Dans la perspective de l’examen du projet de loi relatif « à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier », le Sénat avait envisagé la création d’une commission spéciale.

Ce 15 novembre, en qualité de co-rapporteur pour avis avec mon collègue Mickaël Vallet, j’ai défendu le budget du programme 129 « Coordination du travail gouvernemental » devant notre commission des Affaires étrangères, de la Défense et des Forces armées, qui a été approuvé à l’unanimité.

Les crédits du programme 129 que nous présentons chaque année portent sur l’action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l’information.

La cybersécurité mérite d’être érigée au rang de grande cause nationale et d’être dotée d’une stratégie nationale, incluant tout l’écosystème, pour répondre à 4 défis criants.

Mon intervention

Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour la cyber française en 2024 :

Défi 1 – D’abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Il n’y aura pas de médaille d’argent ou de bronze pour la France dans cette discipline ;

Défi 2 – Ensuite, coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;

Défi 3 – Dans le prolongement,  réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;

Défi 4 – Enfin, s’ajoute un 4ème défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l’organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse.

Cette nécessité de refonte de la stratégie résulte des nombreux points d’attention que les services et entreprises que nous avons auditionnées ont soulevés :
– À commencer par un brouillard quant à l’organisation de la réponse aux incidents cyber entre l’ANSSI responsable des systèmes de l’Etat et des opérateurs d’importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l’amorçage par l’ANSSI de centres régionaux ou sectoriels dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité.
– En réalité, chaque ministère et chaque entité s’est doté d’un coordinateur : l’ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l’investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c’est le rôle d’être à la croisée de tous les chemins, et maintenant le ministère de l’Intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.

Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le directeur général de la Gendarmerie nationale. En revanche, il nous semble qu’une chaîne claire de traitement et d’escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2014. Mais à quelques mois de ce rendez-vous important il reste encore à définir les services offerts par cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?

Le message de l’ANSSI est de dire qu’il est encore trop tôt pour dessiner un « jardin à la française » et qu’il faut d’abord laisser l’écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C’est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales), car elles ont besoin d’une feuille de route claire et d’y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.

Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle. Si cette orientation perdure, il est à craindre que tout le monde soit perdu en cas d’incident national majeur et que  l’engorgement de nos services sera amplifié par des sollicitations multiples à différents endroits. J’ajoute que l’enjeu de sécurité des Jeux Olympiques justifie l’urgence de la concertation, ce qui est un métier nouveau pour l’ANSSI.

C’est pourquoi, parmi nos propositions figurent celles :
– Tout d’abord d’actualiser la stratégie nationale de cybersécurité (l’actuelle date de 2018) en y associant en amont tout l’écosystème sans oublier les collectivités locales, ni vos serviteurs ;
– Et de s’inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles.

Est-ce le rôle de l’ANSSI ou d’un délégué interministériel clairement identifié ? C’est à l’exécutif de le décider mais c’est à nous de signaler que l’année 2024 est le bon moment pour le faire.

Au bénéfice de ces observations, nous vous proposons l’adoption des crédits de la mission « Direction de l’action du gouvernement ».

Ce 18 octobre, la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Cédric Perrin, a consacré une audition à la cybersécurité et la lutte contre les menaces hybrides, en invitant les responsables du SGDSN, de l’ANSSI et de Viginum.

Je remercie chaleureusement nos interlocuteurs pour leurs réponses précises et circonstanciées à nos interrogations :
> Stéphane Bouillon, secrétaire général de la défense et de la sécurité nationale (SGDSN)
> Emmanuel Naëgelen, général de brigade aérienne, directeur adjoint de l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)

VERBATIM

Merci monsieur le Président. Avant de commencer mon propos, je voudrais vous remercier, M. le Secrétaire général, vous trois, pour la clarté de votre propos. L’audition est captée, mais vous n’avez pas hésité à appeler un chat, un chat et caractérisé effectivement les états qui ne nous veulent pas que du bien. Je pense que c’est intéressant que vous puissiez le faire de la sorte.

Deuxième propos, c’est vous dire que lors des éditions précédentes, car cela fait maintenant plusieurs années que nous nous voyons, je veux vous dire que nous avons l’impression d’être écoutés et entendus. A ce titre, je voudrais vous remercier doublement.

Pour la première partie, entre les quelque 831 intrusions répertoriées en 2022 par l’ANSSI dans sa publication annuelle du panorama de la cybermenace, dont vous avez fait état, et les 170 000 demandes d’assistance reçues par le GIP Acyma Cybermalveillance, une clarification doit être apportée pour bien comprendre la stratégie du SGDSN pour atteindre l’objectif de la revue nationale stratégique d’une « résilience cyber de premier rang » aussi bien pour les opérateurs d’intérêt vital (OIV), les PME, les collectivités et les particuliers.

On a bien compris que pour le « haut du panier », l’application de la directive européenne dite NIS 2 devrait conduire l’ANSSI à décupler son champ de compétence. On part bien d’environ 700 OIV actuellement suivis par l’agence et d’après les estimations, vous nous dites désormais 15.000 entreprises pourraient être concernées lorsque la directive sera transposée d’ici fin 2024. Comment allez-vous vous confronter à ce défi pour réaliser ce passage de la cybersécurité à l’échelle industrielle, prévu par l’ANSSI ?
Avez-vous un calendrier de transposition de cette directive, une liste des obligations nouvelles qui pèseront sur les entreprises et une estimation du coût qu’elles devront supporter ? Quels services l’ANSSI leur apportera-t-elle ?

La semaine dernière, j’étais à Washington, où l’ancien président de PayPal était là. Il nous dit qu’ils subissaient 3 à 4 millions d’attaques par jour !

À l’autre extrémité du spectre, nous avons le grand public, nous avons les PME, les TPE et à peine une quinzaine de personnes et un budget de seulement 2 millions d’euros sont les moyens du GIP Cybermalveillance. Tout cela nous semble dérisoire pour couvrir les besoins du grand public, des collectivités, des PME et de ces associations. Quels objectifs fixez-vous à ce groupement notamment s’il est appelé à gérer le futur guichet unique « 17 cyber » que nous appelons de nos vœux au Sénat depuis maintenant cinq ans ? Je rappelle que le Président de la République l’a aussi demandé, il y a deux ans.

Entre les deux, vous avez fait la création de centres régionaux de réponse cyber. Ils ont été encouragés et financés dans le cadre du plan de relance. Leur montée en puissance est lente et leurs services très inégaux, d’après les remontées de terrain. Leur financement par l’État n’est pas pérenne et l’on comprend mieux pourquoi une région (Auvergne-Rhône-Alpe) n’est pas entrée dans le dispositif. Les autres régions (notamment la Nouvelle Aquitaine) redoutent de devoir reprendre à leur charge des missions de sécurité qu’elles estiment régaliennes. Quelles réponses apportez-vous sur le financement et la coordination de ces centres régionaux ? Disposez-vous d’un bilan de leurs actions ?

Enfin, je voudrais partager une réflexion, puisque j’étais il y a trois semaines à Taïwan et j’ai rencontré votre interlocuteur le SGDSN. Taïwan est certainement aujourd’hui la première destination des attaques où l’influence se combine avec l’ingérence, ces attaques venant de la Chine. Il s’avère que c’est le laboratoire des attaques cyber pour le monde et lorsqu’on a vu ces attaques testées sur Taïwan on les retrouve partout dans le monde. Taïwan organise des exercices internationaux cyber, je ne vais pas vous demander ici si vous allez y participer, mais je voudrais savoir si vous participez à des exercices internationaux au niveau de la cyber. Je vous remercie.

Il y avait aussi une question sur Viginum. Depuis la création de Viginum en 2021, il nous a semblé que ce service s’est montré très discret dans sa montée en puissance et la communication de ses résultats. À part une communication notable faite par le ministère des Affaires étrangères sur une affaire, vous l’avez évoquée, qui venait de Russie en Afrique, quelles actions pouvez-vous nous décrire pour justifier l’activité et le développement du service ?