Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de Madame la secrétaire générale de la défense et de la sécurité nationale, Claire Landais. Elle est accompagnée ce matin de Julien Barnu, conseiller pour les questions industrielles et numériques, et de Gwenael Jezequel, conseiller pour les relations institutionnelles.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. J'invite chacun d'entre vous à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Claire Landais, M. Julien Barnu et M. Gwenael Jezequel, prêtent serment.

Placé auprès du Premier Ministre, le secrétariat général de la défense et de la sécurité nationale (SGDSN) est chargé aussi bien d'anticiper les risques et les menaces, que de suivre les questions de relations internationales, préparer les réponses aux crises, et assurer la cyber défense entre autre. C'est un organisme interministériel - vous nous l'expliquerez.

Il a également présenté en février 2018 la revue stratégique de cyberdéfense, sous l'égide de votre prédécesseur, Louis Gautier, qui s'appuyait notamment sur une étude prospective à l'horizon 2030, « Chocs futurs », passant au crible les impacts des transformations et ruptures technologiques sur notre environnement stratégique et de sécurité.

Pour toutes ces raisons, il nous a semblé essentiel de vous entendre au début des travaux de notre commission d'enquête. Je crois savoir que vous avez réalisé en vue de cette audition un réel travail conceptuel sur la souveraineté numérique, je vous propose de nous le présenter avant d'engager le débat.

Les réflexions que je vais vous présenter sont le fruit d'un travail collectif. Pour avoir une vision globale d'ensemble sur notre souveraineté numérique, nous avons besoin de connaissances techniques pointues de certains secteurs, les personnes qui m'accompagnent aujourd'hui en témoignent. Je vous propose de vous livrer notre vision des grands enjeux de la souveraineté numérique et de répondre à toutes vos interrogations sur la manière dont le SGDSN, acteur de coordination, intervient sur cette problématique.

La souveraineté numérique - c'est-à-dire notre capacité à rester maître de nos choix, de nos décisions et de nos valeurs dans une société numérisée - recouvre trois aspects complémentaires.

Première composante, la souveraineté à l'ère numérique : comment préserver les composantes traditionnelles de notre souveraineté, dans un contexte où le numérique remet en question les monopoles régaliens, parce qu'il crée des acteurs de substitution ou parce qu'il fragilise les outils des activités monopolistiques régaliennes ?

Deuxième dimension, la souveraineté dans l'espace numérique : comment conserver notre capacité autonome d'appréciation, de décision et d'action dans le cyberespace ? C'est la thématique abordée par la revue de cyberdéfense que vous évoquiez dans votre propos introductif ;

Enfin, troisième enjeu, la souveraineté des outils numériques : comment maîtriser nos réseaux, nos communications électroniques et nos données, publiques ou personnelles ?

Comment, d'abord, préserver les composantes traditionnelles de notre souveraineté, dans un contexte où le numérique remet en question les monopoles régaliens ?

Les nouvelles technologies ont progressivement permis à des acteurs privés de rivaliser avec les États, en assumant des fonctions faisant historiquement et sans conteste jusqu'alors l'objet de monopoles régaliens. Cette tendance est en partie irréversible, ce qui ne signifie pas qu'il faille renoncer à en organiser les modalités. Chaque État se voit ainsi conduit à arbitrer entre les attributs de souveraineté qu'il choisit de préserver en priorité, et ceux qu'il peut accepter de déléguer à la sphère privée, le cas échéant de façon encadrée.

Je n'évoquerai pas devant vous l'attribut régalien, pourtant historiquement important, que constitue le privilège de battre monnaie ni sa remise en cause par les crypto-monnaies, du type Bitcoin, car nous dépasserions de beaucoup le champ de compétence du SGDSN.

Parmi ces grands monopoles régaliens aujourd'hui contestés, citons d'abord l'identification officielle, le privilège d'authentifier les personnes. Les États ne sont aujourd'hui plus, de fait, les seuls à pouvoir délivrer des titres attestant de l'identité de quelqu'un : de grands acteurs privés comme les réseaux sociaux, au premier rang desquels Facebook -avec Facebook Connect -, jouent dorénavant le rôle de fournisseurs d'identité. Les services d'authentification qu'ils proposent sont déjà largement utilisés, à ce stade par des sites Internet privés et pour des utilisations non sensibles. Le risque est réel que, sans réponse des États, de telles solutions puissent, à moyen terme, devenir de fait les identités numériques d'usage, évinçant le rôle des pouvoirs public.

L'Europe et la France ont apporté d'ores et déjà certaines réponses : La loi du 7 octobre 2016 pour une République numérique prévoit ainsi d'encadrer la fourniture d'identité numérique par le secteur privé, une identité numérique étant présumée fiable uniquement si elle répond à un cahier des charges établi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Sont également développés, d'une part, un service d'authentification national - la plateforme FranceConnect conçue par la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC) -, et d'autre part une identité numérique souveraine - via le projet ALICEM (Authentification en ligne certifiée sur mobile) du ministère de l'Intérieur -, en cours d'évaluation par l'ANSSI. Enfin, au niveau européen, a été introduit un cadre juridique commun, avec le règlement adopté en 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « eIDAS », qui prévoit la reconnaissance entre les États membres et l'interopérabilité des méthodes nationales d'identifications numériques.

Autre monopole régalien par excellence, celui de la violence légitime : attaquer et défendre. Face à une menace cyber qui ne cesse de croître, certains acteurs, essentiellement étatsuniens, remettent en cause le monopole des États dans l'usage de la violence légitime. Se fondant sur une interprétation discutable du droit à la légitime défense dans l'espace cyber, qui n'est pas la nôtre, ils font la promotion d'une doctrine offensive de réponse aux attaques, autorisant une riposte par les acteurs privés eux-mêmes (« hack back ») qui va au-delà de la simple protection de leurs propres systèmes d'information, autorisant par exemple des intrusions dans les systèmes adverses pour les détruire. Les risques que voit la France à une telle légalisation de pratiques dans certains pays et à leur diffusion au niveau international sont bien réels : risque d'erreur d'attribution, d'abord, car face à la difficulté pour obtenir une identification fiable de l'origine de l'attaque - et à ce titre, une action de riposte non encadrée pourrait prendre pour cible un tiers innocent ; risque de dommage collatéral et de riposte incontrôlée, d'autre part, de nature à aggraver l'instabilité du cyberespace.

Dans ce contexte, la France a choisi de maintenir l'interdiction actuellement en vigueur de cette pratique en droit français et de prôner activement son interdiction au niveau international. Ainsi, l'Appel de Paris pour la confiance et la sécurité dans le cyberespace, rendu public par le ministre de l'Europe et des affaires étrangères le 12 novembre dernier au Forum de Paris sur la Paix, et soutenu par le Président de la République à l'occasion de son discours à l'UNESCO devant le Forum sur la gouvernance de l'Internet, a été l'occasion de réaffirmer le monopole étatique de la violence légitime. Cette initiative se décline aujourd'hui de façon opérationnelle dans différents fora, notamment à l'OCDE et à l'ONU.

Dernier attribut régalien contesté : assurer la sécurité intérieure. Il s'agit là moins de lutter contre la substitution d'acteurs privés que de répondre à l'affaiblissement des outils de l'action régalienne. L'efficacité de nos services d'enquête judiciaire et de renseignement repose dorénavant sur des technologies numériques pour lesquelles les offres nationale et européenne sont lacunaires, ce qui nous conduit à dépendre d'offres étrangères, par exemple pour le traitement de données massives et l'acquisition de capacités vulnérabilités informatiques. Il est donc essentiel que l'État travaille de concert avec l'industrie pour faire émerger des solutions nationales ou européennes. Il nous faut, en outre, pouvoir correctement faire face à l'évolution constante des normes et des outils technologiques, par exemple dans le domaine de la surveillance légale des communications pour ne pas être pris de court par le développement des réseaux 5G.

Deuxième aspect de la souveraineté numérique : Comment conserver notre capacité autonome d'appréciation, de décision et d'action dans le cyberespace ? Ce second volet de notre souveraineté numérique concerne le maintien de la capacité de l'État et, dans un certain sens, de nos entreprises et citoyens, à disposer d'une autonomie d'appréciation, de décision et d'action dans le cyberespace.

En ce qui concerne l'État, la France a fait le choix de conserver une autonomie de décision en matière de défense et de sécurité du cyberespace. Atteindre cet objectif repose sur une capacité souveraine à détecter les attaques informatiques qui affectent l'État et les infrastructures critiques - je pense aux opérateurs d'importance vitale (OIV), notamment. À ce titre, l'ANSSI développe ses propres systèmes de détection pour la supervision des administrations, et ses travaux ont permis de faire émerger des solutions industrielles de confiance pour la France au profit des entreprises. L'agence a ainsi qualifié en avril 2019 les sondes de détection de deux industriels français.

En outre, nos capacités nationales de détection ont été significativement renforcées par la loi de programmation militaire pour 2019-2025. Ses dispositions permettent aux opérateurs télécoms de mettre en oeuvre des dispositifs de détection au sein de leur réseau pour mieux repérer les attaques informatiques, autorisent l'ANSSI à donner à ces opérateurs des marqueurs ou signatures d'attaques informatiques pour les aider à les repérer, et ont ouvert la voie au déploiement de sondes par l'agence en cas de risque pour les systèmes informatiques de l'État, d'opérateurs d'importance vitale ou d'opérateurs de services essentiels.

Enfin la France souhaite garder une capacité souveraine à attribuer les cyberattaques. Développer et maintenir une telle capacité est un choix d'engagement majeur, qui implique de ne pas dépendre de certains de nos grands partenaires. Au vu des investissements nécessaires, la maîtrise de telles capacités ne sera accessible à terme qu'à un nombre très limité de pays qui auront fait le choix stratégique de les détenir. La France a bien l'intention d'en faire partie.

La France développe une doctrine nationale de découragement et de réaction dans le cyberespace. Elle repose sur une méthode nationale d'évaluation de la gravité d'une cyberattaque et un schéma de classement des cyberattaques qui intègre toute la palette des outils et normes mobilisables - et cela implique de faire se parler des acteurs de cultures parfois différentes. La réponse peut passer par la judiciarisation, se traduire par une attribution publique (« name and shame » en vue d'un impact réputationnel), voire - dans la mesure où il n'est pas exclu qu'une cyberattaque puisse atteindre le seuil de l'agression armée au sens de l'article 51 de la Charte des Nations Unies - par la mobilisation de capacités offensives dans le milieu cyber comme dans les autres milieux. Ce dernier point relève principalement du ministère des armées, et je renvoie au discours de Mme Florence Parly en février dernier. L'arme cyber est aujourd'hui pleinement intégrée parmi les capacités opérationnelles des armées et fait l'objet d'une doctrine qui encadre son emploi dans les opérations militaires sur les théâtres d'opération extérieurs, dans le respect du droit international.

Fruit également de la revue cyber et de la réflexion sur la gouvernance, l'articulation entre dimensions défensive et offensive obéit à une doctrine qui donne la priorité à la première, tout en privilégiant le dialogue entre acteurs responsables des deux chaînes.

La France promeut, enfin, à l'international sa vision selon laquelle le droit international est applicable au cyberespace et l'attribution publique reste une décision politique qui relève de la souveraineté et ne peut donc être déléguée à une organisation internationale. Dans ce domaine, notre pays souhaite garder la main.

Pour nos entreprises, il s'agit de préserver une capacité à innover dans un contexte d'hégémonie des géants américains du numérique - mais nous sommes là sur des questions hors du champ de compétence SGDSN.

L'autonomie d'appréciation et de décision de nos citoyens passe par la préservation de la sincérité du débat démocratique, face au phénomène émergent de manipulation de l'information par des puissances étrangères. Le rôle de la société civile reste essentiel, l'État pouvant fournir des outils pour lutter contre ces manipulations, notamment en période électorale. L'Union européenne a créé un réseau d'alerte en ce sens à l'occasion des élections.

Troisième aspect de la souveraineté numérique : Comment maîtriser nos réseaux, nos communications électroniques et nos données ? Notre souveraineté numérique passe en effet par notre capacité à protéger nos réseaux de télécommunication - et les données qui y transitent - des actions d'espionnage et de sabotage.

En matière de sécurité et de résilience des réseaux, des dispositions législatives existent déjà, dans notre code pénal notamment. Celles figurant aux articles R. 226-1 et suivants permettent un contrôle des équipements qui constituent le coeur des réseaux, pour préserver l'impératif de la protection de la vie privée et du secret des correspondances. Les demandes sont aujourd'hui instruites par l'ANSSI. Toutefois, au regard de l'importance croissante prise par les réseaux mobiles, notamment par la 5G et les nouveaux usages qu'elle permettra dans un futur bien plus proche que prévu, il paraît nécessaire d'apporter rapidement des évolutions au cadre juridique actuel, tant dans ses modalités que pour consacrer une finalité de protection de la sécurité nationale. Nous souhaiterions dès lors que puisse être soumise à autorisation préalable du Premier ministre - déléguée au SGDSN après instruction par l'ANSSI - l'exploitation de certains équipements des réseaux mobiles pour les opérateurs télécoms qui sont opérateurs d'importance vitale. Un amendement en ce sens avait été déposé, sans suite, dans la loi « PACTE », dispositions désormais reprises par une proposition de loi en cours d'examen devant le Parlement.

La protection des réseaux passe également par celle de nos câbles sous-marins, essentiels dans l'architecture des réseaux actuels. La problématique de la résilience se double d'un enjeu d'attractivité pour notre territoire, et nos réflexions en la matière mobilisent plusieurs départements ministériels, afin que nous soyons compétitifs, notamment en termes de normes et d'interconnections.

En matière de protection des données et des communications, les exigences sont graduées, dans une logique de cercles concentriques. Au coeur, pour les données et communications classifiées, nous devons viser une obligation de résultat, garantissant leur protection contre des attaques ciblées des adversaires les plus compétents. Cette ambition implique la maîtrise nationale de certaines technologies, au premier rang desquelles le chiffrement des communications. La France possède dans ce domaine une industrie de confiance, apte à fournir des équipements de très haut niveau de sécurité.

Pour le champ médian des données et communications sensibles, des exigences impératives doivent pouvoir être fixées, sous forme de label de l'État.

Cette déclinaison en plusieurs sphères s'applique pleinement à la question du cloud. Ainsi, pour ses données stratégiques classifiées, l'État aura recours exclusivement à un cloud interne. En revanche, pour d'autres données publiques et pour les besoins des entreprises, la qualification des clouds par l'ANSSI permettra d'identifier les offres qui apportent des garanties suffisantes vis-à-vis des risques tant techniques et que juridiques. Les entreprises doivent elles-mêmes faire l'effort de segmenter leurs données en fonction de leur caractère stratégique ou sensible.

Sur cette question du cloud, notre environnement juridique mérite également d'être adapté au rapport de force qui s'engage actuellement avec certains de nos partenaires tentés par une application extraterritoriale de leur droit. Dans la perspective de tels conflits de normes, il est essentiel pour rester crédibles de pouvoir leur opposer des outils comme le règlement général sur la protection des données (RGPD) ou une « loi de blocage » rénovée. Ces textes normatifs auront, d'une part, un effet incitatif dans les négociations qui doivent s'engager entre États et, d'autre part, un effet dissuasif sur les sociétés étrangères concernées, exposées au risque d'être en infraction avec nos normes.

Dans ce champ cyber très concurrentiel, où les hackers ont toujours un temps d'avance, comment s'assurer de conserver les meilleures compétences et d'attirer les talents ?

Dans le monde physique, en cas d'incident, les États n'hésitent pas à nommer la provenance d'un navire ou d'un avion étranger violant l'intégrité du territoire national. Pourquoi une telle discrétion en cas de cyber-attaques ? De mémoire, il y a deux ans, seule la Finlande a identifié publiquement le grand pays voisin source, selon elle, d'une telle attaque...

Quelques remarques seulement. Concernant d'abord l'ANSSI - que je connais bien pour avoir été, avec mon collègue Olivier Cadic, co-rapporteur délégué sur le volet cybersécurité lors de l'examen de la loi de programmation militaire pour 2019-2025- personne ne peut dire, hélas, que l'agence ait aujourd'hui trop de moyens, même si je note les engagements du Président de la République en la matière !

Je relève aussi dans vos propos la particulière difficulté des opérations d'attribution des cyberattaques : c'est un processus complexe et bien long. J'ai le sentiment qu'une réponse plus vigoureuse reste indispensable en la matière. Nous ne sommes pas épargnés, nous avons tous entendu parler de la dernière en date, qui concernait la plateforme du service « ARIANE » du ministère de l'Europe et des affaires étrangères.

S'agissant de l'articulation nécessaire entre moyens défensifs et offensifs, je note que les premiers existent bien, alors que les seconds me semblent moins performants.

Tout en faisant le constat de la grande intelligence de nos systèmes d'attaque et de défense cyber, n'y a-t-il pas un paradoxe à ce qu'ils passent tous par des câbles sous-marins - notamment ceux au large de Djibouti - constituant ainsi autant de points de faiblesses et de dépendances dans le système ?

Concernant la concurrence dans le recrutement des talents, le principal obstacle reste, du point de vue de l'État, un problème de salaire. Nous souffrons souvent de la comparaison avec le privé pour conserver nos ingénieurs et les profils industriels qui nous intéressent. Une réflexion est cependant en cours, vous le savez, sur l'évolution du droit de la fonction publique, qui devrait nous donner ces capacités de souplesse nécessaires aux recrutements dans un secteur particulièrement tendu. La DINSIC a récemment diffusé une circulaire qui rappelle la panoplie des outils de recrutement déjà utilisables. Ne négligeons pas non plus l'attrait du drapeau et la renommée de l'ANSSI, dont la réputation d'excellence permet de recruter les meilleurs éléments. Le passage par l'agence reste pour beaucoup une garantie ultérieure de reconversion ou de passerelle réussie dans le privé.

Concernant les moyens de l'ANSSI, je partage votre diagnostic, tout en constatant que la trajectoire d'emploi est positive. Mettre des moyens dans la cyberdéfense est une priorité assumée de l'État.

La discrétion dans l'attribution des cyberattaques et la faible publicité qui leur est ainsi donnée tient d'abord, à la difficulté technique inhérente au mécanisme d'identification des responsabilités. La méthode reste celle du faisceau d'indices, et l'entraide judiciaire est compliquée, soit par mauvaise volonté, soit tout simplement par manque de compétences techniques de certains pays. Sans jamais s'interdire de donner un caractère public à l'attribution, le mécanisme est jusqu'à présent pas ou peu utilisé car il est mis en balance avec l'efficacité réelle des messages passés à titre confidentiel. Dans une matière aussi délicate, rendre public un nom c'est aussi prendre le risque de figer les positions et de compliquer l'engagement d'un dialogue. Mais je peux comprendre la frustration des parlementaires et du public face à cette apparente réserve dictée par l'efficacité.

Concernant le bon équilibre de nos moyens entre les dimensions défensives et offensives, une même discrétion rend peut-être ici moins visible l'ampleur des ressources déployés dans la seconde catégorie. La loi de programmation militaire prévoit bien des engagements sur ce point, rappelés encore récemment par la ministre. Le modèle français prévoit à cet égard une séparation spécifique entre les deux chaînes, qui doivent être bien articulées.

Madame la secrétaire générale, vous avez une formation de juriste, vous êtes conseillère d'État, vous savez donc que l'autorité de l'État s'exerce sur un territoire défini par des frontières, sur lequel vivent des citoyens, et qui est doté du monopole de l'usage de la force pour trancher un éventuel conflit ou pour protéger sa population. Dans l'espace numérique, y a-t-il des frontières et avez-vous le sentiment que l'État soit en mesure de les définir ? Les entreprises ne peuvent-elles pas aujourd'hui être tentées d'organiser leur riposte et donc de priver l'État du monopole de la force pour trancher un conflit ? En somme, c'est l'assise traditionnelle de la souveraineté qui est sérieusement ébranlée dans l'espace numérique, qui est virtuel et insaisissable.

L'ère numérique fragilise effectivement ces monopoles régaliens. Des acteurs privés peuvent aujourd'hui se substituer à l'État ou, à tout le moins, le concurrencer en se dotant parfois plus facilement ou plus rapidement que lui, des outils classiques de la souveraineté.

Les frontières sont à repenser mais peuvent être reconstituées. Je parlais des cercles concentriques, qui vont du plus au moins sensible. C'est aussi à l'État de repenser ces frontières logiques, au-delà des frontières physiques. Certains sont capables de penser au-delà de leur sphère normale d'influence et de juridiction. On pense notamment à l'extra territorialité de la législation. Il nous - Français et plus probablement Européens - faut également savoir recréer des frontières. Par ailleurs, certains États ont su se fermer au monde numérique extérieur. C'est donc possible, mais je ne suis pas certaine que ces États soient porteurs de modèles que nous souhaiterions suivre. Le numérique n'est donc pas exclusif de capacités de souveraineté, y compris robustes, si ce n'est autoritaires.

Je vous rejoins en revanche parfaitement sur le monopole de la violence légitime. Les acteurs privés pourraient en effet se faire justice eux-mêmes, en pénétrant dans les systèmes d'information de l'attaquant pour aller détruire l'origine de l'attaque, prenant le risque de se tromper d'attaquant ou de générer des dommages collatéraux, pour reprendre les termes du droit international humanitaire - qui s'applique bien au monde numérique -, avec des risques d'effets de bord si ce n'est d'effet boomerang. D'où l'idée que l'État doit garder ce monopole de la violence légitime.

Pensez-vous que le lieu de stockage des données constitue un trait d'union entre la souveraineté traditionnelle des États et la réalité numérique ? Le support matériel est-il le point d'ancrage permettant à un État de faire usage de ses prérogatives de souveraineté ?

Le régime applicable au mode de stockage des données est évidemment important. Cela se constate dans la stratégie de cloud de l'État, qui conduit à stocker les données protégées par le secret de la défense nationale dans un cloud interne à l'Etat. Mais on ne peut pas imposer à certains acteurs privés un mode de stockage sans leur offrir des solutions industrielles qui répondent à leurs besoins. On sait que le stockage est aujourd'hui moins important que les services qui y sont liés, lesquels sont offerts par des géants du numérique en face desquels, actuellement, nous ne disposons pas nécessairement de concurrents potentiels. Nous réfléchissons très activement aux voies et moyens de faire émerger des solutions associant stockage, hébergement et services. C'est un préalable avant d'envisager de recourir à des modes d'action plus autoritaires, tels que les régimes des opérateurs d'importance vitale ou des opérateurs de services essentiels. La loi de programmation militaire de 2013 et la transposition de la directive NIS (Network and Information System Security) sont autant de jalons récents dans notre histoire, où les pouvoirs publics ont considéré que le moment était venu d'imposer à des opérateurs critiques certaines obligations en termes de sécurité physique ou logique de leurs systèmes d'informations. On ne peut envisager le recours à ce type de solutions que si l'on est certain que ces acteurs disposent de solutions industrielles qui leur permettent de ne pas en pâtir.

Y a-t-il eu des tentatives de perturbation des élections européennes sur les réseaux sociaux ?

Je peux vous dire que nous avons nettement progressé sur ce sujet, à travers la mise en place de capteurs et en utilisant tous les réseaux de veille disponibles. Jusqu'à présent, ces derniers étaient dispersés, parfois redondants sur certains aspects et notre dispositif pouvait comporter certains angles morts. Nous avons donc essayé de rationaliser notre vision d'ensemble afin de créer un réseau sans angles mort, d'améliorer nos capacités de détection, et de renforcer nos interactions avec les plateformes en leur signalant les éléments artificiels que nous pouvons repérer, les mettant ainsi en capacité d'en tirer les conséquences. Nous avons donc réellement accru notre sensibilité, notre visibilité et notre capacité à avoir des relais dans le monde de la société civile, des grandes plateformes, pour lutter contre les risques de remise en cause de la sincérité du débat électoral.

Avez-vous une stratégie pour vous doter d'un réseau de fibre optique indépendant du monde civil ? Sur les équipements actifs, le fait qu'il n'y ait que très peu de fournisseurs dans le monde et qu'ils ne soient pas tous basés en France - ou à Balard ! - pose-t-il problème ? Même question sur la téléphonie car un très grand pays outre-Atlantique érige actuellement des barrières à la pénétration de téléphones chinois qui, parfois, équipent les hauts gradés du ministère des Armées.

Le SGDSN est un service du Premier ministre. Nous travaillons évidemment très étroitement avec le ministère des Armées car le Premier ministre est responsable de la défense nationale et, si l'ordonnance de 1959 distingue bien défense civile et défense militaire, nous travaillons souvent sur des sujets qui exigent d'articuler défense civile et défense militaire.

La protection des communications classifiées correspond bien aux activités du SGDSN, avec, d'une part, le centre de transmissions gouvernementales (CTG), unité militaire gouvernementale logée au sein de notre secrétariat général et, d'autre part, l'ANSSI. S'agissant de la protection des communications relevant du secret de la défense nationale, le besoin de systèmes d'informations qui assurent la confidentialité, la résilience, à travers, par exemple, du chiffrement et des solutions souveraines est essentiel et nous y veillons très sérieusement. Nous menons actuellement une réflexion sur les réseaux de transport, pour lesquels la nécessité d'un réseau dédié distinct du reste du monde de l'internet reste à démontrer. Il est possible aussi de se dire que la résilience et la confidentialité passent davantage par les systèmes d'informations posés sur ces réseaux de transport, ou que ces réseaux de transports soient redondés, voire triplés, voire que sur telle ou telle portion on utilise à la fois du câble et du satellitaire, ou parfois des moyens radios de tel ou tel ministère... Cette réflexion nous conduit à penser que, plutôt que de procéder par cloisonnement et de déployer des réseaux dédiés, il conviendrait de multiplier les capacités, ce qui rejoint ce que nous avons pu évoquer à propos des câbles sous-marins.

La nation qui, la première, accèdera à l'ordinateur quantique, aura très probablement une avance sur les autres, notamment sur le chiffrement et le déchiffrement. L'enjeu est considérable. Où en est la recherche française sur ce sujet ? Les moyens qui y sont consacrés sont-ils suffisants ?

Le livre blanc de 2013 avait fixé des objectifs ambitieux en termes de politique de sécurité des systèmes d'information. Y figuraient notamment des obligations d'audit, de cartographie de systèmes d'informations... Votre secrétariat suit-il le développement de ces dispositifs ? Le fait-il pour l'ensemble des entreprises ou uniquement pour certaines filières considérées prioritaires ? Avez-vous des indicateurs quantitatifs et qualitatifs ? Quel est l'état des lieux ?

Pouvez-vous évoquer plus précisément les enjeux autour de la proposition de loi visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles ?

La recherche en est encore à un stade très amont en matière d'ordinateur quantique. Il pourra effectivement calculer beaucoup plus vite et donc casser les systèmes de chiffrement. En revanche, les travaux - au niveau international, dans les organismes de normalisation, auxquels l'ANSSI participe activement - sont déjà très avancés sur la définition de nouvelles primitives cryptographiques, c'est-à-dire de nouveaux algorithmes de chiffrement qui permettront même de résister à un ordinateur quantique. La question est aujourd'hui de savoir quand s'effectuera cette bascule des primitives cryptographiques actuelles à ces nouvelles primitives, appelées « post-quantiques » ? Contrairement à la position américaine, qui encourage à basculer très vite sur ces nouvelles primitives, l'ANSSI a plutôt un message de prudence, considérant que les primitives actuelles seront encore résistantes pendant un certain temps, même s'il faut parallèlement réfléchir au calendrier de cette bascule. Nous ne sommes donc pas inquiets sur la capacité du chiffrement à résister aux ordinateurs quantiques. La capacité, de la France, à maîtriser la technologie quantique reste, en revanche, un enjeu majeur de souveraineté technologique et industrielle.

La loi de programmation militaire de 2013 a bien tiré les enseignements du Livre blanc de 2013, dans lequel figurait l'idée de contraindre certains acteurs stratégiques à prendre des mesures de protection de leurs systèmes d'informations critiques. Les opérateurs d'importance vitale qui ont, en conséquence, été identifiés, sont des opérateurs publics ou privés dont le fonctionnement est considéré comme essentiel à la vie de la nation. L'ANSSI a été chargée de la rédaction d'une forme de cahier des charges des obligations imposées à ces opérateurs et les a accompagnés dans ce processus. L'approche de l'ANSSI est d'ailleurs très intéressante : parallèlement à l'usage de la contrainte législative et réglementaire, elle a adopté une démarche pédagogique, d'accompagnement des opérateurs - car une mise à niveau de ce type est coûteuse -, via des audits et des inspections, et en répondant aux alertes. Depuis février dernier, s'ajoute aux opérateurs d'importance vitale la catégorie des opérateurs de services essentiels, qui dépasse ce premier cercle, avec davantage de secteurs impliqués, qui se voient imposer certaines obligations. On peut notamment citer le champ de la santé. Nous faisons monter les systèmes d'information de ces opérateurs de services essentiels en compétence et en exigence en termes de sécurité.

Voyez ce qui s'est passé au Royaume-Uni !

La souveraineté peut aussi s'entendre comme prenant en compte l'ensemble des entreprises, au regard de leur productivité, des emplois qu'elles créent, de leur efficacité... sans se restreindre à ces opérateurs d'importance vitale ou de services essentiels. Y a-t-il une politique de sensibilisation de l'ensemble des entreprises sur la sécurité des systèmes d'information ?

Les opérateurs d'importance vitale et davantage encore les opérateurs de services essentiels comprennent bien des opérateurs privés.

L'Etat se protège-t-il correctement ? Par exemple, quels enseignements tirez-vous de l'attaque de la plateforme Ariane ?

Je ne peux pas vous dire qu'on se protège totalement correctement. Le niveau de sécurité est encore assez variable dans la sphère publique. Les investissements sont difficiles à consentir pour des ministères qui, parfois, concentrent leurs moyens sur leurs coeurs de métiers et ont un peu de mal à penser, en tout cas immédiatement, aux enjeux de sécurité. C'est l'enjeu de la revue stratégique de cyber défense, de son suivi et de l'identification d'actions structurantes, de les contraindre à penser en termes de sécurité et à investir dans ce domaine. L'idée de cercles concentriques et d'acteurs pour lesquels toute attaque, exfiltration, compromission de données serait un drame pour la nation, permet de consentir des investissements à un niveau tel qu'on peut être relativement sereins. Mais nous sommes encore en phase de prise de conscience généralisée et de mise en cohérence des investissements.

Depuis 2013, la nature de la menace à l'encontre des entreprises a radicalement changé. À l'époque, la plupart des attaques relevaient de l'espionnage, du siphonage discret de données sensibles. L'ANSSI rencontrait alors des difficultés à convaincre les entreprises - qui pouvaient considérer que le risque était davantage couru par l'Etat en raison de la faible sensibilité des données qu'elles hébergeaient - d'investir pour se protéger d'une menace en quelque sorte invisible. Depuis 2015-2016, on est passé à une menace de sabotage, à travers par exemple des « rançongiciels » qui chiffrent l'ensemble des données des entreprises et donc les exposent à des risques de pertes colossales, et même de disparition pour des PME. En conséquence, la perception de la menace cyber a complètement changé. Les entreprises ne s'interrogent plus sur la question de savoir si elles doivent se protéger, mais plutôt quelle est la meilleure façon de le faire.

La réponse de l'État est organisée en cercles concentriques. Pour les opérateurs d'importance vitale, l'ANSSI impose des règles, très précises et très techniques. Elle accompagne également les autres entreprises, mais à travers la production de guides et de recommandations. L'idée est aujourd'hui de faire en sorte qu'elle étende de plus en plus la certification des produits. Historiquement, elle certifiait principalement des solutions spécialisées en cybersécurité, dorénavant elle certifie des solutions de cloud. Demain, nous souhaitons étendre cette certification, en nous appuyant sur le secteur privé et sur des partenaires européens, aux nouvelles solutions numériques, tels que les objets connectés, les solutions virtualisées... L'objectif est de pouvoir classer l'ensemble des solutions numériques en fonction de leur degré de confiance.

Comment considérez-vous les normes ISO en la matière ? Disposez-vous d'une évaluation chiffrée au niveau national de ces certifications ?

Toutes les règles de sécurité de l'ANSSI sont conformes à ces normes techniques internationales. Nous avons cependant constaté que ce ne sont que des grands principes, une sorte de code de la route de la sécurité informatique désignant ce qui est obligatoire et exigeant de motiver les dérogations. S'agissant des opérateurs d'importance vitale, la démarche consistant à édicter des exigences plus précises, plus techniques, adaptées au secteur car étudiées avec les opérateurs eux-mêmes, nous est apparue plus efficace.