selon l’Agence nationale de la sécurité des systèmes d’information, le nombre d’incidents qui ont nécessité son appui auprès des administrations et des opérateurs d’importance vitale était en hausse de 23 % au premier semestre 2023 par rapport à 2022 et la part des extorsions de fonds sous forme de rançongiciel a augmenté de 50 %.

En ce qui concerne les particuliers, entreprises et collectivités territoriales, la plateforme cybermalveillance.gouv.fr a vu sa fréquentation augmenter de plus de 50 % en 2022. Elle totalise ainsi 3, 8 millions de visiteurs et, surtout, 280 000 demandes d’assistance, contre 170 000 en 2021. Cela tient sans doute aussi à la notoriété croissante de la plateforme.

Ces chiffres sont considérables. La cybercriminalité est devenue une industrie lucrative et vous avez certainement tous observé ou subi, dans vos circonscriptions, des attaques sur les collectivités territoriales, les hôpitaux et le tissu des petites et moyennes entreprises et des très petites entreprises. C’est tout un écosystème de cybersécurité public et privé qui est menacé et qu’il faut protéger.

L’année 2024 constituera donc le rendez-vous de tous les dangers, car l’action de l’État devra s’adapter à ce qu’il faut nommer un changement d’échelle : il s’agira de passer d’une politique autocentrée sur les services publics et les opérateurs d’importance vitale – il fallait bien commencer par ceux-là – à une cybersécurité de masse.

Les personnalités de la sphère publique comme du secteur privé nous ont alertés sur trois principaux défis.

Le premier concerne le niveau inédit du risque d’attaques cyber de tous ordres à l’occasion des jeux Olympiques et Paralympiques de 2024. Pour y répondre, l’Anssi a été chargée de piloter la cybersécurité de 350 entités – entreprises de transport, stades ou prestataires –, auxquelles s’ajoute toute la chaîne des sous-traitants, soit plus de 200 établissements de santé, ainsi que les services d’incendie et de secours.

Le deuxième défi porte sur l’obligation pour l’Anssi de transposer avant octobre 2024 la directive sur la sécurité des réseaux et des systèmes d’information, dite NIS 2 pour Network and Information Security 2. Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 opérateurs d’importance vitale à environ 15 000 entreprises. C’est un changement d’échelle et même un changement de métier pour l’Agence. Elle doit se rapprocher d’acteurs qu’elle connaît peu ou mal, les collectivités territoriales et les PME, et leur proposer une offre de services adaptée et surtout compréhensible.

Le troisième défi est celui de la coordination de l’ensemble des acteurs publics et privés de l’écosystème cyber. Il faut actualiser la stratégie nationale de cybersécurité qui date de 2018. Nous insistons pour que l’Anssi associe étroitement les élus locaux et le Parlement à un travail qui ne peut se limiter au cercle des services régaliens – il me semble que tout le monde comprend cela. Si la cybersécurité est l’affaire de tous, elle ne peut être décidée que par quelques-uns.

Je vais à présent lire l’intervention de mon collègue Olivier Cadic.