III. UN RAPPORT ANNUEL DE PERFORMANCES TROP SUCCINCT
Un seul indicateur de performance est associé à l'ANSSI : il mesure le « niveau de sécurité des systèmes d'information de l'État ». Cet indicateur est synthétique et ne distingue pas la sécurité des systèmes d'information des différents ministères alors même que le résultat obtenu provient d'une pondération en fonction de l'enjeu que représente la sécurité du ministère.
La construction de cet indicateur est complexe et ne suffit pas à informer les parlementaires ; elle ne permet pas non plus d'identifier les ministères qui sous-estiment l'enjeu que représente la cybersécurité alors que des efforts sont faits, au niveau central pour renforcer la sécurité des ministères.
Par ailleurs, malgré la complexité des sujets et la nécessaire protection de certaines informations particulièrement sensibles, l'ANSSI doit pouvoir développer des indicateurs accessibles, sans trahir pour autant les faiblesses et les derniers développements en matière de sécurité des systèmes d'information.
C'est notamment pour ces raisons que l'essentiel de la performance de l'ANSSI est « aujourd'hui mesurée par des indicateurs tenus au niveau des sous-directeurs pour leur propre usage. Ils en rendent compte régulièrement à la direction lors des réunions bimensuelles » 30 ( * ) . Cependant, ces indicateurs présentent le double désavantage d'être limités à une utilisation interne et de relever d'avantage d'indicateurs d'activité que de performance (par exemple : le nombre d'alertes, d'incidents, de notes, ...). L'agence a mis en place une réflexion sur ses processus d'actions afin de déterminer des indicateurs plus pertinents.
1. Faciliter le suivi de la performance de l'ANSSI
L'agence, de par la diversité de ses missions, peut intervenir à la demande d'une administration ou d'un opérateur d'importance vitale, comme elle peut fournir d'elle-même un certain nombre de préconisations.
Dans le cadre de ses actions comme « prestataire », c'est-à-dire à la demande d'un organisme et ayant pour objectif d'améliorer le niveau de sécurité des opérateurs , l'efficience de l'ANSSI pourrait être mesurée par ses délais d'interventions. Pour ce faire, il pourrait être envisagé de mesurer les taux d'avis, d'inspection et de réparation effectués dans les délais prescrits .
Afin de permettre un meilleur suivi des actions de l'ANSSI, quel que soit le domaine, une grille d'analyse pourrait être construite, répertoriant les attaques selon leurs enjeux, à savoir le type d'institution et d'organisme touché, et leur complexité.
Ainsi, pour évaluer la réalisation de l'objectif de protection des systèmes d'information , deux sous-indicateurs pourraient être utilisés. Le premier reposerait sur cette grille d'analyse et correspondrait à la différence entre les délais d'intervention de l'ANSSI et les délais prescrits par le référentiel susmentionné . Par exemple, à une défiguration de site web d'un organisme à importance vitale serait associé un délai d'intervention que l'ANSSI devrait s'efforcer de respecter, avec un niveau d'exigence adapté à la complexité de l'attaque. Ce délai devrait prendre en compte l'enjeu propre à un opérateur d'importance vitale et le respect d'un éventuel protocole en matière de cybersécurité. Le deuxième indicateur associé à un cet objectif serait le taux de satisfaction des organismes et institutions , en relation tant à la réactivité qu'à la qualité de l'intervention de l'ANSSI par le biais d'une note qui pourrait être attribué à l'agence.
2. Faire de la performance un outil pour renforcer la coopération entre l'ANSSI et les ministères
La publication d'indicateurs d'activité pourrait permettre d'intensifier les liens entre l'ANSSI et les ministères, et renforcer la prise en compte des enjeux de cybersécurité par ces derniers.
Ainsi un indicateur du taux de coopération entre les ministères pourrait être étudié. Il s'agirait de mesurer le respect des injonctions ou des conseils formulés par l'ANSSI (uniquement lorsqu'elle interviendrait en tant qu'autorité de sécurité des systèmes d'information et non en tant que prestataire de services). Cet indicateur permettrait de mesurer l'efficience de l'intervention de l'ANSSI et la capacité de prévention des risques -permettant d'éviter autant que possible les réparations en urgence de l'ANSSI et les préconisations non suivies d'effets dans les ministères.
La contractualisation entre l'ANSSI et les ministères pourrait également fiabiliser la mesure de la performance de l'ANSSI tout en renforçant les liens entre eux. Un certain nombre d'objectifs à moyen et long termes pourraient être associés à ce contrat opérationnel. Il faudrait néanmoins s'assurer que l'ANSSI ait un pouvoir de négociation suffisant pour que les ambitions du contrat ne soient pas trop faibles. Cela nécessite également que les ministères aient les ressources nécessaires pour appliquer les recommandations de l'ANSSI ou poursuivre ses missions.
Toutefois, afin de s'assurer de la cohérence des résultats obtenus, il est important de poursuivre la fiabilisation des données concernant les attaques informatiques visant les systèmes d'information. « Le nombre d'attaques informatiques détectées ne fait l'objet d'une mesure statistique fiabilisée que depuis l'année 2014 31 ( * ) » et il ne s'agit que du secteur pris en charge par le COSSI (cf. supra).
* 30 Réponses au questionnaire de la commission des finances du Sénat, SGDSN.
* 31 Ibid.