Nous consacrons aujourd'hui notre réunion aux suites des cyberattaques qui ont marqué le déroulement de la campagne présidentielle américaine et essaierons avec Guillaume Poupard, directeur général de l'ANSSI, auquel je souhaite la bienvenue, puis avec Bernard Bajolet, directeur général de la sécurité extérieure que nous recevrons tout à l'heure, d'en comprendre les ressorts et d'en tirer les conséquences, y compris pour notre propre pays.

L'ANSSI a été placée sur le devant de la scène dans un contexte de publicité croissante du risque cyber : le public, les Français, prennent la mesure de la menace face aux manipulations qui ont eu lieu lors des élections américaines, face aux attaques menées contre les partis et les institutions en Allemagne, face aux attaques qui ont ciblé la France - je pense bien sûr à TV5 Monde.

L'espace numérique, qu'on croyait si sympathique, transparent, pacifique, créateur de solidarités, apparaît en fait comme un espace dangereux et devient même un théâtre militaire à part entière. Force est de constater que cet espace donne la possibilité à des acteurs non-étatiques, manipulés ou non par des gouvernements, de peser sur la vie démocratique d'un État souverain ; qu'il peut mettre en péril le fonctionnement des institutions et des organismes vitaux des plus grandes puissances.

Les événements aux États-Unis ont été un choc pour nous. Pouvez-vous nous en dire plus sur les modes opératoires des cyber-attaquants ? Retrouvons-nous les mêmes modes opératoires dans les attaques en Europe ?

Dans ce contexte et en cette année électorale, sommes-nous capables de protéger nos institutions et nos processus démocratiques face à des acteurs qui ont un savoir-faire, des moyens et une bonne connaissance de nos faiblesses ?

Enfin, le ministre de la défense a présenté en décembre une communication sur la lutte informatique avec la mise en place d'un commandement cyber. Comment s'articuleront les missions de l'ANSSI et celles de ce commandement ?

L'organisation de la réponse à la menace d'origine informatique dans un pays ne va pas de soi. En témoigne la diversité des réponses présentées par nos alliés et voisins. L'organisation française se distingue par la séparation qu'elle opère entre protection (défense) et attaque et par la nature interministérielle du volet protection (défense). Dans les pays anglo-saxons, les deux volets sont du ressort des agences techniques de renseignement. En France, le volet protection (défense) revient à une agence (l'ANSSI) placée au sein des services du Premier ministre par son rattachement au secrétaire général de la défense et de la sécurité nationale et le volet offensif est adossé aux armées et aux services de renseignement du ministère de la défense. Il n'y a pas de confusion des missions. En outre, l'interministérialité permet une coopération étroite avec l'ensemble des ministères. En Allemagne, la protection (défense) a été confiée à un département du ministère de l'Intérieur, c'est un choix plus limitatif.

Il n'y a pas de mauvaises relations, ni de concurrence avec les services relevant du ministère de la défense en charge du volet offensif, au contraire, ils sont d'une aide précieuse. Nous sommes leur client lorsqu'ils nous informent de la préparation de certaines attaques, ou détectent des attaques en cours et permettent de les attribuer. Sur le volet protection, le ministère de la défense est monté en puissance parallèlement à l'ANSSI sur son périmètre, avec la mise en place du Centre d'analyse en lutte informatique défensive (CALID) dont les locaux sont situés dans le même immeuble que l'ANSSI, ce n'est pas fortuit.

La menace est très diverse dans son intensité, cela va pour prendre une comparaison, de la gifle au meurtre avec préméditation, et ce ne sont pas les mêmes attaquants. Trois types de menaces peuvent être distingués.

En premier lieu, la cybercriminalité qui tire parti de la faiblesse des particuliers et des entreprises, pour mener des opérations d'escroquerie. Nous menons un travail avec le ministère de l'Intérieur, sur le volet répressif mais surtout préventif, car nos concitoyens et les petites et moyennes entreprises sont mal protégés.

Le deuxième type de menaces relève de l'espionnage économique. Il touche les grandes entreprises afin de dérober des informations stratégiques, techniques ou commerciales. La difficulté, pour les déjouer, est de les détecter suffisamment tôt, car elles utilisent des moyens d'intrusion très discrets, et la révélation de l'attaque survient souvent de façon très tardive. Cette menace vise également le Gouvernement, les ministères et plus largement les institutions publiques.

On peut, enfin, identifier un dernier type d'attaque, celui du sabotage des secteurs d'importance vitale : transports, énergie, eau, santé, alimentation, industrie, finance, télécoms... Ces secteurs sont couverts par les articles dédiés de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019. À travers ces dispositions, la France a été le premier pays au monde à imposer des exigences de sécurité aux opérateurs de ces secteurs. Cela s'est bien sûr déroulé dans la bonne entente et la coopération, et s'est tellement bien passé que nos voisins prennent le même chemin : les Allemands, l'Union européenne également via la directive « Network information security » (NIS). La cybersécurité est un défi tellement grave que les gouvernements doivent faire preuve de volontarisme.

En ce qui concerne les attaques menées contre les États-Unis, les méthodes ne sont pas nouvelles mais les objectifs et les effets sont nouveaux. Il y a eu en fait 2 types d'attaques :

- une manipulation via les réseaux sociaux, abusant de la naïveté des utilisateurs (« fake news », théories du complot...). Ce n'est pas une attaque informatique à proprement parler mais cela cause de vrais dégâts à l'image de nos démocraties.

- et puis il y a les vraies attaques, en l'espèce des vols de courriels personnels distillés ensuite sur des sites d'information comme Wikileaks avec une volonté évidente de porter atteinte à l'image de la candidate démocrate. C'est une situation délicate à gérer car cette correspondance n'a, par définition, pas vocation à se retrouver sur internet. Et il y a aussi la question de la publication de 10 courriels authentiques pour 1 faux : comment se défendre contre ça ? Le timing électoral est extrêmement sensible, car dans ces périodes une fois que le mal est fait, il est très difficile de remonter. Dans le cas des États-Unis on ne saura jamais si le résultat a été modifié, mais il a très certainement été influencé.

La question de l'attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l'origine devant un juge par exemple. Voyez aux États-Unis, la parole présidentielle accuse les Russes mais n'a pas de preuves (ou ne peut les révéler) et on ne les aura sans doute jamais. Ce que peut dire l'ANSSI c'est que l'attaquant travaille sur le fuseau horaire de Moscou, laisse des commentaires en cyrillique dans les codes d'attaque... Mais tout cela peut aussi bien être une ruse pour orienter l'attribution de manière délibérée. Il n'y a pas de « smoking gun » dans une attaque cyber. L'attribution est in fine une décision politique de très haut niveau, orientée par un faisceau d'indices.

En ce qui concerne les élections en France, je crois que deux types de problèmes peuvent se poser :

- d'une part au niveau des administrations qui interviennent dans le décompte des voix, comme le Ministère de l'Intérieur. C'est, pour ainsi dire, le domaine de confort de l'ANSSI qui travaille avec ces acteurs au quotidien.

- il y a également le vote des français de l'étranger par internet. C'est plus complexe car on ne peut bien sûr pas sécuriser chaque ordinateur de chaque électeur. Nous n'avons pas l'assurance que tout va bien se passer. En 2012 tout s'est bien passé mais je peux vous dire que ça a été une journée difficile pour l'ANSSI.

Pour 2017, un gros travail d'anticipation a été effectué. Il me semble que le choix qui a été fait de limiter le vote par Internet aux élections législatives et de l'exclure pour l'élection présidentielle est un choix de sagesse, du fait de l'impact que pourrait avoir une éventuelle invalidation d'un nombre important de votes en cas de problème.

En dehors de la partie étatique, il y a un deuxième pan, dans le cas de l'élection américaine qui est celui de la sécurité des partis politiques mêmes. Les partis politiques ne font pas partie de notre domaine d'action. En tant que service de l'État et même si nous sommes « autorité nationale », nous ne serions pas légitimes à réaliser un audit des partis politiques. Il n'est peut-être pas exclu que nous soyons amenés à le pratiquer dans l'avenir mais aujourd'hui ce serait compliqué. Vous comprenez bien qu'il y a là une séparation qui doit être respectée. Nous nous sommes donc contentés d'inviter l'ensemble des partis politiques représentés au niveau national ou européen à un séminaire de sensibilisation. Nous leur avons expliqué par le détail tout ce qui s'était passé aux États-Unis. Bien sûr, ces informations étaient connues mais elles méritaient une lecture commentée. Puis nous leur avons donné des conseils en termes de sécurisation de leur système d'information. Ces conseils ne sont pas très originaux et ressemblent à ce que nous adressons aux PME. Sachant que si un très gros service d'un très gros Etat cherchait à s'attaquer à une PME, il y arriverait. Il y a là une disproportion des forces. Habituellement, les gros attaquants s'en prennent aux gros acteurs, et les petits attaquants aux petits acteurs. Dans le cas visé aux États-Unis, un gros s'en prend à un petit, c'est très compliqué. Nous ne sommes donc pas pleinement sereins dans ce domaine. Le fait de connaître le risque est déjà très important, il permet de savoir comment réagir dans une telle situation en l'anticipant. Si des courriels devaient être divulgués, il est important de savoir quelle stratégie de communication pourrait être mise en place pour faire face à la situation.

Enfin le dernier sujet qui n'est pas traité aujourd'hui est celui des réseaux sociaux. Nous nous rendons compte qu'il se passe des choses anormales, probablement comme aux États-Unis. Pour ne prendre qu'un exemple, lorsque vous regardez des vidéos sur les réseaux sociaux, ceux-ci vous proposent d'autres vidéos supposées correspondre à vos centres d'intérêt et qui ont été beaucoup regardées, c'est un des modes de fonctionnement de ces réseaux sociaux. On se rend compte que les vidéos suggérées ne devraient pas se trouver ainsi proposées, les critères qu'elles remplissent pour être soumises au choix de l'internaute sont suspects. Cela nous conforte dans l'idée qu'il y a probablement des personnes qui cherchent à mettre en avant certaines de ces vidéos en utilisant des procédés techniques. Elles jouent avec les règles, il n'y a pas à proprement parler de cyber attaque, mais il y a là une modification de l'influence qui est recherchée via ces réseaux sociaux. Cela ne fait pas partie de la mission de l'ANSSI de contrôler ce type d'action. On aborde ici le sujet du contrôle de l'information. Cela pose de vraies questions. Ces pratiques sont relativement déloyales. Il faudra sans doute mettre en place un dialogue avec les plateformes numériques pour limiter ces pratiques et réfléchir aux moyens de contrer ces manipulations d'influence.

Je souhaiterais vous poser quatre questions. Lors de votre nomination en 2014, le quotidien Les Échos, et sans doute d'autres journaux, écrivaient que votre première mission allait être d'obliger les opérateurs d'importance vitale, télécom, rail, grande distribution, à mieux se protéger contre les cyber attaques. Or certains traînent des pieds et considèrent qu'ils ont d'autres priorités. Vous nous avez parlé du travail qui a été fait notamment vis-à-vis des opérateurs, pouvez-vous nous dire ce qu'il en est des autres institutions citées dans ces articles ?

Ma deuxième question : le ministre de la défense Jean-Yves Le Drian a déclaré en janvier 2017 que les services français avaient bloqué près de 24 000 attaques informatiques externes tout en refusant de nommer les agresseurs potentiels. David Martinon, chargé de la cyber diplomatie a déclaré que la France ne faisait pas d'attribution alors que d'autres pays, tels que les États-Unis ou l'Allemagne, font des choix différents. Pouvez-vous nous expliquer pourquoi la France a une position différente dans ce domaine ?

Ceci m'amène à ma troisième question, vous avez parlé de la Russie, qui est au coeur de l'actualité. Pouvez-vous nous parler également de la Chine et peut-être de quelques autres États ?

Enfin ma dernière question porte sur la polémique qui dure déjà depuis quelques temps et qui porte sur le contrat entre le ministère de la défense et Microsoft. Les partisans du logiciel libre disent que ce contrat fait peser un danger sur la souveraineté de l'État compte tenu de la proximité de Microsoft avec la NSA et avec les services de sécurité américains. Pouvez-vous nous en dire plus ? Je crois que vous êtes au contraire partisan de ce contrat ?

Je représentais la commission des affaires étrangères, de la défense et des forces armées au séminaire de sensibilisation destiné aux partis politiques que vous avez mentionné. Dans les temps qui courent, les partis démocratiques semblent capables de semer eux-mêmes la pagaille dans leurs rangs. Avez-vous senti une vraie préoccupation chez l'ensemble des formations politiques qui vont concourir aux prochaines élections ? Ma deuxième question porte sur la presse dite instantanée, c'est-à-dire ces télévisions diffusant des informations en continu qui parfois lancent des « informations » à partir d'informations postées sur les réseaux sociaux, c'est-à-dire pour moi, à partir de rumeurs. Menez-vous un travail particulier de sensibilisation auprès de ces médias, dits indépendants ?

Il faudra sans doute que nous nous posions également un jour la question de la relation entre la presse et les opérateurs de télécoms. Car aujourd'hui un certain nombre de médias ont des opérateurs parmi leurs actionnaires. Il y a là un lien de puissance et d'accès à l'information. Nous sommes dans des systèmes de plus en plus concentrés.

Nous avons la chance d'avoir avec l'ANSSI un service de l'État extrêmement respecté du monde économique et à l'international. Je voudrais revenir sur des sujets que vous avez abordés récemment. Dans le cadre du SGDSN, vous avez annoncé la tenue en avril 2017 d'une conférence à l'UNESCO sur le droit international dans le cyberespace, intitulé « construire la paix et la sécurité internationales de la société numérique : acteurs publics, acteurs privés, rôles et responsabilités ». Cette initiative me semble très intéressante. Cela m'amène à la question des règles du jeu. Il y a quelques années, un travail avait été fait au sein du Conseil de l'Europe, qui avait abouti à la convention de Budapest, à laquelle les principaux pays n'adhéraient pas. Il est vrai que l'édiction d'une règle internationale au niveau onusien n'est pas gage de son respect. Pourtant, le seul fait que cette règle existe permet de rendre répréhensible l'action menée. Alors que nous sommes dans des sociétés caractérisées par la circulation intense de l'information, ce genre de transgression finit par se savoir et cela n'est pas sans effet. Bien sûr nous ne sommes pas là dans les mesures offensives, mais la définition de normes internationales me semble avoir tout son sens. Quelle est votre position sur ce sujet ? Quelles sont vos intentions dans le cadre de cette conférence internationale ?

Ma deuxième question porte sur les opérateurs d'importance vitale, domaine dans lequel nous avons progressé au niveau européen et au niveau français. Nous avons désormais une liste et des règles. Le ministère de la défense a un outil de protection développée. Qu'en est-il dans le domaine des industries de défense ? Relèvent-elles de l'ANSSI ou du ministère ?

Sur la question sensible des coopérations européennes, il me semble que nous sommes plus volontiers dans la coopération bilatérale que dans une démarche plus large où existe toujours le risque des maillons faibles. Cela dit, année après année, il me semble que la coopération européenne progresse, ce dont nous devons nous réjouir.

Sur le vote des Français de l'étranger, je voudrais émettre quelques réserves sur le fait qu'il s'agisse d'un problème de sécurité nationale. Les enjeux de protection cyber sont avérés dans le domaine de l'intelligence économique et dans le domaine stratégique. Pour les partis politiques, c'est à eux de gérer et de se défendre. Pour ce qui est du vote électronique des Français de l'étranger, vous avez dit il y a quelques temps, que vous y étiez opposés. Je suis l'auteur de la loi permettant le vote par Internet des Français de l'étranger. Il n'y a jamais eu à ce jour de vrais problèmes dans ce domaine. Nous avons commencé par un test en 2003 aux États-Unis qui s'est plutôt bien passé. Puis nous avons continué avec les élections consulaires, les élections des assemblées des Français de l'étranger, etc. Au fur et à mesure de ces élections, nous nous sommes aperçus que les difficultés venaient des filtres et des barrages accumulés à chaque élection pour améliorer la sécurité, jusqu'à ce que l'on arrive à l'élection où il n'était plus possible de voter tant les mesures de sécurité devenaient nombreuses et bloquantes. Il n'était même plus possible de se connecter. On a encore renforcé les mesures de sécurité pour les élections législatives. Si je peux comprendre que l'on prenne de telles précautions pour les élections du Président de la République, je me demande si ce n'est pas disproportionné lorsque les élections sont un petit niveau avec peu de votants où une éventuelle manipulation informatique n'aurait que peu de conséquences. Le problème ne me semble pas aussi grave que ce que l'on pourrait penser. À force de mettre des conditions de sécurité de plus en plus difficiles à remplir, on risque de faire baisser le nombre de participants qui se découragent et ne parviennent pas à se connecter pour voter. Je me permets de rappeler que le vote par correspondance postale n'est pas gage de vertu, les enveloppes se vendant à des prix dérisoires sur certains marchés de Pondichéry.

Des élections législatives auront lieu en Allemagne et en France en 2017. En Allemagne, la chancelière Angela Merkel considère que les Russes sont auteurs de cyberattaques au quotidien, et craint leurs effets sur les élections allemandes. Peut-on craindre la même chose en France ? Comment se déclenche une cyberattaque lorsqu'il s'agit d'influencer la vie politique d'un pays ? Quels sont les effets possibles ?

Vous avez souligné la difficulté d'identifier l'origine des cyberattaques. N'y-a-t-il pas des hackers qui signent leur forfait ?

Une cinquantaine de communes utilisent encore des machines à voter. Un moratoire sur leur achat a été décidé. Ces machines sont-elles devenues obsolètes ? Faut-il les abandonner ? Le statu quo soulève des interrogations.

Que représente, dans votre activité, la part des attaques réalisées par des Français ?

Peut-on imaginer, les attaques et défenses se multipliant, qu'une politique de dissuasion puisse être menée sur ce front très particulier des cyberattaques ?

Je travaille pour la commission des affaires européennes sur le « paquet connectivité », qui précise les ambitions et les moyens de réglementation de l'Europe sur les réseaux. La problématique des opérateurs tels que Google ou Facebook échappe quelque peu au spectre de cette future réglementation. Le Royaume-Uni et les États du nord de l'Europe s'y opposent. Votre service est-il associé à ces réflexions ? Y-a-t-il une coordination avec vos homologues européens ?

Je partage l'avis de Robert del Picchia sur la simplification des procédures de vote, qui est un enjeu important. En revanche, le vote par correspondance est très décrié, y compris par la Cour des comptes, alors que nous avons besoin d'encourager le vote des Français ne disposant pas d'accès à Internet, qui sont encore nombreux, en particulier parmi les double nationaux.

L'ANSSI a beaucoup contribué à aider la chaîne TV5 Monde à faire face à l'attaque qu'elle a subie. Quelles leçons en avez-vous tirées ? L'origine de cette cyberattaque a-t-elle été démontrée ? Comment éviter, à l'avenir, de tels événements, préjudiciables à l'information ?

Vous avez évoqué les risques d'attaques contre des secteurs vitaux tels que les transports, l'énergie, les télécommunications ou l'industrie. La santé pourrait aussi être évoquée, via nos hôpitaux. Y-a-t-il des éléments de nature à rassurer nos concitoyens ? À quel niveau dominez-vous ces risques de sabotage ?

Je partage l'inquiétude de mes collègues. On parle beaucoup d'attaques d'origine russe. C'est la piste privilégiée s'agissant de TV5 Monde. Mais on oublie les attaques de pays amis. Un certain nombre de cyberattaques d'origine américaine auraient visé nos institutions au plus haut niveau. Que pouvez-vous nous en dire ?

Beaucoup de Français ne peuvent ou ne savent pas voter par internet, en particulier en milieu rural. C'est pourquoi j'ai toujours souhaité la multiplication des bureaux de vote.

En dehors de la Russie, quels sont les autres agresseurs potentiels ? Quel est le niveau d'intérêt pour la sécurité informatique dans les entreprises ? Y-a-t-il une prise de conscience réelle, ou au contraire des réticences ?

Disposez-vous de moyens financiers, humains et technologiques suffisants pour mener à bien vos missions qui se multiplient, à un moment où les profils que vous recherchez sont très demandés ?

Les opérateurs que je mentionnais sont les opérateurs d'importance vitale, auxquels s'applique la LPM de décembre 2013. Ces opérateurs sont au nombre d'environ 230, dans les grands secteurs évoqués, y compris la santé. Le niveau de maturité est très variable d'un secteur à l'autre. La prise de conscience est plus récente dans les secteurs où il y a peu d'informations stratégiques mais surtout des systèmes industriels. Or le risque n'est pas seulement l'espionnage mais aussi le sabotage. Une attaque peut avoir des conséquences très graves sur la sécurité des personnes et des biens dans ces secteurs. Ceux-ci progressent aujourd'hui rapidement car ils se rendent compte que leur existence même est en jeu, dans la mesure où la réaction politique et sociétale à une attaque serait très forte.

Les attaques sont très diverses, ce qui explique des comptabilisations hétérogènes. Nous traitons une vingtaine de cas graves, concernant de gros opérateurs, chaque année. L'absence d'attribution des attaques résulte d'un choix politique. De telles attributions sont en effet très difficiles. Dans certains cas, il est impossible d'identifier avec certitude l'auteur de l'attaque. Les ordinateurs identifiés comme étant à son origine peuvent se situer dans n'importe quel pays et être eux-mêmes des victimes. À l'avenir, toutefois, il pourrait se révéler utile de procéder à de telles attributions afin de porter des messages et d'éviter une forme d'impunité.

Parmi les attaquants sont souvent évoqués les Russes, les Chinois, et ceux que j'appellerais les « five eyes » (États-Unis, Canada, Nouvelle-Zélande, Australie et Royaume-Uni), qui coopèrent entre eux et sont susceptibles d'attaquer nos intérêts, comme l'a révélé Edward Snowden. Malheureusement, on n'a pas d'ami dans le cyberespace, ce qui ne signifie pas qu'on n'a pas d'allié. Une coopération étroite est possible, car nous avons aussi beaucoup d'ennemis communs. Ce jeu est complexe car les organisations sont différentes dans chaque pays, ce qui nécessite une synchronisation très étroite.

Sur la question de Microsoft, c'est un débat complexe et souvent caricaturé dans les medias. Je ne suis ni pour, ni contre, même si culturellement et parce que je suis informaticien, j'apprécie l'accès aux codes sources et la maîtrise de ce que je fais, ce qui est beaucoup moins vrai avec des logiciels propriétaires complétement fermés. Dans ma mission de défense, que dire à 90 % des victimes qui sont équipées par Microsoft ? On cherche à faire au mieux et on constate des améliorations vis-à-vis de beaucoup de menaces. On critique beaucoup la sécurité chez Microsoft, mais cela a énormément progressé ces dernières années. Mais il est vrai qu'avoir confiance en Microsoft, si on n'a pas confiance en la NSA, pose un problème en termes de protection.

Notre démarche est plutôt oecuménique : on travaille avec tout le monde, même si quand on le peut, on promeut le logiciel libre. Dans beaucoup de cas, c'est compliqué, notamment dans les administrations, car le logiciel libre implique d'avoir de vraies capacités d'informaticiens en interne, même si c'est beaucoup moins cher au départ. Le logiciel propriétaire est assez automatisé et nécessite moins de compétences. Chercher à déployer des logiciels libres dans des administrations où il n'y a plus d'informaticiens, c'est voué à l'échec. Dans le cas très particulier du ministère de la défense, c'est une logique comptable et budgétaire qui a prévalu : remplacer 3 000 contrats par un seul contrat, cela réduit considérablement la facture. On peut juste regretter qu'il n'y ait pas eu davantage d'approche stratégique de long terme. C'était peut-être le moment de remettre en cause la forte dépendance au logiciel propriétaire. Cela n'a pas été fait, mais la démarche était logique au niveau local.

Sur les médias d'information en continu, je sors de mon domaine de compétence. L'amplification des médias sociaux se fait aussi par ces chaînes d'information concurrentielles, qui ont un besoin constant de nouvelles informations. On n'a pas aujourd`hui de démarche de sensibilisation. La question de la maîtrise des médias est une question délicate car on risque d'être accusé de vouloir contrôler l'information. Il faut peut-être mettre tous les acteurs autour d'une table pour qu'ils adoptent une attitude plus responsable dans la diffusion de l'information. Cela existe déjà de manière embryonnaire : quand il y a une opération de police ou une opération antiterroriste en cours, les journalistes gardent l'information pendant quelques heures. Cela paraît être le minimum, mais il se peut qu'en termes d'éthique, l'on puisse faire davantage, mais je sortirais de mon rôle si je vous donnais un avis précis.

M. Bockel, vous avez parlé de la conférence internationale sur le droit international dans le cyberespace, qui se déroulera à l'UNESCO à Paris, les 6 et 7 avril prochains. Premier point : il y a déjà beaucoup de travaux sur l'application du droit de la guerre dans le cyberespace et moins sur l'application de la paix et de la stabilité dans le cyberespace, car ce sont les militaires qui se sont emparés du sujet. Il n'est pas souhaitable que seuls les militaires traitent ce sujet. Nous voulons donc une réflexion sur les règles qui devraient s'appliquer. Ce n'est pas parce que les règles sont difficiles à appliquer ou à contrôler, qu'il ne faut pas les définir. Aujourd'hui, il n'y a pas de règles acceptées communément et personne ne les transgresse d'une certaine manière. Alors que si demain, des règles sont clairement admises et inscrites dans les contrats mêmes - allez faire signer à un industriel qui vous équipe qu'il ne va pas vous espionner, vous allez voir qu'il aura plus de mal à travailler avec la NSA (National Security Agency) - on aura progressé.

Tout d'abord il faut fixer des règles et l'application suivra, en partie, de manière naturelle. Ensuite, il faudra réfléchir à d'éventuels mécanismes permettant de faire appliquer ces règles.

L'autre point, c'est qu'aujourd'hui, on l'a vu dans le cas des élections américaines, quand la tension monte dans le domaine cyber, on n'a pas de mécanisme de désescalade. Les discours deviennent de plus en plus agressifs et puis on s'arrête. C'était aussi le cas dans les attaques contre Sony où le président Obama avait déclaré qu'il s'agissait d'« un acte de guerre venant de la Corée du Nord », puis avait rétropédalé en parlant de sabotage ou autre, car le mot « guerre » est un terme codifié qui implique une riposte. Comment fait-on pour se parler quand on a affaire à des puissances comme la Russie, les Etats-Unis. Des mécanismes de désescalade existent dans d'autres domaines, comme dans celui de la dissuasion nucléaire, et il faut probablement faire la même chose dans le domaine cyber.

Pour répondre à votre question, les industries de défense font clairement parties de la liste des secteurs d'activité d'importance vitale et le traitement des industries de défense se fait par l'ANSSI en étroite coopération avec le ministère de la défense et avec les différents services associés, notamment la Direction générale de l'armement (DGA) qui a le contact quotidien avec les industries de défense. Intéressantes pour les attaquants, ce sont probablement les premières cibles en termes de volumes en France. L'ANSSI les connait bien par ailleurs, puisque beaucoup sont des producteurs de service et de produits de sécurité.

S'agissant de la coopération européenne, je pense que nous serons condamnés, pendant encore longtemps, pour les choses très sensibles à des relations bilatérales. On ne manipule pas des choses ultrasensibles à vingt-huit et demain à vingt-sept. En multilatéral, on parle de grands principes mais l'on ne peut pas rentrer dans le très sensible. Par ailleurs, il y a des questions que l'on ne souhaite pas voir traitées en multilatéral car la cybersécurité relève avant tout de la souveraineté nationale. Ce n'est pas contradictoire avec un traitement au niveau européen, car l'on a besoin des deux. Dans la directive NIS (Network and Information Security) sur la sécurité des réseaux, il y a l'idée que chaque pays doit faire de la cybersécurité et que les pays doivent fonctionner selon un réseau maillé. Il n'y aura pas d'agence européenne de la cybersécurité. Ce n'est d'ailleurs pas souhaitable, car il y a des sujets que l'on ne veut pas partager au niveau européen, ne serait-ce que ceux relatifs à l'industrie de défense. Il faut constamment garder l'équilibre entre la souveraineté nationale et l'intérêt à travailler ensemble, collectivement, au niveau européen. L'on va dans le bon sens avec la directive NIS et les différents règlements, notamment le règlement eIDAS en matière d'identification électronique. Aujourd'hui, on travaille ensemble à de la politique industrielle et il y a de la recherche et développement (R&D) au niveau européen, ce qui était jusqu'à présent totalement exclu. La France est très active dans ce domaine, de manière à flécher des fonds de R&D du programme Horizon 2020 (H 2020). La Commission européenne va mettre 450 millions d'euros sur les questions de recherche en matière de cybersécurité.

Sur la question du vote des Français de l'étranger, je me place en technicien qui regarde la sécurité des dispositifs mis en place. L'élévation du niveau de sécurité crée bien évidemment plus de contraintes. Mon devoir en tant que directeur de l'ANSSI est de dire : si un système est ciblé par des gros acteurs avec des moyens il y a des chances qu'il ne résiste pas. Même si on fait tout comme il faut, il y a un risque.

Oui mais on voit bien qu'avec plus de 4 millions de votants, les primaires de la droite se sont très bien passées...

En effet le volcan n'a pas explosé pour cette fois.

Concernant l'attribution à la Russie, c'est une vraie difficulté, mais nous nous intéressons de près à leurs modes opératoires. Or les différentes attaques récentes (TV5 Monde, Allemagne, DNC...) portent des signatures similaires (codes, serveurs...). Cela ne veut pas dire que l'origine russe soit certaine mais ce faisceau d'indices pointe vers le groupe APT28. Je voudrais noter qu'il est rare que les attaquants signent, ou alors ils émettent de fausses signatures pour faire porter le chapeau à quelqu'un d'autre. Peut-être qu'à l'avenir nous aurons des revendications plus officielles.

Sur la question des machines à voter, je dois admettre que nous n'avons pas regardé la question de près. En 2007 nous nous y sommes intéressés mais il y a immédiatement eu un moratoire sur leur achat. Est-ce que ce type de machine est moins sûr ? On ne sait pas, mais le gros problème est que nous ne pouvons pas recompter les bulletins. Et puis nous sommes embêtés car c'est de la technologie qui date d'avant 2007 et si elles sont connectées à internet il y a toutes les chances qu'elles se fassent détruire. En plus il existe 3 modèles différents, tous construits à l'étranger par des industriels pas très coopératifs... Bref c'est une question délicate sur laquelle nous allons nous pencher.

En ce qui concerne les attaquants français, il y en a peu, et la moyenne d'âge de ceux qui se font attraper est de 14 ans si vous voyez ce que je veux dire. Mais attention certains véhiculent des messages pro-djihadistes et il faut prendre cette question au sérieux. Cependant on voit que les pics d'attaques d'origine française ont lieu durant les weekends prolongés et ciblent les collèges et les lycées...

Sur la dissuasion : c'est un vrai sujet, mais délicat à cause du problème de l'attribution. Mais on voit que les anglo-saxons font déjà un début de dissuasion. Par exemple, 3 jours avant les élections américaines on a vu dans les médias, « de source sûre », la menace que si les élections étaient perturbées, il y aurait des pannes électriques à Saint-Pétersbourg. Je pense que ce n'est pas du bluff et que cela va ressembler de plus en plus à de la dissuasion de grand acteur à grand acteur. Cependant, contre des groupes terroristes, c'est comme menacer d'utiliser la bombe contre eux, cela semble difficile et ne fonctionnerait pas.

Au niveau européen nous suivons de près la question du chiffrement, qui est pour nous très importante. On surveille ce qui va se passer au niveau règlementaire et on pousse nos idées. Par exemple l'interdiction serait absurde car on pénaliserait d'autant ceux que nous voulons protéger. Il faut trouver des moyens plus adaptés de traiter la question.

Sur TV5 Monde : c'est une affaire très importante car c'est le premier acte de sabotage cyber en France. On ne saura jamais avec certitude qui en était l'auteur mais nous avons une vision très claire de ce qui s'est passé : l'assaillant est entré 2 mois avant, avec des méthodes de très haut niveau et il a bien pris soin de tout détruire. TV5 Monde a beaucoup aidé en matière de sensibilisation : les OIV ont pris conscience de leur vulnérabilité. Il faut noter que l'attaquant a essayé de nous orienter sur une fausse piste d'attribution au profit d'un groupe djihadiste, ce qui s'est révélé faux. Je ne crois pas à une menace forte de l'arme informatique de la part de Daech, mais ils peuvent très bien faire appel à des mercenaires de haut niveau qu'ils ne verront jamais, situés à l'autre bout du monde, contactés via le darknet.

Sur la santé : elle fait bien sûr partie des secteurs d'importance vitale. Au niveau industriel d'abord : c'est le premier décret sectoriel à être sorti. Mais il y a également une inquiétude sur les hôpitaux, car ce sont des structures ouvertes, où l'urgence est reine et où, donc, les règles classiques de sécurité ne peuvent pas s'appliquer. Ce sont des cibles qui sont souvent attaquées et rançonnées car ils ont de l'argent et ne peuvent se permettre de dysfonctionner. C'est compliqué d'y faire de la sécurité de haut niveau pour les raisons que j'ai évoquées, car ils ne peuvent pas toucher à leurs matériels (scanners, etc...) : nous avons une tâche immense dans ce domaine.

Je ne suis pas rassurant, mais c'est l'aveu qu'il y a beaucoup à faire. Je le répète nous n'avons pas d'amis dans ce domaine, nous en avons pris « la main dans le sac ». Un bon signe est la prise de conscience des industriels : s'ils ont encore du mal à admettre la gravité de la menace du vol de renseignements économiques (qui a pour moi des vraies conséquences sur la croissance), quand on parle de la sécurité humaine ou des biens c'est différent et on rencontre une vraie adhésion.

Concernant les moyens de l'ANSSI, il faut être reconnaissant : nous avons été gâtés et très favorisés depuis 2009. Cependant nous n'avons pas assez d'experts dans le domaine cyber. D'où nos efforts pour créer des formations, des labels reconnus. C'est un sujet où la vraie richesse est humaine et nous nous battons pour attirer et conserver les talents. Il y a également le sujet de l'évaluation de notre modèle : j'espère que nous aurons une croissance permettant de traiter la diversité des menaces qui vont se poser à l'avenir.

Mes chers collègues, comme vous le savez, chacun est invité à faire part de son intérêt à participer aux auditions des différents groupes de travail ; Pascal Allizard m'a fait savoir qu'il souhaiterait suivre le groupe « modernisation de la dissuasion » ; je demande donc aux rapporteurs de l'associer à leurs travaux sur le territoire national. Merci.

- Présidence de M. Jean-Pierre Raffarin, président puis de M. Alain Gournac, vice-président -