Mes interrogations ont porté sur deux sujets :

1- Quel a été le nombre d’attaques de nos ministères ayant nécessité l’intervention de l’ANSSI en 2019 ? En 2018, l’Agence avait été amenée à traiter 78 événements de sécurité, consécutifs à des attaques informatiques visant des ministères français.

Réponses clés :

“On a une stabilité des événements”.

“La menace criminelle, les rançongiciels, touchent peu aujourd’hui les administrations”.

“La menace principale dans les administrations centrales reste l’espionnage”.

2- Où en est-on du projet de Cyber-campus qui devrait s’ouvrir en 2021 dans le quartier de la Défense ? Nous nous attendons à une coopération exemplaire entre le public et le privé.

Réponses clés :

“L’idée c’est d’avoir une coopération public-privé, ce qui existe déjà du côté de Rennes (…) Il nous manquait un tel lieu en région parisienne”.

“Il y aura des mécanismes incitatifs pour permettre à des petits acteurs de venir s’y installer, des aides en termes de bail”.

“Nous allons nous mettre en phase avec l’ensemble des pays européens qui appliquent la même nomenclature”.
“Il s’agit de préparer les gens à la culture du secret défense et à la manière de se comporter et d’apprendre”.
“Il y aura moins de documents classifiés, mais que la classification sera plus ciblée, donc plus efficace pour le futur”.

2- Pour 2021, la subvention destinée à l’IHEDN est en légère diminution. Or, l’Institut doit désormais assumer seul certaines charges qu’il mutualisait jusqu’à l’année dernière avec l’INHESJ, dont notre commission a regretté la suppression. La crise sanitaire affecte-t-elle son équilibre financier ?

Réponse clé :

Le 2 octobre, notre commission des Affaires étrangères et de la Défense a auditionné Claire Landais, secrétaire générale de la Défense et de la Sécurité nationale (SGDSN), pour faire le point sur l’évolution des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), dont je suis le rapporteur.

Puisque le Projet annuel de performance pointait les “faibles moyens dédiés aux enjeux de sécurité des système d’information de certains ministères”, j’ai voulu savoir quel étaient les ministères les plus “faibles”. Une question dans le prolongement de nos recommandations avec Rachel Mazuir pour renforcer les capacités d’intervention de l’ANSSI (*), suite à la cyberattaque dont a été victime la plate-forme Ariane.

J’ai également voulu savoir si la France soutenait un projet équivalent au site de Beer-Sheva que j’ai visité en Israël, réunissant les agences de cyberdéfense, les pôles universitaires et les unités de R&D des entreprises dans un même écosystème.

Claire Landais a fait immédiatement remarquer que le niveau de menace allait croissant avec des attaquants de plus en plus forts. La secrétaire générale m’a honnêtement répondu que tous les ministères n’avaient pas fait l’effort suffisant pour que nous soyons aujourd’hui sereins, en précisant que tous ne méritent pas le même niveau de protection.

Avec la création de la direction générale du numérique, l’avis de l’ANSSI est requis avant tout projet informatique majeur au sein des services de l’état, a-t-elle rappelé.

Enfin, bonne nouvelle, nous avons appris qu’à la demande du président de la République, les services de Mme Landais travaillent sur un projet de création d’un “campus cybersécurité à la française” qui serait d’abord porté par le monde industriel, où l’ANSSI aurait toute sa place en termes de formations, de qualifications et de solutions.

(*) ANSSI : Agence nationale de la sécurité des systèmes d’information