Lundi 6 juillet 2026
- Présidence de Mme Dominique Estrosi Sassone, présidente -
La réunion est ouverte à 15 h 00.
Proposition de loi, adoptée par l'Assemblée nationale, pour une montagne vivante et souveraine - Examen des amendements au texte de la commission
Mme Dominique Estrosi Sassone, présidente. - Nous examinons les amendements au texte de la commission sur la proposition de loi pour une montagne vivante et souveraine.
M. Jean-Marc Boyer, rapporteur. - Mes chers collègues, 101 amendements ont été déposés sur le texte de la commission, dont 62 relèvent de notre commission. Deux d'entre eux ont été retirés et un autre a été jugé irrecevable au titre de l'article 40 de la Constitution par la commission des finances.
L'application du périmètre retenu au titre de l'article 45 de la Constitution, que nous avons fixé en commission, nous conduit à déclarer irrecevables 17 amendements, notamment relatifs au régime des terres pastorales. Il nous restera donc 42 amendements à examiner, dont 2 émanent du Gouvernement.
Je vous propose un avis défavorable sur les amendements visant à revenir sur les acquis de la commission, notamment les demandes de suppression d'articles ou de dispositions introduites par la commission ou qui, au contraire, tendent à rétablir des dispositions supprimées par la commission.
Mon avis est également défavorable sur les amendements satisfaits par le droit existant ou par le texte de la proposition de loi ou redondants, sur les demandes de rapport ainsi que sur ceux qui, pour sécuriser les procédures, les complexifient à l'excès, en ajoutant des conditions de fond ou des validations supplémentaires. Je vous proposerai d'émettre un avis de sagesse sur l'amendement n° 7, qui vise à faciliter l'urbanisation en continuité de petits groupes de constructions.
L'avis sera également défavorable sur les amendements déjà rejetés en commission, à l'exception des trois amendements précisant que les abris de bergers et les cabanes pastorales sont bien autorisés en discontinuité. En effet, même si la loi le prévoit déjà, les débats en commission ont fait apparaître un besoin de clarification sur ce point : ces abris et ces cabanes, dès lors qu'ils sont nécessaires à l'activité pastorale, sont autorisés au titre de la réglementation de l'urbanisme, même si d'autres réglementations, environnementales par exemple, peuvent, en l'espèce s'y opposer. Par ailleurs, la construction d'abris de bergers à usage récréatif ou touristique est interdite et doit le demeurer. À cet égard, je remercie Sylviane Noël et Martine Berthet qui ont bien voulu rectifier légèrement la rédaction de leurs amendements pour sécuriser cette précision.
Mon avis sera en revanche défavorable sur les amendements identiques qui prévoient que les dispositifs de soutien à l'agriculture de montagne existants puissent également financer les outils de production, à savoir les laiteries, les abattoirs, les fromageries, etc. À enveloppe constante de financements, cela ne pourrait se faire qu'au détriment du soutien à l'activité agricole.
Je vous propose par ailleurs de donner un avis de sagesse et un avis favorable aux deux amendements déposés par le Gouvernement. L'amendement n° 100 vise à supprimer l'article 7 bis, qui présente des fragilités constitutionnelles dont nous avions déjà fait état en commission. Après échanges avec le Gouvernement, il semble en effet plus sage de le supprimer. L'amendement n° 101 est un amendement de précision sur l'article 6 bis, qui encadre la procédure de reconstruction des ruines. L'avis est également favorable sur l'amendement de précision n° 31 rectifié et sur l'amendement n° 40, qui tend à prolonger logiquement l'extension du champ des bâtiments agricoles autorisés en discontinuité que nous avons faite en commission. Toutefois, la rédaction ne permet pas de déterminer clairement s'il s'agit d'une interdiction de changement de destination par rapport à la destination initiale du bâtiment ou par rapport à la destination autorisée au moment de l'autorisation de reconstruire donnée par le préfet.
Par ailleurs, il pourrait être difficile d'établir avec précision la destination primitive de ces constructions avec, en outre, le risque, si elles servaient d'hébergement aux bergers, de ne pas pouvoir s'opposer à leur transformation en résidences secondaires, puisque l'hébergement et le logement font partie de la même destination « habitation » au titre du code de l'urbanisme.
Le sous-amendement n° 102 à l'amendement n° 101 du Gouvernement que je vous propose vise donc à préciser explicitement que les reconstructions intégrales de chalets d'alpage ou de bâtiments d'estive ne pourront se faire qu'à des fins d'activité pastorale ou de pratique de la randonnée, comme cela est déjà autorisé pour les constructions nouvelles, respectivement par le 1° et le 2° de l'article L. 122-11 du code de l'urbanisme.
J'émets également un avis favorable à l'amendement n° 8 rectifié, qui permet au schéma de cohérence territoriale (Scot) de lever l'application de la loi Littoral dans les zones couvertes par la loi Montagne.
EXAMEN D'UN SOUS-AMENDEMENT DU RAPPORTEUR
Article 6 bis
Le sous-amendement n° 102 est adopté.
EXAMEN DES AMENDEMENTS AU TEXTE DE LA COMMISSION
La commission a donné les avis suivants sur les amendements dont elle est saisie, qui sont retracés dans le tableau ci-après :
Mme Dominique Estrosi Sassone, présidente. - Je vous rappelle que les articles 5, 11 et 11 ter, ainsi que les amendements portant articles additionnels rattachés à ces articles, délégués au fond à la commission de l'aménagement du territoire et du développement durable, seront examinés en priorité après les amendements identiques portant article additionnel après l'article 3 en vue de faciliter l'organisation des débats.
La réunion est close à 15 h 10.
Mardi 7 juillet 2026
- Présidence de Mme Dominique Estrosi Sassone, présidente -
La réunion est ouverte à 15 h 05.
Projet de loi visant la relance et la décentralisation du logement - Examen des amendements au texte de la commission
Mme Dominique Estrosi Sassone, présidente, rapporteur. - Nous examinons les amendements au texte de la commission sur le projet de loi visant la relance et la décentralisation du logement.
À l'issue du délai limite de dépôt des amendements fixé à vendredi dernier, 416 amendements ont été déposés sur ce projet de loi. S'y ajoutent un amendement déposé ultérieurement par le Gouvernement, un sous-amendement et une motion. Au total, outre la motion, 345 amendements relèvent de la compétence de notre commission, dont 7 ont été retirés avant la séance et 26 ont été déclarés irrecevables par la commission des finances.
Nous vous proposerons de déclarer irrecevables 7 amendements au titre de l'article 41 de la Constitution, car ils ne relèvent manifestement pas du domaine de la loi : il s'agit des amendements, déposés à l'article 1er, qui visent à modifier la composition du conseil d'administration de l'Agence nationale pour la rénovation urbaine (Anru), qui est fixée par décret, et de l'amendement de Mme Noël qui tend à abaisser le facteur de conversion de l'énergie finale en énergie primaire de l'électricité, même si ce sujet est important.
Nous vous proposerons également de déclarer irrecevables 116 amendements au titre de l'article 45 de la Constitution, car ils sont hors du périmètre du texte établi par notre commission. Cela concerne l'encadrement des loyers, la lutte contre les logements vacants, la police de la sécurité des immeubles, les objectifs de la politique énergétique, les meublés de tourisme, le régime général des baux d'habitation, la loi relative à la solidarité et au renouvellement urbains (SRU) et les expulsions, le bâti ancien et le régime des autorisations d'urbanisme. Cela montre combien le champ de ce projet de loi est resserré, laissant de côté de nombreux thèmes sur lesquels nous avons déjà travaillé et identifié des propositions.
En retranchant l'ensemble des amendements irrecevables, 191 amendements relevant de notre commission restent en discussion.
Mme Amel Gacquerre, rapporteure. - Sur ces amendements, nous vous proposerons d'émettre des avis favorables, à l'article 1er, à l'amendement n° 311 rectifié bis du groupe Socialiste, Écologiste et Républicain (SER), qui prévoit la concertation des habitants au troisième programme de renouvellement urbain ; à l'article 2, à l'amendement n° 297 rectifié bis du groupe SER, qui précise que les périmètres de développement du logement pourront être instaurés sur les territoires où des grands projets industriels provoquent un afflux de population.
À cet article, nous vous proposerons également un amendement visant à permettre le renouvellement deux fois - et non plus une seule fois - des périmètres de développement du logement lorsque l'insuffisance de l'offre de logements demeure caractérisée dans un territoire. Il s'agit de rassurer les opérateurs qui s'engageront pour produire du logement dans ces périmètres sur la possibilité de proroger d'autant les dérogations au plan local d'urbanisme (PLU) consenties, afin qu'elles puissent s'appliquer à l'ensemble des phases, dans des opérations complexes, dont la réalisation peut s'étaler sur plusieurs années. Je précise toutefois que les collectivités resteront maîtresses, d'une part, de proroger ou non le dispositif, d'autre part, d'accorder ou non les dérogations concernées : c'est donc simplement une faculté supplémentaire que nous leur offrons.
Nous vous proposerons également d'émettre des avis favorables, à l'article 6, aux amendements nos 301 rectifié ter du groupe SER et 382 rectifié bis de Mme de La Gontrie, qui visent à apporter des précisions utiles ; à l'article 6 bis, à l'amendement n° 208 rectifié de M. Bleunven, qui prévoit d'assouplir les règles de majorité en copropriété - de manière raisonnable - pour l'installation de protection solaire ainsi que le financement de ces travaux par le prêt collectif ; et aux amendements identiques nos 289 de M. Gremillet, 151 de Mme Havet et 353 du groupe Écologiste - Solidarité et Territoires (GEST), qui prévoient d'élargir la rédaction retenue par la commission en remplaçant le terme « climatisation » par le terme « rafraîchissement », ainsi qu'aux amendements identiques nos 21 rectifié bis de M. Canévet, 141 rectifié du groupe du Rassemblement Démocratique et Social Européen (RDSE) et 357 du groupe GEST, qui visent à obliger les architectes des Bâtiments de France (ABF) à prendre en compte le confort thermique dans leurs avis.
Nous vous proposerons un amendement rédactionnel à l'article 2 et deux amendements de coordination juridiques aux articles 6 et 6 bis.
Mme Dominique Estrosi Sassone, présidente, rapporteur. - À l'article 7, nous demanderons l'avis du Gouvernement sur les amendements qui concernent le dispositif « Seconde vie » outre-mer.
À l'article 8, nous vous proposerons des avis défavorables à tous les amendements visant à supprimer l'article ou à revenir sur les compétences des autorités organisatrices de l'habitat (AOH). Nous proposerons un avis favorable à l'amendement n° 152 rectifié bis de notre collègue Christine Lavarde qui étend la délégation des aides à la pierre et le statut d'AOH aux établissements publics territoriaux (EPT) du Grand Paris, compte tenu de la situation particulière de ce territoire. Nous demanderons l'avis du Gouvernement sur l'amendement no 102 de M. Fargeot et sur les amendements identiques nos 234 du groupe du RDSE et 325 rectifié du groupe SER, car ils concernent la compensation budgétaire des transferts de compétences.
S'agissant des compétences mêmes des AOH, nous vous proposerons d'émettre un avis de sagesse sur l'amendement no 378 rectifié de Mme de La Gontrie, qui vise à les étendre aux autorisations pour la Vefa-inversée (vente en l'état futur d'achèvement), et un avis favorable à l'amendement no 270 de Mme Havet, qui permet aux AOH de proposer des dérogations aux zonages. Par conséquent, nous demanderons le retrait des autres amendements concernant le rôle des AOH en matière de zonages.
À l'article 9, nous serons évidemment défavorables aux amendements visant à le rétablir. Nous serons favorables aux amendements nos 16 rectifié bis de Mme Lavarde, qui tire les conséquences de l'extension du statut d'AOH aux EPT.
À l'article 10, nous serons évidemment défavorables aux amendements, y compris du Gouvernement, qui visent à rétablir la rédaction initiale de l'article, ou à exposer de manière disproportionnée le maire dans les décisions d'attribution. Nous serons en revanche favorables à l'amendement no 418 du Gouvernement, s'il est rectifié, pour bien viser le classement des candidats et non le contingent préfectoral.
Enfin, après l'article 10, nous serons favorables à l'amendement n° 302 rectifié bis du groupe SER, ainsi qu'à l'amendement n° 250 rectifié de Mme Malet s'il est rendu identique, car ils permettent de simplifier les procédures de relogement outre-mer.
Nous vous proposons également un amendement de coordination juridique à l'article 10.
EXAMEN DES AMENDEMENTS DES RAPPORTEURS
Article 2
L'amendement rédactionnel n° 422 est adopté, de même que l'amendement n° 423.
Article 6
L'amendement de correction et de coordination juridiques n° 424 est adopté.
Article 6 bis
L'amendement de coordination juridique n° 425 est adopté.
Article 8
L'amendement de coordination juridique n° 426 est adopté.
Article 10
L'amendement de coordination juridique n° 427 est adopté.
EXAMEN D'UNE MOTION
Demande de renvoi à la commission
La commission émet un avis défavorable à la motion n° 57 tendant au renvoi à la commission du projet de loi.
EXAMEN DES AMENDEMENTS AU TEXTE DE LA COMMISSION
La commission a donné les avis suivants sur les amendements dont elle est saisie, qui sont retracés dans le tableau ci-après :
La réunion est close à 15h 15.
Mercredi 8 juillet 2026
- Présidence de Mme Dominique Estrosi Sassone, présidente -
La réunion est ouverte à 10 h 00.
Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information
Mme Dominique Estrosi Sassone, présidente. - Pour la dernière réunion de la commission des affaires économiques avant la suspension de nos travaux, nous avons le plaisir d'accueillir aujourd'hui devant notre commission Monsieur Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) depuis janvier 2023, pour évoquer avec lui l'état de la menace qui pèse sur nos entreprises, la situation des entreprises du secteur de la cybersécurité en France ou encore les questions soulevées par les progrès exponentiels des modèles d'intelligence artificielle en matière de cybersécurité. Ce sont des sujets qui nous préoccupent de plus en plus et, il y a quelques semaines, le sénateur Yannick Jadot m'avait demandé d'organiser une audition pour permettre à la commission d'être mieux informée. Il considérait à juste titre que les questions dont vous avez la charge et la responsabilité ne relevaient pas uniquement de la défense, mais qu'elles étaient aussi en lien avec les thèmes que nous abordons au sein de la commission des affaires économiques, en particulier celui des entreprises.
L'Agence nationale de la sécurité des systèmes d'information (Anssi), créée en 2009, est chargée de coordonner le champ de la défense et de la protection des systèmes d'information de la Nation face aux cyberattaques. C'est un service du Premier ministre, placé sous l'autorité du secrétaire général de la défense et de la sécurité nationale (SGDSN) chargé non seulement de la sécurité et de la résilience des administrations en matière cyber, mais également de celles de l'économie et de la société dans son ensemble.
Ces derniers mois, plusieurs cyberattaques de grande ampleur touchant des services de l'État ou des entreprises ont marqué les esprits, entraînant pour certaines d'entre elles des fuites de données massives : Fédération française de tir en octobre 2025, fichiers de police du ministère de l'Intérieur en décembre, le groupe La Poste au moment des fêtes de fin d'année ou l'Agence nationale des titres sécurisés (ANTS) en avril 2026. Ces quelques exemples ont donné l'impression que notre pays était très vulnérable et que des sites internet stratégiques pouvaient être bloqués ou nos données les plus sensibles être volées.
Aussi souhaiterions-nous que vous puissiez nous indiquer, monsieur le directeur général, les cybermenaces auxquelles sont exposés nos acteurs économiques en matière d'extorsion, d'espionnage et de sabotage, ainsi que votre évaluation de notre niveau de cybersécurité face à ces menaces de plus en plus élaborées. Nos entreprises sont-elles suffisamment protégées ? Comment les aidez-vous lorsqu'elles sont confrontées à des cyberattaques susceptibles d'entraîner des pertes financières considérables ou des perturbations de leurs chaînes d'approvisionnement ?
La cybersécurité est également un marché qui représente plus de 11 milliards d'euros. Le tissu industriel français de la cybersécurité, qui compte plus de 50 000 emplois, concentre des expertises clés dans de nombreux domaines : détection de menaces, analyse de code, cryptologie. Il est composé de grands groupes leaders mondiaux - Airbus, Capgemini, Orange Cyberdéfense, Thales -, mais aussi d'un vivier de start-up, de PME et d'ETI. Quel regard portez-vous sur ces différents acteurs ? Sont-ils aujourd'hui à la pointe mondiale de la technologie et en capacité de rivaliser avec leurs concurrents étrangers ? Peut-on considérer qu'ils permettent d'assurer la souveraineté numérique de la France dans le domaine de la cybersécurité ou sommes-nous, malgré tout, dépendants de technologies et d'acteurs américains comme dans d'autres secteurs du numérique ?
La cybersécurité n'échappe pas non plus aux bouleversements engendrés par l'intelligence artificielle, comme nous avons pu le voir récemment avec le modèle Mythos de l'entreprise américaine Anthropic, capable de détecter des vulnérabilités dans des logiciels qui n'avaient jamais été identifiées auparavant. L'Anssi a-t-elle pu avoir accès à Mythos ? Considérez-vous que les IA vont permettre d'élever considérablement notre niveau de cybersécurité ou les voyez-vous avant tout comme des outils susceptibles à la fois de démocratiser les cyberattaques et de les rendre toujours plus puissantes ou sophistiquées ?
Enfin, je souhaiterais que vous nous disiez comment la stratégie nationale de cybersécurité pour la période 2026-2030, qui a été présentée il y a quelques mois, entend répondre dans la durée à ces différents défis. À la suite de votre intervention liminaire, je donnerai la parole à Mme Anne-Catherine Loisier, qui est particulièrement investie sur les sujets du numérique, notre collègue Patrick Chaize n'étant pas là. Puis, je la donnerai à M. Yannick Jadot. Ensuite, bien évidemment, nous ouvrirons le débat et les échanges à l'ensemble de nos commissaires. Je rappelle que votre audition, monsieur le directeur général, fait l'objet d'une captation vidéo et qu'elle est diffusée en direct sur le site du Sénat. Je vous laisse bien volontiers la parole et je vous remercie encore de votre présence parmi nous.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - C'est la première fois que j'ai le plaisir et l'honneur de m'exprimer devant votre commission. Si je me livre régulièrement à cet exercice devant d'autres instances, notamment la commission des affaires étrangères, de la défense et des forces armées, il est essentiel d'approfondir le sujet dans cette configuration. Vous l'avez rappelé à juste titre, madame la présidente : si la cybersécurité a longtemps été cantonnée à la sphère régalienne et de la défense nationale, elle est devenue un phénomène aux impacts économiques majeurs, multiples et très structurants. C'est un enjeu de société qui concerne désormais chacun d'entre nous.
Je vais m'efforcer de répondre aux différents angles que vous avez mis en évidence, madame la présidente, même s'il sera difficile de tout couvrir. Je ne doute pas que certains points reviendront dans les questions, mais je voudrais vous proposer un tour d'horizon du problème, de la menace actuelle, de celle que nous anticipons et des réponses que nous y apportons, avec un focus naturel sur le secteur économique et la filière industrielle de la cybersécurité, qui est l'une de nos grandes forces.
Pour commencer par la source du problème, nous sommes aujourd'hui, et depuis déjà quelques années, dans une configuration de menaces fortes et élevées. Surtout - et c'est la nouveauté de ces cinq dernières années -, la menace n'épargne plus personne. Elle a longtemps été concentrée sur quelques acteurs stratégiques. Aujourd'hui, elle touche potentiellement toute organisation de l'État, toute administration, toute collectivité, toute entreprise, toute organisation de la société civile - nous voyons des associations victimes - et évidemment nos concitoyens.
Dans le cadre de cette menace, nous sommes confrontés à un triptyque d'attaquants qui poursuivent des finalités différentes. D'abord, les États et les services étatiques, qui constituent le coeur historique de la menace cyber à travers un espionnage permanent depuis au moins une vingtaine d'années. Une prépondérance d'acteurs affiliés à la Russie ou à la Chine, en particulier, mais pas uniquement, se servent régulièrement dans les données les plus sensibles de l'État et des entreprises. Nos entreprises stratégiques sont des cibles désignées et régulières de ces attaques depuis vingt ans. Cette menace étatique évolue également, sans abandonner l'espionnage, vers des logiques de sabotage que nous voyons à l'oeuvre en Ukraine depuis une bonne dizaine d'années et que nous voyons se rapprocher de nous sous différentes formes.
À cette menace historique s'est ajoutée plus récemment la criminalité organisée. Celle-ci s'est énormément structurée ces dernières années, est passée à un mode de fonctionnement très industriel et s'attaque à tout le monde. Elle a commencé par s'en prendre aux grandes entreprises, mais elle cible désormais tout le reste. Nos hôpitaux en ont parfois fait les frais alors même qu'ils ne peuvent pas payer de rançon. Nous avons réussi à mieux les protéger ces dernières années, mais ils ont été des victimes très visibles au départ. Nos entreprises, notamment les PME, et nos collectivités sont la cible d'attaques par rançongiciel, c'est-à-dire le blocage des infrastructures avec une demande de rançon pour les débloquer, et de plus en plus par des vols de données, sur lesquels je reviendrai.
Le troisième pan est la menace dite « activiste ». Aux contours beaucoup plus flous, elle relève plutôt de logiques réputationnelles, cherche à provoquer la sidération ou à faire des actions d'éclat pour marquer les esprits. Elle se revendique de différentes causes, s'inscrit parfois dans une logique de proxys pour des intérêts étatiques et se manifeste de manière très bruyante, en lien direct avec l'actualité géopolitique. Chaque fois que la France a fait un geste de soutien envers l'Ukraine, elle a subi des attaques de ce type, très visibles et pas forcément graves, mais en lien direct. Cette menace évolue de manière permanente, continue à se structurer et à s'industrialiser selon de vraies chaînes de valeur. Nous sommes face à de véritables entreprises criminelles avec une forme de spécialisation : certains groupes se spécialisent dans l'exploitation des données, d'autres dans l'accès initial. Il existe aussi des logiques de franchise qui ressemblent presque au McDonald's de la cybermenace, avec des acteurs qui fournissent des outils d'attaque à des franchisés qui mènent ensuite leurs propres affaires en respectant simplement quelques règles, notamment en termes de cibles.
Les frontières entre ces trois pans de la menace se brouillent de plus en plus. Les États restent certes à la pointe des capacités d'attaque les plus avancées, mais il y a une forme de ruissellement de ces capacités vers les autres cybercriminels. Une réutilisation très large d'outils et d'infrastructures fait que l'on a parfois du mal à savoir qui nous attaque précisément. Il y a de plus des logiques d'alignement idéologique. Certains groupes cybercriminels sont installés depuis toujours en Russie, sans être nullement inquiétés par les autorités locales, et se revendiquent d'une forme de patriotisme, ce qui soulève des interrogations sur les liens potentiellement profonds entre ces groupes et l'État russe. Il y a un mélange des genres : nous voyons des acteurs cybercriminels agir au profit d'États, ou des États agir dans le registre cybercriminel à des fins d'extorsion.
Nous sommes face à un paysage complexe à analyser et surtout à lire en cas d'attaque pour savoir qui nous vise. Tout cela engendre une pression extrêmement forte et permanente depuis déjà quelques années. Il n'y a pas de répit et tous les pans de notre société et de notre économie sont touchés. Plus personne n'est à l'abri. L'Anssi a notamment parmi ses missions celle de « cyberpompier » pour porter assistance aux victimes. Ce n'est pas notre seul rôle, car nous nous focalisons surtout sur la prévention, mais dans ce rôle d'assistance, nous sommes très régulièrement confrontés à des victimes qui nous demandent : « Mais pourquoi moi ? » Il n'y a pas forcément de raison spécifique. C'est simplement parce que c'était techniquement possible, que c'est tombé sur vous, que cela tombera sur quelqu'un d'autre et que, fondamentalement, sur le long terme, cela arrivera à tout le monde.
Nous sommes sur une marée haute de menaces qui continue à monter et dont nous ne connaissons pas le sommet. La volumétrie s'accroît d'année en année. Pour fixer les idées, nous avons traité 1 366 incidents en 2025, ce qui représente quatre incidents par jour en moyenne, vingt-quatre heures sur vingt-quatre. Cela représente une augmentation de volumétrie de 60 % en trois ans par rapport à 2022. L'Anssi ne traite évidemment pas tous les incidents ; nous n'intervenons que dans les cas les plus graves et lorsque l'on nous demande notre aide. Cette hausse continue, notamment à la faveur de l'épidémie de vols de données, qui connaît désormais une forme de régularité et de systématisation...
Cela est, en partie, le résultat d'une réorganisation de l'écosystème cybercriminel : des groupes qui pratiquaient l'extorsion par rançongiciel sont passés au vol de données, parce que c'est plus simple, que cela fonctionne et que cela rapporte. C'est aussi le fruit d'un phénomène plus spécifiquement français qui m'interpelle : une forme de criminalité endogène de très jeunes Français, généralement peu socialisés, qui se lancent dans des actions d'éclat par appât du gain et par recherche de mise en valeur. Ils sont à l'origine d'un certain nombre de ces attaques, notamment contre l'État.
Ces pratiques accroissent encore l'asymétrie fondamentale des cyberattaques : il a toujours fallu beaucoup plus de travail pour répondre à une attaque que pour la mener, les attaquants ayant moins d'efforts à fournir que les défenseurs. Dans les vols de données, c'est encore plus flagrant, d'autant qu'une part de ces vols s'inscrit dans des logiques de bluff ou d'exagération. Parmi les cas que nous avons traités en 2025, 60 % relevaient du bluff. Or, pour les équipes de l'Anssi ou des entreprises visées, investiguer un bluff demande exactement le même travail que pour une attaque réelle. Ce bluff n'est pas une manière de minimiser les choses, mais met en valeur cette asymétrie flagrante qui sature les équipes.
Cette situation est d'autant plus grave qu'une réaction en chaîne apparaît : quand on vole des données, on dérobe notamment des mots de passe qui nourriront les attaques de demain. Nous resterons dans cette réaction en chaîne tant que nous serons dans une situation de vulnérabilité universelle où les bonnes pratiques de base ne sont pas systématiquement appliquées.
Pour aborder le volet économique, ces attaques ont évidemment un coût. Personne ne sait le mesurer précisément, d'une part parce que c'est un phénomène très diffus qui touche tout le monde, notamment nos PME, et d'autre part parce que les impacts sont multiples. Une entreprise attaquée fait face à des coûts directs : la simple remédiation implique de réinstaller de nombreux ordinateurs et systèmes. S'y ajoute une perte de chiffre d'affaires qui peut aller jusqu'à la faillite. Il y a aussi des pertes réputationnelles difficiles à estimer et des effets de boule de neige dans les chaînes de valeur. Parmi les attaques marquantes au Royaume-Uni en 2025, celle subie par Jaguar Land Rover a fait l'objet d'une analyse économique complète. Elle aboutit à un coût total cumulé de plus de 2 milliards de livres, avec pour la première fois un impact calculé de l'attaque sur le PIB britannique. On passe ainsi d'un phénomène microéconomique à un phénomène macroéconomique. Je suis incapable de vous donner des statistiques uniques, car les chiffres circulants aboutissent tous à des résultats différents, mais le coût global se chiffre avec certitude en milliards d'euros. Derrière tout cela, il y a un coût caché et incalculable : celui de l'espionnage. Le vol des secrets technologiques, industriels, commerciaux et stratégiques de notre économie par des États au cours des vingt dernières années représente un coût astronomique et vraisemblablement incalculable. Cela écrase fondamentalement tous les autres coûts.
Tout cela n'est pas rassurant et, malheureusement, nous nous préparons à ce que ce soit pire, car les progrès de l'intelligence artificielle vont accroître la menace. L'IA agit d'ores et déjà comme un multiplicateur de force au profit des attaquants, qui s'en servent pour automatiser des tâches récurrentes et attaquer beaucoup plus vite et plus efficacement. Nous n'avons pas d'exemple convaincant d'attaque totalement autonome par l'IA aujourd'hui, mais des attaquants compétents peuvent cibler beaucoup plus de structures à la fois grâce à elle, ce qui accroît la pression.
L'autre facteur est l'explosion des vulnérabilités identifiées dans nos logiciels, mise en évidence par Mythos, qui permet de déceler des failles existant parfois depuis vingt ans. Fondamentalement, c'est une bonne chose qui nous aidera à résoudre le problème à terme, mais, à court terme, cette explosion de vulnérabilités à corriger va poser un défi de cadence et saturer toutes les équipes de cybersécurité et d'informatique. Cela va secouer pendant les trois prochaines années au moins, avant de déboucher sur une situation bien meilleure puisque nous aurons corrigé ces failles de base.
Mythos a beaucoup concentré l'attention, mais nous n'y avons pas eu accès, comme la plupart des gens à vrai dire. Il faut se rendre compte qu'il est l'arbre qui cache la forêt d'une tendance générale déjà avérée bien avant son apparition. D'autres modèles d'IA étaient déjà très performants et Mythos sera dépassé par les suivants, si ce n'est pas déjà le cas. Nous menons donc une action générale de test de l'ensemble des modèles d'IA auxquels nous pouvons accéder - qu'ils soient en accès libre ou via des accès spécifiques - pour mesurer cet accroissement de leurs capacités.
Derrière tout cela, la solution à court terme consiste en partie à anticiper et encaisser la vague des cyberattaques et des vulnérabilités nouvelles. Il s'agit surtout d'appliquer les bonnes pratiques de cybersécurité, et nous ne le dirons jamais assez. Elles ne sont pas systématiquement appliquées aujourd'hui, ce qui fait notre malheur. Face à l'intelligence artificielle, bien appliquer les pratiques élémentaires - cloisonnement, gestion des accès et des identités, mise à jour des logiciels, etc. - constitue notre premier rempart, et le plus efficace. C'est ce que nous martelons, tout comme nos homologues européens et américains.
Parmi les sources de menaces à venir, l'ordinateur quantique est une possibilité à un horizon de dix ans. Il apportera de nombreux bienfaits à l'humanité, mais il posera un problème majeur en matière de cybersécurité, car il cassera toute une partie de la cryptographie sur laquelle reposent nos protections. C'est un élément auquel nous nous préparons : si nous ne l'anticipons pas, tout ce que nous accomplirons d'ici là sera réduit à néant par son arrivée. Enfin, le contexte géopolitique se reflète directement dans la pression permanente que nous ressentons. La pression accrue, encouragée ou tolérée par un certain nombre d'États, y compris dans sa dimension cybercriminelle, se lit à l'aune de la géopolitique. Nous nous préparons à des scénarios d'escalade où tout se coordonnerait pour paralyser et déstabiliser la France, un scénario écrit et décrit dans la Revue nationale stratégique de 2025.
Face à ce constat vertigineux, nous avons de vraies réponses. La stratégie nationale de cybersécurité, publiée en début d'année, répond à ce défi en fixant des priorités claires et un enjeu de résilience à l'échelle de toute la nation pour encaisser ces vagues à venir de cyberattaques, nourries par l'intelligence artificielle, par l'ordinateur quantique et par le contexte géopolitique. Cela implique une mobilisation extrêmement forte de l'État, mais la stratégie pose le constat que l'État seul n'y arrivera pas et qu'il faut mobiliser l'ensemble de la société.
L'axe majeur reste la prévention. La meilleure défense en matière de cybersécurité, c'est la prévention. Cela peut sembler contre-intuitif, mais sans prévention efficace, le volet offensif ne sert guère. Cette prévention concerne en premier lieu l'État, qui a une obligation de faire mieux, mise en évidence par les vols de données de ces derniers mois. Il doit préserver nos missions les plus critiques et rétablir le contrat social implicite qui veut que, lorsque l'on confie des données à l'État, on s'attende à ce qu'elles soient protégées. Il y a manifestement une marge de progression. Cela passe par deux éléments. D'une part, par une feuille de route qui a été rendue publique pour la première fois et qui fixe les priorités des ministères avec de bonnes pratiques à systématiser, notamment en matière de gestion des authentifiants : l'authentification à double facteur, la lutte contre l'obsolescence, qui peuvent sembler des évidences, mais qui représentent un chantier titanesque à l'échelle d'un numérique de l'État qui n'a pas son pareil. L'État, en France, vous le savez, porte de nombreuses missions et nous sommes face à des milliers et des milliers d'applications mises en oeuvre ou de services numériques opérés par l'État qu'il faut sécuriser de manière systématique.
Le pendant de cette feuille de route est la réforme du numérique de l'État, annoncée par le Premier ministre lors de sa visite à l'Anssi : la création d'une future Ariane, autorité de l'IA et du numérique. Il s'agit d'une réforme non pas de l'Anssi, mais de la Dinum - la direction des services d'information (DSI) de l'État, en quelque sorte - pour rationaliser, pour essayer d'oeuvrer aussi sur cette complexité qui est notre principal facteur limitant aujourd'hui pour déployer la cybersécurité. Il s'agit donc d'obtenir un numérique de l'État plus efficace, plus maîtrisé et donc plus sécurisable. Le sujet va bien au-delà de l'État. Nous avons cet enjeu fondamental de sécuriser tout le tissu économique et social, de développer - j'aime beaucoup cette image - une immunité collective. Le parallèle avec l'épidémiologie se fait assez naturellement. Il ne s'agit pas d'éviter les maladies et les cyberattaques dans l'absolu - il s'en produira toujours -, mais d'éviter les épidémies galopantes et la propagation qui pourraient menacer des pans entiers de notre économie. Il s'agit de limiter les impacts, de limiter la vulnérabilité de nos entreprises, de nos collectivités et de nos administrations. Cela passe par de la formation, de la sensibilisation, de l'entraînement à grande échelle.
Cela passe également par une extension du cadre réglementaire, notamment à travers la transposition de la directive NIS 2 (Network and Information System Security), suspendue au calendrier parlementaire à l'Assemblée nationale. Cette directive est essentielle ; la France en a été l'un des principaux promoteurs lors de son élaboration européenne en 2022. Elle vise à fixer des règles de sécurité de base pour environ 20 000 entités en France, y compris des entreprises de taille intermédiaire ou moyenne. Elle vise aussi à donner à l'Anssi l'autorité qui lui fait cruellement défaut aujourd'hui. Actuellement, nous sommes une agence qui préconise, conseille et accompagne, mais qui n'a le pouvoir d'imposer des mesures qu'à environ 300 opérateurs d'importance vitale (OIV). Demain, la directive NIS 2 nous donnera la possibilité d'imposer, de contrôler et de sanctionner dans un champ beaucoup plus élargi, ce qui est nécessaire pour obtenir la maturité requise.
Évidemment, la régulation ne fait pas tout. Nous avons un véritable enjeu à matérialiser la valeur économique de la cybersécurité par des logiques de certification, de labellisation, par le travail avec les assureurs - qui n'est pas nouveau - et par le travail avec les banques qui, lorsqu'elles prêtent de l'argent, endossent, qu'elles le veuillent ou non, un risque de défaillance de l'emprunteur à la suite d'une cyberattaque, et donc à transformer cette logique de cybersécurité en logique d'investissement. Je suis convaincu, par l'expérience quotidienne de l'Anssi, qu'investir dans la cybersécurité coûte beaucoup moins cher que de faire du rattrapage lorsque les attaques se produisent. C'est donc un véritable message à faire percoler dans les sphères de gouvernance économique de manière générale. Enfin, nous avons un enjeu de sécurisation des technologies. Le volet amont consiste à porter des exigences vis-à-vis des éditeurs de logiciels notamment. Le cyber resilience act (CRA), autre règlement européen, va nous permettre de le faire pour les exigences de base. Il faut mobiliser l'IA, qui est une source d'inquiétude pour nous, mais aussi un levier de sécurisation, parce que trouver des vulnérabilités signifie les corriger.
Rendre cela systématique peut tarir au moins une partie du problème à la source en limitant les vulnérabilités dans les logiciels qui sont mis sur le marché. Dans tout cela, nous avons - ce sera le dernier volet de mon propos - un atout majeur en France, que n'ont pas certains de nos partenaires. Il s'agit d'une filière industrielle développée, compétente, experte, riche de sa diversité et de son excellence technique. Cette filière industrielle est un partenaire clé de l'Anssi, et ce n'est pas nouveau. Elle est au coeur d'un modèle français de cybersécurité un peu original, dans lequel nous avons cet acteur central interministériel, l'Anssi, spécialisé sur le volet défensif, sans missions offensives - qui sont portées par le ministère des armées -, qui intervient dans tous les champs et qui est souvent le chef d'orchestre d'une « équipe de France » au sens large, dans laquelle la filière industrielle joue un rôle clé. C'est ce qui nous permet, grâce à ce modèle assez distribué et collectif, de faire - je ne manque jamais une occasion de le rappeler - aussi bien que nos homologues allemands, qui sont trois fois plus nombreux que nous. Nous avons donc un modèle aujourd'hui hautement optimisé, qui repose en grande partie sur l'excellence de nos partenaires industriels. Nous avons un recours très systématique à des prestataires de services certifiés qui font le même métier que l'Anssi et qui interviennent partout où l'intervention de l'agence n'est pas strictement nécessaire. Ainsi, lorsque nous ne sommes pas face à une menace de niveau étatique extrêmement avancée, l'essentiel du travail de remédiation, par exemple, est fait par des prestataires privés qui travaillent main dans la main avec l'Anssi. Cette filière industrielle est une filière d'excellence. Elle s'est structurée ces dernières années à travers les visas de l'Anssi, c'est-à-dire des garanties, des assurances apportées par l'agence à la suite de la vérification de la qualité des produits ou des prestations. De manière générale, nos visas sont parmi les plus exigeants du monde, voire les plus exigeants. C'est donc un véritable gage de qualité que d'avoir autant d'offres françaises qui ont obtenu ces visas de sécurité, lesquels attestent qu'elles atteignent le plus haut niveau de sécurité vérifiable à l'échelle mondiale. C'est évidemment un enjeu de souveraineté également. Nous n'avons pas la capacité de fonctionner en autarcie dans le domaine numérique. Cependant, nous avons aujourd'hui la chance d'avoir dans le paysage industriel français des offres de très grande qualité qui couvrent les enjeux les plus fondamentaux, notamment la cryptographie ou l'évaluation de sécurité. Il faut donc veiller au moins à préserver ces fondamentaux, qui sont les technologies sans lesquelles on ne construit pas de souveraineté.
Évidemment, nous ne serons jamais totalement autarciques - ce ne serait ni réaliste ni désirable -, mais la maîtrise de quelques points clés est un enjeu essentiel. De plus, cette filière industrielle est un partenaire clé, et elle le deviendra de plus en plus dans ce changement d'échelle, dans cet effort de mobilisation générale, car l'État, là encore, ne fera pas tout, tout seul. Ce sont donc là tous les atouts de cette filière.
Il y a aussi, évidemment, des difficultés. Aujourd'hui, je tiens à souligner que c'est une filière qui souffre de manière conjoncturelle, en particulier de la non-transposition de la directive NIS 2. Celle-ci nous pose un problème en termes de capacité de l'Anssi à mener ses missions, mais elle a aussi un effet économique, un effet d'éviction sur les carnets de commandes des acteurs industriels qui proposent des solutions de cybersécurité. En effet, nous nous battons tous les jours pour faire passer le message qu'il ne faut pas attendre la loi pour se préparer, mais la réalité c'est que les entreprises qui sont les futurs assujettis à NIS 2 attendent la loi pour investir et, par conséquent, reportent des investissements dans la cybersécurité. Ce phénomène est rapporté de manière récurrente par la filière : tous nos acteurs industriels dans ce domaine ont vu leur carnet de commandes se vider dans l'attente d'un cadre réglementaire qui tarde à arriver. Ce n'est pas la seule source de problème. Nous avons une filière qui souffre en partie de son morcellement. Nous avons quelques grands acteurs - vous en avez cité un certain nombre, madame la présidente -, mais nous avons aussi une galaxie de pépites excellentes, qui souffrent cependant face à des leaders mondiaux beaucoup plus gros, beaucoup plus intégrés, et qui peuvent fournir à travers un seul carnet de commandes l'ensemble des solutions là où, en France, nous pouvons composer une offre qui est la somme de plusieurs offres cumulées, toutes excellentes, mais plus compliquées à acheter.
Face à ces enjeux, il y a fondamentalement plusieurs opportunités dans la phase que nous vivons, qui sont celles sur lesquelles je concentre l'attention de l'Anssi. D'abord, la consolidation des offres. Il y a un enjeu de consolidation des acteurs sur lequel je suis convaincu que l'État n'a pas forcément un rôle dominant. Ce sont les acteurs économiques qui sont concernés. Nous ne sommes pas là pour imposer des fusions-acquisitions ou des fusions entre acteurs économiques, mais il y a sans doute un enjeu à ce niveau. Nous agissons aussi sur la consolidation des offres en tant que telles, sans réunir les entreprises, pour élaborer des offres communes afin de répondre à ce changement d'échelle, pour répondre le mieux possible à un appel d'air qui sera créé tôt ou tard par la réglementation, par NIS 2, sur le marché domestique, avec un rôle clé d'acteurs bien positionnés pour aider en la matière : les Campus Cyber. Nous avons en France un certain nombre de Campus Cyber, l'un qui a été créé à l'initiative de l'État à vocation nationale en région parisienne, mais d'autres qui ont émergé spontanément dans les régions et qui travaillent tous ensemble. C'est une force de créer ces lieux où se rencontrent les offreurs et les demandeurs de solutions et où peut s'articuler un dialogue pour faire converger au mieux les besoins et les solutions. Une autre opportunité évidente : la filière française de cybersécurité peut et doit être en pointe sur les enjeux de sécurisation en amont, sur la sécurité dès la conception (security by design). C'est son marqueur historique ; elle s'est positionnée sur ce segment d'excellence. Elle doit être au rendez-vous du CRA, règlement européen qui portera ces exigences au niveau européen. Elle doit être au rendez-vous de la transition post-quantique et nous travaillons avec elle quotidiennement pour ne pas être en retard et, si possible, être en avance en la matière. Elle doit s'emparer le plus vite possible des outils de l'intelligence artificielle et des possibilités offertes par celle-ci pour améliorer sa sécurité.
Enfin, nous avons toujours un champ à investir au niveau de l'Europe. Le marché intérieur se structure à travers la réglementation. Des opportunités sont à ne pas manquer dans un certain nombre de textes aujourd'hui en discussion : la révision du Cyber Security Act qui est le cadre de certification européen, mais aussi la négociation en cours du Cloud and AI Developpement Act (CADA), le règlement européen sur le cloud et l'intelligence artificielle. Ce sont des opportunités de faire valoir à la fois nos spécificités, nos enjeux de souveraineté et la valeur technique de nos offres européennes.
Je ne serai pas plus long, ayant sans doute déjà été trop prolixe dans ce propos liminaire. Nous avons face à nous, évidemment, un défi énorme. Ce n'est pas nouveau, mais il se structure et prend une ampleur sans précédent. Cela appelle à un jeu plus collectif que jamais. La bonne nouvelle est que c'est dans nos habitudes que nous disposons aujourd'hui de ce collectif très fort, très soudé, et de forces réelles qu'il faut coordonner au mieux pour répondre à ce défi. J'ai été ravi de pouvoir en exposer les quelques éléments principaux devant vous.
Mme Dominique Estrosi Sassone, présidente. - Merci beaucoup, monsieur le directeur général, pour ces propos liminaires fort intéressants bien qu'inquiétants. Nous allons rester optimistes au regard de la fin de votre intervention, grâce aux atouts qui permettent à ceux qui sont moins familiarisés - dont je fais partie - de mieux appréhender ce sujet éminemment important pour notre souveraineté. Je laisse la parole à Anne-Catherine Loisier, puis à Yannick Jadot, avant d'ouvrir le débat aux autres commissaires.
Mme Anne-Catherine Loisier. - Je souhaiterais aborder quelques points préliminaires. Concernant le post-quantique, la cryptographie post-quantique est-elle aujourd'hui d'actualité ? Est-ce une réalité ? Vous l'avez évoquée à la fin de votre intervention et il me semble que nous nous y préparons. Y sommes-nous déjà, ou disposons-nous encore d'une marge de manoeuvre pour nous adapter à une menace post-quantique grandissante ?
Par ailleurs, vous évoquez souvent la maîtrise de nos dépendances numériques. Vous avez parlé d'autarcie et de l'impossibilité d'y parvenir. Pour autant, les efforts accomplis ces dernières années nous permettent-ils d'atteindre un certain niveau d'indépendance par rapport aux grands fournisseurs étrangers ?
J'en viens à trois points très pratiques. Vous avez beaucoup évoqué - et madame la présidente l'a également fait - les cybermenaces pesant sur un certain nombre de grandes infrastructures. Je souhaiterais revenir sur les infrastructures critiques. Il est vrai que c'est peut-être davantage la commission de la défense qui vous interroge habituellement sur ces sujets, mais nous sommes ici particulièrement intéressés par les aspects énergétiques et de télécommunications, notamment. Nous avons constaté que des actes de cybermenace se multiplient, comme en Pologne et en Norvège dernièrement. La France est-elle donc en capacité de faire face à des attaques de grande ampleur sur son réseau électrique ou sur ses centrales nucléaires ? Comment appréhendez-vous ces réalités ?
Concernant le SecNumCloud, l'Anssi a observé ces derniers temps des attaques de plus en plus importantes contre les environnements cloud, avec des cas de chiffrement des données hébergées sur Amazon Web Services ou chez d'autres fournisseurs. Or, à ma connaissance, seulement cinq offres SecNumCloud sont aujourd'hui qualifiées - vous me confirmerez ce chiffre. Comment comptez-vous donc accélérer la qualification des solutions de cloud souverain, notamment pour les données sensibles de l'État ?
Enfin, s'agissant du Cyber Resilience Act, que vous avez aussi évoqué et qui entrera en application en 2027, il imposera aux fabricants de produits numériques de signaler à l'Anssi les vulnérabilités de plus en plus exploitées sur leurs produits. À ce jour, là aussi, seulement une quinzaine de vulnérabilités significatives auraient été déclarées.
Est-ce vrai ? Doit-on comprendre, derrière ce que vous pointez du doigt, un manque de sensibilisation ou peut-être un manque de vigilance, de prise de conscience de la part des entreprises sur la nécessité d'anticiper les risques, de partager et de collaborer avec l'Anssi pour que nous puissions développer des pare-feux ou, en tout cas, nous adapter à ces attaques ?
M. Yannick Jadot. - Il est vrai que le sujet est un peu obscur, mais il est bien que nous nous y intéressions, car, évidemment, la menace est forte. Il y a une dizaine ou une quinzaine d'années, lorsque nous discutions avec les services de sécurité et de renseignement, il y avait tout de même cette idée que la France, par rapport à un certain nombre de ses partenaires européens, sous-estimait la menace russe. Considérez-vous que, d'une certaine façon, nous avons rattrapé notre retard par rapport à cette menace ?
Au fond - et l'on voit bien à quel point la politique et l'économie sont intimement liées -, on peut imaginer qu'à travers des vols de données, c'est aussi la possibilité de ce que l'on appelle aujourd'hui les « kompromats », c'est-à-dire d'interférer dans la politique, mais aussi dans l'économie, par le chantage sur un certain nombre de personnes qui pourraient être coupables par ailleurs d'autres faits.
Nous parlons beaucoup de souveraineté et nous défendons cette idée de la souveraineté numérique. N'y a-t-il pas là une forme de dilemme pour nous à construire cette souveraineté ? On voit à quel point, par exemple, notre dépendance au numérique américain devient un enjeu. Être souverain, est-ce potentiellement être plus vulnérable ? Ne vaut-il pas mieux dépendre de Microsoft en se disant que cette entreprise a tout de même les moyens de protéger ses logiciels, des moyens extraordinaires ? À l'inverse, si nous développons nos propres outils, seront-ils aussi robustes ? Ou bien développer nos propres outils numériques européens en mettant cette question de la cybersécurité au coeur de nos dispositifs nous permet-il d'acquérir un avantage comparatif ? En d'autres termes, construire nos propres outils pour moins dépendre des Américains, comme nous l'avons vu avec Palantir, nous renforce-t-il ou nous rend-il plus vulnérables ?
De la même façon, aujourd'hui, le commerce de données est un commerce majeur. On ne peut pas prendre un billet de musée sur internet sans créer un compte, sans donner des informations personnelles dont on ne voit pas bien l'utilité, ne serait-ce que pour acheter un billet. Nous donnons en permanence des données personnelles partout, si bien que nous sommes évidemment vulnérables au vol de données. Par conséquent, ne faut-il pas prévoir un encadrement beaucoup plus strict de la communication permanente de nos informations personnelles et de nos données ?
Enfin, dernier point : la question de la coopération internationale et des contre-attaques. Lorsqu'il s'est avéré que des organisations mafieuses agissaient sous l'autorité du pouvoir russe, le président Biden avait menacé d'énormes cyberattaques américaines sur l'économie russe, ce qui avait semblé atténuer les attaques russes. Les États ou l'Union européenne disposent-ils aussi d'une capacité de contre-offensive pour atténuer la menace face à des états voyous qui abritent ces entreprises de cybermenaces ?
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Je vais m'efforcer de répondre à toutes ces questions, éventuellement en les regroupant. J'en évacue simplement une sur la collecte des informations personnelles, monsieur Jadot, non pas pour me défiler, mais pour rappeler que la réglementation relative aux données personnelles est plutôt du ressort de la Commission nationale de l'informatique et des libertés (Cnil). Je ne me prononcerai pas à sa place sur la collecte ou non de telle ou telle donnée personnelle. Il lui appartient de donner sa vision des choses sur le sujet.
Pour commencer par le sujet de la souveraineté numérique au sens large, qui transparaît dans vos questions, madame Loisier et monsieur Jadot, je rappellerai tout d'abord que le terme de « souveraineté numérique » a été très galvaudé ces derniers temps. Il est louable, fondamentalement, que nous en discutions, que nous en parlions, car c'est un véritable sujet. La contrepartie est que, parfois, nous sommes sur des simplifications à l'extrême d'un sujet extrêmement complexe, voire sur une lecture un peu marketing pour certains, ce qui est normal et n'a rien de péjoratif.
Pour ma part, je commencerai par rappeler que la souveraineté recouvre plusieurs choses. Ce n'est pas seulement avoir des logiciels ou du numérique français ou européen. C'est d'abord ne pas être une victime facile des cyberattaques, ne pas avoir des vulnérabilités techniques telles que l'on soit à la merci du premier attaquant venu. Cela constitue le coeur du métier de l'Anssi : faire de la prévention, de la réaction également, mais surtout de la prévention autant que possible, pour relever ce niveau de maturité, pour tendre vers cette immunité collective que j'ai mentionnée et ne pas être à la merci des premières attaques venues.
C'est ensuite faire respecter notre droit, imposer nos règles, qui sont élaborées par le peuple souverain représenté par ses élus - tout cela figure vers le début d'un document important que vous avez aussi bien en tête que moi. Il s'agit donc de ne pas subir des règles décidées par d'autres, que ce soient les règles potentielles du marché ou celles d'autres États à portée extraterritoriale.
Enfin, c'est évidemment avoir une liberté de choix et d'usage des technologies critiques. Il faut donc agir sur ces trois pans : porter un niveau d'exigence technique, imposer nos règles sans être soumis à celles des autres, et disposer de suffisamment d'alternatives, qu'il s'agisse d'offres européennes, de technologies libres d'accès en open source, d'autres solutions de ce type, ou encore d'une intensité concurrentielle suffisante sur certains types de produits, qui peut suffire à ne pas être pieds et poings liés.
Il ne s'agit pas de remplacer un monopole non européen par un monopole européen, ni de remplacer un monopole par un autre. Il faut donc agir sur ces trois plans. Le dernier est celui qui est le moins dans le champ de compétence de l'Anssi. Il y a des enjeux de politique industrielle, sur lesquels l'Anssi contribue, mais n'est pas meneuse. C'est davantage le travail de Bercy, mais, évidemment, nous y contribuons et nous en mesurons bien l'importance. Les autres pans sont au coeur de ce que nous avons fait, notamment sur SecNumCloud. C'est la réponse à ces enjeux sur le cloud, qui est une évolution très structurante du paysage numérique depuis une bonne dizaine d'années, sur lequel nous avons imposé un référentiel qui est le plus exigeant - là encore - au monde, vraisemblablement. Il porte à la fois des exigences techniques, pour ne pas être à la merci d'une cyberattaque t et pour ne pas avoir de vulnérabilités techniques, et des exigences de droits applicables pour garantir, autant que l'on puisse le faire, que les données que l'on confie à un prestataire qui bénéficie de cette certification de l'Anssi ne sont pas captables par des autorités étrangères au regard du droit extraterritorial, et que le service ne peut pas être coupé brutalement avec ce que l'on a appelé le « kill switch », à l'instar de ce qui a été subi par la Cour pénale internationale à la suite d'une demande de blocage d'exportation de l'administration Trump. Tout cela, nous le prenons en compte sur le cloud. Cela ne répond pas - et ce n'est pas sa vocation - au besoin de créer des géants européens du cloud compétitifs face aux géants américains, notamment. Cela traite cependant un pan du problème, et un pan important, avec de vraies garanties. C'est un vrai succès aujourd'hui ; c'est un élément qui est au centre de la politique de l'État en matière d'usage du cloud, de la circulaire « Cloud au centre », qui fixe les enjeux en la matière, de notre cadre légal, puisque la loi visant à sécuriser et à réguler l'espace numérique (SREN) de 2024 a imposé le recours à ces offres pour les usages sensibles de l'État et des établissements publics. C'est aussi un élément dont s'empare beaucoup le secteur privé, et c'est une très bonne chose. De grands opérateurs privés, de grandes entreprises françaises utilisent de plus en plus ce label de confiance qu'est SecNumCloud pour leurs usages les plus sensibles. Nous avons aujourd'hui, je crois, dix-sept offres qualifiées ; il y a donc un vrai succès et un vrai emballement.
Je m'en félicite, tout en gardant à l'esprit que nous avons - et cela illustre la question du morcellement que j'évoquais dans mon propos liminaire - dix-sept offres françaises ou européennes qualifiées SecNumCloud, alors que le marché du cloud est pourtant très largement dominé par trois acteurs. Il y a peut-être aussi des enjeux de consolidation derrière tout cela. Ce n'est pas le rôle de l'État d'être à la manoeuvre, mais il faut garder cette réalité en tête. Le signe très positif est qu'à travers SecNumCloud, comme d'autres labels délivrés par l'Anssi, nous pouvons attester que des offres françaises obtiennent le meilleur niveau de sécurité. Il y a donc un enjeu à ne pas remplacer des offres non européennes soumises au droit extraterritorial, mais de très haut niveau de qualité, par des offres européennes mieux loties en termes de droits.
La réalité est que les offres européennes et françaises sont d'un niveau technique très compétitif et réellement excellent dans un certain nombre de domaines. Il faut donc plutôt se rassurer sur ce plan.
Les infrastructures critiques font également partie des enjeux de souveraineté. Quand je dis « ne pas être une victime facile », il est évident que si un État tiers peut couper le courant en France ou nos réseaux de télécommunication par une simple cyberattaque, nous ne pouvons pas nous prétendre souverains. C'est un sujet sur lequel la France a été en pointe. Nous avons été les premiers au monde à imposer des règles de cybersécurité à nos opérateurs critiques, ce qui a été fait par la loi de programmation militaire de 2013, qui porte un certain nombre d'articles dans le code de la défense. Tel est donc le cadre de régulation dont nous disposons aujourd'hui, mis en oeuvre par l'Anssi auprès des opérateurs d'importance vitale. C'est sur ce point que nous avons focalisé nos efforts.
Cela ne veut pas dire que tout est parfait et qu'il faut dormir tranquilles. La cybersécurité est une grande école d'humilité permanente. Nous poursuivons nos efforts d'accompagnement de ces opérateurs d'importance vitale, mais c'est peut-être le volet qui m'inquiète le moins. Le défi, aujourd'hui, est donc tout le reste, qui est beaucoup plus vulnérable et qui peut être, en tant que tel, une source de problème. Pour le dire de manière crue : si nos centrales électriques, nos réseaux de télécommunications et nos réseaux de transport fonctionnent, mais que tout le reste est mis à plat par des cyberattaques - s'il n'y a plus d'école, plus de magasins, plus d'économie de manière générale -, nous serons quand même dans une situation peu réjouissante.
L'angle de notre travail aujourd'hui est de porter ces mesures de sécurité à cette l'échelle. Le secteur de la finance fait partie de ceux qui sont les plus mûrs en la matière. Vous avez mentionné l'électricité, l'énergie au sens large, les télécoms et la finance. Ce sont pour moi trois secteurs « super critiques », parce que non seulement ils sont critiques en tant que tels, mais leurs défaillances entraînent ensuite des défaillances en boule de neige. C'est donc ce sur quoi nous avons porté nos efforts en particulier. Les opérateurs télécoms sont les acteurs les plus régulés en France pour de nombreuses bonnes raisons. Nous les pratiquons au quotidien. Le secteur financier a investi très tôt dans la cybersécurité parce qu'il a de l'argent à mettre sur la table, naturellement, et parce qu'il a très vite perçu le risque direct en termes financiers.
Un risque sur lequel nous devons continuer à travailler est le risque macroéconomique : les banques sont très bien sécurisées, mais si les entreprises auxquelles elles ont prêté de l'argent font faillite à la suite de cyberattaques, elles auront un autre type de problème. Il faut donc faire percoler, là encore, ce risque cyber dans le risque opérationnel financier. C'est un véritable sujet de travail aujourd'hui.
Concernant la menace russe, il me semble que nous ne l'avons à aucun moment sous-estimée dans le cyberespace. En tout cas, je peux parler pour la cybersécurité. Nous y sommes confrontés de manière quotidienne, donc nous y travaillons depuis toujours. Ce n'est pas la seule source de menaces et, d'une certaine manière, le travail que nous menons, notamment en matière de prévention, est agnostique. Nous ne nous protégeons pas d'une menace spécifique, nous nous protégeons de l'ensemble des menaces. Dans les faits constatés, les acteurs affiliés d'une manière ou d'une autre à la Russie - j'emploie toujours des précautions de langage, car il appartient plutôt à l'autorité politique de désigner nommément un État comme nous attaquant - et les acteurs affiliés à la Chine sont une présence permanente dans le paysage. Nous travaillons constamment sur des opérations d'espionnage, notamment menées par ce type d'acteurs. Ce sont des actions qui se construisent dans le temps long. Nous avons d'ailleurs, pour la première fois en 2025, et ce n'est qu'une première, dénoncé formellement au niveau politique les menaces et les attaques menées depuis une dizaine d'années par un groupe d'attaquants russes, émanation du GRU, le renseignement militaire russe, avec des attaques qui ont pour cible nos entreprises, nos réseaux diplomatiques et également nos campagnes électorales. C'est une manière de mettre en évidence cette menace.
Cela m'amène à la question de la forme de dissuasion vis-à-vis des États qui nous attaquent. Évidemment, quand nous faisons une attribution publique de cette nature, il ne s'agit pas de dissuader. Personne, à mon sens, ne s'imagine que, lorsque la France dénonce les attaques menées par la Russie, celle-ci va présenter ses excuses et promettre de ne pas recommencer. Nous ne sommes pas dans cette situation à l'échelle mondiale. En revanche, c'est utile pour documenter cette menace, pour la rendre plus visible, plus détectable, et donc affaiblir en quelque sorte l'attaquant, car on contribue à cette immunité collective. C'est utile pour mettre la Russie face à ses contradictions. Elle porte elle-même dans les enceintes onusiennes un certain nombre de propositions relatives à la responsabilité des États. En matière de lutte contre les cyberattaques, il s'agirait d'être cohérent, puisque les attaques menées par ces acteurs russes ne sont pas du tout tolérables au regard des propositions formulées dans le cadre onusien.
L'État français a une doctrine claire en la matière, qui est de mobiliser en tant que de besoin et au cas par cas l'ensemble des leviers pour répondre à un État qui attaquerait la France. Le levier cyber offensif en fait partie, et nous disposons de capacités qui sont de la responsabilité du ministère des armées. Il y a donc des capacités offensives dont l'usage est couvert par le secret de la défense nationale, mais dont l'existence n'a rien de secret, qui sont portées par le ministère des armées. Néanmoins, il faut être très prudent face à une lecture qui verrait dans les attaques cybernétiques une manière de répondre à d'autres attaques cybernétiques. Ce n'est pas le levier le plus efficace, déjà parce que ce ne sont pas forcément des actions qui ont le même impact. Pour prendre un exemple très simple plutôt que de rester sur la théorie : si un hôpital français était attaqué et paralysé par des acteurs russes - nous sommes alors plutôt dans le registre cybercriminel, mais il y a de fait une forme de tolérance de l'État russe vis-à-vis des organisations criminelles qui mènent ce type d'attaque -, peut-on imaginer que notre réponse serait de mener une attaque contre un hôpital moscovite ? Il ne me semble pas, d'une part, que ce soit conforme à nos valeurs. Il ne me semble pas non plus, malheureusement, que cela ait le même pouvoir dissuasif, compte tenu d'une perception de ces enjeux qui est différente dans nos sociétés démocratiques et dans la société russe. Il y a donc d'autres leviers qui peuvent être mobilisés : les leviers économiques, les sanctions économiques, notamment au niveau européen. C'est un sujet sur lequel nous travaillons, parce que c'est une bonne manière de répondre à des attaques étatiques. D'autres leviers peuvent être mobilisés comme le levier diplomatique et, à l'extrême, le levier militaire, parce que rien n'indique que les attaques cybernétiques restent forcément sous le seuil. Nous sommes donc sur une posture qui est la mobilisation de l'ensemble des leviers possibles. Tout comme face à la menace cybercriminelle, le levier judiciaire est naturellement privilégié et porte ses fruits. Nous arrivons à arrêter des cyberattaquants quand ils sont en France ou dans des pays qui ont des accords d'extradition. Même quand ils sont en Russie, nous arrivons quand même à leur compliquer la vie, à les empêcher de franchir des frontières, à saisir leurs avoirs et à démanteler leurs infrastructures numériques. Un travail collectif et de coopération internationale est mené, notamment par le parquet et sa section J3, par l'ensemble des services enquêteurs, auquel contribue l'Anssi. La coopération internationale se structure aussi à travers ces coopérations judiciaires, mais pas uniquement. Nous avons une coopération riche avec nos partenaires européens et nos partenaires de l'Organisation du traité de l'Atlantique Nord (OTAN), afin de nous alerter mutuellement des attaques, de mettre en commun nos connaissances, de publier et d'attribuer en commun. Il s'agit d'une logique intéressante pour documenter la menace. C'est donc une réalité, et cela nous rend plus forts.
Pour me tourner vers l'avenir, en espérant ne rien oublier, le CRA est un avenir très proche. Il entrera en application complète en 2027, mais dès le 11 septembre 2026, l'obligation de notification à l'Anssi ou à ses homologues européens des vulnérabilités dans les logiciels sera applicable. Il s'agit donc d'une application graduée, ce qui est une excellente chose. Aujourd'hui, beaucoup d'entreprises et d'éditeurs de logiciels signalent proactivement leurs vulnérabilités. Il y a une bonne pratique assez répandue en la matière, mais tous ne l'appliquent pas. Il y a un besoin de systématiser, et c'est là qu'intervient le levier réglementaire. De même, l'Anssi est habituée, avant même le CRA, à recevoir des informations de cette nature de la part des entreprises, mais aussi de la part de lanceurs d'alerte. Nous avons des cadres de protection des lanceurs d'alerte - des hackers éthiques, par exemple - qui nous signalent quelques centaines de vulnérabilités par an. L'Anssi protège ces personnes si elles ont besoin de l'être, parce qu'elles ont un tout petit peu mordu la ligne du droit, et qui font oeuvre pour le bien commun en nous signalant des vulnérabilités que nous faisons corriger ensuite. De fait, le CRA va nous permettre de rendre cela systématique, tout comme il permettra de systématiser d'autres bonnes pratiques : le fait de fournir des mises à jour de sécurité et des correctifs, gratuitement et pendant une durée garantie. C'est une bonne pratique, mais elle n'est pas systématique. Il est donc nécessaire de la rendre obligatoire.
Pour nous tourner un peu plus loin vers le futur, évoquons l'ordinateur quantique. La réalité est que personne ne sait dire quand un ordinateur quantique sera mis au point, en tout cas un ordinateur quantique permettant de casser la cryptographie que nous utilisons tous les jours. L'estimation généralement consensuelle est que c'est une question d'une dizaine d'années. On s'attend donc à ce que cela émerge dans la décennie à venir. Il ne faut pas attendre ce moment-là. Il faut s'y préparer, parce qu'au moment où cela émergera, cela cassera toute la cryptographie, qui est la base de tout ce que nous faisons en matière de cybersécurité. Toute la cybersécurité, tôt ou tard, se ramène à un mécanisme de cryptographie qui sera potentiellement cassé par l'ordinateur quantique. Les solutions existent. La cryptographie post-quantique a été normalisée au niveau international avec, comme d'habitude dans ce genre d'exercice, une école de cryptographie française qui a brillé et qui a été à l'origine de bon nombre de propositions aujourd'hui standardisées. Le problème qui se pose à nous est un problème de déploiement, et donc de faire en sorte que ces mécanismes soient intégrés dans l'ensemble des logiciels. Nous avons plusieurs leviers que nous mobilisons en la matière. D'abord, en parler. On trouve que je fais une fixation sur la cryptographie post-quantique. Ce n'est pas une fixation ; c'est simplement qu'il faut en parler régulièrement pour ne pas oublier cette urgence de long terme. Nous avons de nombreuses urgences de très court terme, mais il faut aussi se mobiliser sur cette urgence de long terme. Ensuite, il faut utiliser le levier de la certification : à partir de 2027, l'Anssi n'acceptera plus d'étudier la certification de solutions de cybersécurité qui ne seraient pas résistantes à l'ordinateur quantique. C'est un levier simple et efficace. Enfin, une politique de l'État consiste à renouveler progressivement tous nos logiciels, tout notre numérique, et à systématiquement rechercher la protection post-quantique dans ce renouvellement qui va s'opérer sur les dix ans à venir. Il s'agit donc de se dire qu'à partir de 2030 en particulier, nous n'accepterons plus rien qui ne soit pas protégé contre l'ordinateur quantique.
Mme Martine Berthet. - Monsieur le directeur général, je vous remercie vivement pour les éléments que vous nous apportez et pour le travail réalisé sur le volet de notre souveraineté économique. Nous voyons bien que les attaques des puissances étrangères sont de plus en plus nombreuses, doubles, hybrides, avec par exemple une attaque cybernétique couplée à de la désinformation et à de la prédation économique. Comment l'Anssi aborde-t-elle ces menaces ? Disposez-vous de moyens suffisants ? Vous nous avez parlé de la transposition de la directive NIS 2, dont vous nous avez également indiqué avoir un besoin essentiel. Quels sont les obstacles à la mise en oeuvre de cette directive, puisqu'il s'agissait d'une demande initiale de la France ?
Je souhaiterais également revenir sur le sujet que vous venez de traiter : l'informatique quantique. J'assistais récemment à une conférence du prix Nobel de physique 2025, Michel Devoret. Le quantique arrive très, très vite et constitue un enjeu véritablement important. Je me satisfais de voir que vous avez pris ce sujet à bras-le-corps, car si le quantique présente bien sûr des apports très intéressants, il comporte aussi des menaces qui peuvent être réelles.
Mme Anne Chain-Larché. - Monsieur le directeur, nous voudrions vous remercier non seulement pour votre clairvoyance, mais aussi pour votre honnêteté intellectuelle, qui nous amène, non pas à prendre conscience, mais en tout cas à mesurer l'ampleur des difficultés que nous avons à affronter dans notre pays. Je voudrais relater un moment où, avec l'association des maires de notre département, Pierre Cuypers et moi-même nous sommes rendus en Finlande il y a environ dix-huit mois, et nous avons assisté à une longue conférence sur les menaces hybrides. La Finlande, dont la moitié des frontières jouxte la Russie, vit dans une angoisse permanente, et nous avons pu voir à quel point ce pays était à la pointe de la cyberdéfense. Cela nous a amenés à nous poser des questions, d'autant plus que le département de Seine-et-Marne a été victime d'une cyberattaque qui a totalement neutralisé la vie du département pendant des mois, avec une demande de rançon qui n'a pas été acceptée. Cet aspect mercantile vient donc s'ajouter aux dégâts politiques redoutables - rançon que le département a bien sûr refusé de payer - et à la perte de données qui sont, comme on peut l'imaginer, essentielles.
Vous avez largement exposé vos actions auprès des grandes entreprises stratégiques de notre pays. Pour ma part, je voudrais revenir sur l'élection présidentielle qui s'annonce en France. Celle-ci est confrontée à des risques qui sont déjà, me semble-t-il, plus que des risques : une réalité d'ingérence étrangère. On parle beaucoup de la Russie, mais les États-Unis, la Chine et d'autres puissances seront certainement intéressés pour venir s'ingérer dans cette élection. Quelle est votre stratégie aujourd'hui ? Vous avez tout à l'heure parlé de la Cnil en disant que cela relevait de son ressort. Ce qui nous paraît un peu inquiétant, c'est que la question qui se pose est de savoir si vous travaillez tous sur ces sujets. Il s'agit de savoir s'il n'y a pas des sujets réservés à un organisme plutôt qu'à un autre, mais s'il y a une sorte de collectif qui nous amène, dans un contexte où les enjeux sont considérables, à être bien défendus.
Mme Marie-Lise Housseau. - Je voudrais vous interroger sur un sujet très pratique. Le 1er septembre 2026, nous allons passer à la facturation électronique, ce qui signifie que toutes les factures des fournisseurs et des clients devront être stockées sur des plateformes agréées par l'État. Au total, 10 millions d'acteurs économiques sont concernés, et donc des flux gigantesques de factures seront stockés sur ces plateformes, avec des risques de fraude tout aussi élevés. Le monde économique est assez inégalement préparé à cette importante réforme. Je voudrais savoir comment l'Anssi a été associée à ce processus et quel regard vous portez sur les risques ainsi générés.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - À titre liminaire, je souhaite apporter un éclaircissement sur la Cnil. Il existe une répartition assez claire des responsabilités. La Cnil est en charge de la mise en oeuvre et du contrôle du règlement général sur la protection des données (RGPD), le règlement relatif aux données personnelles. Je m'abstiens, par conséquent, de commenter les questions de protection spécifique des données personnelles, qui sont du ressort de la Cnil. L'Anssi, en revanche, est l'autorité nationale de la cybersécurité et se positionne sur tous les enjeux régaliens de manière générale. Lorsqu'il s'agit de protéger un scrutin électoral, il est évident que nous sommes au coeur de nos missions. Je précise au passage qu'au-delà de cette différence de mission et de statut - l'Anssi est une émanation de l'exécutif, c'est une administration, tandis que la Cnil est une autorité indépendante -, la coopération est régulière et quotidienne entre nos équipes, notamment sur les référentiels techniques. En effet, avec des finalités légèrement différentes, nous préconisons généralement les mêmes choses. Un certain nombre de guides sont donc coélaborés, cosignés et coportés par la Cnil et l'Anssi, chacune dans sa responsabilité propre, mais avec une convergence assez naturelle et un travail quotidien des équipes entre elles.
Le continuum d'hybridité qui a été évoqué par vous, madame Berthet, mais également par Mme Chain-Larché sur le cas spécifique de la Finlande, est au coeur du scénario central pour lequel nous préparons notre horizon stratégique. C'est le scénario central de la revue nationale stratégique de 2025 qui verrait - nous n'avons aucune certitude, mais c'est ce à quoi nous nous préparons - à la fois un engagement militaire de haute intensité de nos forces armées à la périphérie de l'Europe, en soutien de nos alliés, notamment de ceux qui ont des frontières avec des adversaires potentiels et, sur le front domestique, la « tempête parfaite » - ce n'est pas écrit ainsi, mais c'est l'intention - de menaces hybrides. Celles-ci seraient susceptibles de rester sous le seuil d'une escalade encore plus radicale, même si rien n'est garanti en la matière. Dans cette tempête parfaite, nous nous attendons à une déferlante de cyberattaques extrêmement coordonnées des États, d'une partie de la menace cybercriminelle et d'une partie de la menace activiste, se répartissant les cibles pour paralyser et saturer nos défenses à très grande échelle, mais aussi avec une extension naturelle dans le domaine de la manipulation de l'information et de l'amplification de manière générale, et donc avec une coopération qui existe déjà face à ce risque avec nos confrères de Viginum. La France a fait ce choix avisé, j'en suis convaincu.
Il convient de ne pas mélanger la cybersécurité et la lutte contre la manipulation d'informations. Nous sommes deux structures jumelles, l'Anssi et Viginum, en charge de ces deux problèmes avec un chef commun, le SGDSN - le secrétariat général de la défense et de la sécurité nationale -, mais avec des cadres d'action très différents. En effet, dans la lutte contre la manipulation d'informations, on touche beaucoup plus vite à des sujets de débats politiques ou de liberté d'expression qui conduisent mes confrères de Viginum à une transparence totale sur leur mission, laquelle ne serait pas adaptée au traitement d'affaires d'espionnage comme nous en traitons à l'Anssi. La répartition est donc bonne et la coopération n'est pas empêchée par cette séparation des deux structures. De même, nous coopérons avec les services de renseignement, avec des finalités et des rôles très différents. Si nous sommes en mesure d'identifier, de pointer du doigt et d'attribuer formellement certaines attaques au GRU russe, c'est que nous avons mis en commun ce que l'Anssi a vu du côté des victimes et ce que les services de renseignement voient du côté des attaquants, et que nous sommes capables de faire le lien. Cette coopération est donc fondamentale et c'est une réalité. J'ajoute que nous avons déjà été confrontés à ce type de menaces - de la cyber de haute intensité, pour reprendre un vocable militaire - pendant les jeux Olympiques et Paralympiques de 2024. L'Anssi était en charge non seulement de la protection et de la préparation de l'ensemble de l'écosystème olympique pour faire face aux menaces cyber, qui se sont révélées particulièrement intenses, mais aussi de la conduite et de la coordination des réponses. Pendant les jeux Olympiques et Paralympiques, l'une des menaces auxquelles nous avons fait face était un attaquant, un activiste prorusse qui est assez clairement un proxy, qui s'en est pris aux stations d'épuration pour essayer de polluer la Seine. Il n'y est pas parvenu, car nous l'avions anticipé, car nous avions travaillé avec l'ensemble des acteurs qui traitent les eaux de la Seine de manière générale, mais il n'a pas pour autant renoncé à proclamer qu'il y était arrivé. Il n'y est pas parvenu, mais il a essayé de faire croire qu'il y était parvenu. Nous avons donc travaillé sur ces deux plans, en étroite collaboration également avec les médias, que nous avons associés à ces travaux. Cela préfigure un peu ce que pourrait être notre réponse coordonnée face à ce genre de menaces et démontre que nous pouvons y arriver. Évidemment, cela a été facilité par l'unité de temps et de lieu des jeux Olympiques et par un alignement parfait de tous les acteurs, mais nous pouvons y arriver.
Le même constat s'impose pour l'élection présidentielle, pour laquelle il faut, à l'évidence, s'attendre à un continuum de menaces, qu'il s'agisse de menaces cybernétiques, de manipulations d'informations ou autres. Le volet cybernétique n'est pas nouveau pour nous. Voilà au moins dix ans que nous nous structurons et nous mobilisons à chaque scrutin électoral pour protéger les élections, avec cette chance, en France, que le scrutin est essentiellement sur papier ; il y a donc très peu d'adhérence numérique du vote lui-même. Le nombre de systèmes d'information portant sur la collecte des résultats, par exemple, est très limité. Nous portons donc une attention toute particulière aux systèmes qui assurent la concaténation des résultats du vote papier et à ceux qui gèrent les listes électorales. Toutefois, il existe évidemment aussi un facteur de vulnérabilité par construction, qui est celui des partis politiques. Les partis politiques sont des cibles, les équipes de campagne sont des cibles, c'est un fait avéré. Nous avons donc depuis dix ans une offre d'accompagnement. En tant qu'émanation de l'exécutif, l'Anssi ne peut rien imposer, évidemment, et nous marchons sur des oeufs dans nos interactions avec les partis politiques. Nous avons cependant une offre de service transpartisane, nous menons une action de sensibilisation avant chaque scrutin et nous nous tenons à la disposition de tout parti politique. Sans entrer dans les détails, nous avons été amenés au fil des années à accompagner des partis politiques de tous bords qui ont fait face à des cyberattaques, en phase électorale ou non. Nous tenons évidemment à informer le juge de l'élection - le Conseil constitutionnel en l'occurrence - de tout événement qui aurait un impact sur la sincérité du scrutin. Cela constitue le cadre existant en matière de cybersécurité. Il s'inscrit maintenant dans un cadre étendu, qui inclut les menaces de manipulation d'informations, avec un modus operandi qui a été prototypé pour les élections municipales et qui sera renouvelé en tirant les leçons de ce premier mode de fonctionnement. Ce dernier nous place aux côtés de Viginum et d'autres entités comme l'Arcom pour avoir une vision d'ensemble sur toutes les menaces qui pourraient affecter la sincérité d'un scrutin.
Vous avez également posé la question des moyens de l'Anssi. Il est évident que, de manière générale, il ne faut jamais demander à un directeur d'administration centrale s'il a suffisamment de moyens. Nous n'aurons jamais assez de moyens et il y a un besoin de moyens complémentaires. Nous avons porté des demandes en ce sens, notamment pour accompagner cette extension du champ de mission. L'Anssi va passer, une fois que NIS 2 sera transposée, de 500 acteurs régulés aujourd'hui - opérateurs d'importance vitale (OIV) et opérateurs de services essentiels de NIS 1 - à 20 000. Le but n'est pas de multiplier par quarante les moyens de l'Anssi. Il faut donc trouver de nouvelles logiques d'action, utiliser ce levier réglementaire et de contrôle pour passer à l'échelle. Évidemment, cela nécessitera sans doute soit des réaffectations de moyens, soit des compléments de moyens. De même, nous avons une logique de pilotage très fine de nos moyens pour investir le champ de l'intelligence artificielle sans pour autant désinvestir totalement les autres domaines d'expertise, qui ne perdent pas pour autant leur utilité. Dans la question des moyens, pour le dire très simplement, il n'y a pas que des enjeux de millions d'euros de budget, de dizaines ou de centaines d'équivalents temps plein (ETP). Il y a la question des moyens légaux d'action, et c'est peut-être le plus urgent : nous donner les moyens d'agir à travers la transposition de la directive NIS 2 qui passe par la finalisation de l'adoption du projet de loi sur la résilience. Je ne me prononcerai évidemment pas sur le calendrier parlementaire et son inscription ou non à l'ordre du jour de l'Assemblée nationale, car c'est un sujet sur lequel un fonctionnaire comme moi n'a pas à se prononcer. Je ne peux toutefois que répéter l'importance de ce texte et l'urgence de l'adopter. Cela est important autant pour nous doter de nos moyens d'action que pour lever une incertitude qui nuit gravement à nos industries de cybersécurité aujourd'hui.
Sur le quantique, cela arrive très vite, mais tout dépend de ce que l'on regarde. Le quantique recouvre de nombreuses choses. Il existe déjà des calculateurs quantiques qui, de manière théorique, accélèrent certains calculs. Ce qui nous inquiète, c'est l'ordinateur quantique significatif sur le plan cryptographique. Il y a de nombreux acronymes barbares en la matière, mais il s'agit de celui qui sera capable d'accélérer très significativement des calculs applicables à la cryptographie dans ses usages réels. Pour cela, nous sommes plutôt sur un horizon de dix ans. Dix ans passent très vite quand il s'agit de tout renouveler. C'est pourquoi il faut s'y mettre maintenant, mais nous ne sommes pas au pied du mur. Il faut veiller à ne pas s'y retrouver, car aujourd'hui, nous avons le temps de le faire de manière sereine et dans le cycle naturel de renouvellement du numérique en lissant les coûts. Si nous attendons trop, ce sera une urgence et un chantier, voire une situation cataclysmique à l'échelle du numérique. Évidemment, il y a de nombreux autres usages du quantique. Je précise au passage que le quantique a aussi des applications pour la protection des communications ; on parle aussi de cryptographie quantique. La distribution de clés quantiques est un autre domaine d'intérêt pour la recherche qui permettrait potentiellement de rajouter des cordes à notre arc. Elle n'est cependant pas une priorité pour nous, car elle ne constitue pas la réponse à l'arrivée de l'ordinateur quantique. Ce que nous appelons la cryptographie post-quantique - je vous prie de m'excuser pour le jargon - comprend de nombreuses constructions déjà existantes qui permettent de se protéger contre l'ordinateur quantique sans changer totalement la manière dont nous faisons du numérique et de la cryptographie.
S'agissant de la facturation électronique, j'ai bien en tête cette échéance qui, à mon sens, ne fait que renforcer l'enjeu de protection de l'ensemble de nos entreprises à très grande échelle, de manière systématique, contre les cyberattaques. En effet, cela crée une dépendance numérique de plus, mais c'est déjà une réalité. Sans même la facturation électronique, sans même ces plateformes sur lesquelles nous aurons évidemment un travail d'accompagnement et de vérification de leur sécurité, la réalité est qu'aujourd'hui, l'une des premières conséquences d'une cyberattaque dans une entreprise, quelle qu'elle soit, est qu'elle n'est plus capable de faire fonctionner sa comptabilité, d'éditer des factures, de payer ses fournisseurs et de recevoir les paiements de ses clients. C'est le facteur qui met en danger le plus rapidement la survie d'une entreprise, surtout les plus petites d'entre elles, parce qu'une cyberattaque aujourd'hui, avec ou sans la facturation électronique, empêche une entreprise de manipuler de l'argent, de le faire entrer et de le faire sortir. C'est donc une réalité. Au-delà de la sécurisation des plateformes en tant que telles, qui ont un rôle central et qui sont d'intérêt particulier, le vrai défi est, là encore, de systématiser nos protections dans l'ensemble de nos entreprises. Il ne s'agit pas de choses très sorcières que nous leur demandons, mais de protections de base. Se protéger contre un rançongiciel, ne pas perdre toutes ses données, c'est horrible à dire, mais ce n'est pas forcément très compliqué. Il suffit d'avoir des sauvegardes hors ligne testées régulièrement. La réalité est que ces bonnes pratiques sont connues depuis longtemps, mais elles ne sont pas appliquées systématiquement, ni par l'État ni par les collectivités ni par les entreprises, parce que ce sont toujours des questions de priorité, des sujets un peu ingrats, un peu orphelins de manière générale. Raison de plus, donc, de réglementer pour encourager encore plus les structures à adopter ces bonnes pratiques. J'ajoute aussi que, là encore, ces bonnes pratiques de base ne sont pas nouvelles.
Elles sont le premier et le plus efficace rempart contre l'émergence de l'intelligence artificielle et tout ce que cela changera dans l'accroissement de l'intensité de la menace. En effet, s'il y a des cyberattaques, c'est parce qu'il existe des vulnérabilités élémentaires qui sont beaucoup trop omniprésentes.
M. Philippe Grosvalet. - La peur n'évite pas le danger. Nous voyons bien, à travers votre exposé - et je vous en remercie -, que nous agissons à la fois dans l'instant, où chaque seconde présente des milliers de risques, et dans la nécessité de nous projeter dans le temps long. Nous agissons dans l'espace, du cyberespace jusqu'au niveau local.
Je voudrais simplement témoigner d'une attaque qui a eu lieu dans ma ville, à Saint-Nazaire. La ville de Saint-Nazaire et la communauté d'agglomération de la région nazairienne et de l'estuaire (Carne), qui représente 130 000 habitants, ont été attaquées en 2024. Je voudrais à cette occasion vous remercier, remercier vos services pour leurs compétences techniques, leur réactivité et aussi leur soutien moral. Je voudrais dire aussi combien, au fond, cela touche le quotidien de nos habitants, car tout a été immédiatement stoppé : le service de l'eau, la restauration scolaire, les marchés publics, ce qui a entraîné des reports d'investissement très lourds. Cela a traumatisé un territoire, et c'est un peu le sens de ma question. Dans vos stratégies, au fond, très verticales - on parle de défense au plus haut niveau des très grandes entreprises -, comment envisagez une stratégie plus locale, où nous pourrions associer tous les acteurs : les collectivités locales, des plus petites aux plus grandes, de même que les entreprises, les services de l'État et, pourquoi pas, les acteurs de la société civile. À l'appui de ce témoignage, un territoire a été traumatisé et tout le monde avait cette envie de se protéger. Cela fait peur à tout le monde. Voilà donc le sens de ma question.
Ma deuxième question est également liée à cette expérience. Concernant vos ressources humaines, ou en tout cas les ressources humaines qui sont en France - pas simplement les vôtres, mais aussi celles des services de gendarmerie, de la défense, etc., qui luttent contre ces attaques et qui sont venues à notre aide -, comment allons-nous trouver des ressources humaines dans un monde aussi concurrentiel, où les enjeux financiers pour ceux qui attaquent seraient évidemment bien supérieurs à ce que nos conditions publiques peuvent offrir à des agents de très haut niveau ? Au-delà du service de l'État et de la République, la concurrence pourrait devenir très, très rude entre le gendarme et le voleur.
Mme Évelyne Renaud-Garabedian. - Merci, madame la présidente. Monsieur le directeur général, je suis sénatrice des Français établis hors de France et je souhaitais vous poser deux questions.
La première porte sur le vote électronique par internet pour les élections législatives et consulaires, car les Français qui vivent à l'étranger ont leur résidence très éloignée des bureaux de vote. La seconde concerne l'Agence pour l'enseignement du français à l'étranger (Aefe), qui a fait l'objet de deux cyberattaques en 2023.
Au titre de sa mission d'accompagnement du système d'information critique de l'État, l'Anssi apporte son expertise en cybersécurité à chaque scrutin. Au-delà du choix du prestataire et de l'homologation du système - en passant par l'audit du code source, les tests grandeur nature et la supervision du vote jusqu'au dépouillement -, lors des dernières élections consulaires qui sont intervenues au mois de mai 2026, de nombreux électeurs n'ont pas pu voter : SMS jamais reçus, identifiants impossibles à récupérer, portail difficile d'accès. Des difficultés de même ordre avaient déjà conduit le Conseil constitutionnel, en 2023, à annuler les élections de deux députés des Français établis hors de France. Des recours ont d'ailleurs été engagés concernant les élections consulaires du mois de mai 2026.
Ces pannes ne touchent pas la plateforme spécifique elle-même, mais tout ce qui l'entoure : les SMS acheminés par des opérateurs télécoms étrangers, les courriels bloqués par les filtres anti-spam. Comment l'Anssi prend-elle en compte dans son évaluation ces maillons extérieurs, et notamment l'arrivée effective des codes chez les électeurs ? Quels enseignements tirez-vous des élections de 2026 dans la perspective d'une éventuelle extension du vote en ligne à d'autres scrutins ?
Concernant l'Aefe, en novembre 2023, un rançongiciel a touché son application financière « Elap », avec une fuite de données significatives qui a été signalée à l'Anssi et à la Cnil. Le mois suivant, une attaque est intervenue contre le logiciel Scola, qui a bloqué l'instruction des dossiers de bourses scolaires affectées aux familles des Français qui vivent à l'étranger, contraignant au report de la Commission nationale des bourses et laissant des familles dans l'attente. Dans les deux cas, ce ne sont donc pas les systèmes de l'Aefe qui ont été attaqués, mais ceux de prestataires privés. Ces attaques n'ont pas simplement compromis des données, elles ont interrompu des démarches essentielles pour les usagers.
Comment l'Anssi accompagne-t-elle les opérateurs publics comme l'Aefe ? Il faut agir en amont pour prévenir ces attaques, y compris chez leurs prestataires et, lorsqu'elles surviennent, pour rétablir le service au plus vite. Merci de vos réponses.
Mme Antoinette Guhl. - Madame la présidente, monsieur le directeur, j'ai une question plus spécifique sur les hôpitaux et, plus généralement, sur la santé.
Nous savons qu'il s'agit d'un secteur qui représente, d'après vos statistiques, 10 % des cyberattaques en France. Nous savons également que 15 % des hôpitaux ont déjà subi une cyberattaque, ce qui met en danger non seulement les données des patients, bien sûr, mais aussi leur santé, puisque des actes doivent quelquefois être reportés pendant plusieurs jours.
J'aimerais donc avoir votre avis sur la principale vulnérabilité de notre système hospitalier. Est-ce la technologie ? Est-ce l'organisation ? S'agit-il des ressources humaines ? Est-ce le budget alloué à cette protection ?
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Je commencerai par la fin : les hôpitaux représentent pour moi un succès, au moins partiel, et donc une lueur d'espoir. J'ai pris mes fonctions au moment où les hôpitaux souffraient particulièrement des rançongiciels. Nous avons connu de vraies catastrophes, notamment durant l'hiver 2022, lorsque deux grands hôpitaux de la plaque parisienne ont été simultanément paralysés pendant de nombreux mois par des rançongiciels, en plein pic de covid, de grippe et de bronchiolite. Je laisse donc à votre imagination le genre de conséquences que de tels événements peuvent avoir. Cela a été notre priorité - cela l'était déjà avant que je ne prenne mes fonctions, ce n'est pas mon oeuvre personnelle -, mais c'est une source de fierté pour l'oeuvre collective de l'Anssi que nous ayons réussi à progresser nettement sur ce point.
Nous y sommes parvenus à travers un plan nommé CARE, qui a été engagé par le ministère de la santé pour financer des améliorations en matière de cybersécurité, d'équipement, de ressources humaines, etc. Il n'y a pas de vulnérabilité spécifique dans les hôpitaux ; c'est simplement la complexité même de leur système informatique, qui se compose de centaines et de centaines d'applications différentes. Ce système est extrêmement interconnecté avec la médecine de ville, les caisses d'assurance et les universités. Par nature, en raison même de la mission des hôpitaux, c'est - à une échelle un peu différente - le même genre de problème qui se pose pour sécuriser l'État dans son ensemble. C'est un domaine extrêmement vaste, extrêmement diversifié, en prise directe avec tout le reste, et donc complexe à sécuriser, avec des prestataires qui sont aussi des sources d'attaques.
Cependant, nous avons réussi à mobiliser des moyens. Nous avons également mobilisé la gouvernance, ce qui est un enjeu essentiel et montre que cette approche peut fonctionner. Les équipes dirigeantes des hôpitaux se sont mobilisées sur ces sujets, notamment grâce aux témoignages de leurs collègues qui avaient subi les premières attaques, afin de ne pas laisser cette question aux seuls informaticiens - et cela vaut pour tous les autres sujets de cybersécurité au-delà des hôpitaux.
Ce n'est pas un sujet de technicien, c'est un sujet de gouvernant, un sujet de dirigeant au sens large, car lorsque la crise survient, c'est à eux de prendre les bonnes décisions. Nous avons donc aussi entraîné les hôpitaux à réagir vite, à couper internet, par exemple. Il faut savoir quand le faire. Cela a des conséquences sur un hôpital, ce n'est pas anodin. Il faut savoir comment procéder. Il ne s'agit généralement pas simplement d'une prise à débrancher d'un mur dans un hôpital, mais le fait d'avoir préparé ce genre de situations permet de réagir vite et de limiter la casse.
Quand je parle d'un succès partiel, nous sommes au milieu du gué en ce sens que nous n'avons plus eu de catastrophes conduisant à une interruption de l'offre de soins. Les hôpitaux, depuis ces dernières années, réagissent suffisamment vite - il faut savoir entretenir ce type de réflexes - pour éviter les impacts sur l'offre de soins, ce qui était notre priorité. Cela n'épuise pas le sujet, car il y a évidemment la protection des données de santé, qui sont aussi détenues, pas uniquement par les hôpitaux, mais qui sont également des cibles, pour le dire crûment. Le choix était évident pour nous de prioriser l'offre de soins en premier lieu. Les données de santé sont importantes aussi, un peu moins que la continuité de l'offre de soins. Nous sommes au milieu du gué, nous allons poursuivre le travail sur les données de santé, mais nous avons tout de même réussi à obtenir un certain succès sur l'offre de soins. J'ai coutume de dire qu'à l'Anssi, nous sauvons des vies sans nous en rendre compte. Là, nous nous en rendons compte de manière assez concrète. Cela renvoie à un autre sujet qui a été évoqué dans le cadre de l'Aefe. Oui, les prestataires sont une porte d'entrée dans beaucoup des attaques qui ciblent y compris la sphère publique. L'État est très attaqué, mais il est aussi attaqué indirectement via ses prestataires. Nous avons des actions d'accompagnement en la matière pour proposer par exemple des clauses types à insérer dans des contrats. Pour aller plus loin, il nous faut cependant un cadre contraignant. Aujourd'hui, l'Anssi ne peut déjà pas contraindre un opérateur public. Pour un établissement public, il n'y a pas de pouvoir direct de l'Anssi. Nous pouvons l'accompagner, lui faire des recommandations, mais pas lui imposer des choses. Évidemment, tout le cadre réglementaire de NIS 2 et du CRA, va venir couvrir un bon nombre de ces usages, tant pour les entités utilisatrices du numérique, qui auront des obligations différentes et claires en la matière, que pour les fournisseurs du numérique. Il est important de traiter les deux en même temps. Le CRA portera des exigences sur les fournisseurs de logiciels par exemple, qui sont souvent des portes d'entrée parce qu'ils n'appliquent pas les bonnes pratiques de base en matière de sécurité, avec des impacts indirects qui peuvent être colossaux.
Il en va de même dans les collectivités comme Saint-Nazaire, où les portes d'entrée sont également nombreuses. Nous n'avons pas seulement une stratégie verticale en la matière ; au contraire, nous avons une stratégie qui vise à mobiliser un collectif de plus en plus étendu. Cela fait en quelque sorte partie des gènes du fonctionnement de l'Anssi, qui n'est jamais intervenue seule. Nous avons toujours travaillé, notamment, avec le secteur privé et avec d'autres services de l'État. Le nouveau défi, qui est expliqué en détail dans la stratégie nationale, consiste à mobiliser aussi l'échelon local, au-delà des cercles des sachants, des experts en cybersécurité et des services de l'État spécialisés. Nous travaillons donc de plus en plus avec les régions. Cela n'est pas totalement nouveau. L'Anssi dispose depuis déjà quelques années de délégués territoriaux présents dans chaque région de l'Hexagone et d'un délégué « globetrotter » qu'il faudra sans doute doubler ou tripler, car il couvre l'ensemble des outre-mer avec des enjeux très particuliers également. Nous assurons une présence dans l'ensemble des territoires. Nous menons une collaboration étroite avec les régions, notamment à travers les CSIRT (Computer Security Incident Response Team), les centres de réponse à incidents portés par les exécutifs régionaux, que nous avons soutenus financièrement et méthodologiquement, et qui constituent aussi une partie de la réponse, car cela crée de la capacité de proximité. Vous avez également souligné le facteur humain. La réponse à un incident de cybersécurité, lorsque l'on est face à une cyberattaque, représente un choc psychologique. On n'a pas forcément envie de parler uniquement à une obscure administration parisienne, même si c'est l'Anssi, même si elle est formée et que nous avons ce volet d'accompagnement, y compris pour - j'allais dire - soutenir psychologiquement les victimes. Il est important de pouvoir parler à quelqu'un que l'on a déjà rencontré, car c'est l'acteur régional de référence. C'est important et cela fait partie de l'efficacité de la réponse. Nous travaillons donc de plus en plus en réseau avec ces échelons locaux, sans imposer un modèle unique, mais en soutenant aussi des initiatives régionales. Dernière manière de présenter les choses : les régions sont très impliquées dans le soutien au développement économique. C'est une très bonne manière d'atteindre des PME qui ne penseront jamais naturellement à l'Anssi. Il est donc utile qu'elles soient informées des enjeux de cybersécurité et mises en relation avec les acteurs locaux et, potentiellement, avec l'Anssi dans le cadre de l'accompagnement au développement économique porté par les régions.
C'est ce continuum que nous essayons de construire, avec parfois des redondances, avec un écosystème qui est très riche. Pour le dire très simplement, je préfère quelques redondances ou quelques superpositions d'acteurs plutôt que des « trous dans la raquette ». Or, aujourd'hui, nous avons plus de « trous dans la raquette » à combler que de redondances à ajuster. Le vote par internet des Français de l'étranger est un sujet qui me tient à coeur, non seulement dans mes fonctions actuelles, mais également dans mes fonctions précédentes au sein de l'Anssi, car j'ai siégé depuis dix ans dans le bureau de vote électronique qui supervise ce dispositif. Cette solution est regardée de très près par l'Anssi et présente aujourd'hui un niveau de sécurité de la plateforme centrale tout à fait satisfaisant. Nous avons donc une belle solution, avec toutes les limites consubstantielles au vote par internet. Nous n'aurons jamais le même niveau de sécurité que sur un vote papier ni le même niveau d'intelligibilité pour les électeurs. Une enveloppe opaque dans une urne transparente, tout le monde peut le comprendre. En revanche, pour un scrutin dont la sincérité et le secret sont garantis par la cryptographie multivariée des protocoles « zéro knowledge », il faut faire confiance à des personnes qui ont des thèses en cryptographie, ce qui déporte un peu le sujet. Néanmoins, dans le cas des Français de l'étranger, qui font face à toute cette complexité géographique pour aller voter dans une urne, c'est évidemment une solution qui se justifie et se comprend bien. Cela pose d'autres problèmes qui ne sont pas liés à la plateforme : l'acheminement des SMS, les communications protégées dans un certain nombre de régions du monde. C'est horrible à dire, mais nous n'avons pas vraiment de levier. Nos concitoyens qui votent au Mali sont tributaires des opérateurs de télécommunications maliens. Lorsque ces derniers n'acheminent pas les SMS - parce qu'ils ne le veulent pas ou simplement parce qu'ils sont soumis à des pannes régulières -, il n'y a pas réellement de levier. Il y a des choses que nous pouvons faire pour faciliter la procédure. Ne plus avoir besoin, par exemple, de SMS pour envoyer des mots de passe repose sur l'identité numérique, le travail de déploiement et de renouvellement des cartes d'identité qui fournissent aujourd'hui une identité numérique forte. C'est la voie du futur pour permettre une authentification sans avoir besoin de fournir des mots de passe, qui sont toujours un facteur de fragilité, mais à plus forte raison pour nos concitoyens à l'étranger, pour qui ce problème d'acheminement est aujourd'hui le facteur le plus limitant dans leur capacité à voter par internet.
La plateforme fonctionne parfaitement, mais les opérateurs locaux ne fonctionnent pas toujours très bien. L'État français dans son ensemble n'a pas forcément un levier naturel pour leur demander de fonctionner mieux. Chacun, cependant, en est bien conscient. J'ai moi-même passé la soirée avec mes collègues du ministère des affaires étrangères et avec les élus qui siégeaient au bureau de vote électronique, dans lequel nous avons fait le dépouillement, et nous avons aussi reparlé de ces sujets, qui sont un facteur limitant en la matière.
J'espère avoir couvert la question des ressources humaines. C'est un enjeu, je ne l'oublie pas, un enjeu important. L'Anssi a la chance de pouvoir recruter. Nous sommes un employeur attractif, ne serait-ce que parce que nous faisons à l'Anssi des choses que l'on ne fait nulle part ailleurs. On y apprend énormément, on y sert son pays, et c'est un élément qui motive fortement. C'est une motivation au coeur de l'engagement quotidien des agents et des agentes de l'Anssi, qui ne comptent pas leurs heures et qui font un travail formidable, motivés par cela avant tout. Nous nous sentons utiles à l'Anssi et c'est cela qui nous fait travailler le jour, la nuit et le week-end.
Les agents ne restent pas forcément très longtemps à l'Anssi et essaiment donc au bout de quelques années. C'est très bien aussi, parce qu'aujourd'hui, nous avons la chance, partout dans les opérateurs d'importance vitale et dans les administrations, de retrouver d'anciens collègues qui savent comment nous fonctionnons et qui ont le même référentiel que nous ; c'est donc également une force.
Le véritable enjeu, qui est bien identifié dans la stratégie nationale, est une pénurie de talents. Il faut donc travailler sur ce point à la source. Nous avons la chance, en France, d'avoir des formations du supérieur de très grande qualité. Elles ne saturent pas leur nombre de places. Aujourd'hui, le travail se déplace donc de plus en plus vers l'amont, vers le lycée et le collège, étape à laquelle il faut parler à nos jeunes Françaises et Français de cybersécurité, des réflexes de base de survie dans l'espace numérique à acquérir, mais aussi de l'intérêt des métiers de la cybersécurité, en déconstruisant quelques images un peu récurrentes. La cybersécurité serait un « truc d'homme » travaillant seul dans le noir avec un sweat à capuche : ce n'est pas vrai. C'est une incroyable variété de métiers. Ce sont des métiers du collectif, des métiers du soin en quelque sorte, car nous aidons nos concitoyens. Ce sont donc tous ces messages qu'il faut arriver à faire passer.
Nous nous privons d'opportunités et nous privons également nos jeunes d'opportunités d'emplois formidables. Concernant les écoles de formation, pour le dire simplement, nous disposons d'un référencement des formations qui s'appelle SecNumEdu ; l'Anssi labellise des formations. Sur le site internet de l'Anssi, cyber.gouv.fr, figure également une référence de toutes les formations recommandées par l'agence. Il y en a une centaine au moins : des licences, des masters, des BTS. Pour la formation du supérieur, nous avons donc une offre riche et de très grande qualité, correspondant à de nombreux besoins. L'enjeu aujourd'hui est de remplir ces formations, car elles ne font pas le plein.
Mme Pauline Martin. - Ma question sera d'ordre structurel. Vous connaissez l'attachement des sénateurs à la notion d'État efficace. Vous comptiez 350 agents en 2013, 600 en 2020, et vous en demandez davantage. C'est probablement justifié - je ne le remets absolument pas en cause. Voyez-vous un avantage, dans votre activité, à être détaché d'un ministère dans le format d'une agence ou, au contraire, les choses iraient-elles plus vite si vous étiez directement intégré à un ministère ?
M. Daniel Gremillet. - Merci, madame la présidente. Merci pour la qualité de toutes les informations dont vous avez pu nous enrichir.
J'ai trois questions.
La première : la nouvelle génération de maires nous interroge de plus en plus sur la possibilité pour certains élus de participer à un conseil à distance. Comment sécuriser et comment envisager ce genre de nouvelles relations dans un conseil municipal ?
La deuxième question : à la suite de l'affaire Lubrizol, un point important a été développé, qui consistait à mettre en place des systèmes d'information et d'alerte. Nous en avons déjà aujourd'hui avec les alertes météo. Se pose la question de savoir comment nous pouvons sécuriser ces systèmes d'information et d'alerte, qui vont se développer de plus en plus.
Enfin, la dernière question : l'alimentaire est-il, à votre avis, un sujet fragile au travers de la traçabilité ? Aujourd'hui, toutes les unités de fabrication fonctionnent dans des systèmes très automatisés. Y a-t-il une fragilité, sachant que le dossier alimentaire est également très sensible au niveau des populations, notamment pour la traçabilité, dont on parle de plus en plus ? Je ferai un parallèle avec l'exigence que nous avons en tant que législateurs d'avoir les mêmes produits et la même qualité de produits que ceux que nous exigeons en France ou en Europe par rapport aux importations en provenance de pays extérieurs à l'Union européenne.
M. Yannick Jadot. - Je tenterai une dernière, très courte question. Comment évaluez-vous le fossé entre la technicité, la rapidité de vos sujets, et la démocratie et ses institutions ? Lorsque vous me parlez, pour ma part, d'un ordinateur quantique, je dois avouer que j'entre dans un monde assez mystérieux. Or vous affirmez que cela arrivera dans dix ans et que cela existe déjà.
À un moment donné, vous voyez bien que, sur vos sujets, nous, les élus, sommes mal préparés. En tout cas, pour ma part, je le suis. Pourtant, nous pouvons décider de vous faire totalement confiance. Néanmoins, c'est nous qui décidons des règles qui encadrent l'économie et qui vont vous permettre d'intervenir. Comment jugez-vous notre capacité à bien légiférer sur ces sujets et comment pouvons-nous corriger cela ? Mis à part le fait de vous recevoir régulièrement, nous ne sommes pas totalement formés en deux heures à tout ce que vous racontez.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Sur le modèle administratif de l'agence, cela va vous sembler bizarre, mais l'Anssi n'est pas une agence, même si elle s'appelle ainsi. Nous sommes formellement un service à compétence nationale. Nous ne sommes donc pas une agence au sens des opérateurs détachés de l'État. Nous sommes vraiment à l'intérieur des services du Premier ministre, nous ne sommes pas indépendants et nous sommes aux ordres de l'exécutif, comme toute administration centrale ou service à compétence nationale, et c'est très bien ainsi. Il est très bien que la Cnil soit une autorité indépendante, et il est très bien que l'Anssi soit une émanation de l'exécutif. Nous sommes sur des enjeux de sécurité et de défense nationale qui ne peuvent être délégués, qui sont la responsabilité la plus fondamentale de l'exécutif. Une Anssi indépendante n'aurait pas plus de sens qu'une police ou une armée indépendante, pour le dire très simplement.
Je suis donc convaincu que nous sommes dans le bon modèle et dans le bon positionnement. Notre positionnement interministériel est une force que nous envient beaucoup de nos partenaires ou homologues. Notre modèle aussi, n'est pas - c'est contre-intuitif par rapport à la logique habituelle de l'État - dans une logique d'exclusivité : il n'y a pas une intervention systématique de l'Anssi, il n'y a pas un agent de l'Anssi derrière chaque système. Il y a une mobilisation du secteur privé et il y a une mobilisation de réseaux régionaux. Cela est possible aussi grâce à ce positionnement interministériel un peu au-dessus de la mêlée, et c'est un gage d'efficacité.
Nous n'avons pas à rougir de nos capacités, de nos leviers d'action, de notre expertise ou de notre action par rapport à nos homologues allemands. Là où l'Anssi est à 650 ETP, les Allemands sont à 2 000. Pour faire la même mission, les Britanniques sont 1 500. Il ne s'agit pas de dire qu'il faudrait que l'Anssi soit à 2 000 personnes, mais il faut quand même avoir conscience du fait que nous avons un modèle qui est aujourd'hui extrêmement optimisé. Je ne suis pas sûr qu'il y ait beaucoup de marge d'optimisation supplémentaire en l'état. Nous faisons au mieux et ce n'est pas qu'une question de ne pas compter nos heures, même si nos heures sont rarement comptées. Nous avons un modèle qui a fondamentalement fait ses preuves et qui me semble le bon.
Sur l'équipement des maires, je ne suis pas sûr que le sujet le plus dimensionnant aujourd'hui pour une mairie soit de faire le conseil municipal en visioconférence.
Nous pouvons sécuriser les usages de la visioconférence. Nous avons même des offres. Il y a des offres de visioconférence, notamment Tixeo, qui sont labellisées par l'Anssi, qui sont françaises et de grande qualité. La difficulté aujourd'hui, et le message que nous nous efforçons de faire passer auprès des maires, consiste à comprendre toutes les dépendances numériques d'une commune, qui sont nombreuses, et à en prévoir la résilience. Je suis désolé du caractère peu réjouissant de mon propos, mais si vous ne disposez pas d'une copie papier du cadastre du cimetière, vous avez un vrai problème le jour où survient une cyberattaque. C'est un problème qu'a rencontré la ville de Marseille - qui n'est pas la plus petite des communes - en plein pic de covid, lorsqu'elle a été victime d'une cyberattaque. Ses services avaient perdu le cadastre des cimetières. Quand il faut enterrer les gens, cela pose un problème.
M. Daniel Gremillet. - Nous sommes quelques-uns à être renouvelables et nous sommes donc au contact des nouveaux maires. C'est une question que nous ne nous étions pas posés. Aujourd'hui, nous avons des jeunes qui n'habitent pas forcément au village et qui sont élus dans les équipes municipales.
La question que je vous pose n'est pas une question de Daniel Gremillet ; c'est une question qui m'a été posée à plusieurs reprises par des maires, parce qu'ils ont maintenant, dans la nouvelle génération d'élus, des personnes qui sont à l'étranger, qui se déplacent beaucoup et qui ne peuvent pas être présentes aux réunions du conseil.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Cela mériterait un très long exposé. De nombreuses choses sont à faire également avec des solutions de mutualisation pour les petites communes. La suite territoriale qui a été portée par l'Agence nationale de la cohésion des territoires (ANCT), à laquelle l'Anssi a contribué, offre certaines solutions. Le travail avec les intercommunalités est un axe fondamental pour nous, de même qu'avec les opérateurs publics de services numériques. Il y a de nombreuses manières de faire émerger des solutions.
De même, nous avons une attention particulière sur les systèmes d'information d'alerte. Sans développer longuement ce point, c'est pour cette raison que nous avons notamment mis les Services départementaux d'incendie et de secours (SDIS) explicitement dans le champ de la transposition espérée de la directive NIS 2 en France, parce que ce sont des acteurs essentiels, là aussi avec une gouvernance complexe, mais qui portent des enjeux fondamentaux.
L'alimentaire fait aussi partie des secteurs d'activité d'importance vitale identifiés dans le cadre actuel et dans le cadre futur de la directive NIS 2. Ce secteur est très morcelé, avec les mêmes risques que partout ailleurs, c'est-à-dire des dépendances numériques qui sont parfois sous-estimées, qu'il faut matérialiser et inscrire dans des plans de continuité d'activité. J'entends trop souvent dire - je ne l'ai pas entendu dans l'alimentaire, mais dans d'autres secteurs, et je l'entendrais si je posais trop la question dans ce domaine - : « En réalité, notre circuit critique logistique n'est pas numérisé ; ce sont des camions, des robinets, ce genre de choses. » L'expérience montre qu'il y a toujours une dépendance numérique et une dépendance critique, ne serait-ce que sur la facturation. Quand on ne sait plus facturer, on ne livre plus. Il faut donc prendre en compte cette réalité. Là encore, c'est un sujet de gouvernance au plus haut niveau de l'ensemble des entreprises.
Cela m'amène aux sujets de gouvernance. Au niveau de la nation, oui, il y a un besoin de faire percoler ces sujets numériques extrêmement complexes, qui ne se limitent pas à la cybersécurité, dans le débat politique national. Vous n'avez pas vocation à être des experts, mais - ce n'est pas mon rôle de vous imposer des exigences - vous devez, à mon sens, vous intéresser à ces sujets. Il est également du rôle des administrations de vous éclairer en la matière. Il n'y a pas que les administrations qui peuvent vous éclairer, mais, en tout cas, je me livre bien volontiers à cet exercice. Depuis que j'ai pris mes fonctions, je suis à une moyenne d'au moins une audition par mois, car j'estime qu'il est extrêmement important d'apporter ces éclairages. Cela renvoie au fait que vous êtes, par construction, à l'image de la société.
Vous en êtes les représentants. Nous avons un enjeu fondamental, qui me renvoie à ces questions de cybersécurité et de numérique au lycée et au collège : la compréhension par nos concitoyens de ces enjeux numériques, de cybersécurité, mais aussi de manipulation de l'information, de modèles économiques et de nombreux autres sujets. C'est un enjeu critique de résilience de la société face à un monde numérique qui sera de plus en plus déterminant dans le fonctionnement général de la société. Notre résilience face à la manipulation de l'information est avant tout une question de compréhension de ces circuits d'information. Il y a donc une mobilisation forte sur ce sujet, car le facteur peut-être le plus déterminant de la résilience à long terme de la société est la compréhension, non pas seulement par les experts - il en faudra toujours -, mais aussi la compréhension généralisée des mécanismes de base du monde numérique.
Mme Dominique Estrosi Sassone, présidente. - Merci, Monsieur le directeur général. Vous parliez du fait que la France a un atout au travers des opérations de vote par rapport à un vote papier. Aujourd'hui, un certain nombre de communes sont équipées de machines à voter. Quelle est votre approche et quelles pourraient être les conséquences si davantage de communes continuaient à s'équiper de machines à voter ?
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Question piège pour la fin. En essayant d'être concis, mais clair sur le sujet, j'ai eu l'occasion de m'exprimer sur ce dernier, y compris devant une commission d'enquête de l'Assemblée nationale sur l'organisation des élections.
Fondamentalement, le vote électronique apportera toujours des garanties moindres que le vote papier. Il faut l'admettre. Il est extrêmement compliqué d'atteindre un niveau équivalent à la propriété simple qu'offrent une enveloppe opaque dans une urne transparente et une supervision par nos concitoyens peut être atteinte. Il est possible de tendre vers ce niveau de sécurité, mais obtenir simultanément la propriété de secret du scrutin et de sincérité démontrable de celui-ci est extrêmement complexe. Plus on tend vers ce modèle, plus on met en oeuvre des mécanismes complexes, et l'on délègue alors la compréhension.
Là encore, il n'est pas besoin d'une thèse en mathématiques pour comprendre qu'une urne transparente et une enveloppe opaque apportent un certain nombre de garanties. La cryptographie multivariée, les protocoles « zero knowledge », la sécurité d'un système d'exploitation, etc., représentent une mobilisation de connaissances considérable. En fait, aujourd'hui, pour comprendre complètement la sécurité - sous tous ses angles - d'une solution de vote électronique, et à plus forte raison de vote par internet, il faut mobiliser plusieurs thèses dans différents domaines. Par conséquent, on délègue en quelque sorte à des experts la compréhension de la sincérité du scrutin. Ce sera donc le facteur limitant fondamental. Cela ne veut pas dire qu'il faut se l'interdire, mais il faut bien peser aussi les apports que l'on met en face.
Concernant le recours à des machines à voter, au-delà du vote par internet des Français de l'étranger - qui est un cas très particulier sur lequel l'équilibre apport-risque est différent -, nous avons aujourd'hui un moratoire qui s'éternise en la matière. Je ne me prononcerai pas sur le maintien ou non de ce moratoire, si ce n'est pour dire qu'il s'éternise et que les mesures temporaires qui durent ne sont jamais une très bonne chose. L'Anssi a travaillé sur le sujet en 2021. Nous avons communiqué au ministère de l'intérieur et aux communes concernées un référentiel indiquant que, si l'on veut recourir au vote par machine à voter, voici l'état de l'art des mesures à déployer pour assurer le meilleur niveau de sécurité. Cet état de l'art a d'ailleurs beaucoup évolué dans le monde au cours des vingt dernières années. Or, aujourd'hui, en France, nous avons des machines qui sont figées dans le marbre depuis quasiment vingt ans par ce moratoire.
Pour rouvrir le débat, ma conviction d'expert technique - et je me limite à ce rôle - est que, si l'on devait adopter des machines à voter, il faudrait le faire avec ces exigences renforcées qui sont celles appliquées par d'autres États pratiquant ce type de vote, y compris les États-Unis : l'émission d'un bulletin papier en parallèle du vote électronique, qui permet d'avoir une traçabilité papier, par exemple, ou encore une évaluation indépendante des machines à voter. Le rôle de l'Anssi se limite à cela.
Nous n'avons pas à être ensuite acteurs du débat politique sur le sujet. Mettre en évidence les risques, mettre en évidence les manières de contrer les risques et les limites de ces contre-mesures, tel est notre rôle, et nous l'avons fait en 2021.
Mme Anne-Catherine Loisier. - Certains départements, comme le mien en Côte-d'Or, s'engagent aux côtés des communes pour créer des centres de données locaux et bâtir des solutions de « nuage souverain ». L'Anssi accompagne-t-elle ces initiatives déconcentrées et quel est votre avis sur ces démarches ?
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Il existe énormément de démarches très vertueuses portées au niveau local, départemental ou régional ou par des intercommunalités. Parmi nos associés, nos alliés permanents, je mentionne également l'association Déclic. Ce sont des opérateurs publics de services numériques (OPSN) qui portent de nombreuses initiatives.
Par conséquent, l'approche de l'Anssi aujourd'hui consiste à accompagner ces initiatives locales, à faire ce que nous pouvons pour aider en partageant des avis, des éclairages, en voyant si nous pouvons mobiliser des dispositifs de niveau national en soutien de ces actions. Il s'agit aussi maintenant de faire percoler ces bonnes idées et de les partager, sans logique centralisatrice visant à imposer un modèle unique, mais en rappelant qu'il y a des solutions qui ont fonctionné. Nous pouvons les partager avec d'autres territoires sans les leur imposer.
Il existe de nombreux exemples, y compris des actions des exécutifs locaux, mais aussi des préfets, qui peuvent prendre des initiatives qui ont plus ou moins bien fonctionné. Nous sommes donc dans cette phase de consolidation de bonnes pratiques, sans imposer de règles, mais en partageant les bonnes recettes.
Mme Dominique Estrosi Sassone, présidente. - Un grand merci, Monsieur le directeur général ; vous avez répondu avec précision et finesse à l'ensemble des questions. Dans vos propos liminaires, nous avons mieux appréhendé les enjeux - nous n'en sommes encore qu'au démarrage, mais c'était extrêmement intéressant et très enrichissant. Merci pour le temps que vous nous avez consacré.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo, disponible en ligne sur le site du Sénat.
Proposition de loi, adoptée par l'Assemblée nationale, pour retrouver la confiance et l'équilibre dans les rapports locatifs - Désignation d'un rapporteur
La commission désigne Mme Amel Gacquerre rapporteure de la proposition de loi n° 217 (2025-2026), adoptée par l'Assemblée nationale, pour retrouver la confiance et l'équilibre dans les rapports locatifs.
La réunion est close à 12 h 00.