Dans le cadre du projet de loi de finances 2026, je suis intervenu ce 10 décembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

VERBATIM

Cela fait neuf ans que je présente le budget du programme 129 « Coordination du travail gouvernemental », et désormais, nul besoin d’expliquer son utilité : chacun connaît ou a subi une cyberattaque, qu’elle vise France Travail, l’Urssaf, un hôpital ou prenne la forme d’un faux message bancaire ou d’un faux colis.

L’objet de l’action n°2 « Coordination de la sécurité et de la défense » entre dans le champ de compétence de la commission des Affaires étrangères, de la Défense et des Forces armées au titre des fonctions de cybersécurité, de protection contre les ingérences numériques étrangères et de soutien aux services de renseignement, prévus par la Revue nationale stratégique 2025.

C’est d’ailleurs par ce qu’il concerne la défense et la sécurité nationale que ce budget est l’un des rares à augmenter par rapport à 2025, avec 431 millions d’euros pour 2026.

Seront donc confortés les moyens du SGDSN et avec lui : l’ANSSI, Viginum, l’OSSIC et les fonds spéciaux pour le financement des actions couvertes par le secret de la défense nationale.

La commission a proposé l’adoption des crédits de la mission « direction de l’action du Gouvernement ».

Je voudrais pour conclure évoquer plusieurs questions restées sans réponses qui sont autant de points d’alerte :

– de nouvelles stratégies nationales de cybersécurité et de lutte contre les manipulations de l’information avaient été annoncées l’an dernier.

Quand nous seront-elles communiquées et publiées ?

– les cyberattaques et les manipulations de l’information concernent toute la population, quand aurons-nous les retours d’expériences de l’ANSSI sur les attaques massives que j’ai évoquées ?

– en ma qualité également de président de la commission spéciale relative au projet de loi « Résilience et cybersécurité », j’évoque le problème des points d’entrée dans le dispositif de lutte contre les cyberattaques et surtout la manière dont l’ANSSI envisage la mise en œuvre réglementaire de la directive NIS 2.

Dans ce cadre, il est essentiel de rappeler que la norme ISO 27001, relative aux systèmes de management de la sécurité de l’information, constitue aujourd’hui un référentiel reconnu permettant de répondre aux exigences de la directive NIS2, notamment en Belgique où elle fait déjà office de standard de conformité.

La récente attaque contre l’Ursaf fait apparaître que les administrations comme les entreprises devraient s’y conformer au plus vite pour garantir un niveau homogène de protection et de résilience.

La question centrale est de savoir en quoi d’autres obligations imposées aux entreprises et aux collectivités leur permettront d’être mieux protégées ?

Il y a ici une révolution des esprits à mener au sein des services de l’État pour que la résilience et la sécurité ne soient pas l’affaire de quelques-uns mais de tous, comme la publication du guide « tous responsable » que je salue en espérant qu’il ajoute bientôt dans les numéros d’urgence le 17Cyber qui fêtera son premier anniversaire dans une semaine.