À l’occasion de la préparation de la loi de programmation militaire, j’ai présenté, ce 24 mai, devant la commission des Affaires étrangères et de la Défense, mon rapport sur la cyberdéfense en compagnie de mon collègue Mickaël Vallet.

Texte de mon intervention

Mes chers collègues,

Le programme 129 que je rapporte avec mon collègue Mickaël Vallet sur la coordination de la sécurité et de la défense relève de la mission « Direction de l’action du Gouvernement », c’est-à-dire les services de la Première ministre, et non de la mission « Défense ». Nous y examinons chaque année en loi de finances le budget du Secrétariat général de la défense et de la sécurité nationale (SGDSN), dont relèvent notamment l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Ce programme comporte toutefois plusieurs liens avec la LPM en cours d’examen et je remercie le Président de la commission d’avoir bien voulu renouveler la mise en place d’un groupe de travail sur le thème de la coordination de la cyberdéfense, comme pour la LPM précédente. Je remercie André Gattolin d’avoir rejoint et contribué aux travaux du groupe.

« Il va falloir être plus connectés et moins vulnérables », a dit Eric Trappier, Pdt Dassault Aviation, ce matin. Cet objectif guide nos réflexions.

Quels sont ces points de contact entre l’ANSSI et la LPM ?
En premier lieu, la résilience cyber a été érigée en objectif stratégique par la Revue nationale stratégique et le Président de la République a annoncé dans son discours sur la LPM son souhait de voir doubler notre capacité de traitement des attaques cyber majeures.
A notre sens, cet objectif ne peut s’inscrire que dans une coordination entre les milieux civils et militaires, le public et le privé, le national et le local.
S’y ajoute un enjeu de coordination entre le bouclier (lutte informatique défensive) et le glaive (lutte informatique offensive) qui caractérise la dichotomie du dispositif français :
– avec d’une part la compétence de l’ANSSI sur le volet défensif des réseaux interministériels, des opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE) au nombre desquels figurent par exemple 142 centre hospitaliers ;
– et d’autre part la compétence de lutte informatique offensive dont l’existence est reconnue mais dont les acteurs et les moyens relèvent du ministère des armées et donc in fine du Président de la République si une action devait être déclenchée.

On se demande d’ailleurs si le seul objectif de doublement de capacité est suffisant quand on sait la progression exponentielle des menaces répertoriées par l’ANSSI (831 intrusions avérées) et Cybermalveillance (plus de 170 000 demandes d’assistance dont plus de 90% émanent de collectivités territoriales).

Sur le volet militaire de la lutte informatique défensive (LID), le commandement de la cyberdéfense (COMCYBER) a traité en une année 150 événements de sécurité numérique touchant au périmètre du ministère des armées (hors services de renseignements).

Le second point de contact a trait à la coordination civilo-militaire entre ANSSI d’une part et le COMCYBER, la DGA-MI (Délégation générale à l’armement « maîtrise de l’information ») et la DGSE d’autre part.
Le groupe de travail s’est rendu à Rennes à la rencontre du Pôle d’excellence cyber et dans les locaux du ComCyber et de la DGA-MI. Il nous y a été relaté la relation très directe et quasi quotidienne entre l’ANSSI et la DGA-MI cette dernière apportant son expertise technique dans le traitement des données et la conception de programmes dédiés.

Comment véritablement inscrire dans la prochaine LPM la nécessité de rapprocher les fonctions défensives et offensives (qui sont traditionnellement et structurellement séparées dans notre organisation actuelle) pour que la défense de nos intérêts soit mieux intégrée, notamment entre l’ANSSI pour le volet civil (en métropole et dans les outre-mer) et le ComCyber pour le volet militaire ?

Le troisième point de contact entre ANSSI et LPM se matérialise par 4 articles normatifs :
– l’article 32 visent à demander aux opérateurs un filtrage des noms de domaine afin d’entraver une menace susceptible de porter atteinte à la sécurité nationale ;
– l’article 33 prévoit la transmission à l’ANSSI de données lui permettant d’identifier les serveurs et infrastructure des pirates informatiques ;
– l’article 34 vise à obliger les éditeurs de logiciels informatiques à informer l’ANSSI et les utilisateurs de tous incidents ou vulnérabilité de leur produit ;
– enfin, l’article 35 vise à renforcer les capacités de détection des cyberattaques en permettant à l’ANSSI l’accès au contenu des communications et à l’identité des victimes présumées de cyberattaques.
J’attire votre vigilance sur ces articles qui soulèveront certainement un débat sur la question de l’accès aux contenus des communications, alors que jusqu’à présent le leitmotiv de l’ANSSI est d’accéder aux réseaux, c’est-à-dire les contenants, mais pas aux contenus proprement-dit.
On pourra s’interroger sur la compétence de l’ARCEP en tant qu’autorité de contrôle a priori sur les avis autorisant l’accès aux données de contenu. Alors même que le projet de loi propose la suppression de l’assermentation judiciaire des agents de l’ANSSI, celle-ci emploierait des techniques d’accès au contenu jusqu’alors réservées aux services de renseignement, ce que n’est pas l’agence.

S’agissant du financement, le rapport annexé à la LPM prévoit 4 milliards d’euros de besoins programmés pour la cyberdéfense afin d’augmenter les effectifs, de s’adapter aux évolutions technologiques, d’accompagner les entreprises du secteur de la défense et d’appuyer l’ANSSI en cas de crise cyber nationale.
Il faut rappeler que le ComCyber est susceptible de mettre à disposition quelques cybercombattants pour soutenir directement l’ANSSI, mais pas dans des proportions annoncées pour faire face à un doublement des cyberattaques.
Cela pose la question de la cible d’augmentation des effectifs pour la période 2024-2030 : le ministre des armées a annoncé une hausse de 953 ETP pour le seul ministère des armées répartis entre la DGSE, la DGA et les armées. C’est moins que les 1 500 postes prévus dans le domaine cyber pour la LPM 2019-2025.

J’en viens maintenant à quelques observations assorties de propositions :
– Ainsi que le ministre des armées l’a précisé lors de son audition, aucun des 4 milliards de crédit de la LPM n’est destiné à l’ANSSI. La LPM ne vise aucunement à financer le passage de l’ANSSI de 660 agents en 2023 à 800 agents en 2027.
Cette augmentation sera financée par le budget du SGDSN.
Une question se pose si ces 4 milliards d’euros sont principalement fléchés vers la DGSE, la DGA-MI et le COMCYBER, en partie dans le but de pouvoir davantage contribuer à l’action défensive.
La raison serait d’organiser l’emploi des ressources publiques et privées en cas de dépassement des capacités de l’Etat à faire face à une crise cyber d’ampleur.
Mais alors pourquoi ne serait-ce pas à l’ANSSI, au lieu de l’armée, de monter davantage en puissance afin de coordonner directement les capacités cyberdéfensives publiques et privées du pays pour faire face à la massification des attaques ?
– Enfin, je souhaite formuler deux observations plus générales sur les stratégies de réponse. S’il existe bien une comitologie de niveau stratégique (le C4 strat est mensuel) et opérationnel (le C4 TechOps est quasi quotidien), on peut s’interroger sur les conditions de contrôle de l’efficience globale du dispositif.
Ensuite, je ne partage pas, et d’autres pays alliés non plus, la stratégie de la revue nationale stratégique selon laquelle, je cite, « l’application d’une logique dissuasive dans le cyberespace qui forcerait tout attaquant à la retenue contre la France est illusoire ».
Comme l’a dit le Président de la République, le 9/11/23, « Une attitude qui serait seulement réactive, voire défensive, pourrait passer pour une forme de passivité ».
Voilà pourquoi je pense qu’il faut absolument faire évoluer l’action de l’ANSSI vers un rôle plus offensif, a minima plus proactif, ainsi que le prévoient certains des articles de la LPM.