EXAMEN EN COMMISSION
La commission, sous la présidence de M. Christian Cambon, président, a examiné le présent rapport pour avis lors de sa réunion du 8 novembre 2017.
M. Christian Cambon, président. - Nous ouvrons l'examen des avis de la commission sur le projet de loi de finances pour 2018, par celui portant sur le programme 129 « Coordination du travail gouvernemental ».
M. Rachel Mazuir, co-rapporteur pour avis. - Cette action, qui représente plus de la moitié des crédits de ce programme, recouvre, pour l'essentiel, les crédits du Secrétariat général de la défense et de la sécurité nationale dont ceux de l'Agence nationale de sécurité des systèmes d'information (ANSSI), ceux du GIC (Groupement interministériel de contrôle), les fonds spéciaux et les subventions destinées à deux établissements publics de formation, l'Institut des hautes études de défense et de sécurité nationale (IHEDN) et l'Institut national des hautes études de sécurité et de justice (INHESJ).
Dans un budget marqué par la volonté de réduire la dépense publique, cette action, il faut le souligner, progresse. Elle est dotée de 352 millions d'euros en AE (+1%) et de près de 354 en CP (+3%). C'est pour l'essentiel la conséquence de la poursuite de la montée en puissance du GIC pour la mise en oeuvre de la loi de 2015 relative au renseignement et celle de l'ANSSI, dont vous parlera Olivier Cadic.
Je vous présenterai, pour ma part, les crédits affectés aux autres entités.
S'agissant du coeur historique du SGDSN, M. Gautier vous a exposé, le 11 octobre, la diversité de ses missions. Je voudrais formuler deux observations :
Nous constatons un développement des missions et une intensification de l'activité. L'aggravation des menaces a donc des conséquences. Pour illustrer mon propos, je relève que le rythme des réunions du conseil de défense et de sécurité nationale, s'est encore intensifié (40 réunions depuis le début de 2017). Deuxième exemple : la poursuite des déclinaisons du plan VIGIPIRATE rénové, en décembre 2016, avec l'adoption en 2017 des plans PIRANET et PIRATEMER et la préparation d'un plan METROPIRATE.
D'autre part, le SGDSN devient la structure de portage d'un ensemble d'entités plus ou moins autonomes comme l'ANSSI, le Centre des transmissions gouvernementales ou le GIC. Ensemble qui, tant en crédits qu'en effectifs, dépasse largement le coeur historique du SGDSN.
Si ces entités rattachées ont vu leurs moyens croître, tel n'a pas été le cas depuis plusieurs années du SGDSN qui a perdu 25 emplois depuis 2009 avec, pour conséquence, un affaiblissement de la fonction « Soutien » dont les effectifs représentaient 15% du total et ne représentent aujourd'hui qu'un peu plus de 7%. Votre commission avait fait cette observation l'année dernière.
Les effectifs du SGDSN stricto sensu sont maintenus dans le projet de loi de finances pour 2018, mais les crédits hors titre 2 (8,3 M€ contre 11 M€ en 2017) subissent une baisse importante. Sans doute, le budget des deux directions (« Protection et sécurité de l'État, affaires internationales et technologiques ») sera-t-il, selon le SGDSN, maintenu « à un niveau permettant son intervention dans l'ensemble des actions interministérielles concernées », mais il exigera un effort d'économies de fonctionnement et de productivité important dans un contexte de menace élevée.
Ma seconde série d'observations concerne le GIC.
La loi relative au renseignement de juillet 2015 a modifié sensiblement ses missions. Il est le pivot interministériel de gestion de l'ensemble des techniques et assure, pour leur mise en oeuvre, un rôle de conseiller auprès du Premier ministre, et de correspondant privilégié de la Commission nationale de contrôle des techniques de renseignement (CNCTR).
La place du renseignement dans la lutte contre le terrorisme entraîne dans le même temps une intensification de son activité comme l'a montré le dernier rapport de la CNCTR.
Pour ce faire, il doit adapter ses structures et son organisation et réaliser un certain nombre d'investissements.
Le rattachement effectif de son personnel au service du Premier ministre est effectif depuis l'année dernière. Au total, le GIC disposera fin 2017 de 200 ETP. Le plafond est porté à 215 en 2018 et à l'horizon 2020, il devrait employer 234 personnes. Cette perspective a été réévaluée en cours d'année 2017 en raison des prévisions d'activités. Il faut s'en féliciter. En conséquence, le titre 2 est porté à 12,6 M€.
Un effort budgétaire a été réalisé pour accompagner sa montée en puissance. Les crédits hors titre 2 sont élevés à 16,6 millions d'euros en 2017. Pour 2018, il est prévu de stabiliser cette enveloppe à 15,6 M€ réparti aux ¾ pour les crédits d'investissement et pour ¼ en fonctionnement.
Comme l'a rappelé la Délégation parlementaire au renseignement dans ses deux derniers rapports publiés, et votre commission, l'année dernière, la montée en puissance du GIC constitue le point sensible pour la mise en oeuvre efficace de la loi relative au renseignement. Nous approuvons en conséquence le renforcement de son autonomie et son financement. Les modalités techniques de son adossement au SGDSN ont été précisées au cours de l'exercice 2017, dans un projet de convention dont la signature est imminente.
Quelques mots sur les fonds spéciaux. L'enveloppe a été portée à 67,8 millions d'euros en 2017 pour accompagner la montée en puissance des services de renseignement dans la lutte anti-terroriste. C'était une recommandation de la Commission parlementaire de vérification des fonds spéciaux. La dotation baisse légèrement à 67,4 M€. C'est regrettable pour deux raisons, au-delà du symbole envoyé aux services très sollicités dans le cadre de la lutte contre le terrorisme, cela crée de l'incertitude sur la capacité d'engagement d'opérations et cela risque d'obliger le Gouvernement à compléter la dotation en cours d'année, pour financer des dépenses prévisibles, comme il avait pris l'habitude de le faire, ce qui avait été critiqué par la CVFS.
Enfin, j'en viens aux deux opérateurs l'IHEDN et l'INHESJ. L'un et l'autre achèvent leur restructuration. L'exercice 2018 constitue une respiration dans la mesure où pour la première fois depuis longtemps les crédits et les plafonds d'emplois sont reconduits. Les établissements sont invités à développer leurs ressources propres. Pour ce faire, il serait utile d'apporter de la souplesse en matière de gestion des effectifs surtout lorsqu'il s'agit de recruter pour mettre en place des formations qui apportent des ressources nouvelles. Les deux instituts sont engagés dans de nouvelles démarches de négociation d'un plan stratégique pour l'INHESJ et de formalisation d'un contrat de performance pour l'IHEDN. Si la mutualisation des capacités entre les deux instituts engagée depuis 2011 se concrétise sur le plan du soutien, elle reste à conforter pour l'offre de programmes dans les domaines comme l'intelligence économique ou le continuum sécurité/défense. À nos yeux, cette démarche mériterait d'être consolidée au niveau stratégique par l'implication croisée des deux directeurs dans l'élaboration des plans stratégiques et contrats de performance respectifs.
M. Olivier Cadic, co-rapporteur pour avis. - Je m'associe aux propos de Rachel Mazuir et formulerai pour ma part quelques observations concernant l'ANSSI.
La cyberdéfense est un enjeu majeur. Dans une société de plus en plus connectée, les systèmes d'information sont des points de vulnérabilité. Assurer la protection contre une cybercriminalité puissante et virulente, mais aussi face au développement de l'espionnage et désormais, des actions d'ingérence de puissances étrangères, comme on a pu l'observer lors des campagnes électorales américaines et françaises, est devenu un impératif. Selon le rapport « Symantec 2017 », la France est passée au 8 ème rang des pays où la cybercriminalité est la plus active et au 4ème rang en Europe. Le rapport observe une recrudescence des e-mails contenant des pièces jointes malveillantes. Un mail sur 131 est malveillant dans le monde contre 220 en 2015. Le rapport enregistre une hausse de 36 % du nombre de rançongiciels et en a identifié plus de 100 nouvelles familles. Cette activité se révèle toujours plus lucrative ; la rançon moyenne est passée en un an de 294 à 1 077 $. Ce type d'attaques n'a pas progressé en France sans doute parce que seules 30% des victimes paient les rançons contre 64% aux États-Unis. En mai 2017, l'attaque massive à base de logiciels malveillants, exploitant une faille de Windows, a touché plus de 100 000 systèmes dans près de 100 pays dont ceux d'un certain nombre de grandes entreprises, en France et à l'étranger, ainsi que le service de santé britannique. Notre pays n'est pas épargné par les vols d'identifiants. Avec 85,3 millions d'identifiants volés, elle pointe à la 2ème place mondiale. Enfin, 2016 a connu la plus grande attaque par déni de service distribuée exploitant des réseaux d'objets connectés marquant l'émergence fulgurante de ce risque. Au plus fort de cette action massive, on enregistrait des attaques toutes les 2 minutes.
Face à cette menace croissante, l'ANSSI met en oeuvre la stratégie nationale de sécurité informatique. Elle a développé toute une série d'activités à partir de ses laboratoires d'expertise. Son périmètre d'action s'est élargi au-delà de la protection des administrations de l'État. Les textes d'applications de la LPM de décembre 2013 concernant les opérateurs d'importance vitale sont désormais publiés. Elle investit dans la mise au point de certains produits de sécurité. Elle en labélise d'autres, mais aussi des prestataires de confiance et des filières de formation. Elle apporte du conseil aux services déconcentrés de l'Etat, aux collectivités territoriales et aux entreprises grâce au déploiement d'un réseau en région. Enfin, elle a participé à la création de la plateforme cybermalveillance.gouv.fr, ouverte le 17 octobre, qui met en relation particuliers et administrations locales avec des spécialistes susceptibles de leur venir en aide.
Pour autant, un point de faiblesse demeure. Trois ans après la publication de la Politique de sécurité des systèmes d'information de l'Etat (PSSIE), le retard, au regard des objectifs de conformité affichés peine à être comblé. L'insuffisance des moyens consacrés à la sécurité dans les ministères ainsi que des contraintes techniques et d'organisation qui ne permettent pas toujours à l'ANSSI de déployer des sondes dans des conditions adaptées à la menace, ni de recueillir toutes les informations nécessaires pour assurer une détection optimale, explique cela. Les ministères régaliens sont les bons élèves, mais quand on voit les attaques se développer comme en Grande-Bretagne en mai dernier, contre les services de santé, on peut légitimement être inquiet. Ce point avait déjà été relevé l'année dernière.
Il nous semble nécessaire qu'une inspection identifie les difficultés et propose un plan d'action et que soient étudiés rapidement les moyens permettant à l'ANSSI d'imposer ses préconisations aux directions des systèmes d'information des ministères.
La politique de cyberdéfense connaîtra sans doute en 2018 de nouveaux développements. Une revue est conduite par le SGDSN, et vous aurez également remarqué la présence accentuée du cyber dans la revue stratégique de défense qu'est venue nous présenter Arnaud Danjean récemment.
Pour ce faire, l'ANSSI voit ses moyens progresser en 2018.
Ses effectifs passeront de 547 à 572 ETP, +25. L'Agence considère toutefois que son effectif devrait être d'une centaine d'agents supplémentaires. Au vu des perspectives actuelles, à raison de 25 ETP par an, cette cible ne devrait être atteinte qu'en 2022. C'est pour nous un facteur de préoccupation, compte tenu de l'évolution des menaces. Espérons que la revue de cyberdéfense sera un levier en faveur d'une montée en puissance plus rapide. Les problèmes de recrutement et de fidélisation des cadres sont en voie de solution progressive, mais la vigilance demeure car les spécialistes de la sécurité informatique continueront à être très recherchés, tant dans le secteur public que dans le secteur privé.
La faiblesse du vivier demeure inquiétante. L'engagement de l'ANSSI dans une politique de labélisation des formations est positif, mais il devrait être conforté par une action plus intense du ministère de l'enseignement supérieur et de la recherche pour orienter les universités et les grandes écoles à développer ces filières et à diffuser dans toutes les filières la culture de la cybersécurité qui est désormais, soyons-en conscients, un enjeu majeur de société.
Les crédits affectés à l'ANSSI sont compris dans le budget du SGDSN, ce qui ne permet pas une lecture aisée des documents budgétaires. Il serait souhaitable, ce sera une de nos recommandations, de les faire apparaître indépendamment, sous forme d'une unité opérationnelle à l'instar du GIC, qui comme l'ANSSI est un service à compétence nationale.
Ils progressent sensiblement en crédits de paiement atteignant 73,39 M€ (+11,4%) et sont stables en autorisations d'engagement (-1,1%). La principale opération d'investissement concerne le centre de stockage des données pour stocker et traiter les données recueillies lors des cyberattaques. L'investissement est porté par le ministère de l'intérieur pour un coût total de 24,2 millions d'euros, que le SGDSN finance aux trois-quarts. Les AE (18,2 millions d'euros) ont été transférées en 2016. En 2018, 6 millions sont inscrits en CP. Pour le reste, les crédits servent, pour l'essentiel, au développement de produits de sécurité pour la protection des informations classifiées, à des acquisitions de matériel informatique, au fonctionnement des systèmes d'information sécurisé, à la politique d'expertise scientifique et technique de l'Agence et à son fonctionnement opérationnel.
Globalement, nous sommes satisfaits de l'évolution des crédits de cette action et donc de ce programme 129 et vous proposons d'exprimer un avis favorable à l'adoption de la mission « Direction de l'action du gouvernement ».
M. Jean-Marie Bockel. - La menace évolue à une vitesse incroyable et il faut saluer la mobilisation croissante des autorités publiques qui ont pris suffisamment tôt conscience de l'ampleur de cette menace et su réagir rapidement en développant les moyens nécessaires pour y faire face. Je mesure l'effort accompli, même s'il ne faut pas baisser la garde. Il me semble que nous devons maintenant développer notre action à l'international, dans des enceintes comme les Nations unies. C'est un point que nous avions esquissé dans le rapport de la mission d'information de la commission sur ce sujet en 2012. Il est souhaitable que des règles du jeu puissent être établies pour lutter contre la cybercriminalité et réguler autant que faire se peut le comportement des États dans le cyberespace. Même si elles ne sont pas toujours respectées, on sait que, à la longue, elles font peser sur les États un risque de réputation et de marginalisation auquel ils sont sensibles, même les moins démocratiques d'entre eux.
M. Ladislas Poniatowski. - Pourriez-vous nous décrire très concrètement en quoi consiste le rançonnage informatique ?
M. Olivier Cadic, co-rapporteur. - Je partage l'appréciation de Jean-Marie Bockel sur l'action à mener dans les enceintes internationales. Une agence se crée au niveau européen dans laquelle l'ANSSI est impliquée.
S'agissant du rançonnage, cela consiste, pour une organisation criminelle, à bloquer l'accès aux données qui permettent d'exploiter un système informatique, qui peut être un système de production industrielle ou de transport, comme le système d'information d'une entreprise ou d'une administration en les cryptant et en sollicitant une rançon en échange de la clef de décryptage, rançon acquittée en général en monnaie virtuelle (type bitcoin) pour empêcher la traçabilité de la transaction. Il ne s'agit pas de vols ou de destruction de données, encore que certaines attaques puissent combiner tous ces aspects.
M. Rachel Mazuir, co-rapporteur. - Ces moyens nouveaux de cyberattaque peuvent paralyser des services publics de base, dont la vulnérabilité s'est accrue avec l'introduction de systèmes informatiques à base de réseaux et d'objets connectés. On n'a pas encore tout à fait mesuré l'ampleur de ces risques et ce qui m'inquiète un peu, c'est le retard de certaines administrations à faire tous les efforts nécessaires pour s'en protéger. C'est un travail de sensibilisation que nous devons mener.
M. Christian Cambon, président. - Je voulais vous livrer une anecdote qui est celle d'un expert en sécurité informatique qui a montré, au cours d'un congrès international de médecins, comment, au moyen d'un logiciel acquis à bon marché, il était en mesure de recueillir en quelques minutes et en direct des données présentes dans les mémoires de téléphones mobiles de participants en ne connaissant que leur seule identité. Tout cela pour démontrer que ces technologies se diffusent à grande échelle.
La commission donne, à l'unanimité, un avis favorable à l'adoption des crédits de la mission « Direction de l'action du Gouvernement ».