B. UNE ATTENTION PARTICULIÈRE DE PROTECTION À APPORTER AU TISSU DES PME ET SOUS-TRAITANTS CRITIQUES DE LA BITD
Dans le cadre de la thématique de soutien à la BITD française se pose la question des moyens nouveaux de renseignement et de contre-ingérence mis en oeuvre pour sécuriser les PME au regard des menaces nouvelles : attaques cyber, sabotages ou prises de participations hostiles. La DGSE comme la DRSD intègrent dans leur champ d'action un panel de mesures de protection dans divers domaines : la protection économique qui vise à prévenir l'embauche de cadres par des groupes étrangers, la contre-ingérence économique sur les investissements étrangers en France et la lutte contre les attaques cyber et les menaces hybrides.
À l'échelle de la BITD française, la DRSD, en lien avec la DGA, identifie un champ de compétence de 4 500 entreprises de défense pour lesquelles elle assure une mission de protection, d'inspection et d'enquêtes d'habilitation. Sur cet ensemble le périmètre des TPE/PME ne fait pas l'objet d'un suivi statistique distinct dans la mesure où le critère déterminant repose davantage sur la nature des entreprises (opérateur d'importance vitale ou non, détention d'informations et de supports classifiés) plus que sur leur taille. C'est donc au regard de ces critères que la DRSD peut être amenée à porter une attention particulière à certaines entreprises relevant de la catégorie des TPE/PME.
En réponse au sujet d'intérêt de vos rapporteurs pour avis, la DRSD a précisé le cadre de son action selon deux approches, non spécifiques aux PME mais pouvant utilement leur être appliquées :
· le périmètre « économie de guerre » : cette notion inclut celle des « sous-traitants critiques » identifiés par la DGA et dont la liste est classifiée. De ce fait, la proportion de PME comme les éventuelles statistiques d'atteinte par des actions malveillantes ne sont pas disponibles. En revanche, la direction estime utile de rappeler, à des fins de pédagogie, que les sous-traitants des entreprises de défense n'ont pas toujours pleinement conscience de leur vulnérabilité au regard de leur importance dans la chaîne de valeur. C'est dans ce cadre que des audits de sûreté sont menés par la DRSD à la demande de la DGA ;
· les mesures de protection apportées par la DRSD : 4 types de mesures sont mises en oeuvre (cf. encadré ci-dessous).
Les mesures de protection apportées par la DRSD
- Les inspections physiques et cyber visant à identifier le niveau de maturité dans ces domaines et à apporter des recommandations concrètes au regard de la menace, cette activité est en constante augmentation (171 inspections réalisées en 2024, 206 prévues en 2025 contre seulement 110 réalisées en 2020 pour le physique et, 43 en 2024 et 62 prévues en 2025 pour le cyber) ;
- Des actions de sensibilisations sont menées par le réseau en région (1 467 actions de sensibilisations représentant 45 814 personnes sensibilisées, notamment dans les établissements de recherches, réalisées entre le 1er septembre 2024 et le 31 aout 2025) et la publication d'une lettre d'information économique (LIE) qui diffuse des informations de contre-ingérence économique (propriété intellectuelle, panorama des menaces, lawfare, etc.) ;
- La création du CERT[ED] (Computer Emergency Response Team des entreprises de défense) en 2023, vise à réduire le risque sécuritaire qui pèse sur les systèmes d'information non classifiés des TPE-PME de la BITD. Cette structure accompagne 451 TPE/PME (soit environ 15 % de la BITD). 106 incidents ont été signalés au CERT-ED en 2024 ;
- Les enquêtes administratives en vue d'habilitation portent sur l'ensemble de la BITD, sans distinction statistique pour les TPE/PME (29 636 demandes d'habilitations « Secret » en 2024 et 13 013 « Très Secret » pour les personnes physiques).
Les rapporteurs saluent la prise en compte particulière du risque cyber des TPE/PME par la création du CERT[ED], dont le nombre de bénéficiaires a augmenté en 2025 pour atteindre 500 entreprises, et encouragent les services à développer une approche spécifique aux besoins de ces entreprises face à la montée des menaces hybrides de tous ordres. La montée en puissance de cette cellule est encouragée mais reste limitée par les contraintes de recrutement fixées par la direction des ressources humaine du ministère. En effet, la DRSD reste une structure d'emploi mais pas une entité de recrutement et de gestion de ses propres effectifs, ce qui limite notamment la fidélisation des personnels civils par manque de visibilité et de perspective de carrière.
C'est pourquoi, compte tenu de l'effort à réaliser en direction de la protection du tissu des TPE-PME et sous-traitants de la BITD, il est préconisé de desserrer la contrainte budgétaire des crédits de titre 2 de la DRSD pour 2026 - lesquels sont fixés à 144 M€ pour 2026 au lieu de 149 M€ en 2025 - et, par principe, de confier à cette direction une véritable compétence de recrutement et de gestion de ses effectifs militaires et civils.