Ce 18 octobre, la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Cédric Perrin, a consacré une audition à la cybersécurité et la lutte contre les menaces hybrides, en invitant les responsables du SGDSN, de l’ANSSI et de Viginum.

Avec mon collègue Mickaël Vallet, nous sommes intervenus en qualité de rapporteur pour avis sur les crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

Mes questions ont porté sur quatre points principaux :
– La mise en œuvre de la directive européenne dite NIS 2 qui devrait conduire l’ANSSI à décupler son champ d’intervention
– La protection du grand public, des collectivités et des PME/TPE au travers du GIP ACYMA Cybermalveillance
– La définition des missions des CSIRT régionaux et leur coordination
– Le déploiement des activités de Viginum et sa visibilité

Je remercie chaleureusement nos interlocuteurs pour leurs réponses précises et circonstanciées à nos interrogations :
> Stéphane Bouillon, secrétaire général de la défense et de la sécurité nationale (SGDSN)
> Emmanuel Naëgelen, général de brigade aérienne, directeur adjoint de l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)

VERBATIM

Merci monsieur le Président. Avant de commencer mon propos, je voudrais vous remercier, M. le Secrétaire général, vous trois, pour la clarté de votre propos. L’audition est captée, mais vous n’avez pas hésité à appeler un chat, un chat et caractérisé effectivement les états qui ne nous veulent pas que du bien. Je pense que c’est intéressant que vous puissiez le faire de la sorte.

Deuxième propos, c’est vous dire que lors des éditions précédentes, car cela fait maintenant plusieurs années que nous nous voyons, je veux vous dire que nous avons l’impression d’être écoutés et entendus. A ce titre, je voudrais vous remercier doublement.

Pour la première partie, entre les quelque 831 intrusions répertoriées en 2022 par l’ANSSI dans sa publication annuelle du panorama de la cybermenace, dont vous avez fait état, et les 170 000 demandes d’assistance reçues par le GIP Acyma Cybermalveillance, une clarification doit être apportée pour bien comprendre la stratégie du SGDSN pour atteindre l’objectif de la revue nationale stratégique d’une « résilience cyber de premier rang » aussi bien pour les opérateurs d’intérêt vital (OIV), les PME, les collectivités et les particuliers.

On a bien compris que pour le « haut du panier », l’application de la directive européenne dite NIS 2 devrait conduire l’ANSSI à décupler son champ de compétence. On part bien d’environ 700 OIV actuellement suivis par l’agence et d’après les estimations, vous nous dites désormais 15.000 entreprises pourraient être concernées lorsque la directive sera transposée d’ici fin 2024. Comment allez-vous vous confronter à ce défi pour réaliser ce passage de la cybersécurité à l’échelle industrielle, prévu par l’ANSSI ?
Avez-vous un calendrier de transposition de cette directive, une liste des obligations nouvelles qui pèseront sur les entreprises et une estimation du coût qu’elles devront supporter ? Quels services l’ANSSI leur apportera-t-elle ?

La semaine dernière, j’étais à Washington, où l’ancien président de PayPal était là. Il nous dit qu’ils subissaient 3 à 4 millions d’attaques par jour !

À l’autre extrémité du spectre, nous avons le grand public, nous avons les PME, les TPE et à peine une quinzaine de personnes et un budget de seulement 2 millions d’euros sont les moyens du GIP Cybermalveillance. Tout cela nous semble dérisoire pour couvrir les besoins du grand public, des collectivités, des PME et de ces associations. Quels objectifs fixez-vous à ce groupement notamment s’il est appelé à gérer le futur guichet unique « 17 cyber » que nous appelons de nos vœux au Sénat depuis maintenant cinq ans ? Je rappelle que le Président de la République l’a aussi demandé, il y a deux ans.

Entre les deux, vous avez fait la création de centres régionaux de réponse cyber. Ils ont été encouragés et financés dans le cadre du plan de relance. Leur montée en puissance est lente et leurs services très inégaux, d’après les remontées de terrain. Leur financement par l’État n’est pas pérenne et l’on comprend mieux pourquoi une région (Auvergne-Rhône-Alpe) n’est pas entrée dans le dispositif. Les autres régions (notamment la Nouvelle Aquitaine) redoutent de devoir reprendre à leur charge des missions de sécurité qu’elles estiment régaliennes. Quelles réponses apportez-vous sur le financement et la coordination de ces centres régionaux ? Disposez-vous d’un bilan de leurs actions ?

Enfin, je voudrais partager une réflexion, puisque j’étais il y a trois semaines à Taïwan et j’ai rencontré votre interlocuteur le SGDSN. Taïwan est certainement aujourd’hui la première destination des attaques où l’influence se combine avec l’ingérence, ces attaques venant de la Chine. Il s’avère que c’est le laboratoire des attaques cyber pour le monde et lorsqu’on a vu ces attaques testées sur Taïwan on les retrouve partout dans le monde. Taïwan organise des exercices internationaux cyber, je ne vais pas vous demander ici si vous allez y participer, mais je voudrais savoir si vous participez à des exercices internationaux au niveau de la cyber. Je vous remercie.

Il y avait aussi une question sur Viginum. Depuis la création de Viginum en 2021, il nous a semblé que ce service s’est montré très discret dans sa montée en puissance et la communication de ses résultats. À part une communication notable faite par le ministère des Affaires étrangères sur une affaire, vous l’avez évoquée, qui venait de Russie en Afrique, quelles actions pouvez-vous nous décrire pour justifier l’activité et le développement du service ?