B. UN EFFORT À ACCENTUER DE MANIÈRE RÉSOLUE
Le Livre blanc marque une inflexion significative par la place qu'il accorde à la protection des systèmes d'information sensibles dans notre politique de défense et de sécurité, mais également par les éléments nouveaux et majeurs qu'il apporte et qui sont de nature à donner une impulsion forte à la prise en compte de la sécurité des systèmes d'information dans notre pays.
Il reste désormais à faire suivre ces orientations de progrès concrets , particulièrement nécessaires dans un domaine où la France accuse un réel retard face à une menace qui, elle, évolue très rapidement.
Votre rapporteur considère qu'il faudra à cet effet agir sur deux leviers : les moyens humains et techniques ; une organisation fonctionnant de manière à rendre effectives les prescriptions édictées en matière de sécurité de systèmes d'information.
Par ailleurs, au-delà de la problématique abordée par le Livre blanc, il estime qu'un effort beaucoup plus important doit être réalisé pour créer un véritable partenariat entre les acteurs publics et le secteur privé autour de la sécurité de systèmes d'information.
1. Porter nos moyens à hauteur de ceux de nos homologues européens
Le Livre blanc précise que la future agence chargée de la sécurité des systèmes d'information reprendra les effectifs et les moyens de la DCSSI « tout en les renforçant sensiblement ».
Rappelons une nouvelle fois que ces moyens sont aujourd'hui, de l'avis général, notoirement sous-dimensionnés, et quatre à cinq fois inférieurs à ceux de nos partenaires allemand ou britannique.
On ne peut sur ce point se satisfaire d'un simple renforcement « sensible » , et le Livre blanc aurait gagné à indiquer un objectif plus précis et surtout plus ambitieux.
Pour votre rapporteur, cet objectif doit être de parvenir progressivement, sur plusieurs années, à un niveau similaire à celui des services équivalents de l'Allemagne et du Royaume-Uni .
Les volumes d'effectifs et d'investissements concernés sont au demeurant modestes.
Dans un premier temps, un plan pluriannuel sur trois ou quatre ans devrait au moins permettre de passer des 110 agents de la DCSSI à une « masse critique » de l'ordre de 300 agents, et de renforcer parallèlement l'effort d'investissement.
Un tel plan permettrait d'obtenir des améliorations notables et concrètes à des échéances relativement proches, notamment :
- de mettre sur pied et d'armer en personnels le centre de surveillance et de détection crée au sein de l'agence ;
- de poursuivre et d' accélérer le déploiement des réseaux de communication sécurisés ;
- de poursuivre et d'accélérer le développement et l'acquisition de produits hautement sécurisés directement liés à la protection de l'Etat ;
- de doter l'agence des moyens de développer la politique de labellisation de produits et services , en vue de plus largement diffuser ces produits au sein des administrations et du secteur privé ;
- de constituer au sein de l'agence le réservoir de compétences prévu par le Livre blanc ; il permettrait de regrouper l'expertise en sécurisation des réseaux en vue de la mettre à disposition des administrations ou des opérateurs d'importance vitale lors de la conception de leurs systèmes d'information ;
- de renforcer les capacités en matière d'audit, d'inspection et de réalisation de tests d'intrusion , ainsi que de conseil au secteur privé ;
- d' accentuer les programmes de formation et d'élargir le public visé ;
- de permettre à l'agence de mener une politique de communication destinée à renforcer la sensibilisation des responsables des administrations et des entreprises, ainsi que des utilisateurs.
2. Donner plus de force à la politique de la sécurité des systèmes d'information
La création d'une agence autonome, dans le cadre du statut de service à compétence nationale, est incontestablement de nature à améliorer la visibilité de la structure centrale en charge de la sécurité des systèmes d'information, de lui permettre d'être mieux identifiée comme l'interlocuteur unique par les administrations et les entreprises et donc de donner davantage d'écho à son action.
La simple transformation de la DCSSI en agence ne saurait cependant suffire à remédier aux faiblesses de notre organisation, telles qu'elles avaient été identifiées notamment par le rapport Lasbordes, ni au risque de dispersion qu'il mentionnait.
Le Livre blanc n'apporte pas, de ce point de vue, de réponse claire à la question de la gouvernance globale des différents acteurs , de la coordination de leur action et de la mise en synergie de leurs moyens . Or, aux côtés de la future agence, ces acteurs vont continuer à jouer un rôle important, qu'il s'agisse du ministère de la défense, à travers son expertise propre, du ministère de l'économie et des finances, pour le développement de l'administration électronique et le soutien aux entreprises, ou des services de renseignement, qui disposent d'équipements techniques et de personnels spécialisés déjà conséquents et devraient les voir renforcés au cours des prochaines années.
Il semble à votre rapporteur que cette coordination, nécessaire pour veiller à la cohérence des actions et des moyens, doit relever de l'autorité du Premier ministre , à qui il appartient de définir les axes stratégiques, de suivre leur mise en oeuvre et de veiller à la bonne répartition des moyens humains, techniques et financiers. Il lui semble également qu'un lien devra être établi, par l'intermédiaire du coordinateur du renseignement, avec le Conseil national du renseignement dont la création est prévue par le Livre blanc. La protection des systèmes d'information sensibles entrant dans la mission des services de renseignement qui disposent à cet effet de capacités importantes, les orientations retenues par ce Conseil devront s'intégrer dans la politique globale de sécurité des systèmes d'information.
S'agissant des prérogatives de l'agence , elles ne sauraient se traduire par une sorte de tutelle sur la politique informatique des différentes administrations. Pour autant, elles ne devront pas se limiter à de simples recommandations laissées à la libre appréciation des administrations. Ces prérogatives devront être définies de manière suffisamment claire pour permettre une mise en oeuvre effective des prescriptions touchant à la sécurité de systèmes d'information.
Aux yeux de votre rapporteur, l'agence devrait ainsi être en mesure :
- d' imposer aux administrations une réduction du nombre de leurs passerelles vers l'internet , à l'image de l'architecture du réseau RENATER, afin de faciliter l'action du centre de surveillance et de détection ;
- de désigner les produits de haute sécurité que les administrations devront obligatoirement utiliser pour les réseaux les plus sensibles ;
- d'édicter des prescriptions de sécurité pour les autres réseaux sensibles des administrations , et de s'assurer, par une procédure de validation, que les solutions retenues par l'administration concernée s'y sont bien conformées ;
- de veiller, dans le cadre de ces prescriptions et de cette procédure de validation applicable aux réseaux sensibles des administrations , au recours systématique à des produits labellisés, de manière à soutenir l'offre de ces produits et à les rendre ainsi plus accessibles sur le marché ;
- de rendre obligatoire l'adoption par les administrations, pour leurs réseaux sensibles, ainsi que par les opérateurs d'importance vitale, de dispositifs garantissant la continuité du service en cas d'attaque majeure , sous la forme par exemple de systèmes redondants ;
- d' étendre ses missions d'inspection et la réalisation des tests d'intrusion aux opérateurs d'importance vitale .
3. Renforcer le partenariat avec le secteur économique
Il ne revenait pas au Livre blanc de traiter de la problématique particulière des entreprises au regard de la sécurité des systèmes d'information. Cette dimension essentielle devra néanmoins être prise en compte par la nouvelle organisation . L'institution d'une agence interministérielle, dotée de moyens moins limités que ceux de l'actuelle DCSSI, devrait aussi se traduire, selon votre rapporteur, par un renforcement du partenariat avec le secteur privé, aujourd'hui insuffisamment développé, comme l'avait souligné le rapport Lasbordes.
Les entreprises, votre rapporteur l'a constaté lors de ses auditions, attendent en premier lieu de l'Etat qu'il leur désigne un interlocuteur unique , pour répondre à leurs demandes d'expertise, de conseils, d'assistance. L'agence chargée de la sécurité des systèmes d'information semble toute désignée pour jouer ce rôle. De par sa nature interministérielle, elle pourrait réunir des compétences aujourd'hui dispersées dans d'autres structures et disposer d'une cellule capable de diriger les demandes qu'elle ne peut elle-même traiter vers les organismes compétents des administrations.
Deuxièmement, les entreprises les plus concernées par la sécurité des systèmes d'information (opérateurs d'importance vitale, entreprises intervenant dans des domaines sensibles) attendent des échanges d'information beaucoup plus fournis et des contacts beaucoup plus fréquents avec les services de l'Etat . Les moyens dont sera dotée l'agence devront lui permettre de développer la communication vers ces entreprises et de mettre en place des enceintes permettant des contacts réguliers.
Le développement de l'offre de produits labellisés constitue la troisième grande attente des entreprises. Ce sera un objectif prioritaire pour la future agence.
Le partenariat avec le secteur privé doit également contribuer au soutien à la base industrielle et technologique en matière de produits sécurisés, notamment à l'égard des PME-PMI du secteur. Ne pourrait-on pas imaginer que les grands groupes s'associent , par exemple au travers d'un groupement d'intérêt économique, pour mutualiser leurs besoins en produits sécurisés et soutenir leur développement par le tissu industriel national ou européen ? Cette politique commune des entreprises pourrait être coordonnée avec celle de l'Etat dans les domaines où les besoins sont communs.
Enfin, le financement public de la recherche-développement en matière de sécurité des systèmes d'information doit être accentué. Le fonds interministériel de soutien à l'innovation que le plan de renforcement de la sécurité des systèmes d'information avait préconisé n'a pas été mis en place et les différentes sources de financement restent dispersées. Ce dispositif doit être clarifié , en vue notamment d'en faciliter l'accès par les PME-PMI innovantes dans le domaine de la sécurité des systèmes d'information