Mardi 24 mars 2026
- Présidence de M. Cédric Perrin, président de la commission des affaires étrangères, et de M. Bernard Delcros, président de la délégation aux collectivités territoriales -
La réunion est ouverte à 17 h 00.
Hommage à l'adjudant-chef Arnaud Frion
M. Cédric Perrin, président de la commission des affaires étrangères. - Monsieur le président, mes chers collègues, avant de débuter nos travaux, je souhaite que nous rendions hommage à l'adjudant-chef Arnaud Frion, du 7e bataillon de chasseurs alpins (BCA) de Varces, tombé pour la France le 12 mars dernier en Irak.
Déployé depuis fin janvier dans le cadre de l'Operation Inherent Resolve, pour la formation des forces irakiennes dans le cadre de la lutte contre le terrorisme, il a été mortellement blessé lors d'une attaque de drone ayant visé la base de Mala Qara, dans la région d'Erbil.
L'adjudant-chef Frion servait nos armées avec un dévouement exceptionnel depuis plus de vingt ans. Membre des commandos montagne, il était un combattant hors pair et un chef reconnu pour son courage et son sens tactique. Du Tchad à l'Estonie, en passant par la Côte d'Ivoire, l'Afghanistan et le Mali, il a multiplié les engagements. Nous gardons tout particulièrement en mémoire son action exemplaire au Sahel, au sein de l'opération Barkhane, où il s'était illustré lors d'actions de sauvetage de soldats alliés pris sous le feu ennemi.
Au nom de notre commission, je veux dire toute notre émotion et notre soutien profond à sa famille et ses proches, ainsi qu'à ses frères d'armes du 7e BCA. Nos pensées se tournent également vers les six autres militaires français qui ont été blessés lors de cette même attaque.
En mémoire de l'adjudant-chef Arnaud Frion et de son sacrifice pour la France, je vous invite, mes chers collègues, à nous lever et à observer une minute de silence. (Mmes et MM. les sénateurs se lèvent et observent une minute de silence.)
Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
M. Bernard Delcros, président de la délégation aux collectivités territoriales. - Je me réjouis tout d'abord, Monsieur le président de la commission des affaires étrangères, de la défense et des forces armées d'introduire avec vous cette audition conjointe sur un sujet à la croisée de nos champs d'intervention respectifs : la résilience des collectivités territoriales face aux enjeux de défense et de sécurité.
Je remercie ensuite Monsieur Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information, l'Anssi, pour sa présence. Cette audition conjointe nous permet de l'entendre sur des enjeux qui ont une résonance particulière pour les collectivités territoriales dans le contexte actuel.
Les propos tenus par le chef d'État-major des armées, le général Fabien Mandon, lors de l'ouverture du Congrès des maires le 18 novembre 2025, ont suscité un vif émoi chez les élus locaux. Néanmoins, cela nous a conduits à nous interroger sur la capacité des collectivités territoriales à faire face aux risques qui les menacent et sur la bonne articulation entre l'État et les collectivités en la matière.
La guerre déclenchée par la Russie en Ukraine, sur le sol européen, à nos portes, les cyberattaques répétées contre nos hôpitaux et nos collectivités, et la persistance de la menace terroriste nous rappellent une évidence : la sécurité nationale se joue aussi dans nos territoires. Dans ce combat, les maires sont en première ligne. Ils sont les premiers touchés par les crises, les premiers interpellés par les citoyens, et souvent les premiers à improviser des solutions face à des menaces qu'ils connaissent parfois mal et pour lesquels ils sont peu formés et outillés.
La revue nationale stratégique, actualisée en 2025, et la stratégie nationale de cybersécurité pour 2026-2030 soulignent l'importance de la résilience territoriale, mais entre les principes et la réalité du terrain il y a parfois un écart. Beaucoup d'élus se sentent isolés, parfois démunis, face aux risques : comment un maire d'une commune de moins de 1 000 habitants peut-il faire face à une cyberattaque paralysant ses services ? Comment peut-il identifier et signaler suffisamment tôt les signes de radicalisation de certains agents ou habitants ? Comment peut-il lutter contre des tentatives de déstabilisation sur les réseaux sociaux ? Il me semble qu'on est encore loin du haut niveau de préparation que doivent acquérir les collectivités territoriales.
Des réponses existent déjà bien sûr, mais elles ne sont pas connues de tous les maires. Combien d'entre eux savent qu'ils peuvent s'appuyer sur un correspondant défense-sécurité dans leur département ?
Nous voudrions évoquer aujourd'hui des sujets très concrets pour répondre aux questions que se posent de nombreux élus : qui contacter en cas de crise ? Sur quelles personnes-ressources s'appuyer ? Quelles procédures d'urgence suivre ? Quels ressources et moyens pour nos élus en première ligne ?
Sans trahir les dispositions du projet d'actualisation de la loi de programmation militaire que le Conseil national d'évaluation des normes (CNEN) a examiné, la question de la répartition des rôles entre l'État et les collectivités territoriales nous semble aussi très importante.
La sécurité de la France se construit avec les mairies, les intercommunalités, les départements. Il faut donner aux maires, qui sont en première ligne, et aux collectivités territoriales les moyens de protéger nos territoires et leurs habitants.
M. Cédric Perrin, président de la commission des affaires étrangères. - Je remercie la délégation aux collectivités territoriales d'avoir pris l'initiative de cette réunion. Je partage les préoccupations des collectivités et me félicite que ces sujets habituellement traités par la commission des affaires étrangères, de la défense et des forces armées, qui nous réunissent aujourd'hui, puissent être largement diffusés auprès des élus locaux et de la population.
Monsieur le directeur général, je rappelle que vous étiez déjà venu devant la commission des affaires étrangères en novembre dernier dans le cadre de l'examen du projet de loi de finances pour 2026 pour évoquer les sujets de résilience et de cybersécurité - vous êtes donc maintenant un habitué de l'exercice.
Cette audition présente un intérêt particulier cette année, car, outre le suivi spécifique du programme 129 « Coordination du travail gouvernemental » sur la coordination de la sécurité et de la défense par Olivier Cadic et Mickaël Vallet, qui en sont les corapporteurs pour avis, je vous informe que la commission a décidé de confier à Hugues Saury, Marie-Arlette Carlotti et Philippe Paul une mission d'information sur la résilience de la France face aux menaces nouvelles, ce qui intègre également la modernisation de la défense opérationnelle du territoire prévue par la revue nationale stratégique de 2025. Ces sujets ne relèvent pas de l'Anssi, mais vous pourriez peut-être apporter un éclairage sur le volet cyber qui vous concerne.
À l'heure où l'état du monde se dégrade considérablement, la résilience s'impose comme un impératif de robustesse pour permettre à la Nation de résister aux conséquences d'éventuelles crises majeures, sur notre territoire national comme en outre-mer.
L'actualisation de la revue nationale stratégique en 2025 a d'ailleurs érigé les fonctions de « protection-résilience » de la population comme des objectifs de premier plan. Que cela signifie-t-il concrètement ?
Dans ce sillage, vous avez publié une stratégie nationale de cybersécurité 2026-2030. Là encore, au-delà des concepts, pourrez-vous nous présenter des exemples concrets pour assurer une diffusion des bonnes pratiques dans toutes les composantes de la société ?
Nous sommes donc particulièrement intéressés par l'état d'avancement de vos travaux dans ce contexte d'accélération des basculements géostratégiques, avec les menaces hybrides qu'ils impliquent dès aujourd'hui en termes de cyberattaques, d'ingérences étrangères, de sabotage et de blocages de nos infrastructures critiques.
Pour tout vous dire, je peine à voir l'efficacité des stratégies nationales qui s'empilent ; et ne parlons pas de nos concitoyens qui, pour la plupart, n'ont pas entendu parler du fameux guide de résilience « Tous responsables » pour savoir quoi faire en cas de crise. Là encore, ce sujet ne relève pas de l'Anssi, mais c'est un exemple parmi d'autres sur lequel nos collègues pourront vous poser des questions après votre intervention liminaire. La délégation aux collectivités territoriales fera éventuellement une synthèse de notre réunion que nous pourrons diffuser aux élus.
Il me semblait qu'on supprimait ce genre de mention ? Si ce n'est pas le cas tu peux laisser le paragraphe.
M. Vincent Strubel, directeur général de l'Anssi. - Monsieur le président de la commission, monsieur le président de la délégation, mesdames, messieurs les sénateurs, je tiens tout d'abord à vous remercier pour votre invitation. Je salue le format de cette audition, qui jette un pont entre les affaires de défense et de sécurité nationale et leur déclinaison dans les territoires. Le sujet est plus que jamais d'actualité.
La collaboration entre l'Anssi et les différents échelons territoriaux - les collectivités, mais aussi les services déconcentrés de l'État - pour traiter ces questions, qui n'épargnent plus personne, n'est pas forcément très ancienne, mais elle est déjà riche et de plus en plus étroite
Je vous réitère les excuses de Nicolas Roche, secrétaire général de la défense et de la sécurité nationale, qui devait également s'exprimer devant vous aujourd'hui, mais a été retenu par un impératif opérationnel impondérable. Il se tient bien évidemment à votre disposition pour évoquer à son tour ces sujets avec vous, en couvrant le champ plus vaste de l'hybridité, avec des constats qui rejoignent assez largement les miens sur la cybersécurité.
Je débuterai ce propos liminaire par un état des lieux de la menace, avant d'aborder la stratégie que nous comptons déployer pour y répondre et sa déclinaison territoriale.
Comme je le répète d'année en année, la menace est forte aujourd'hui. Sans que ce soit une réelle nouveauté, on constate une superposition d'actions de services d'États adverses qui soit nous espionnent, soit - de plus en plus - nous sabotent ou se préparent à nous saboter, d'agissements d'acteurs du registre criminel guidés par des visées lucratives - le crime organisé, mais pas seulement - et d'acteurs aux contours beaucoup plus flous, que l'on regroupe sous le terme d'« activistes », qui cherchent à porter un message, à défendre une cause et, souvent, surtout, à défendre une réputation et à se mettre en lumière.
Cette audition intervient deux semaines après la publication du panorama annuel de la cybermenace par l'Anssi. Cet exercice auquel nous nous livrons tous les ans consiste à décortiquer tout ce que nous avons pu observer au cours de l'année précédente. Le bilan de l'année 2025 fait le constat d'une menace qui se maintient à un niveau élevé. Elle n'explose pas, même si certains pans particulièrement visibles ont pu donner cette impression. Le niveau d'incidentologie se maintient au même niveau qu'en 2024. Cependant, cela est moins rassurant qu'il n'y paraît, car 2024 était une année record, avec une déferlante de cyberattaques durant cette année olympique.
Pour donner un ordre de grandeur, l'Anssi a traité, au cours de l'année 2025, un peu plus de 3 600 signalements. L'agence est ouverte et répond à des appels à l'aide sept jours sur sept, vingt-quatre heures sur vingt-quatre, à hauteur d'une dizaine d'appels par jour. Tous les incidents ne sont pas confirmés, mais 1 366 cyberattaques avérées ont nécessité une intervention de l'Anssi sous une forme ou une autre. Cela représente un volume important de quatre incidents par jour, ce qui crée une pression permanente.
Au-delà de la volumétrie, ce qui frappe est le caractère omniprésent de cette pression, qui n'épargne personne - c'est une constante depuis quelques années. Elle touche tous les pans de la société et de notre économie, et tout particulièrement les collectivités territoriales. Ainsi, parmi les 1 366 incidents traités en 2025, plus de 300 concernaient des collectivités, qui sont de facto le deuxième secteur le plus touché en volumétrie globale, après l'éducation et la recherche, et devant la santé.
Je précise qu'il y a des biais de sélection, certains secteurs d'activité étant plus enclins que d'autres à rapporter les incidents à l'Anssi. De fait, il n'y a pas aujourd'hui d'obligation large de notification des incidents de sécurité à l'agence.
Cependant, il y a une réalité tangible, celle d'une menace qui n'épargne plus les collectivités et les touche de plein fouet depuis déjà quelques années. Cette menace a pris, par exemple, la forme du rançongiciel, action non ciblée d'acteurs guidés par la recherche du profit, qui paralysent leurs victimes sur le plan informatique et exigent une rançon pour la « libération » de l'informatique. Les collectivités sont toujours le deuxième public le plus touché par ces types d'attaques, qui ont des conséquences très importantes sur la délivrance des services publics. De fait, il n'y a plus aujourd'hui réellement de services publics, au niveau central comme au niveau local, qui ne soient pas adossés d'une manière ou d'une autre au numérique.
L'année 2025 a vu l'apparition d'un fait nouveau dans la cybercriminalité - c'est celui qui, me semble-t-il, a connu le plus de visibilité - : l'augmentation significative des vols de données. Nous expliquons cette recrudescence par un changement d'approche de la part des acteurs criminels guidés par l'appât du gain. Constatant que le rançongiciel fonctionnait de moins en moins - ce dont nous pouvons nous réjouir -, ces derniers ont « pivoté » pour voler des données, extorquer des fonds ou demander une rançon pour ne pas les publier - c'est le cas le plus fréquent -, voire les revendre purement et simplement.
Cela change un peu la donne en termes de victimologie, car voler des données n'est pas très compliqué. Cette forme de menace concerne tout le monde : l'État central, les administrations, les grandes et les petites entreprises, les collectivités, les associations ou les fédérations en tout genre. Elle n'épargne personne et s'accompagne d'une stratégie de médiatisation par les attaquants à des fins, là aussi, de recherche de profit : 60 % des attaques de ce type traitées par l'Anssi au cours de l'année 2025 relevaient du bluff.
Cette partie visible de la menace ne doit pas occulter des éléments qui nous inquiètent encore plus.
Le lien entre le contexte géopolitique et la réalité de la menace est évident. Un fait majeur de l'année 2025 est la première attaque de sabotage menée contre des infrastructures critiques de manière coordonnée. Ainsi, le 29 décembre 2025, une attaque a été menée contre une trentaine de points d'interconnexion entre des équipements de production d'électricité renouvelable et le réseau électrique polonais, et, simultanément, contre une centrale thermique. Cette attaque a été attribuée par nos homologues polonais à la Russie. Il y avait là une manoeuvre préparée de longue date, déclenchée de manière simultanée et coordonnée, à un moment où couper le courant en Pologne n'était pas forcément anodin, avec pour objectif de perturber la distribution d'électricité.
Cette attaque est révélatrice d'une désinhibition que nous constatons de manière croissante dans les cyberattaques depuis déjà quelques années, qui ne fait que se confirmer et qui nous projette dans un scénario où la menace, dont le niveau est élevé et grave aujourd'hui, peut très significativement empirer. Ce scénario qui verrait, au gré d'une escalade des tensions géopolitiques, nos forces armées engagées dans un conflit dit « de haute intensité » à la périphérie de l'Europe et, simultanément, une déferlante d'attaques de type hybride est le scénario central posé dans le cadre de la revue nationale stratégique publiée en juillet dernier. Le terme d'« hybride » n'est pas forcément très précisément défini : il peut s'agir de cyberattaques, de manipulation d'informations, de sabotage ciblé de drones - nous avons eu pléthore d'exemples ces dernières années -, tout cela coordonné de manière à nous déstabiliser de manière générale, à paralyser le fonctionnement de la société et de son économie, à compliquer la logique de prise de décision dans un moment de grande intensité. En matière de cybersécurité, cela prendrait la forme de ce que nous observons au quotidien, mais de façon totalement coordonnée, c'est-à-dire à la fois des attaques de services étatiques adverses visant à bloquer ou détruire nos infrastructures critiques, à l'instar de ce qui s'est passé en Pologne, et une mobilisation coordonnée du tissu cybercriminel et du tissu activiste - il existe entre eux des liens de cohabitation qui interrogent - pour paralyser les acteurs du fonctionnement quotidien de la nation - écoles, collectivités, centres hospitaliers, PME -, maximiser la pression et, en quelque sorte, nous submerger.
Ce scénario n'a rien d'une prédiction. Nous n'avons pas affirmé dans la revue nationale stratégique qu'il allait forcément se produire. C'est néanmoins un événement dont la probabilité de survenue s'accroît au regard de l'évolution tant des technologies que du contexte géopolitique. Il s'agit d'une menace à laquelle il faut se préparer à l'horizon 2030. Cette perspective, qui constitue un véritable défi, a quelque chose de vertigineux et nous projette dans une réalité nouvelle, où l'État seul ne sera pas capable de faire face.
Elle pose donc une nouvelle équation, celle que nous essayons de résoudre en matière de cybersécurité depuis quelques années déjà : une répartition des rôles, un partage des compétences, des connaissances, de l'expertise et des capacités d'agir pour que, si un jour la déferlante d'attaques devait arriver, chacun se protège au juste niveau et soit en capacité d'apporter sa pierre à l'édifice de la protection collective, afin que personne ne soit une victime facile, que des relais soient trouvés pour répondre à la crise et que l'Anssi - et l'État, de manière générale - puisse remplir son rôle sans être totalement submergé.
Finalement, ce qui a guidé la rédaction de la stratégie nationale de cybersécurité, qui n'est pas un exercice de pure écriture - je suis moi aussi méfiant à l'égard des stratégies incantatoires -, est un projet qui s'inscrit dans la continuité d'un certain nombre d'actions menées par l'Anssi depuis déjà quelque temps. Ce projet nous donne des caps, des priorités claires et acte le rôle primordial des collectivités et de la déclinaison territoriale dans la réponse collective, avec des changements en matière de gouvernance. Il s'agit de promouvoir une coordination des politiques publiques en matière de cybersécurité et d'étendre cette gouvernance à l'ensemble des parties prenantes, dont les collectivités territoriales et les différentes associations d'élus. Elles doivent plus que jamais être associées pour trouver un modèle qui établisse le bon équilibre entre un cadre général et une mobilisation des services de l'État dans les territoires - préfets, services du « dernier kilomètre » que sont notamment les forces de sécurité intérieure, qui soutiennent les collectivités sur ces sujets -, sans évidemment fermer la porte à des initiatives locales et à une déclinaison adaptée à chaque territoire.
Je veux évoquer rapidement les cinq priorités de la stratégie nationale. La première, et peut-être la plus déterminante, est la constitution d'un vivier de compétences. De fait, le facteur limitant universel, pour l'Anssi, pour les collectivités comme pour les entreprises, est qu'il n'y a pas assez de personnes formées à la cybersécurité sur le marché de l'emploi. Nous devons travailler plus que jamais à résoudre ce problème, qui détermine tous les autres.
La deuxième priorité est un chantier que nous appelons, depuis déjà quelques années, « le changement d'échelle » : il s'agit de relever la « maturité » et le niveau de sécurité de tout le tissu sociétal et économique - bien au-delà, par exemple, des opérateurs d'importance vitale, sur lesquels nous avons concentré notre action jusqu'à présent.
Une troisième priorité est la mobilisation de tous les leviers d'action possibles pour qu'attaquer la France ait un coût. Les leviers judiciaires, diplomatiques, voire militaires, les sanctions économiques doivent plus que jamais être mobilisés pour faire réfléchir les attaquants.
Tout cela s'inscrit, quatrièmement, dans un pilier européen et international. Ce dernier est fondamental : il doit nous renforcer, et de lui découle une bonne partie du cadre réglementaire que nous mettons en oeuvre.
Cinquièmement, nous devons nous doter d'une logique qui garantisse le maintien de notre maîtrise des technologies, notamment émergentes, qu'il s'agisse d'intelligence artificielle ou d'ordinateurs quantiques, et de leurs conséquences sur la cybersécurité. Nous devons nous assurer que les évolutions des technologies ne nous font pas perdre les leviers d'action que nous pouvons mettre en oeuvre aujourd'hui.
Un certain nombre d'actions prioritaires qui concernent éminemment les territoires guident toutes les actions de déclinaison de cette stratégie.
Il en va tout particulièrement ainsi de la mise en oeuvre d'un cadre réglementaire étendu. Je songe en particulier à la directive NIS 2, dont l'examen parlementaire se poursuit malgré quelques retards et dont la transposition en droit national doit nous permettre de porter des exigences fondamentales de sécurité auprès d'un tissu très étendu d'entités, qu'il s'agisse des grosses collectivités, d'entreprises privées ou, évidemment, des administrations.
Je pense également au déploiement de programmes d'accompagnement qui tirent les leçons de ce que nous avons réussi à faire jusqu'à présent. Ainsi, ce qui a été fait dans le cadre du programme France Relance nous a permis de sécuriser 945 entités, dont une grande majorité de collectivités et d'établissements de santé, grâce à un dispositif d'accompagnement adapté à des structures à la maturité initiale par nature même relativement faible et ayant besoin d'être guidées dans le développement de la cybersécurité.
Je songe aussi à ce que nous avons fait - c'était assez similaire, et cela avait plutôt bien fonctionné - dans le cadre de la préparation des jeux Olympiques et Paralympiques de 2024, au profit d'acteurs d'une nature un peu différente, mais là encore avec un niveau de maturité initial potentiellement assez faible.
Autre grand objet prioritaire de cette stratégie : la pérennisation et la structuration du réseau des Csirt (Computer Security Incident Response Team), les centres de réponse à incidents, que nous avons soutenus dans leur développement selon des logiques sectorielles, mais aussi locales - nous avons soutenu l'émergence de Csirt auprès des régions et des territoires d'outre-mer. Je considère aujourd'hui cette expérience comme réussie. Nous devons pérenniser ces centres, qui apportent un réel soutien de proximité sans créer de redondance, tout en veillant à les intégrer dans un dispositif national qui offre une lisibilité de l'ensemble.
Nous comptons également développer le réseau des campus cyber - il existe un campus cyber national, mais aussi des campus cyber régionaux, nés à l'initiative des régions. Ces acteurs nouveaux, qui ont fait leurs preuves, permettent de créer des lieux de rencontre entre les porteurs de besoins de cybersécurité - collectivités, entreprises - et les porteurs de solutions de cybersécurité : services de l'État, entreprises qui conçoivent des solutions de cybersécurité. Cette rencontre est plus que jamais nécessaire à une époque où l'offre de solutions de cybersécurité doit être adaptée à un public bien plus large, qui n'a pas la même maturité et qui n'a pas vocation à l'avoir. Il faut que cela percole aussi dans le tissu industriel.
Le dernier objet de la stratégie que je mentionnerai ici est le déploiement à grande échelle d'un programme d'entraînement. Là encore, un tel programme a fait ses preuves, notamment lors de la préparation des jeux Olympiques et Paralympiques. Il s'agit de mettre en situation des personnes qui peuvent, un jour, être confrontées à une crise cyber. Nous l'avons fait, par exemple, en septembre dernier, avec l'exercice Rempar25, au cours duquel nous avons entraîné simultanément, pour les projeter dans une crise cyber, 1 263 organisations dans toutes les régions hexagonales, dans sept territoires d'outre-mer et sur huit fuseaux horaires. C'était une première pour nous ! Cette initiative a vocation à être reproduite, mais, surtout, à se développer. Nous avons partagé le cadre d'exercice que nous avons mis en oeuvre : il est réutilisable librement par les entreprises ou les collectivités, afin que ce processus d'accompagnement puisse être généralisé.
Pour terminer, je ferai un rapide état des lieux des ressources d'ores et déjà mises à disposition, notamment des collectivités territoriales, pour les accompagner dans la cybersécurité. Du point de vue de l'Anssi, les collectivités territoriales sont évidemment de potentielles victimes à accompagner dans leur sécurité, mais aussi des acteurs de la cybersécurité qui peuvent être mobilisés et que nous pouvons outiller dans le développement de logiques de cybersécurité.
Je fais le constat aujourd'hui qu'il n'est plus possible d'attendre. Nous avons un horizon, celui posé par la revue nationale stratégique, et même, à bien plus court terme, une réalité de la menace qui doit conduire tout le monde à se mettre en mouvement et à développer la cybersécurité et la résilience cyber. C'est dans cet esprit que nous avons, la semaine dernière, publié, dans une version préliminaire - l'examen parlementaire n'étant pas terminé -, les règles de sécurité que nous envisageons d'imposer au titre de la directive NIS 2, mais qui ont vocation à s'appliquer à un champ bien plus large. Ce travail important a été mené en concertation avec des dizaines de fédérations professionnelles et avec toutes les associations d'élus, pour trouver le bon niveau d'exigence de cybersécurité à porter auprès des petites structures, des collectivités, des PME. Il s'agit de répondre en priorité aux vulnérabilités d'aujourd'hui, sans imposer un niveau d'exigence qui serait déraisonnable. Bien évidemment, la directive NIS 2 n'épuisera pas le sujet.
Nous menons un travail complémentaire avec d'autres acteurs, d'autres relais, comme l'Agence nationale de la cohésion des territoires, avec laquelle nous avons, avec le ministère de l'intérieur, mis en place un programme de création de ressources adaptées, y compris sur le plan numérique. Je songe notamment à la « suite territoriale », qui vise à mettre à la disposition des collectivités qui le souhaitent, en particulier des petites communes et intercommunalités, sans le leur imposer, une solution intégrée d'hébergement et de messagerie offrant les services numériques essentiels, qui permet de mutualiser l'effort de sécurisation.
Je pense aussi au travail que nous menons quotidiennement avec d'autres acteurs de la mutualisation, qu'il s'agisse des intercommunalités, des opérateurs publics de services numériques (OPSN) ou de réseaux comme le réseau Déclic, qui accomplit un travail formidable pour mobiliser les acteurs.
Je songe enfin à tout le travail que nous réalisons à travers nos délégués territoriaux. L'Anssi a aujourd'hui la chance d'avoir un délégué dans chaque région de France hexagonale et un délégué « globe-trotter » pour les outre-mer. Ces délégués permettent de faire ce lien avec les réalités de terrain et les acteurs locaux.
Pour conclure, je veux dire que nous sommes au début de l'aventure que représente le changement d'échelle et le déploiement de la cybersécurité dans tous les pans de la société, notamment sur les territoires. Je pense que Nicolas Roche vous dirait la même chose de la protection contre les menaces hybrides, car la logique est la même : c'est le partage réel des tâches et l'enjeu collectif qui mobilisent également le secteur privé, avec lequel nous travaillons plus que jamais.
M. Olivier Cadic, rapporteur pour avis sur les crédits du programme 129. - Merci beaucoup pour ce propos.
L'appel à manifestation d'intérêt (AMI) pour le renforcement de l'accompagnement local aux enjeux de cybersécurité (Ralec), lancé le 22 août dernier, a posé des exigences explicites : une forte proximité territoriale et la gratuité de l'assistance aux victimes de cyberattaques au titre d'une mission d'intérêt général. Or, dans les faits, plusieurs dispositifs territoriaux reposent largement sur des opérateurs privés, notamment Orange Cyberdefense, dans le cadre des Csirt. Comment garantissez-vous que l'argent public ne finance pas indirectement des prestations privées qui s'éloigneraient de l'esprit initial de l'AMI ? Considérez-vous que les dispositifs retenus sont pleinement conformes aux engagements que vous aviez vous-même fixés ?
Quel est le modèle économique réel des Csirt ? Quelle est la part exacte de financement public ? À terme, ces structures ont-elles vocation à être pérennisées par la subvention ou à évoluer vers un modèle concurrentiel ?
L'État finance déjà des dispositifs nationaux, notamment Cybermalveillance.gouv.fr. Comment justifiez-vous la coexistence de ces structures avec ce site internet sans risque de doublon, voire de dispersion des moyens publics ? Une évaluation de l'efficacité globale a-t-elle été conduite ?
Dans une interview que vous avez donnée à un grand quotidien, vous avez précisé que le rôle de l'État était de traiter la menace du haut du spectre, à savoir les attaquants d'autres États. Pourquoi, en ce cas, l'Anssi développe-t-elle des outils et services, comme MesServicesCyber, à destination plutôt des entreprises, qui font concurrence aux acteurs économiques de l'écosystème ? Quel budget, quel montant de sous-traitance, combien de ressources humaines et de temps sont consacrés à MesServicesCyber ?
J'en viens au cadre européen. La directive NIS 2 aurait dû être transposée il y a plus de dix-huit mois, et nous assistons à la multiplication de vols massifs de données. Comment comptez-vous imposer NIS 2 aux administrations et collectivités qui ne respectent déjà pas les textes comme le référentiel général de sécurité (RGS) ou le règlement général sur la protection des données (RGPD), par exemple ? Comment prévoyez-vous de décliner la stratégie nationale de cybersécurité auprès de l'ensemble de la population, au-delà de la seule sphère des ministères et services concernés ? Quelles sont les conséquences concrètes du retard de transposition de la directive sur le niveau de cybersécurité de notre pays ? Disposez-vous d'éléments objectifs permettant de comparer la situation française avec celle des pays qui ont déjà transposé la directive depuis dix-huit mois, comme la Belgique ou l'Italie ?
Enfin, si ce retard n'a pas d'impact mesurable à ce stade, comment justifier l'ampleur des obligations que cette directive impose aux entreprises françaises ? Autrement dit, sommes-nous face à une exigence réellement structurante en matière de cybersécurité ou à une contrainte normative dont l'efficacité resterait à démontrer ?
M. Vincent Strubel. - Je salue les questions de M. Cadic, pertinentes comme d'habitude.
Derrière l'acronyme un peu barbare d'« AMI-RALEC » se cache un appel à manifestation d'intérêt que l'Anssi a lancé au cours de l'été 2025 pour soutenir des dispositifs locaux ancrés dans la réalité territoriale - c'était l'un des critères d'assistance aux victimes -, avec une référence évidente au dispositif de Csirt déjà en place dans un certain nombre de régions, mais avec des critères assez larges.
L'AMI nous a permis de recueillir 90 candidatures. Nous en avons retenu 16. La logique de couverture territoriale nous a permis d'apporter un soutien renouvelé à un certain nombre de Csirt préexistants, mais aussi de combler des manques. Je songe notamment à la région Auvergne-Rhône-Alpes, qui n'avait pas pu être embarquée dans le dispositif initial de soutien aux Csirt, ou encore à Mayotte, qui a tout particulièrement besoin d'une capacité de proximité dans le traitement des cyberattaques - cela vaut, du reste, pour tous les territoires ultramarins, l'insularité ne faisant qu'amplifier les conséquences des cyberattaques. Je regrette que nous n'ayons pas pu faire la même chose pour la Polynésie française, et c'est un point sur lequel nous devrons revenir. Il est important de compléter cette couverture régionale.
Nos critères d'analyse ont été assez clairs. Je pense pouvoir dire que nous faisons bon usage des deniers publics. Évidemment, les Csirt ne travaillent pas en concurrence avec les acteurs du secteur privé. En tant que de besoin, ils renvoient à des prestataires privés pour le traitement d'incidents, comme peut le faire la plateforme nationale Cybermalveillance.gouv.fr quand cela s'avère pertinent. Le but n'est donc pas du tout de créer une concurrence : il est, au contraire, de créer un interlocuteur de niveau régional ou local qui soit intégré dans les dispositifs d'accompagnement du développement économique portés par les régions - c'est le bilan très positif que nous en tirons. Le but est d'en faire un interlocuteur de référence. Il s'agit, de manière très basique, de s'assurer que toute entreprise accompagnée par la région dans son développement économique reçoit bien les coordonnées du Csirt, a bien en tête qu'elle peut l'appeler en cas de crise, qu'elle peut se tourner vers lui en cas de question, les Csirt étant aussi des relais permanents de messages de sensibilisation, au-delà de la simple réponse à incidents. Ce modèle me paraît pertinent.
Il l'est aussi compte tenu de la capacité croissante des Csirt régionaux ou territoriaux à prendre à leur charge le traitement d'une certaine quantité d'incidents. Cette capacité décharge l'Anssi et lui permet de se concentrer sur des incidents d'une gravité plus importante. J'observe que, quand un incident d'apparence peu grave s'avère finalement d'une gravité suffisante pour justifier l'implication de l'Anssi, le passage de relais s'opère sans grande difficulté. C'est vrai pour les Csirt territoriaux comme pour les Csirt d'autres natures - privés, sectoriels.
Les Csirt territoriaux sont aujourd'hui des « citoyens » à part entière, si j'ose dire, de la communauté des Csirt, qui s'incarne à travers une association dont l'Anssi a soutenu le développement initial, mais qui vole aujourd'hui de ses propres ailes : l'InterCERT France. Celle-ci compte parmi ses rangs un peu plus de 120 Csirt sectoriels, territoriaux ou privés. Les grandes banques, par exemple, ont toutes leur Csirt, qui sont des acteurs de la coordination immédiate des traitements d'incidents - dans le domaine bancaire, la dynamique est bien établie.
Le modèle économique gagne évidemment à être formalisé et pérennisé, compte tenu de ce retour très positif. Nous avons traité ce point de manière ad hoc lorsqu'il s'agissait d'un dispositif émergent. La stratégie nationale de cybersécurité prône, en la matière, une pérennisation sur la base d'un financement à hauteur peu ou prou de 50 % par l'État - il s'agit d'une mission d'utilité publique, que l'État peut soutenir, parce qu'il y trouve aussi son intérêt - et d'un financement par les régions, ou inspiré de logiques de financement que nous voyons émerger : offre de base gratuite des Csirt territoriaux - c'était une condition de l'AMI -, mais également, le cas échéant, services payants ou logiques de financements européens. Il ne s'agit pas de faire peser des contraintes fortes sur la manière dont ce cofinancement sera exercé in fine. Toutefois, pour pérenniser le dispositif et s'assurer qu'il répond au besoin de l'État tout en s'inscrivant dans une dynamique locale, il faut s'orienter vers un tel cofinancement et l'intégrer dans les modèles usuels de financement des collectivités.
Je fais le même constat à propos du dispositif Cybermalveillance.gouv.fr, en vous remerciant une fois de plus, monsieur le sénateur, du soutien que vous lui avez apporté chaque fois que cela a été nécessaire. Je pense que nous pouvons nous féliciter de ce succès collectif. Cybermalveillance.gouv.fr coexiste aujourd'hui de manière harmonieuse et de plus en plus structurée avec les Csirt territoriaux. L'Anssi a financé et soutenu le groupement d'intérêt public (GIP) Action contre la cybermalveillance (Acyma) pour l'intégration des Csirt territoriaux dans sa plateforme. Aujourd'hui, plus de la moitié des Csirt territoriaux sont actifs sur la plateforme du GIP.
Concrètement, tout citoyen français peut aujourd'hui se tourner, en cas d'acte de cybermalveillance, vers une plateforme unique, 17cyber.gouv.fr - c'est un réflexe que nous avons intérêt à développer chez tous nos concitoyens. Il peut y être mis en relation avec des Csirt territoriaux, qui peuvent répondre au téléphone et apporter un appui de proximité, avec les forces de l'ordre, qui peuvent notamment préinstruire un prédépôt de plainte, et avec des prestataires privés enregistrés auprès de la plateforme.
Aujourd'hui, ce modèle fonctionne et gagne à être consolidé, enrichi et structuré. Je me méfie toujours des logiques de guichet unique, mais l'existence, avec la plateforme 17Cyber, d'un guichet de référence que tout le monde a en tête et qui permet à toutes les victimes, quelles qu'elles soient et quel que soit la nature de l'incident, d'être rapidement orientées vers quelqu'un qui peut les aider, m'apparaît comme une solution efficace.
Le positionnement à l'égard de la menace du haut du spectre gagne à être précisé. Il y a un certain nombre de cyberattaques que seule l'Anssi, dans son rôle de « cyberpompier », peut traiter, mais je suis vigilant à ce que nous ne nous emparions pas, potentiellement au détriment du secteur privé, qui peut traiter une bonne partie des cyberattaques usuelles, d'incidents qui ne nécessitent pas nécessairement notre intervention. C'est encore plus vrai dans la perspective du scénario central de la revue nationale stratégique : le jour où « le ciel nous tombera sur la tête », où de nombreuses cyberattaques se produiront en même temps, il faudra que l'Anssi puisse se concentrer sur les attaques les plus avancées, qu'elle seule peut traiter dans le cadre du C4, c'est-à-dire dans une collaboration avec nos partenaires des services de renseignement, qui viennent nourrir notre compréhension de la menace.
C'est pourquoi nous avons d'ores et déjà un positionnement de coordinateur, de chef d'orchestre ou de chef d'équipe, l'équipe étant constituée de Csirt territoriaux, privés, sectoriels, de prestataires de réponses à incidents, de GIP comme Cybermalveillance, qui, tous à leur niveau, traitent un pan de la menace. Ce système fonctionne aujourd'hui de manière harmonieuse, parce que la coordination est bonne, la circulation d'informations est fluide et le passage de relais avec l'Anssi en cas de réévaluation de la gravité de la menace s'opère de manière satisfaisante.
L'Anssi a vocation à porter une mission de service public au profit de tous nos concitoyens ; elle coordonne les efforts, mais doit aussi accomplir certaines tâches, même si elle n'agit pas seule. C'est dans ce sens, par exemple, que nous développons la plateforme MesServicesCyber, qui n'est autre qu'une mise en forme et une mise à disposition de l'ensemble du corpus de recommandations et outils fournis par l'Anssi, notamment dans la perspective de la mise en oeuvre de la directive NIS 2. MesServicesCyber n'est pas quelque chose de très nouveau. La conception de ce nouveau service a nécessité un budget total de quelques centaines de milliers d'euros et a mobilisé deux ou trois équivalents temps plein (ETP), car ce n'est autre qu'un site web qui met en forme un certain nombre d'outils et de recommandations préexistants de manière accessible et avec une grille de lecture qui se prête notamment à l'entrée dans le jeu de la cybersécurité d'un nouvel assujetti à NIS 2.
Bien évidemment, je regrette autant que vous le retard de la transposition de NIS 2. Il ne m'appartient pas de commenter le calendrier parlementaire, mais plus vite elle adviendra, mieux nous nous porterons. Il est difficile d'objectiver les conséquences de ce retard de manière statistique, mais je ne peux m'empêcher de noter qu'un certain nombre d'incidents qui ont fait l'actualité ces derniers temps sont strictement des incidents auxquels la directive NIS 2 vise à répondre, notamment par les mesures techniques qu'elle préconise - la mise en oeuvre de la double authentification pour les réseaux d'administration ou la sécurisation des bases de données, par exemple - et dont on mesure quotidiennement le manque.
Concernant l'obligation de notification d'incident, je ne reviendrai pas dans le détail sur la récente affaire Cegedim, mais, de fait, la notification des incidents à l'Anssi n'est pas généralisée et, dans un certain nombre de cas, l'implication des pouvoirs publics est tardive, alors que nous aurions pu aider à limiter la casse si nous avions été prévenus plus rapidement. Je mesure aujourd'hui les conséquences concrètes de ce retard de manière empirique, et non statistique. En quelque sorte, la directive NIS 2 est une réponse collective au niveau européen à la menace que nous observons aujourd'hui.
Pour ce qui concerne la déclinaison à la population, je vous renvoie aux éléments de la stratégie qui mobiliseront le GIP Cybermalveillance, à savoir une campagne de sensibilisation à grande échelle et un portail grand public pour passer des messages de prévention à destination de la population.
M. Mickaël Vallet, rapporteur pour avis sur les crédits du programme 129. - Je vous remercie d'avoir fait un tour d'horizon de la question.
Un financement à 50 % des Csirt régionaux figurera-t-il explicitement dans la présentation par le Gouvernement du prochain budget de l'État ? Disposez-vous d'informations claires à ce sujet ? Est-ce un souhait de votre part ou une réalité tangible ? Il s'agit surtout de savoir si le financement sera suffisant pour maintenir le niveau actuel d'activité. Reste également à savoir si la collectivité mettra ou non sa part, alors que le Premier ministre, dans ce qu'il envisage comme un nouvel acte de décentralisation, entend dissiper le flou en termes de compétences et estime que l'on doit savoir qui fait quoi. Peut-être êtes-vous un peu en porte-à-faux sur le sujet...
Vous ne commentez pas le calendrier parlementaire de la transposition de NIS 2, mais nous avons tout de même du mal à comprendre comment on peut élaborer une stratégie nationale sans avoir la base légale pour le faire. Je comprends bien, cependant, que vous n'irez pas plus loin sur ce sujet.
Lors des auditions que nous avions menées à la fin 2025, nous avions exprimé notre incompréhension face à l'absence d'augmentation des moyens de Cybermalveillance.gouv.fr. Vous nous aviez répondu que ces moyens étaient suffisants. Or, si 17Cyber entre dans les moeurs, il a vocation à se développer et à faire l'objet de plus de sollicitations ! Vous avez indiqué que ce dispositif soulageait l'Anssi, lui permettant de se concentrer sur les sujets sur lesquels elle est seule à pouvoir répondre en termes techniques. Si l'on cumule les montants des cyberarnaques dont nos concitoyens sont victimes, à raison de 1 000 ou 2 000 euros chacun, cela commence à faire beaucoup...
Au-delà de la possibilité pour Cybermalveillance.gouv.fr, structure dont vous êtes formellement le président, de répondre à des appels à manifestation d'intérêt - qui constituent, depuis quelques années, une méthode de l'État central pour gérer la pénurie -, envisagez-vous une augmentation de ses moyens ?
M. Vincent Strubel. - Je me hisserais très haut au-dessus de ma condition si je me prononçais sur le futur budget de l'État ! Je ne suis pas le plus légitime pour en parler. En revanche, oui, la logique de cofinancement est une réalité tangible, puisqu'elle est inscrite dans la stratégie nationale de cybersécurité. L'intention est fixée.
Le risque que des collectivités ne s'inscrivent pas dans cette logique de cofinancement est assumé et, en quelque sorte, « voulu » : de tels dispositifs n'ont de sens que si les conseils régionaux qui y contribuent y trouvent aussi leur intérêt. Nous voulons nous tenir à l'écart d'un modèle dans lequel l'État central imposerait et financerait un modèle unique qui obligerait chaque région à se doter d'un Csirt régional. Il faut que cela s'inscrive dans une dynamique régionale et dans tout ce que les régions peuvent d'ores et déjà faire à la croisée des enjeux de cybersécurité et de développement économique ; c'est la condition du succès. Nous observons notamment qu'il y a un certain nombre de PME que seule la région peut atteindre - l'Anssi n'en a pas la capacité. C'est l'un des fondements de la création de dynamiques au niveau régional.
Je ne me prononcerai pas non plus sur la question plus large des compétences des collectivités. Je reconnais cependant que leur compétence en matière de cybersécurité numérique est un sujet. Je n'ai pas forcément d'avis légitime à donner, mais je répète que je regrette que nous n'ayons pas aujourd'hui de cadre légal national sur NIS 2. NIS 2 n'est pas dépourvue de base légale, puisque c'est du droit européen, mais il nous faudra bien la transposer dans le droit national.
Je rappelle que le SGDSN est, depuis le début, le principal financeur de Cybermalveillance.gouv.fr, puisque c'est, en termes « lolfiques », un budget opérationnel de programme (BOP) unique. Nous sommes contributeurs depuis la naissance de ce groupement d'intérêt public, et nous avons d'ailleurs « incubé » ce GIP à sa naissance. Ses moyens sont portés par l'État, mais également par la contribution de ses membres. Ils peuvent être renforcés au-delà des dotations usuelles reconduites d'année en année par des conventions de financement, ce qui a déjà été le cas.
De mémoire, la création de 17Cyber a donné lieu à un financement supplémentaire initial du GIP Acyma - qui a développé le dispositif Cybermalveillance.gouv.fr - de 700 000 euros, et à un financement récurrent de 300 000 euros pour assurer l'exploitation de la plateforme, qui est correctement dimensionnée compte tenu des coûts. L'Anssi a ajouté, dans le cadre d'une autre convention, un financement complémentaire initial et récurrent - à hauteur de 500 000 euros aujourd'hui - pour l'intégration des Csirt régionaux et la sienne propre dans la plateforme, afin de s'assurer de la complétude de la couverture. Il y a donc des financements et des abondements au budget du GIP qui permettent de porter les missions nouvelles.
Sans trop m'avancer sur la déclinaison concrète de la stratégie nationale, je peux dire que celle-ci comporte des objets qui pourraient utilement mobiliser le GIP Cybermalveillance, qu'il s'agisse de campagnes de sensibilisation à grande échelle ou de la mise en place d'un portail de prévention grand public. Le GIP Acyma sait parler à nos concitoyens bien mieux que l'Anssi - il a démontré son efficacité en la matière. Ces missions pourraient donc être confiées au GIP et faire l'objet de financements supplémentaires dans le cadre de conventions ou de suivi de l'extension de ses missions.
Oui, le GIP Acyma est financé en fonction de l'évolution de ses missions, et continuera à l'être. Je le dis avec une forme de schizophrénie assumée, puisque je suis à la fois directeur général de l'Anssi et président du conseil d'administration d'Acyma. Je n'ai pas d'inquiétude sur ce plan.
Mme Michelle Gréaume. - Merci, monsieur le directeur général, pour toutes ces informations.
Je veux évoquer la responsabilité de l'État, l'indemnisation des victimes et, notamment, la série noire qu'ont subie les ministères.
En moins de quatre mois, de décembre 2025 à mars 2026, les ministères de l'intérieur, des sports et de l'éducation nationale ont subi des intrusions majeures ayant exposé les données personnelles de millions de citoyens français. La série d'attaques contre le ministère de l'intérieur concernait notamment le traitement d'antécédents judiciaires ou le fichier des personnes recherchées. Celle contre le ministère des sports a concerné 3,5 millions de foyers bénéficiaires du Pass'Sport, en décembre 2025. Pour l'éducation nationale, l'attaque contre le portail Compas, en mars 2026, a concerné 243 000 enseignants.
Cette série d'attaques révèle une défaillance systémique. Le vecteur d'attaque est, à chaque fois, trivial : mots de passe en clair, comptes non sécurisés. L'Anssi avait-elle été consultée sur la sécurité de ces systèmes ? Comment expliquer que des bases de données aussi sensibles ne disposent pas d'une authentification multifacteur généralisée en 2026 ?
Les ministères subissent des attaques, les victimes sont des millions de citoyens, mais l'État ne voit que rarement sa responsabilité engagée pénalement ou financièrement. Quand les Français se font hacker leurs données, ils encourent le danger que l'on usurpe leur identité ou qu'on leur fasse subir des chantages en tout genre ! Alors que le RGPD impose aux entreprises privées des amendes en cas de violation de données, les administrations en sont exemptées. Ne faudrait-il pas introduire dans notre droit un mécanisme de responsabilité administrative et d'indemnisation automatique des victimes de fuites de données publiques, à l'image des mécanismes d'indemnisation des victimes d'accidents médicaux ?
Plus généralement, la France dispose-t-elle d'une capacité d'intervention proactive pour neutraliser les données volées sur les forums criminels ou le dark web avant qu'elles ne soient exploitées massivement ?
M. Vincent Strubel. - Je ne considère pas que la série noire soit limitée au seul État. L'État a fait les frais, au même titre que des entreprises de toute taille et des opérateurs de toute nature, des attaquants du registre criminel, qui ont commis moins de rançongiciels et qui ont compris que le vol de données était encore relativement facile et pouvait être monétisé, même si ce n'est peut-être pas dans les mêmes proportions.
Je reste prudent sur les chiffres. De fait, 60 % des revendications traitées par l'Anssi étaient fausses - il s'agissait soit de bluff complet, soit de recyclage. Et, dans celles qui sont avérées, il y a toujours une exagération. Les attaquants n'ont pas de raison d'être honnêtes : ce sont fondamentalement des criminels, qui ont intérêt à exagérer les faits, voire à bluffer, pour augmenter les prix.
Cependant, il y a une réalité tangible et particulièrement problématique, celle des vols de données à grande échelle qu'ont subis certains de nos concitoyens et certaines de nos entreprises, avec, parfois, des attaques dont la localisation ou le fait générateur n'est pas si trivial. En effet, nous observons de plus en plus d'attaques qui se propagent le long de chaînes de valeur, avec des données volées auprès d'un des sous-traitants de la victime principale.
La possibilité même de ces attaques rappelle de manière régulière la réalité de vulnérabilités que NIS 2 ou d'autres pans du droit européen, comme le règlement sur la cyberrésilience - le Cyber Resilience Act (CRA) -, visent à combler. De fait, ce règlement s'adresse aux fournisseurs du numérique, aux éditeurs de logiciels, qui ont aussi des responsabilités et doivent corriger leurs logiciels vulnérables. Ce cadre fait partie de la réponse sans l'épuiser. Nous devons le mettre en place, car il doit avoir un effet systémique.
Pour ce qui concerne la responsabilité de l'État, il me semble que le RGPD ne protège pas nécessairement les administrations ou les opérateurs publics de sanctions. Il ne m'appartient pas de commenter ce qui relève de l'action de la Commission nationale de l'informatique et des libertés (Cnil), autorité indépendante qui porte la régulation au titre du RGPD et les logiques de sanctions. Je note cependant que la Cnil a sanctionné récemment tant des opérateurs privés que des opérateurs publics, à la suite de fuites constatées au cours de l'année 2025. Elle a affirmé son intention de continuer à sanctionner les manquements flagrants aux obligations de protection des données.
Il me semble malheureusement qu'il est vain d'essayer de faire disparaître des données parties sur internet ! Internet est ainsi fait que quelque chose qui y figure est reproduit à l'infini. Au demeurant, cela fait partie du problème, car nous observons un effet auto-entretenant des fuites de données : si les données contiennent des mots de passe, leur fuite d'aujourd'hui peut nourrir la cyberattaque de demain. En ne prenant pas les mesures de sécurité élémentaires qui permettent de contrer ces fuites, on participe donc à l'accroissement et à l'intensification de la menace.
En revanche, l'action de la justice, elle, fonctionne, non pas pour récupérer les données - une fois dans la nature, elles sont malheureusement perdues -, mais pour confronter les auteurs des attaques aux conséquences de leurs actes. Lorsqu'ils ne sont pas à l'abri de l'action de la justice - c'est-à-dire dans des localités ou des pays qui n'ont pas d'accord d'extradition avec la France -, les auteurs de ces faits sont de plus en plus régulièrement interpellés, et l'on peut s'en réjouir.
Je me risquerais même à dire qu'une partie de l'activité intense observée en matière de fuite de données relève de logiques de conflits réputationnels entre cybercriminels à la suite d'interpellations. Je songe notamment à la galaxie dite ShinyHunters, dont de membres ont été interpellés par la justice française en 2025. Un certain nombre de fuites de données visant notamment l'État en 2025 ont été revendiquées au titre d'une forme de vengeance des cybercriminels restés en liberté contre l'action de la justice et des forces de police françaises. Je crois sincèrement qu'ils jouent un jeu perdant en la matière et que ceux qui sont à la portée de la justice finiront par être confrontés aux conséquences de leurs actes.
M. Philippe Paul. - Les questions que je vais poser étaient, à l'origine, destinées à M. Nicolas Roche. Vous verrez, monsieur Strubel, si vous pouvez y répondre ; sinon, nous pourrons le saisir par écrit.
J'interviens en tant que corapporteur de la commission sur le thème de la résilience de la Nation face aux menaces nouvelles - les autres rapporteurs sont mes collègues Hugues Saury et Marie-Arlette Carlotti -, mais aussi en tant que rapporteur pour avis du programme 152 « Gendarmerie nationale ».
Avec plus de 3 000 brigades territoriales, la gendarmerie nationale dispose d'un réseau sans équivalent auprès des collectivités petites et moyennes. Sa connaissance des territoires la place en première ligne pour assurer la résilience de nos systèmes et de nos populations. Concrètement, quelle coopération a été mise en place par M. Roche avec la gendarmerie sur ce volet ?
Je relaie maintenant deux questions de ma collègue Marie-Arlette Carlotti. Premièrement, l'Anssi propose, sur son site, des outils de formation à destination des élus, notamment un guide intitulé Mieux connaître la stratégie nationale de résilience (SNR), disponible sous deux formes différentes, ainsi qu'un guide de la continuité d'activité. Disposez-vous de statistiques sur le téléchargement de ces documents par les élus ? De manière plus générale, avez-vous mis en place des indicateurs permettant de suivre l'état d'avancement de la mise en place de la SNR ?
Deuxièmement, l'élaboration de la stratégie nationale de résilience a-t-elle pris en compte les politiques conduites par nos voisins, dont certains, comme la Suède, la Finlande ou les Pays-Bas, semblent plus avancés dans le domaine de la préparation des populations ?
Enfin, voici les deux questions de notre collègue Hugues Saury. La première concerne le rôle des acteurs privés. La résilience des systèmes et de l'approvisionnement implique une coordination poussée avec des acteurs privés afin de garantir une continuité en cas de crise. Le SGDSN s'est-il doté d'un point de contact avec ces acteurs ? Font-ils l'objet d'actions de sensibilisation sur ce sujet ?
La seconde question porte sur la stratégie nationale de résilience : n'y a-t-il pas un paradoxe dans le fait de ne pas publier la SNR tout en demandant à un public très large de la mettre en oeuvre ? Ainsi, le guide Mieux connaître la stratégie nationale de résilience mis à disposition des élus recense un ensemble de tâches à mener à bien, comme recenser les compétences disponibles dans le territoire et susciter des vocations d'engagement pour être en mesure de répondre à une crise majeure au plus près du terrain, mais sans indiquer les moyens ou les ressources à disposition.
M. Ludovic Haye. - Je vous remercie, monsieur le directeur général, d'avoir rappelé tout ce qui a été mis en place ces dernières années. Nous savons d'où nous partons, c'est-à-dire de pas grand-chose, et il a fallu passer de la sensibilisation à un niveau d'efficacité beaucoup plus important.
Il me semble que nous sommes, aujourd'hui, relativement bien organisés. Je pense notamment aux Csirt régionaux et au dispositif 17Cyber, qui vient pallier un certain nombre de lacunes.
Mais l'enjeu se situe peut-être après, sur le « dernier kilomètre ». Il est aujourd'hui utopique pour l'Anssi d'espérer pouvoir intervenir sur les 36 000 communes de France, chacune ayant sa propre configuration informatique. Les besoins et les problèmes sont totalement différents... En revanche, nous avons aujourd'hui beaucoup d'acteurs qui sensibilisent aux risques cyber. La gendarmerie nationale, par son maillage territorial, est bien souvent renforcée par les chambres de commerce et d'industrie (CCI), et parfois aussi par les associations d'élus. Mais un maire qui rencontre un problème le samedi ou le dimanche peine à atteindre le Csirt et à trouver l'interlocuteur à même de le guider. Généralement, s'il a la chance d'en avoir un, il fait alors appel à son prestataire informatique, qui, après une analyse assez rapide, procède à une restauration et remet le système en état. De tels incidents ne remontent donc pas forcément au niveau national, car ils sont résolus dès le lundi. La commune étant le maillon élémentaire de la République, la préfecture a peut-être un rôle à jouer pour organiser ce « dernier kilomètre ».
M. Jean-Luc Ruelle. - Merci beaucoup, monsieur le directeur général, pour ces informations.
J'ai deux petites questions. Premièrement, pourriez-vous préciser si une collectivité territoriale victime d'une cyberattaque est soumise, comme les entreprises privées, à une obligation de déclaration auprès de l'Anssi ?
Deuxièmement, avec la directive NIS 2, certaines entités devront s'enregistrer auprès de l'Anssi et notifier les incidents. Pouvez-vous nous indiquer ce que cela changera concrètement pour les collectivités, alors que les modalités précises restent encore à définir par décret ?
M. Vincent Strubel. - Je m'abstiendrai de répondre à la place de mon chef sur un certain nombre de questions relatives à la stratégie nationale de résilience. Je le ferais forcément beaucoup moins bien que lui, et il serait très heureux d'y répondre lui-même.
Oui, nous avons une collaboration étroite de longue date et qui se structure de plus en plus avec la gendarmerie nationale et avec les forces de sécurité intérieure de manière générale. Sur une grande partie du territoire, ce « dernier kilomètre » est couvert essentiellement par la gendarmerie nationale. Cette collaboration prend différentes formes : messages de sensibilisation synchronisés, mise en oeuvre d'outils de diagnostic que nous avons fait converger... De fait, lorsque l'on aborde le sujet de la cybersécurité, la première question à se poser est : par quoi commence-t-on ? Pour y répondre, il faut poser un diagnostic, et je trouve que, sur ce plan, la collaboration fonctionne très bien. La gendarmerie y contribue par ses forces d'active, mais aussi par ses réservistes, qui constituent un cadre de réserve fortement mobilisé sur ces sujets.
Évidemment, cela n'épuise pas le sujet du « dernier kilomètre ». Je souhaite que nous inscrivions dans la durée les liens noués avec les associations d'élus lors de la consultation sur la directive NIS 2. Nous avons, depuis 2023, travaillé avec l'ensemble des associations d'élus pour préparer ce cadre national de déclinaison de NIS 2. Ce lien fort devra être conservé dans la mise en oeuvre et, plus généralement, dans la sensibilisation et la diffusion de fiches réflexes ou d'autres outils de ce type. Les chambres consulaires sont aussi des relais importants.
De manière générale, ce travail et ces dynamiques locales ne peuvent qu'être encouragés. Il convient de s'inspirer des expériences qui ont fonctionné et d'essayer de les généraliser, tout en laissant une place à l'initiative locale. Cet enjeu de gouvernance renouvelée trouve toute sa place dans la stratégie nationale de cybersécurité.
Des outils de portée nationale peuvent aussi y contribuer. Nous aurons énormément gagné le jour où nous aurons collectivement fait en sorte que l'ensemble de nos concitoyens aient le réflexe 17Cyber. Le 17Cyber est un formidable outil, qui permet que l'on continue d'oeuvrer à la mise en relation de tous les intervenants pertinents potentiels en cas d'acte de cybermalveillance au sens large. Il convient de marteler ce discours et d'intégrer l'outil dans la prévention à grande échelle.
À ce stade de l'examen du projet de loi de transposition de la directive NIS 2, il est proposé que seules certaines collectivités soient soumises à des obligations : les communes de moins de 30 000 habitants ne seront concernées qu'au travers de leur intercommunalité de rattachement. Je pense que personne n'a envie d'imposer des contraintes fortes aux petites communes. En revanche, les intercommunalités sont un lieu qui peut assumer un certain nombre d'obligations mutualisées. Ces obligations seront basiques pour la grande majorité d'entre elles, qui sont des « entités importantes » - c'est le niveau de base. Les plus grandes collectivités - les conseils régionaux et les conseils départementaux, par exemple - seront astreintes à des obligations supplémentaires, en tant qu'« entités essentielles ». Toutes auront l'obligation d'enregistrer et de notifier les incidents à l'Anssi, ce qui, me semble-t-il, ne représentera pas une grande charge. Il est nécessaire de faire passer ce message auprès de tous, afin de les aider.
Nous mettons là en oeuvre à grande échelle notre rôle potentiel de « cyberpompier », en lien avec tout l'écosystème de premiers répondants, de Csirt territoriaux et de prestataires qui peuvent être mobilisés. Mais, pour que les acteurs de toute nature susceptibles d'aider à la suite d'une cyberattaque se mobilisent, il faut qu'ils aient l'information. Or, aujourd'hui, cette information manque. Par conséquent, l'identification des victimes potentielles et la diffusion de l'information sur les attaques sont nécessaires pour que nous puissions aider et passer des alertes à plus grande échelle. De fait, on observe une forme de propagation des attaques : une attaque qui a lieu peut en précéder une autre, qui visera le voisin ou un autre acteur de la même chaîne de valeur économique. Cette mission d'alerte précoce nous permettra de limiter la casse.
M. Cédric Perrin, président de la commission des affaires étrangères. - Merci beaucoup, monsieur le directeur, de votre intervention.
Je remercie la délégation aux collectivités territoriales d'avoir pris l'initiative de cette audition. Il était important que nous puissions défricher un peu le terrain.
Nous aurons d'autres occasions de nous rencontrer et d'échanger sur ces sujets dans le cadre des travaux de notre commission.
M. Bernard Delcros, président de la délégation aux collectivités territoriales. - Merci, Monsieur le directeur général, pour l'ensemble de ces informations et les réponses très précises aux questions qui ont été posées.
Nous voyons bien que, sur ce sujet, les collectivités sont concernées en premier lieu. L'enjeu de sécurité est partout. Il est dans les territoires, quelles que soient les formes que revêtent les attaques.
Des progrès doivent encore être accomplis en matière d'information, de formation et d'outillage auprès des maires. De nouveaux maires viennent d'être élus. Il faut mener un travail pour que chacun prenne la mesure des enjeux, dispose d'outils pour agir efficacement et trouve les bons interlocuteurs pour faire face aux crises qui ne manqueront pas de se présenter.
Merci à Cédric Perrin de nous avoir permis de mener cette audition en commun.
La réunion est close à 18 h 15.