B. LES OBSERVATIONS DU RAPPORTEUR SPÉCIAL
1. Un niveau de sécurité informatique en tension, dans un contexte marqué par l'augmentation des menaces, notamment autour des JOP de Paris 2024
L'année 2024 a fortement mobilisé les ressources de la mission « Direction de l'action du Gouvernement », en particulier au titre de la contribution à l'organisation des jeux Olympiques et Paralympiques (JOP) de Paris 2024.
Si la délégation interministérielle aux jeux Olympiques et Paralympiques (DIJOP)1(*), créée en 2017, a représenté une consommation de crédits de 2,4 millions d'euros en 2024, avec des effectifs de 24 ETP au plus fort de l'activité, la dimension numérique de l'événement s'est traduite par une sollicitation importante des services compétents en matière de cybersécurité et de protection contre les ingérences numériques étrangères.
Placé auprès du chef du Gouvernement, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) comprend plusieurs instances compétentes en matière de cybersécurité, en particulier :
- l'Agence nationale de la sécurité des systèmes d'information (ANSSI) : autorité nationale en matière de cybersécurité et de cyberdéfense, l'action de l'ANSSI se compose de quatre grandes missions, à savoir défendre, connaître, partager et accompagner les entités publiques et privées visées par les cyberattaques ;
- l'Opérateur des systèmes d'information interministériels classifiés (OSIIC) : chargé d'assurer les communications protégées des plus hautes autorités de l'État en tout temps et en tous lieux, l'OSIIC assure également la fonction de direction des systèmes d'information pour l'ensemble des entités composant le SGDSN.
La mobilisation de l'ANSSI pour assurer la cybersécurité des JOP de Paris 2024
La mobilisation des équipes de l'ANSSI, dont la mission est d'assurer la continuité essentielle au bon fonctionnement des services de l'État, s'est appuyée, pour les JOP de Paris 2025, sur un dispositif opérationnel refondu en 2023 dans le cadre du dispositif national de gestion de crise de la coupe du monde de rugby, qui a servi de préparation pour les JOP.
Grâce à une large sensibilisation aux risques et à la gestion de crise, l'ANSSI a préparé tous les acteurs des JOP à la tenue de la manifestation et a réalisé des audits visant à déterminer la capacité à faire face à d'éventuelles cyberattaques des nombreux systèmes d'information critiques pour la préparation et le déroulement des JOP.
Un budget de 11,3 millions d'euros (6,4 millions d'euros en 2023 et 4,9 millions d'euros en 2024) a été mobilisé pour participer au financement des mesures destinées à renforcer la protection des systèmes présentant des défaillances.
Aux côtés de la direction interministérielle du numérique (DINUM), l'ANSSI a également piloté un programme visant à renforcer la résilience de l'infrastructure stratégique que représente le réseau interministériel de l'État (RIE).
Enfin, 29 renforts occasionnels ont été recrutés spécifiquement, pour une durée moyenne de 190 jours, représentant une masse salariale estimée à 0,7 millions d'euros.
Source : commission des finances, d'après la note d'exécution budgétaire 2024
De surcroît, afin de lutter contre les campagnes de manipulation de l'information organisées par des pays étrangers, le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a poursuivi sa montée en puissance en 2024. Doté de 3 millions d'euros et de 45 agents, ce service a élevé son niveau d'expertise technique en élargissant ses partenariats stratégiques2(*).
Niveau de sécurité des systèmes d'information de l'État
(en note de 0 à 5 ou en pourcentage)
|
|
2022 Réalisation |
2023 Réalisation |
Cible 2024 |
2024 Réalisation |
Cible |
|
Maturité globale en sécurité des systèmes d'information de l'État |
3,1 |
3,3 |
3,6 |
3,6 |
3,8 |
|
Niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information |
95 |
96 |
96 |
96 |
97 |
|
Taux de réalisation du schéma directeur des systèmes d'information interministériels classifiés |
100 |
83 |
100 |
76 |
100 |
Note : le sous-indicateur relatif à la maturité globale en sécurité des systèmes d'information de l'État reflète l'écart entre un niveau de maturité effectif et un niveau de maturité considéré comme adéquat en fonction de l'activité du ministère. Ces niveaux sont déterminés à l'aide d'un guide méthodologique et d'un questionnaire établis par l'ANSSI en collaboration avec les départements ministériels. Les données fournies par les ministères peuvent éventuellement être corrigées à partir des constats faits par l'ANSSI lors de ses inspections.
Source : commission des finances, d'après les documents budgétaires
Comme en 2023, les cibles sont atteintes aussi bien pour la maturité globale en sécurité des systèmes d'information de l'État que pour le niveau d'avancement des grands projets interministériels en la matière.
En particulier, après une baisse ponctuelle entre 2021 et 2022 (tout en demeurant au-dessus de la cible, fixée à 3,0 sur 5), la maturité globale en sécurité des systèmes d'information de l'État poursuit sa progression, pour atteindre le niveau de 3,6 sur 5. D'après la documentation budgétaire, cette trajectoire encourageante serait liée au lancement des réunions interministérielles (RIM) Cyber dès août 2021, complétées par la mise en place de conseillers cybersécurité dans les cabinets ministériels.
En revanche, le taux de réalisation du schéma directeur des systèmes d'information interministériels classifiés se dégrade nettement, à 76 % contre 83 % en 2023 et 100 % en 2022, pour une cible fixée à 100 %. De même, le taux de sites sensibles ayant subi un incident dont la durée globale est supérieure à 4 heures connaît une hausse notable, de 0,7 point, à 3 % contre 2,3 % en 2023, pour une cible fixée à 2 %
Taux de sites sensibles ayant subi un
incident
dont la durée globale est supérieure à
4 heures
(en pourcentage)
|
|
2022 Réalisation |
2023 Réalisation |
Cible 2024 |
2024 Réalisation |
Cible |
|
Taux de sites sensibles ayant subi un incident supérieur à 4 heures |
3,5 |
2,3 |
2 |
3 |
2 |
Note : les sites sensibles couverts par cet indicateur correspondent aux sites sensibles du réseau interministériel de l'État (RIE).
Source : commission des finances, d'après les documents budgétaires
2. Des dépenses immobilières de fonctionnement alourdies par des loyers en forte hausse
La direction des services administratifs et financiers (DSAF) du Premier ministre assume, à travers l'action 10 « Soutien » du programme 129 « Coordination du travail gouvernemental », les fonctions de propriétaire de biens immobiliers multi-occupants, tant pour l'îlot Ségur-Fontenoy que pour l'ensemble des emprises des sites historiques rattachées aux services du Premier ministre.
Comme le notait la Cour des comptes en 2019 dans ses observations définitives relatives à l'opération Ségur-Fontenoy, « d'un point de vue comptable, le montage juridique a permis à l'État de ne pas enregistrer l'investissement dans la dette de l'État, au sens des traités européens. Celui-ci est remboursé plus tard à la livraison des bâtiments et lissé dans des loyers ».
Alors que les loyers sont indexés sur l'indice des loyers des activités tertiaires (ILAT), indice positif depuis 2021, leur révision explique une part prépondérante de la hausse de 31 % des dépenses correspondantes3(*) sur le programme 129, à 37,5 millions d'euros contre 28,5 millions d'euros en 2023.
De même, sur le programme 308 « Protection des droits et libertés », les occupations immobilières se traduisent par des coûts de fonctionnement croissants. Ainsi, le coût d'occupation des locaux de la Haute Autorité pour la transparence de la vie publique (HATVP)4(*) a connu une augmentation de 9 % entre 2023 et 2024, consécutive à la hausse du prix du mètre carré lors de la signature du nouveau bail, en juillet 2023.
Ainsi que le souligne la Cour des comptes, avec un taux de 56 % par rapport au total des dépenses immobilières de fonctionnement, en hausse constante, le poids des loyers représente « un risque pour la mission, notamment lorsqu'elle ne peut en assurer la maîtrise », comme c'est le cas pour la HATVP5(*).
À ce titre, le rapporteur avait déjà relevé, dans son rapport spécial pour le projet de loi de finances pour 20256(*), le caractère problématique du recours à des baux locatifs pour héberger des autorités ayant vocation à perdurer.
* 1 La DIJOP était chargée de l'animation et de la coordination des activités des administrations et des établissements publics nationaux concourant à l'organisation de l'événement, notamment au travers de l'organisation du comité de coordination et du comité des partenaires. Elle était également chargée des relations de l'État avec le comité d'organisation des jeux Olympiques et Paralympiques (COJO), en liaison avec les préfets et les collectivités territoriales concernées.
* 2 Cour des comptes, note d'exécution budgétaire 2024, mission « Direction de l'action du Gouvernement », avril 2025.
* 3 Lesquelles incluent également des charges et diverses taxes.
* 4 Dans un immeuble pris à bail par le Conseil d'Etat et pour lequel une convention d'utilisation des locaux sert de base au remboursement.
* 5 Cour des comptes, note d'exécution budgétaire 2024, mission « Direction de l'action du Gouvernement », avril 2025.
* 6 Rapport général n° 144 (2024-2025), tome III, annexe 10, mission « Direction de l'action du Gouvernement », déposé le 21 novembre 2024.