Nous auditionnons M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), et M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic), sur la création, par un décret du 28 octobre, d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. L'Anssi et la Dinsic ont été saisies. Vous nous indiquerez vos méthodes de travail, les vérifications auxquelles vous comptez procéder et votre calendrier.

Le Sénat s'est préoccupé dès 2005 de la sécurisation des titres d'identité. Une mission d'information avait été confiée au sénateur Jean-René Lecerf, donnant lieu à la publication d'un rapport, la même année, émettant des propositions sur la sécurisation des titres d'identité. L'enjeu est de lutter contre la propagation des identités fictives ou des usurpations d'identité, qui placent les victimes dans une situation de grande détresse. Le phénomène est devenu un phénomène de société et doit être traité par les pouvoirs publics.

En 2011, MM. Jean-René Lecerf et Michel Houel ont déposé une proposition de loi, qui fut débattue en 2011 et 2012, et dont le rapporteur était M. François Pillet. Alors que l'Assemblée nationale et le Sénat s'étaient entendus sur un texte en commission mixte paritaire, le Gouvernement a demandé à l'Assemblée nationale de débattre en premier sur les conclusions de la CMP, en y ajoutant un amendement qui modifiait considérablement l'équilibre du texte. Le Sénat a donc rejeté les conclusions de la CMP. Finalement, le Conseil constitutionnel a déclaré la mesure visée non conforme à la Constitution.

Le Sénat n'est donc pas hostile par principe à la création de ce fichier, mais nous souhaitons nous assurer que les libertés publiques seront garanties et que les données personnelles seront protégées. Dès le 18 octobre j'ai saisi le ministre de l'intérieur qui m'a répondu le 27 octobre, trois jours avant la publication du décret le 30 octobre. Nous avons auditionné M. Cazeneuve puis Mme Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (Cnil), et M. Mahjoubi, président du Conseil national du numérique. Nous avons eu un débat en séance publique avec le ministre. Nous lui avons demandé de suspendre le décret jusqu'à ce que certaines vérifications soient réalisées pour s'assurer de la protection du fichier contre d'éventuelles attaques extérieures et de la non-mutabilité du système. Nous voulons éviter que la configuration technique, déterminée par le décret, puisse être modifiée en vue d'élargir les usages du fichier. M. Cazeneuve a répondu qu'il avait saisi l'Anssi et la Dinsic, que vos rapports seraient rendus publics et qu'il en tirerait les leçons. Il n'a pas prononcé le mot de « suspension » mais il est clair que le fichier ne sera pas étendu aux cartes d'identité tant que cette procédure n'aura pas eu lieu. C'est pourquoi nous souhaitons comprendre vos méthodes. Les attaques récentes contre de grandes institutions américaines ces dernières années ont montré que nulle forteresse numérique n'était invulnérable.

L'Anssi a été créée en 2009. C'est un service du Premier ministre à compétence nationale, rattaché au secrétariat général de la défense et de la sécurité nationale. Nous travaillons donc avec toutes les administrations. À la différence de ce qui se passe dans d'autres pays, l'Anssi n'est pas une agence de renseignement. Notre rôle est de protéger les réseaux, non de réaliser des attaques informatiques. L'agence regroupe 500 personnes, essentiellement des ingénieurs et experts en informatique.

Notre première mission est la sécurité des systèmes d'information : nous définissons des standards de sécurité pour les réseaux sensibles, ceux du secteur public comme ceux des opérateurs privés dont la sécurité est cruciale pour la nation. Au-delà de cette mission de prévention et de définition des règles, nous participons à la défense active des systèmes d'information des ministères. Nous développons des capteurs pour détecter d'éventuelles attaques et intervenons pour aider les victimes. Nous communiquons peu, évidemment, sur ces attaques, même si celle contre TV5 Monde l'an passé a été très médiatisée. Dans ce cadre, nous menons des inspections dans les ministères pour diffuser les bonnes pratiques et aider les équipes techniques à acquérir les compétences nécessaires. Certains ministères, comme ceux de la défense et de l'intérieur, sont très sensibilisés à la question de la cybersécurité, d'autres le sont moins.

Notre démarche de vérification et d'audit est bien définie. Il s'agit de méthodes d'assistance à l'homologation. Nous procédons d'abord à un inventaire des données à protéger, puis nous identifions les risques et les menaces : confidentialité, modification ou effacement des données... On ne sécurise pas un réseau dans l'absolu : on le sécurise face à des menaces définies, en fonction de leur niveau. La défense n'est pas la même contre des pirates isolés ou contre une agence de renseignement étrangère. Interviennent ensuite les auditeurs qui vérifient les aspects techniques, pour apprécier la robustesse des systèmes, et évaluent l'organisation. C'est en effet la combinaison des aspects techniques et organisationnels qui assure l'efficacité des systèmes.

Nos rapports ne sont jamais tout verts ; par prudence, nous avons toujours tendance à multiplier les barrières, pour parer à des menaces potentielles. Si nous estimons que la vulnérabilité est majeure, nous refusons l'homologation. Nous identifions en général des vulnérabilités résiduelles. Nous avons renoncé à la notion de sécurité absolue. Celle-ci n'existe pas. Il y a quinze ans on considérait encore que le chiffrement était une protection absolue pour les documents classés « secret défense ». Nous avons découvert depuis que tous les systèmes avaient une date de péremption. C'est pourquoi nous privilégions une approche en termes de sécurité dynamique. Après une bonne définition des besoins, nous apprécions, en conscience, si les risques résiduels sont acceptables. Nous savons que le métier devra être remis sur l'ouvrage car les techniques d'attaques et la technologie évoluent. Cela ne signifie pas que nous bâtissons notre sécurité sur du sable ; simplement, il faut reconnaître que la sécurité s'inscrit dans le temps. Nous arrivons finalement à sécuriser des systèmes très sensibles : bases de données personnelles, systèmes de la dissuasion nucléaire, systèmes d'armes, etc. Les systèmes d'information ont envahi toute la sphère économique : l'énergie, les transports, les services publics, etc. Des actes malveillants peuvent avoir des conséquences terribles. D'où notre méthode fondée sur la prévention, la sécurisation, l'homologation, et le maintien permanent en condition de sécurité des systèmes. La cybersécurité est une école d'humilité. Cela ne nous empêche pas d'agir ni de parvenir à sécuriser les réseaux.

Nous allons travailler avec la Dinsic sur le fichier des titres d'identité. Il nous a été demandé de rendre un rapport public. Je ne vous cache pas que nous ne nous empresserons pas de dévoiler tout ce que nous constaterons, pour ne pas donner à des personnes malveillantes des pistes d'attaque. Je préfère, comme c'est l'usage, un rapport précis, comme nous le faisons habituellement, classifié « secret défense », tout en permettant des extractions qui, sans fournir des indications à des personnes malveillantes, permettront d'apprécier le niveau de sécurité.

C'est la première fois que nous aurons à travailler avec l'Anssi. Cette commande diffère un peu de nos missions habituelles. La Dinsic est un service du Premier ministre, au sein du secrétariat général pour la modernisation de l'action publique. Nous accompagnons l'État dans la mise en oeuvre de la transformation numérique. Nous avons trois missions. Tout d'abord, il nous revient de définir le cadre de gouvernance des systèmes d'information de l'État : référentiels d'interopérabilité, d'accessibilité, ou de sécurité. Dans une démarche de mutualisation, nous opérons aussi le réseau interministériel de l'État (RIE). Nous travaillons enfin sur l'innovation, pour faciliter son appropriation, à travers, par exemple, l'open data et le « gouvernement ouvert ».

Nous travaillons sur la sécurité des projets, non des systèmes d'information, même si la frontière est parfois mince. Nous avons mission d'analyser et de donner un avis conforme sur tout projet informatique de plus de neuf millions d'euros. Nos équipes sont habituées à analyser les projets (leurs objectifs, leur architecture, les équipes, le cadre contractuel, les fournisseurs, l'organisation humaine, les moyens mis en oeuvre) pour apprécier les risques de dérapages. L'autre équipe qui travaillera sur le fichier des titres sécurisés est celle des architectes informatiques sur les grands projets. L'informatique est comme le bâtiment : on ne construit rien si les fondations et les plans ne sont pas robustes. Le zéro risques n'existe pas. Il nous appartient d'éclairer le pouvoir politique pour qu'il procède à des arbitrages en fonction de différents scénarios. Le système « TES » existe. Il est complexe. Nous commencerons par l'analyser. Les enjeux sont clairs, même si les menaces évoquées ne reposent sur aucun fait avéré.

Avez-vous eu l'occasion d'évaluer la sécurité du fichier des passeports existant ? Avez-vous un pouvoir d'auto-saisine ? Quelles sont enfin, selon vous, les garanties à apporter au fichier des titres d'identité pour garantir son irréversibilité et le protéger contre d'éventuelles attaques extérieures ?

Peut-on, à partir du fichier des passeports existant, procéder à une identification à partir d'une empreinte ? Nous entendons bien vos réserves sur la notion de sécurité absolue. Lors de l'examen de la proposition de loi relative à la protection de l'identité, portant notamment sur la carte d'identité biométrique, le Sénat s'était montré très vigilant à l'égard de la protection des libertés publiques. Nous acceptions l'idée d'un fichier à la condition qu'il ne soit pas réversible et qu'il ne puisse être modifié pour autoriser d'autres usages à l'avenir. Nous avions été très intéressés par la technique des fichiers « à lien faible » qui semblait rendre quasiment impossible toute identification à partir d'une empreinte. Où en sont les réflexions sur ce point ? Peut-on se prémunir contre toute évolution du fichier et contre toute réversibilité ?

En 2008, la direction centrale de la sécurité des systèmes d'information (DCSSI), que l'Anssi a remplacée en 2009, avait été consultée lors de la création du fichier « TES ». Nous travaillons étroitement avec les ministères, notamment avec celui l'intérieur, sur de nombreux sujets. Nous n'avons pas eu à travailler sur ce fichier. Il faut faire des choix. L'Anssi n'a pas vocation à traiter tous les dossiers mais, au contraire, à sensibiliser les ministères aux questions de cybersécurité et les aider à acquérir les compétences requises. Nous nous autosaisissons parfois de sujets qui nous paraissent importants ou qui sont dictés par l'actualité : par exemple, l'an dernier, après les attaques visant les infrastructures électriques en Ukraine, nous nous sommes rapprochés des opérateurs français.

La résistance d'un fichier s'apprécie au regard de menaces précises. N'oublions pas que les données et les empreintes figurent dans un fichier papier. Il suffirait à un régime totalitaire de le scanner pour disposer de toutes les données... Cela ne prendrait que quelques jours, voire moins ! La réversibilité n'est jamais totale. De même, en y mettant les moyens et avec du temps, il serait sans doute possible de casser la sécurité d'un fichier numérique. La vraie question est d'identifier les menaces contre lesquelles on compte se prémunir : des agents infiltrés, des attaquants extérieurs disposant de gros moyens, etc. Nous vérifierons lors de notre audit si les mesures organisationnelles et techniques sont suffisantes.

Dès l'origine la base « TES » a été conçue avec le souci d'empêcher toute réversibilité et toute identification à partir d'une empreinte. Nous essaierons aussi d'apprécier si le fichier est résistant face à d'autres menaces : que faire, par exemple, si un État étranger ou une organisation extérieure s'efforce de détruire le fichier ou de le corrompre en y introduisant des erreurs ? Outre le vol d'informations, le sabotage, et la déstabilisation sont des menaces grandissantes dans la guerre numérique.

Enfin, nous profiterons de l'audit pour étudier, le cas échéant, des solutions techniques alternatives, comme les liens faibles. Si nous identifions des mesures techniques améliorant le système, nous ne nous priverons pas de les communiquer au ministère de l'intérieur.

La Dinsic a été créée en 2011. Nous n'avons jamais eu l'occasion de travailler sur la base « TES ». Nous ne nous sommes pas non plus autosaisis de ce sujet. Notre avis, en outre, n'est que facultatif.

Nos travaux sur le fichier commencent à peine. Pour l'instant, rien n'indique qu'il soit possible d'identifier un nom à partir d'une empreinte. La protection contre des attaques extérieures semble élevée : clefs de cryptage, liens unidirectionnels, etc. Votre inquiétude principale est celle de la réversibilité. Nous étudierons toutes les pistes pour garantir la sécurité du système, sans oublier son articulation avec la réforme de l'administration préfectorale. Les pistes techniques sont nombreuses : traçabilité accrue, ralentissement des requêtes pour éviter la soumission instantanée de plusieurs millions de requêtes, possibilité de dégrader l'information stockée ou de la rendre plus périphérique, demande du consentement de l'usager, etc... Nous ferons des propositions le cas échéant au pouvoir politique qui tranchera.

De quels moyens disposez-vous ?

L'Anssi compte 500 personnes. Nous étions 100 en 2009. Cette hausse traduit une prise de conscience des autorités face au risque numérique. Notre rôle premier est d'aider les services à monter en compétence en matière de cybersécurité.

La Dinsic compte 120 personnes, avec plusieurs métiers. Un quart de nos équipes travaille sur les réseaux ; un quart sur la performance et la maîtrise des risques ; une autre équipe travaille sur l'open data, le « gouvernement ouvert » et l'innovation ; enfin, une dernière équipe aide les administrations à développer des projets. Une quarantaine de personnes seront affectées sur le fichier « TES ». Elles sont aguerries, habituées à travailler en interministériel.

Est-il envisagé de transformer l'Anssi en agence indépendante pour renforcer son indépendance à l'égard de l'exécutif, à l'image de l'Autorité de sûreté nucléaire (ASN) ?

Nous ne sommes pas une autorité administrative indépendante (AAI). Cela n'est pas un handicap pour nos missions. Lorsque nous intervenons dans les ministères, nous sommes bien accueillis : nous sommes vus comme des pompiers venus pour aider et non comme des contrôleurs. Tous nos interlocuteurs sont conscients des enjeux liés à la cybersécurité. Le problème est plutôt le manque de moyens. Une administration qui ne maîtrise pas son informatique ne peut agir en matière de cybersécurité. La loi de programmation militaire de 2013 a imposé aux opérateurs privés d'importance vitale de veiller à leur cybersécurité. La France a été le premier pays a créé une obligation, avec des sanctions. Nos alliés ont suivi et une directive européenne sur la sécurité des réseaux va dans le même sens. La cybersécurité n'est pas l'apanage d'une agence mais ne peut être effective que si cette culture est partagée.

La commission des finances du Sénat vient de publier un rapport sur la Dinsic. Les AAI sont utiles, mais il est nécessaire que l'administration possède en interne son expertise, pour travailler en interministériel ou garantir l'interopérabilité des systèmes. Notre mission est une mission d'appui et de conseil, au sein de l'administration. L'enjeu pour l'État est de maîtriser son informatique, à l'heure où la puissance de feu des grandes entreprises est considérable à cet égard. Alors que la Nasa peine à ravitailler la station orbitale, une grande entreprise américaine est capable de lancer ses propres fusées et de les récupérer à leur atterrissage sur terre... C'est un symbole révélateur !

Intervenez-vous dans tous les ministères, y compris au ministère de la défense ?

Nos cycles d'inspection couvrent tous les ministères. Le ministère de la défense a ses propres équipes. Elles se concentrent notamment sur les systèmes d'armes ou les réseaux déployés dans les opérations extérieures (OPEX), etc. Pour autant, les liens sont étroits entre nous. Le Centre d'analyse de lutte informatique défensive (CALID), qui assure des missions de veille, d'analyse et d'alerte pour le ministère de la défense, est hébergé dans le même bâtiment que l'Anssi. Les échanges d'informations sont efficaces grâce à cette proximité. En cas de catastrophe, nous pourrions tous travailler ensemble. Une évolution similaire est en cours avec le ministère de l'intérieur ou avec les opérateurs du réseau interministériel de l'État. Nous travaillons ainsi en collaboration étroite avec les administrations qui possèdent leur centre technique, et aidons les autres à acquérir les compétences nécessaires ou à sélectionner les partenaires privés compétents et de confiance.

Nous ne sommes pas compétents sur la partie défense du ministère de la défense, mais nous intervenons sur la partie administrative. Notre système est cohérent : les systèmes d'information et la cybersécurité relèvent de la compétence de l'Anssi, les grands projets et les infrastructures relèvent de la Dinsic, tandis que la Cnil veille au respect des libertés. La réussite d'un projet requiert l'articulation de tous ces points de vue.

Est-il préférable de faire gérer plusieurs systèmes par différents organismes gestionnaires ou de mettre en place un système unique sous l'autorité de l'État ?

La réponse à cette question est subjective. Pour ma part, j'estime que les sociétés ouvertes reposent sur la tension dialectique entre des principes contradictoires. Je ne crois pas qu'un système unique garantirait l'équité, la sécurité et la protection de la vie privée. Nous avons parfois des désaccords avec l'Anssi ; cela me semble sain.

Concentrer le système, et la protection, en un seul endroit nous exposerait au reproche de mettre tous nos oeufs dans le même panier, au risque de tout perdre en cas de problème. La notion de compromis est peu appréciée dans le domaine de la sécurité, mais, dans la gestion quotidienne, c'est ce que nous sommes amenés à faire.

Merci d'avoir répondu avec précision à nos questions. Votre travail sera attentivement suivi.

La réunion est close à 18 h 30