Intervention de Mickaël Vallet

Mon collègue Olivier Cadic n’ayant pas pu être présent aujourd’hui – chacun sait que sa circonscription s’étend à l’échelle du monde –, il m’a demandé de vous faire la communication suivante.

Aux trois défis que je viens d’évoquer, M. Cadic souhaite en ajouter un quatrième, que nous avions abordé dans notre rapport préparatoire à la loi de programmation militaire (LPM) et qui concerne l’organisation, ou plutôt la réorganisation, du dispositif de coordination pour répondre au changement d’échelle en matière de cybersécurité.

Cette nécessité de refondre notre stratégie est apparue à la suite des nombreux points d’attention que les services et les entreprises que nous avons auditionnés pour préparer notre rapport ont soulevés.

Ceux-ci ont notamment dénoncé une sorte de brouillard autour de l’organisation de la réponse aux incidents cyber, répartie entre l’Anssi, qui est responsable des systèmes de l’État et des opérateurs d’importance vitale, la plateforme cybermalveillance.gouv.fr, qui se charge du reste, mais sans bénéficier des moyens nécessaires, et les centres régionaux de réponse aux incidents cyber, les fameux CSIRT (Computer Security Incident Response Team), que l’Anssi a commencé à développer, sans que l’efficacité de leurs services et la pérennité de leur financement soient à ce jour garanties. Ils dépendent, en effet, pour beaucoup des conseils régionaux.

En réalité, chaque ministère et chaque entité se sont dotés d’un coordinateur. C’est le cas de l’Anssi, qui est à la fois un régulateur et un acteur de la cybersécurité. Le secrétariat général pour l’investissement, qui dépend de Bercy, a également son coordinateur. Quant à la plateforme cybermalveillance.gouv.fr, elle est à la croisée de tous les chemins.

Dernièrement, le ministère de l’intérieur a pris la charge financière de la création de la future plateforme de signalement, dite 17 cyber. Il s’agit du fameux numéro unique que nous appelions de nos vœux depuis cinq ans déjà. Le Président de la République en avait annoncé la réalisation en janvier 2022 dans son discours de Nice sur la sécurité. Aussi M. Cadic se réjouit-il de cette perspective.

Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens. Mais, comme nous l’avons vu, quand tout le monde coordonne, qui pilote ? Pour citer Napoléon : « Un mauvais général vaut mieux que deux bons. » Il est indispensable qu’une chaîne claire de traitement et d’escalade des incidents soit définie pour le lancement du 17 cyber, prévu en mars 2024.

Mais, à quelques mois de ce rendez-vous important, il reste encore à définir les services que cette plateforme numérique apportera à la population. Il reste surtout à déterminer la manière dont on informera la population de la mise en service de la plateforme : selon quelle communication et avec quels crédits ? Là encore, l’enjeu est de toucher le grand public.

Pour reprendre la métaphore du jardin à la française, il nous semble urgent de définir une organisation et un suivi de qualité, bref, de dessiner les allées du jardin au risque de voir se développer une jungle.

Pour conclure et compléter les recommandations formulées précédemment, M. Cadic propose que nous nous inspirions de la grande cause nationale de la sécurité routière, qui a permis de réduire drastiquement le nombre de morts sur les routes en confiant à un coordinateur unique la responsabilité de piloter tous les moyens disponibles. Est-ce là le rôle de l’Anssi ou bien celui d’un délégué interministériel clairement identifié ? C’est à l’exécutif d’en décider, mais il nous revient de lui signaler que l’année 2024 est le bon moment pour le faire.

Au bénéfice de ces observations, nous vous proposons conjointement l’adoption des crédits de la mission « Direction de l’action du Gouvernement ».