IV. FAIRE DE LA PROTECTION ET DE LA DÉFENSE DES SYSTÈMES D'INFORMATION UNE VÉRITABLE PRIORITÉ NATIONALE ET EUROPÉENNE
Si depuis le Livre blanc sur la défense et la sécurité nationale de 2008 des avancées importantes ont été réalisées par la France pour renforcer la sécurité des systèmes d'information, notre pays n'a sans doute pas encore pris toute la mesure de l'ampleur des risques et des enjeux soulevés par les attaques informatiques, qui revêtent désormais une dimension stratégique.
Dans ce contexte, l'élaboration du nouveau Livre blanc, ainsi que la rédaction de la future Loi de programmation militaire, représentent de réelles opportunités pour renforcer la prise de conscience et l'efficacité des réponses face à ces menaces majeures pour notre défense et notre sécurité, tant au niveau national, qu'à l'échelle européenne.
Votre rapporteur estime que la protection et la défense des systèmes d'information devrait être érigée en véritable priorité nationale , portée au plus haut niveau de l'Etat , et faire l'objet d' une stratégie et d'une action plus résolue de l'Union européenne .
A. LA NÉCESSITÉ D'UNE FORTE MOBILISATION AU SEIN DE L'ETAT
Le renforcement de la protection et de la défense des systèmes d'information devrait d'abord faire l'objet d'une plus forte mobilisation au sein de l'Etat. Votre rapporteur considère qu'il faudrait agir sur trois principaux leviers : le renforcement des effectifs et des moyens , de manière à les porter à la hauteur de ceux dont disposent nos principaux partenaires européens ; un important effort de sensibilisation et la mise en place de mesures de protection au sein des différentes administrations, et, enfin, le développement de « capacités offensives » , car on ne peut se défendre efficacement que si l'on connaît les modes d'attaques.
1. Renforcer les effectifs et les prérogatives de l'ANSSI afin de les porter à la hauteur de ceux dont disposent nos principaux partenaires européens
La création de l'ANSSI a permis de doter notre pays d'une structure centrale en charge de la sécurité des systèmes d'information et d'un interlocuteur unique pour les administrations et les entreprises.
Comme votre rapporteur a pu le constater lors de ses entretiens en France comme à l'étranger, l'ANSSI dispose d'une compétence et d'une expertise reconnue en matière de protection des systèmes d'information et l'ensemble des personnalités rencontrées, notamment les responsables publics ou privés ayant eu à gérer des attaques informatiques massives, ont loué les très grandes qualités de ses personnels et de son directeur général.
Ayant pu comparer lors de ses déplacements, le dispositif français avec les différents modèles étrangers, notamment aux Etats-Unis, au Royaume-Uni ou en Allemagne, votre rapporteur a également pu constater la pertinence de ce dispositif , qui paraît le mieux correspondre à l'organisation administrative et à la culture de notre pays.
Le modèle français se caractérise, en effet, par son caractère centralisé et interministériel et par une stricte séparation entre les aspects préventifs et défensifs , confiés à l'ANSSI, et les aspects offensifs , qui relèvent des armées et des services spécialisés.
Réunir dans les mêmes mains les aspects défensifs et le volet offensif, à l'image des Etats-Unis ou du Royaume-Uni, ne parait pas opportun, car cela éloignerait l'agence des entreprises et des opérateurs d'importance vitale, les entreprises françaises n'ayant pas la même sensibilité à l'intelligence économique et au renseignement que leurs homologues dans les pays anglo-saxons.
Pour sa part, le caractère interministériel de l'agence, qui découle de son rattachement au Premier ministre, lui confère une légitimité que beaucoup de nos partenaires étrangers nous envient.
Aux côtés de l'agence, d'autres acteurs continuent, en effet, de jouer un rôle important, qu'il s'agisse des armées et du ministère de la défense, à travers son expertise propre, du ministère de l'économie et des finances, pour le développement de l'administration électronique, du ministère du redressement productif pour le soutien aux entreprises, ou des services de renseignement, qui disposent d'équipements techniques et de personnels spécialisés.
Aux yeux de votre rapporteur, la coordination, nécessaire pour veiller à la cohérence des actions et des moyens, ne peut relever que de l'autorité du Premier ministre , à qui il appartient de définir les axes stratégiques, de suivre leur mise en oeuvre et de veiller à la bonne répartition des moyens humains, techniques et financiers.
Le rattachement de l'ANSSI au Secrétaire général de la défense et de la sécurité nationale, plutôt que directement au Premier ministre ou aux services du Premier ministre, semble également devoir être conservé, du moins dans un proche avenir, car s'il présente certains inconvénients, notamment du point de vue des relations avec les entreprises et de la diffusion des informations hors du cercle de la défense et de la sécurité nationale, il a aussi des avantages certains, en particulier en ce qui concerne le poids de l'agence à l'égard des autres ministères.
On peut également s'interroger sur le statut juridique actuel de l'ANSSI . Le statut de l'ANSSI repose actuellement sur un simple décret. Ne serait-il pas utile de renforcer son statut en lui conférant une base législative, dans le cadre d'une loi générale relative à la protection des systèmes d'information ?
La principale faiblesse de l'agence tient cependant à la modestie de ses effectifs et de ses moyens.
Comme on l'a vu précédemment l'ANSSI a connu ces dernières années une augmentation significative de ses personnels, mais le nombre total de ses agents reste encore inférieur de moitié, voire d'un tiers, à celui des agences homologues de nos partenaires britanniques ou allemands.
Même si l'on ne peut pas négliger les difficultés à recruter un nombre aussi significatif de personnels spécialisés dans des délais aussi courts, il semble souhaitable que le prochain Livre blanc fixe des objectifs ambitieux.
Pour votre rapporteur, cet objectif doit être de parvenir progressivement, sur plusieurs années, à un niveau similaire à celui des services équivalents de l'Allemagne et du Royaume-Uni .
Il semble donc souhaitable d'élaborer, dans le cadre du nouveau Livre blanc, un plan pluriannuel permettant de poursuivre au même rythme, voire d'amplifier, l'augmentation des effectifs de l'ANSSI dans les prochaines années et de renforcer parallèlement l'effort d'investissement.
Une croissance régulière des effectifs de l'ANSSI de l'ordre de 80 personnes supplémentaires par an lui permettrait ainsi d'atteindre 500 personnes à la fin de l'année 2015. Les volumes d'effectifs et d'investissements concernés sont au demeurant modestes.
Une telle augmentation des effectifs de l'ANSSI permettrait notamment :
- d'armer en personnels le centre de surveillance et de détection, le centre opérationnel et le groupe d'intervention rapide afin de renforcer les capacités de l'agence en matière de détection des attaques informatiques et de réponse ;
- de poursuivre et d' accélérer le déploiement des réseaux de communication sécurisés ;
- de poursuivre et d'accélérer le développement et l'acquisition de produits hautement sécurisés directement liés à la protection de l'Etat, notamment en matière de moyens de mobilité ;
- de doter l'agence des moyens de développer la politique de labellisation de produits et services , en vue de plus largement diffuser ces produits au sein des administrations et du secteur privé ;
- de soutenir les services informatiques des administrations dans l'intégration des produits et services sécurisés , ainsi que dans l'intégration des produits agréés et qualifiés et de systèmes d'exploitation durcis ;
- de constituer au sein de l'agence le réservoir de compétences ; il permettrait de regrouper et de capitaliser l'expertise en vue de la mettre à disposition des administrations ou des opérateurs d'importance vitale lors de la conception de leurs systèmes d'information ;
- de renforcer les capacités en matière d'audit, d'inspection et de réalisation de tests d'intrusion , ainsi que de conseil au secteur privé ;
- d' accentuer les programmes de formation et d'élargir le public visé notamment au secteur privé. Il serait notamment utile de créer un centre d'entraînement où les informaticiens du secteur public et du secteur privé pourraient être confrontés à la réalité d'une attaque informatique ;
- de permettre à l'agence de mener une politique de communication destinée à renforcer la sensibilisation des responsables des administrations et des entreprises, ainsi que des utilisateurs.
Ce plan devrait s'accompagner de l'instauration d'une politique de ressources humaines au sein des services de l'Etat concernant les spécialistes de la sécurité informatique, en encourageant le recrutement, la formation, les mobilités et le déroulement des carrières au sein et entre les différents services de l'Etat.
S'agissant des prérogatives de l'ANSSI , elles mériteraient d'être sensiblement renforcées.
En effet, ces prérogatives ne sauraient se limiter à de simples recommandations laissées à la libre appréciation des administrations , comme c'est malheureusement le cas actuellement, mais elles devraient être dotées d'une force juridiquement contraignante à l'égard des administrations, pour permettre une mise en oeuvre effective des prescriptions touchant à la sécurité de systèmes d'information. Ce renforcement des prérogatives de l'agence est d'ailleurs consubstantiel à son rôle d'autorité nationale en matière de sécurité et de défense des systèmes d'information.
L'ANSSI devrait ainsi être en mesure :
- dans l'attente de l'édification du Réseau interministériel de l'Etat, d' imposer aux administrations une réduction du nombre de leurs passerelles vers l'internet , et développer les systèmes de surveillance de ces passerelles permettant de détecter les attaques ;
- de désigner les produits de haute sécurité que les administrations devront obligatoirement utiliser pour les réseaux les plus sensibles ;
- d'édicter des prescriptions de sécurité pour les autres réseaux sensibles des administrations , et de s'assurer, par une procédure de validation, que les solutions retenues par l'administration concernée s'y sont bien conformées ;
- de veiller, dans le cadre de ces prescriptions et de cette procédure de validation applicable aux réseaux sensibles des administrations , au recours systématique à des produits labellisés, de manière à soutenir l'offre de ces produits et à les rendre ainsi plus accessibles sur le marché ;
- de soutenir les services informatiques des administrations dans l'intégration de ces produits , ainsi que dans l'intégration des produits agréés et qualifiés et de systèmes d'exploitation durcis ;
- de rendre obligatoire l'adoption par les administrations, pour leurs réseaux sensibles, ainsi que par les opérateurs d'importance vitale, de dispositifs garantissant la continuité du service en cas d'attaque majeure , sous la forme par exemple de systèmes redondants ;
- de rendre obligatoire l'application de la politique interministérielle de sécurité des systèmes d'information et de disposer d' un pouvoir de validation des politiques de sécurité ministérielles complémentaires et des grands projets sensibles ;
- de rendre obligatoire la mise en oeuvre de ses préconisations à la suite des audits, des exercices ou des tests ;
- d' étendre ses missions d'inspection et la réalisation des tests d'intrusion aux opérateurs d'importance vitale .