EXAMEN EN COMMISSION
Au cours de sa réunion du mercredi 18 novembre 2020, la commission des affaires étrangères, de la défense et des forces armées, sous la présidence de M. Christian Cambon, président, a procédé à l'examen des crédits du programme 129 de la mission « Direction de l'action du Gouvernement ».
M. Mickaël Vallet, co-rapporteur pour avis. - Pour 2021, les crédits de l'action 2 du programme 129, pour l'essentiel destinés au financement du SGDSN, s'établissent à 389,56 M€ en autorisations d'engagement (AE) et à 361,87 M€ en crédits de paiement (CP), en légère hausse (respectivement +0,85% et +2,6%).
Cette augmentation des crédits est tirée par la croissance des effectifs. De fait, elle permettra de financer 62 postes supplémentaires en 2021, la plus grosse part (40) étant destinée à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dont les missions n'ont cessé de s'étendre ces dernières années. Du fait de l'augmentation régulière de ses effectifs et de l'obligation de renouveler chaque année une proportion importante de ses personnels, constitués à 80% de contractuels, le recrutement apparaît comme un important enjeu pour l'ANSSI. Néanmoins, comme son directeur nous l'a expliqué, l'Agence ne connait pas de problème d'attractivité, malgré la pénurie de ressources humaines dans les métiers du numérique, un passage par l'ANSSI offrant une vraie valeur ajoutée pour une carrière ultérieure dans le privé.
Concernant les crédits hors titre 2, il faut noter cette année une enveloppe de 33,5 M€ destinée à permettre l'installation à Rennes d'une antenne de l'ANSSI composée de 200 personnes. Cet essaimage vise à la fois à conforter le pôle d'excellence cyber constitué autour du ministère des armées et à répondre aux besoins immobiliers de l'Agence qui manque d'espace pour accueillir ses personnels supplémentaires.
Avant que mon collègue revienne sur la menace cyber et la réponse qui lui est apportée, je voudrais dire quelques mots sur le dossier de la 5G. Alors que la commercialisation des offres 5G est imminente, nous avons souhaité faire le point sur l'application de la loi du 1er août 2019 sur la sécurité des réseaux mobiles de 5e génération. Cette loi, vous le savez, confie à l'ANSSI le soin de délivrer aux opérateurs télécoms, sur la base d'une évaluation des risques et pour une durée limitée dans le temps, les autorisations d'utiliser des équipements destinés à constituer leurs réseaux.
L'exigence de continuité de ces réseaux est hautement stratégique. En effet, la 5G va permettre un nouveau bond dans le développement des usages numériques, notamment pour les entreprises. Il est donc essentiel que les opérateurs de télécommunications utilisent des équipements sûrs et non susceptibles de subir des interruptions de services. Or, un tel risque ne peut être exclu lorsque les équipements proviennent d'une entreprise étrangère soumise aux lois de son pays et aux éventuelles pressions de ses gouvernants. L'hypothèse d'un acte offensif étranger qui emprunterait ce canal doit donc être prise en compte, il s'agit même d'une menace majeure pour notre sécurité.
Pour autant, avec cette loi, la France a fait le choix de ne pas exclure a priori un fournisseur en particulier. Il fallait, en effet, tenir compte de l'équilibre du marché et de la situation des opérateurs de télécoms qui tous ne recourent pas aux mêmes fournisseurs.
Dans le courant de l'année 2020, les quatre opérateurs français de télécommunications ont déposé 157 demandes auprès de l'ANSSI, portant sur près de 65 000 équipements, essentiellement des antennes destinées aux zones urbaines. Environ la moitié de ces demandes (82) a donné lieu à une autorisation pour la durée maximale prévue par la loi, soit 8 ans, un tiers (53) a donné lieu à une autorisation pour une durée inférieure à la durée maximale et 22 ont fait l'objet d'un refus. En pratique, toutes les décisions de refus et toutes les autorisations pour des durées réduites ont concerné des équipements Huawei. Outre le fait que le calendrier d'examen des demandes a été parfaitement respecté par l'ANSSI et n'a donc pas pénalisé les opérateurs (vous vous souvenez sans doute que c'était un motif d'inquiétude lors de l'examen de la loi), l'application du régime d'autorisation apparaît bien conforme à l'objectif poursuivi qui est de réduire les risques de sécurité inhérents au développement de la technologie 5G.
M. Olivier Cadic, co-rapporteur pour avis. - Puisqu'on évoque Huawei, je voudrais, de manière connexe, alerter sur l'ouverture récente - en septembre 2020 - d'un centre de recherche de ce groupe chinois à Paris, consacré à l'intelligence artificielle. Quand on sait que Huawei fournit des systèmes de surveillance par intelligence artificielle permettant le contrôle de populations à grande échelle par des régimes autoritaires et qu'il est sous le coup de sanctions américaines depuis le mois d'août 2020 pour aide à la violation des droits de l'homme en Chine, on ne peut qu'être préoccupé par la présence de ce site en plein Paris, à deux pas de nos institutions.
Je voudrais maintenant faire un point sur l'état de la menace cyber dans notre pays et les réponses qui lui sont apportées.
Avec l'évolution technologique et la généralisation des usages du numérique, la menace cyber ne cesse de se développer.
La cybercriminalité s'est beaucoup professionnalisée et se développe à grande échelle grâce à des « rançongiciels » de plus en plus performants. Je rappelle les chiffres particulièrement frappants cités par le directeur de l'ANSSI : 128 attaques par rançongiciels traités par l'agence au 30 septembre 2020, contre 54 sur l'ensemble de l'année précédente ! Pour les cybercriminels, c'est un moyen facile pour gagner de l'argent et même une manière de capter des devises étrangères pour un pays comme la Corée du Nord !
Les organismes publics et les opérateurs critiques comme les hôpitaux ne sont désormais plus épargnés et l'on voit se multiplier les attaques contre les collectivités territoriales, qui commencent tout juste à prendre la mesure du problème.
L'explosion du cyberrançonnage ne doit pas occulter la progression, en parallèle, des formes plus classiques de la cyber-menace, comme l'espionnage, qui pourrait être favorisée par le télétravail - ou les piratages, qui ciblent particulièrement les institutions et administrations publiques. Sur l'année 2019, l'ANSSI a été amenée à traiter 81 incidents de sécurité numérique ayant affecté les ministères français, un chiffre en augmentation (+3 %) par rapport) à 2018.
Enfin, il faut se préparer aux cybermenaces de demain (cyber guerre et cyber terrorisme) qui sont déjà une réalité.
Sans oublier les actions insidieuses qui transitent par les réseaux - manipulations, désinformation, propagande - de plus en plus utilisées par l'ennemi. Celles-ci présentent un grand potentiel de mobilisation en vue de déclencher des opérations terroristes. Il s'agit d'une menace très grave, qu'il nous faut prendre en compte.
Face au renforcement de cette menace, la réponse de l'Etat comporte à la fois un volet offensif, porté principalement par le ministère des armées, et un volet défensif confié à l'ANSSI. Dix ans après la mise en place de l'ANSSI, où en est-on?
Connue comme le « pompier du cyber » pour ses interventions en cas de cyber-attaques, l'ANSSI est avant tout chargée de préparer l'Etat et les opérateurs critiques à la menace et de renforcer leur protection et leur résilience.
Son action dans ce domaine, à travers le contrôle de l'application de la réglementation et la réalisation d'audits, a incontestablement contribué à renforcer la cybersécurité des opérateurs critiques. Depuis 2017, les ministères sont plus nombreux à se doter de plans de cybersécurité. Dans l'ensemble, les administrations publiques restent cependant encore peu sensibilisées à un risque perçu d'abord comme technique et ne coopèrent réellement qu'après la survenue d'un problème majeur. Il faut espérer que la refonte en cours de la politique de sécurité des systèmes d'information de l'Etat, qui conforte le pilotage de l'ANSSI, permettra d'améliorer cette gouvernance.
Par ailleurs, il convient d'accélérer la désignation des opérateurs de services essentiels (OSE), afin d'étendre l'application de normes de sécurité à des activités ou fonctions qui, sans être « critiques » sont pourtant essentielles à la vie de la Nation. La recrudescence actuelle des cyberattaques rend la mise en oeuvre de cette mesure prévue par la directive NIS encore plus urgente.
Au-delà de la mission de surveillance renforcée qu'elle exerce auprès des administrations publiques et des opérateurs privés régulés, l'ANSSI incite à la prise en compte du risque numérique dans le secteur privé, notamment à travers une politique de labellisation des produits et de certification des prestataires de services de sécurité et par des actions dans le domaine de la formation... Elle soutient également le groupement d'intérêt public (GIP) Action contre la cybermalveillance (Acyma) qui anime, au moyen d'une plateforme numérique, un dispositif de sensibilisation, prévention et d'assistance aux victimes d'actes de cybermalveillance.
Enfin, en 2021, l'Agence rejoindra le Campus Cyber qui va regrouper sur un même site, dans le quartier de la Défense, divers acteurs du secteur cyber. Nous nous félicitons que l'ANSSI participe à ce projet phare, qui vise à permettre la structuration d'un « écosystème français de la cybersécurité ».
Au final, des progrès considérables ont été accomplis depuis dix ans sous l'égide de l'ANSSI en termes de cybersécurité. Dans ce domaine, notre compétence est reconnue et respectée et la France fait partie des pays « du premier cercle ». Il nous faut poursuivre dans cette voie et développer la résilience de l'économie et de la société toute entière face à une menace cyber qui ne cesse de renforcer. Il s'agit d'une course de vitesse.
L'augmentation des crédits soumis à notre examen est le signe que cet enjeu important est bien pris en compte, nous vous proposons donc de donner un avis favorable à leur adoption.
A l'issue de la présentation des rapporteurs, la commission des affaires étrangères, de la défense et des forces armées a donné, pour ce qui concerne le programme 129, un avis favorable à l'unanimité à l'adoption des crédits de la mission « Direction de l'action du Gouvernement » dans le projet de loi de finances pour 2021.