CONCLUSIONS DU CONTRÔLE BUDGÉTAIRE RELATIF À L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI)
L'Agence nationale des systèmes d'information (ANSSI) est financée par la mission « Direction de l'action du Gouvernement » : ses crédits figurent dans le programme 129 « Coordination du travail gouvernemental », au sein de l'action 02 relative à la coordination de la sécurité et de la défense, qui comprend les moyens du groupement interministériel de contrôle (GIC) et du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Une partie des crédits et des effectifs du SGDSN correspondent à l'ANSSI.
I. UNE AGENCE RÉCENTE, DOTÉE DE MOYENS CONSÉQUENTS POUR FAIRE FACE À LA MENACE « CYBER »
1. La cybersécurité : un enjeu identifié depuis la fin des années 2000
a) Une prise de conscience de la menace à la fin des années 2000
L'ANSSI fut créée en réaction aux cyberattaques subies par l'Estonie en 2007 , afin de prémunir la France d'incidents similaires : « face à une menace croissante d'origine étatique ou non étatique, la France doit se doter à court terme d'une capacité réactive de défense de ses systèmes d'information. Seront développés, à cette fin, nos moyens de détection précoce des attaques informatiques en mettant sur pied un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en oeuvre de mécanismes de défense adaptés » 4 ( * ) .
|
Les cyberattaques en Estonie En 2007, les sites du Gouvernement, les médias, les banques mais aussi les opérateurs téléphoniques estoniens ont subi des cyberattaques. Il s'agissait d'un déni de service distribué (DDoS) : les sites ne pouvaient plus remplir le service attendu car ils étaient saturés par un nombre important de demandes de connections simultanées. Cette cyberattaque d'ampleur a duré plusieurs semaines. Les autorités estoniennes n'ont pas été en mesure de saisir le(s) personne(s) à l'origine des cyberattaques. Ces dernières ont été à l'origine de réformes importantes en France, mais aussi au sein de l'Organisation du traité de l'Atlantique Nord (OTAN) qui a adopté sa première politique cyberdéfense en janvier 2008. |
Selon Le livre blanc de la défense nationale de 2013, les progrès technologiques et les risques associés au cyberespace ont fait de ce dernier un cinquième « territoire » puisque « le cyberespace est [...] désormais un champ de confrontation à part entière » 5 ( * ) .
|
Cybersécurité, cyberdéfense et cybercriminalité La cybersécurité est « un état recherché pour un système d'information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité [de ses] données. La cybersécurité fait appel des techniques de sécurité des systèmes d'information et s'appuie sur la lutte contre la cybercriminalité et sur la mise en place d'une cyberdéfense ». La cyberdéfense est « l'ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les système d'information jugés essentiels ». La cybercriminalité correspond à « l'ensemble des actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d'information comme moyen de réalisation d'un délit ou d'un crime, ou les ayant pour cible » . Source : www.ssi.gouv.fr. |
Les menaces liées au cyberespace sont de plusieurs ordres, mais seules certaines concernent la sécurité nationale et constituent « une menace de première importance » 6 ( * ) .
En effet, « relèvent [...] de la sécurité nationale les tentatives de pénétration de réseaux numériques à des fins d'espionnage, qu'elles visent les systèmes d'information de l'État ou ceux des entreprises. Une attaque visant la destruction ou la prise de contrôle à distance de systèmes informatisés commandant le fonctionnement d'infrastructures d'importance vitale, de systèmes de gestion automatisés d'outils industriels potentiellement dangereux, voire de systèmes d'armes ou de capacités militaires stratégiques pourrait ainsi avoir de graves conséquences 7 ( * ) ».
Aussi, il convient non seulement de protéger les systèmes d'information de l'État, mais également ceux des « opérateurs d'importance vitale », qu'ils relèvent du secteur public ou du secteur privé.
|
Opérateur d'importance vitale Selon l'ANSSI, un opérateur d'importance vitale (OIV) est un opérateur public ou privé qui « exerce des activités [...] comprises dans un secteur d'activité d'importance vitale ; gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ou de mettre gravement en cause la santé ou la vie de la population ». Un secteur d'activité d'importance vitale (article R. 1332-2 du code de la défense), est notamment constitué d'activités ayant trait à la production et la distribution de biens ou de services indispensables : à la satisfaction des besoins essentiels pour la vie de la population, à l'exercice de l'autorité de l'État ou au fonctionnement de l'économie, au maintien du potentiel de la défense ou à la sécurité de la Nation, « dès lors que ces activités sont difficilement substituables ou remplaçables 8 ( * ) ». Source : www.ssi.gouv.fr. |
Selon le dernier livre blanc sur la défense, le développement d'un outil de défense nationale pour faire face aux cybermenaces doit constituer une priorité en raison de l'importance des attaques : « la récurrence actuelle de ces intrusions, notamment par des États, donne à penser que des informations sont méthodiquement collectées pour rendre possible, dans une situation de conflit, une attaque de grande envergure. Une telle attaque serait susceptible de paralyser des pans entiers de l'activité du pays, de déclencher des catastrophes technologiques ou écologiques, et de faire de nombreuses victimes. Elle pourrait donc constituer un véritable acte de guerre 9 ( * ) ».
|
Des exemples de cyberattaques en France En 2006, une cyberattaque a touché des centaines de site français dont celui du ministère de l'éducation nationale. Des hackers turcs protestaient contre le projet de loi relatif au génocide arménien. En 2010, le compte Twitter du ministère des affaires étrangères a été piraté. En 2011, le ministère de l'économie et des finances a fait l'objet d'une tentative d'intrusion, les agresseurs voulant vraisemblablement se procurer des informations économiques et financières sur la France. Suite aux attentats du 7 janvier 2015, plus de de 25 000 sites ont été piratées et plus de 1 300 attaques ont été revendiquées par des organisations islamistes radicales. Les 9 et 12 janvier 2015, deux sites de régiments de l'armée étaient indisponibles. Le 8 avril 2015, la chaîne TV5Monde a fait l'objet d'une cyberattaque importante l'empêchant d'émettre pendant plusieurs heures. Sources : www.defense.gouv.fr . |
Pour prévenir ces menaces à la sécurité nationale, qui ne doivent pas être sous-estimées, la France a créé l'ANSSI, qui constitue une autorité spécialisée en matière de défense et sécurité des systèmes d'information.
|
Les principaux incidents détectés par l'ANSSI La défiguration de site Web est la modification de l'apparence ou du contenu d'un serveur internet. Un système d'information est dit compromis quand un élément extérieur en a pris le contrôle. Le déni de service distribué (DDoS) est le résultat d'actions ayant pour effet d'empêcher ou de limiter la capacité d'un système à fournir le service attendu de manière importante. Les codes malveillants (ou « malware ») sont des programmes développés dans le but de nuire à un système informatique ou à un réseau. La vulnérabilité d'un système peut conduire à son intrusion. Elle provient notamment de fautes dans la conception ou la réalisation d'un système, criminelles ou non. |
Répartition des entités victimes détectées par l'ANSSI
(en %)
Source : commission des finances du Sénat d'après les réponses du SGDSN
Répartition des catégories d'incidents
Source : commission des finances du Sénat d'après les réponses du SGDSN
b) La création de l'ANSSI comme réponse
L'Agence nationale de sécurité des systèmes d'information a été créée par le décret du 7 juillet 2009 10 ( * ) . Il s'agit d'un service à compétence nationale, rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN) en sa qualité de conseiller du Premier ministre en matière de défense et de sécurité.
La France a souhaité se doter d'une structure opérationnelle et spécialisée en matière de cybersécurité, faisant ainsi de l'ANSSI le premier acteur en la matière.
|
Histoire de l'ANSSI Les premiers services ayant pour mission d'assurer la sécurité des communications et de l'information sont le service central technique du chiffre (STC-CH) installé à Paris en 1951 et la direction technique du chiffre (DTC) née en 1943 à Alger. En 1977, fût créé le service central du chiffre et de la sécurité des télécommunications (SCCST) qui donna naissance au Service central de la sécurité des systèmes d'information (SCSSI) en 1986. Elle-même devint la direction centrale de la sécurité des systèmes d'information (DCSSI). L'ANSSI a été construite sur le modèle de cette dernière, par le décret 2009-843 du 7 juillet 2009 portant création d'un service à compétence nationale dénommée « Agence nationale de la sécurité des systèmes d'information ». La réalisation d'importantes attaques informatiques de grande ampleur visant les services de l'État et de grandes entreprises ont conduit à confier à l'ANSSI la mission de défense des systèmes d'information au titre de sa mission sécurité. En février 2011, l'ANSSI devient l'autorité nationale de sécurité et défense des systèmes d'information. L'agence fut profondément remaniée en 2012 afin de faire face à l'élargissement et à l'approfondissement de ses missions. Source : réponses des services du Premier ministre dans le cadre du projet de loi de finances pour 2015 |
Source : ssi.gouv.fr
Le centre opérationnel de la sécurité des systèmes d'information ( COSSI) est en charge de la défense des systèmes d'information . Il a pour mission de « détecter et d'entraver les attaques visant notamment les systèmes d'information de l'État et des opérateurs d'importance vitale » 11 ( * ) . Pour ce faire, il est chargé de : « l'analyse des menaces, de l'identification des vulnérabilités » des systèmes, « la recherche et la qualification des attaques en cours, la définition des mesures de réponses aux attaques ». Sa mission principale est d'appliquer les mesures correctrices urgentes.
La sous-direction expertise (SDE) peut être amenée à « présenter les recommandations techniques et prototypes issus de son activité mais également [...] contribuer à faire évoluer l'état de l'art scientifique dans ses domaines d'expertise 12 ( * ) ».
Par ailleurs, elle comprend le centre de formation à la sécurité des systèmes d'information, qui « développe et met en oeuvre la politique de formation de l'ANSSI » 13 ( * ) et un bureau de cryptologie appliquée « qui remplit la fonction de cellule gouvernementale du chiffrement gouvernementaux des satellites nationaux ou construits en coopération avec d'autres États 14 ( * ) ».
La sous-direction chargée des systèmes d'information sécurisés (SIS) propose, conçoit et met en oeuvre des produits et des systèmes d'information sécurisés au profit des ministères, des opérateurs d'importance vitale et de l'ANSSI.
Aussi, l'ANSSI pilote des projets variés, faisant face à un éventail de cybermenaces : solutions contre le piratage des systèmes de téléphonies, filaires ou non, cryptophonie, solutions de stockage sur des disques durs d'informations classifiées, création d'un système d'exploitation sécurisé protégeant les données contre le hacking et le cracking (contournement du système de protection d'un logiciel).
2. Des missions diverses mais un objectif unique
a) Autorité compétente en matière de prévention pour les organismes privés et publics
Dans le cadre du travail mené avec le ministère de l'intérieur, l'ANSSI mène des « actions de sensibilisation à la criminalité liée aux technologies de l'information » 15 ( * ) .
Elle mène également des activités de prévention seule, soit directement, soit par le dispositif des observatoires zonaux de la sécurité des systèmes de l'information (OzSSI).
|
Les observatoires zonaux de la sécurité des systèmes d'information (OzSSI) Les OzSSI sont des relais territoriaux de l'action de l'État et de l'ANSSI dans le domaine de la sécurité des systèmes d'information, non des autorités ou des entités hiérarchiques . Ils sont notamment en charge de vérifier que les moyens mis en place permettent de satisfaire les besoins locaux. Pour ce faire, ils ont des relations privilégiées avec l'ANSSI . Un délégué est désigné pour animer l'OzSSI, dans chaque zone de défense. Il est rattaché au préfet délégué pour la sécurité et la défense, « chargé d'assister le préfet de zone pour toutes les missions concourant à la sécurité publique, à la sécurité civile et à la défense à caractère non militaire ». Les observatoires soutiennent l'ensemble des acteurs locaux « ayant des besoins en matière de sécurité des systèmes d'information » : échelons déconcentrés, collectivités territoriales, organismes ayant une mission de service public, OIV, entreprises sensibles, organismes « métiers » (exemple : chambres de commerce et d l'industrie). Il existe sept OzSSI en France hexagonale (Corse incluse), chargés des zones de défense Nord, Est, Ouest, Paris, Sud-Est, Sud et Sud-Ouest. Source : www.ssi.gouv.fr. |
Ce travail de sensibilisation prend de plus en plus d'importance, comme le montre l'évolution du budget consacré par l'agence à la communication.
Évolution du budget communication de l'ANSSI (en crédits de paiement)
(en euros)
Source : commission des finances du Sénat d'après les réponses du SGDSN
La communication de l'ANSSI a trois objectifs : « diffuser ses messages techniques auprès de ses services publics cibles, via diverses publications et le site internet ssi.gouv.fr ; participer aux évènements rassemblant les relais techniques de l'agence vers les administrations ou les entreprises et attirer les talents 16 ( * ) ». Chaque année, l'essentiel du budget est consacré à l'information des acteurs privés et publics, soit par l'organisation et la participation à des séminaires, soit par le biais de produits d'information . En 2013, 16 guides et notes techniques ont été produits dans le cadre des missions de sensibilisation.
Il faut néanmoins souligner que, malgré sa progression, la proportion du budget de l'ANSSI attribuée à la communication diminue.
Évolution de la part du budget communication par rapport au budget total de l'ANSSI (en crédits de paiement)
(en millions d'euros)
|
2010 |
2011 |
2012 |
2013 |
2014 |
|
|
Budget communication |
0,02 |
0,06 |
0,09 |
0,10 |
0,10 |
|
Budget total (en crédits de paiement) |
43,39 |
44,98 |
50,98 |
72,02 |
83,83 |
|
Part du budget communication dans l'ensemble du budget (en %) |
0,05% |
0,13% |
0,18% |
0,14% |
0,12% |
|
Par du budget communication dans le budget HT2 (en %) |
0,07% |
0,19% |
0,27% |
0,20% |
0,18% |
Source : commission des finances du Sénat à partir des réponses du SGDSN
b) Un soutien essentiel aux ministères en matière de cyberdéfense
En plus de l'aide apportée par le biais de ses missions de prévention, l'ANSSI permet aux ministères d'améliorer leur sécurité et leur maîtrise des systèmes d'information. Ainsi, en 2013, l'agence a mené 28 audits pour la Présidence de la République, les services du Premier ministre et ceux du ministère de la défense, des affaires étrangères, de la justice et de l'écologie, du développement durable et de l'énergie 17 ( * ) .
Lors de l'élaboration des règles de sécurité, l'ANSSI coopère avec l'ensemble des ministères, ces derniers étant consultés.
Des coordinateurs sectoriels sont également mis en place par l'ANSSI pour faciliter les relations avec les ministères. La « sécurisation des systèmes d'information ministériels » 18 ( * ) et la « sécurisation des systèmes d'information des entités relevant des périmètres ministériels, en particulier des opérateurs d'importance vitale » 19 ( * ) constituent les deux axes de travail avec les ministères. Les coordinateurs assurent notamment le suivi des actions menées sur un secteur ou un ministère, et contribuent à la priorisation de ces actions. Par ailleurs, chaque ministère comprend un haut fonctionnaire de défense et de sécurité (HFSD) , chargé de soutenir les ministres dans le maintien de la sécurité des systèmes d'information.
|
Le haut fonctionnaire de défense et de sécurité (HFDS) La sécurité des systèmes d'information relève de chaque ministre, dans son champ de compétence. Pour ce faire, chaque ministre est assisté par un haut fonctionnaire de défense et de sécurité (à l'exception des ministres de la défense et de l'intérieur assistés de hauts fonctionnaires ayant des missions légèrement différentes). Le HFDS est lui-même assisté d'un fonctionnaire de sécurité des systèmes d'information (FSSI). Ils « animent et coordonnent au sein du département dont ils relèvent, la politique en matière de défense, de vigilance, de prévention de crise et de situation d'urgence » et « contrôlent la préparation des mesures d'application ». Ils sont notamment responsable de la mise en place de la politique de sécurité des systèmes d'information de l'État (PSSIE). Dans le cadre de la politique de sécurisation des systèmes d'information de l'État (PSSIE), « les alertes significatives sont signalées par l'ANSSI aux FSSI. Leur prise en compte au sein de chaque ministère est organisée sous la responsabilité du HFDS ». Source : www.ssi.gouv.fr , article R. 1143-1 et suivants du code de la défense |
Dans le cas des affaires opérationnelles (en particulier les alertes et traitements d'incidents) portant sur les systèmes d'information ministériels, le centre opérationnel de l'ANSSI (COSSI) intervient ainsi que les services ministériels chargés des traitements d'incidents.
c) Une coopération étroite entre l'ANSSI et les ministères de la défense et de l'intérieur
La cybersécurité repose sur trois logiques ou piliers : le pilier du « justicier », avec les services spécialisés de la justice, de la police et de la gendarmerie ; une logique de « pompier » grâce à l'ANSSI, chargée de la prévention et des interventions ; enfin, une logique « guerrière », dont sont chargés les services de la défense 20 ( * ) .
Dans le cadre de ses relations avec le ministère de la défense, l'ANSSI apporte une « expertise méthodologique ou technique aux projets informatiques du ministère » 21 ( * ) et peut effectuer des audits informatiques des industriels d'armement afin de vérifier la sécurité des systèmes informatiques de partenaires du ministère de la défense.
L'agence intervient également dans le « développement de produits de sécurité souverains » 22 ( * ) en « assurant la maîtrise d'ouvrage de nombreux produits de sécurité gouvernementaux » 23 ( * ) auprès du ministère de la défense. Ainsi, dans le cadre du projet de regroupement des états-majors et de l'administration centrale du ministère de la défense à Balard, l'ANSSI a apporté son appui pour les questions informatiques.
Avec le ministère de l'intérieur, l'ANSSI travaille sur « l'intégration d'outils métiers en mobilité sécurisée » et la « réalisation d'un datacenter interministériel hautement sécurisé 24 ( * ) ».
Lors de son discours du 20 janviers 2015, Bernard Cazeneuve avait souligné que « la lutte contre la cybercriminalité mobilise aujourd'hui près de 600 enquêteurs spécialisés de la gendarmerie et de la police nationales ». La nomination en décembre 2014 « d'un préfet spécifiquement chargé de la lutte contre toutes les cybermenaces, le « préfet cyber », Jean-Yves Latournerie 25 ( * ) » a notamment renforcé la coopération entre l'ANSSI et les forces de police et de gendarmerie.
Cette coopération est d'autant plus nécessaire que l'ANSSI n'est pas un service de justice ou de police : elle intervient uniquement sur le volet technique sur les incidents concernant l'administration et les opérateurs d'importance vitale.
|
Les services chargés de la cybercriminalité au sein du ministère de l'intérieur La gendarmerie nationale et la police nationale possèdent des bureaux spécialisés sur les questions de sécurité des systèmes d'information. La gendarmerie nationale dispose d'agents spécialisés répartis entre deux départements : - le département cybercriminalité du service de recherches judiciaires et de documentation au sein de la division de lutte contre la cybercriminalité (STRJD) ; - le département informatique et électronique de l'institut de recherche criminelle de la Gendarmerie nationale (IRCGN) au sein de la division criminalistique ingénierie et numérique. Au sein de la police nationale, l'office central de la lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) est compétent. |
Durant les crises survenant sur le territoire national, l'ANSSI est chargée du pilotage du volet cybernétique des crises et le ministère de l'intérieur « assure la gestion opérationnelle des crises [...] ayant un impact sur la sécurité publique ».
Cette séparation des fonctions est voulue et nécessaire, selon l'ANSSI. Le fait que l'agence n'exerce que des fonctions de défense facilite les partenariats entre l'ANSSI et les différents opérateurs et permet d'instaurer un climat de confiance.
3. Un budget en constante augmentation
Évolution des dépenses de l'ANSSI en crédits de paiement (exécution)
(en millions d'euros)
Source : commission des finances du Sénat d'après les réponses du SGDSN
La progression des enjeux liés à la cybersécurité s'est notamment traduite par l'augmentation des moyens attribués à l'ANSSI. En 2014, l'ANSSI a dépensé 83,8 millions d'euros, contre 43 millions d'euros en 2010. Le budget de l'agence n'étonne pas par son montant, mais par son dynamisme : dans une période de recherche d'économie, cette augmentation de 93 % du budget est inhabituelle.
La montée en charge de l'ANSSI ne devrait pas s'arrêter, le Gouvernement ayant récemment fait part de sa volonté de renforcer les moyens accordés à la cyberdéfense 26 ( * ) .
Par ailleurs, l'ANSSI a vocation à intervenir lors de négociations internationales afin de faire valoir les intérêts français au sujet de la cyberdéfense. Elle a aussi des missions de recherche et de défense des systèmes d'information, dont le périmètre ne cesse de s'élargir.
Ce renforcement progressif des politiques de cyberdéfense a eu pour conséquence l'augmentation des dépenses de personnel de l'ANSSI qui ont également connu une forte hausse.
Le personnel est constitué essentiellement de contractuels non titulaires A+, ce qui explique des taux important de turn-over au sein de l'agence (20,9 % en 2014).
Cependant, il s'agit d'une politique justifiée par les impératifs de la profession. Ainsi que le rappelle Frédéric Guir « la cybersécurité change rapidement et ne peut être enseignée sans contact avec la vraie vie industrielle » 27 ( * ) . Cette politique de recrutement permet à l'ANSSI de disposer d'ingénieurs au fait des dernières actualités, tout en remettant sur le marché du travail des personnels formés aux techniques de protection qui exporteront les pratiques de sécurité de l'agence dans les entreprises.
Répartition des ETP de l'ANSSI au 1 er janvier 2015
(en %)
Source : commission des finances du Sénat d'après les réponses du SGDSN
L'ANSSI, qui est l'unique agence chargée de la cybersécurité en France, dispose de 442 ETP, dont 145 affectés au COSSI. Ceci est assez faible en comparaison de l'Allemagne (582 personnes), le Royaume-Uni (800 personnes) et les États-Unis (plusieurs milliers de personnes).
La recrudescence des cyberattaques a conduit au renforcement des politiques de cyberdéfense ainsi qu'à l'augmentation des effectifs de l'ANSSI. Ainsi, les plafonds d'emploi ont régulièrement progressé et le budget triennal 2015-2017 prévoit la création de 40 postes par an. Il faut néanmoins souligner que le taux d'exécution des crédits affectés aux dépenses de personnel (titre 2) a globalement diminué entre 2009 et 2014, passant de 98 % à 89 %. Cette évolution témoigne des difficultés de l'ANSSI à augmenter ses effectifs, le marché de l'emploi étant particulièrement restreint dans le domaine de la sécurité des systèmes d'information.
Évolution du plafond et de la consommation des
emplois temps plein (ETP) et du taux d'exécution des crédits de
personnel
Source : commission des finances du Sénat d'après les réponses du SGDSN
Les crédits affectés au titre 2 ont progressé pour accompagner le renforcement du personnel de l'agence.
La croissance du personnel a également eu pour conséquence l'installation, à partir de 2012, d'une partie des services au sein de la Tour Mercure, située quai de Grenelle - le reste du personnel étant localisé aux Invalides. Au total, le loyer, taxes et charges locatives comprises, s'élève 3,5 millions d'euros.
Le bail de la Tour Mercure (à partir d'un engagement ferme sur neuf ans) prévoit un loyer annuel (hors taxes et hors charges) de 360 euros par an par mètre carré. Le plafond fixé par France Domaine pour Paris est de 400 euros par mètre carré.
* 4 Livre blanc sur la défense et la sécurité nationale, 2008, page 182.
* 5 Livre blanc sur la défense et la sécurité nationale, 2013, page 45.
* 6 Livre blanc sur la défense et la sécurité nationale, 2013, page 45.
* 7 Livre blanc sur la défense et la sécurité nationale, 2013, page 45.
* 8 Article R 1332-2 du code de la défense.
* 9 Livre blanc sur la défense et la sécurité nationale, 2013, page 49.
* 10 Décret n°2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommée « Agence nationale de la sécurité des systèmes d'information ».
* 11 Réponses au questionnaire adressé par le rapporteur spécial.
* 12 Organisation de l'ANSSI, version du 27 octobre 2014.
* 13 Réponses au questionnaire adressé par le rapporteur spécial.
* 14 Organisation de l'ANSSI, version du 27 octobre 2014
* 15 Réponses au questionnaire adressé par le rapporteur spécial.
* 16 Réponses au questionnaire adressé par le rapporteur spécial.
* 17 Réponses des services du Premier ministre au questionnaire budgétaire (PLF 2015).
* 18 Réponses au questionnaire de la commission des finances du Sénat, SGDSN.
* 19 Ibid.
* 20 « La cybersécurité » par Marc Watin-Augouard, Revue de la gendarmerie nationale 4 ème trimestre 2012, p.35.
* 21 Réponses du SGDSN au questionnaire de la commission des finances du Sénat.
* 22 Ibid.
* 23 Ibid.
* 24 Ibid.
* 25 Déclaration de Bernard Cazeneuve, ministre de l'intérieur, sur l'adaptation des réponses sécuritaires aux nouveaux usages numériques, notamment à la propagande et au recrutement djihadistes sur Internet, à Lille le 20 janvier 2015.
* 26 Déclaration de M. Bernard Cazeneuve, ministre de l'Intérieur, sur l'adaptation des réponses sécuritaires aux nouveaux usages numériques, notamment à la propagande et au recrutement djihadistes sur Internet, à Lille le 20 janvier 2015.
* 27 Le magazine des ingénieurs de l'Armement, n° 102 mars 2014, « la cybersécurité ».