B. LA DIFFICULTÉ DE DÉTERMINER LE COÛT DE LA SÉCURITÉ INFORMATIQUE DES POUVOIRS PUBLICS
L'analyse budgétaire des coûts liés à la sécurité informatique des pouvoirs publics se heurte à des obstacles qui rendent difficile la détermination du montant exact consacré par les institutions à la protection de leur réseau informatique et donc à la préservation de leur fonctionnement.
En effet, au sein du budget alloué chaque année à la direction des systèmes d'information de chacune des structures concernées, il n'est pas possible d'isoler un ensemble de dépenses spécifiquement consacrées à la sécurité informatique. Tous les responsables techniques ou responsables de la sécurité des systèmes d'information (RSSI) des institutions rencontrés par votre rapporteur spécial ont pu préciser que chaque projet informatique, qu'il concerne le développement d'une application, l'évolution d'une infrastructure ou le remplacement d'équipements, comporte une dimension de sécurité informatique, qui n'est pas toujours quantifiable.
Malgré tout, à titre d'exemple, la direction des systèmes d'information du Sénat estime que 25 % environ de son budget total est consacré aux dépenses « infrastructures et sécurité » 2 ( * ) . Les dépenses de sécurité à proprement parler représentaient sur la période 2016-2018 entre 150 000 et 300 000 euros, dont la moitié consacrée à la maintenance. Les fortes variations annuelles de budget s'expliquent par des acquisitions d'équipements. Enfin, certaines dépenses rattachées à la sécurité informatique portent sur des équipements ayant plusieurs fonctions, non exclusivement consacrés aux enjeux de sécurité.
C'est pour cette raison que le travail conduit par votre rapporteur spécial a davantage consisté à échanger sur les problématiques liées à la sécurité informatique et sur leur prise en compte par les pouvoirs publics contrôlés qu'à une analyse quantitative des crédits consacrés à la cybersécurité. La seule évaluation généralement donnée est que 10 % du budget informatique doivent être consacrés aux investissements en matière de sécurité.
De plus, la détermination du coût de la sécurité informatique des pouvoirs publics est également rendue difficile en raison de l'appui extérieur que représente la collaboration avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dont chacun des pouvoirs publics bénéficie. Son coût n'apparaît pas dans les dépenses de ces institutions, alors même qu'il est indispensable et au centre du dispositif de cyberdéfense national.
|
Présentation de l'Agence nationale de la sécurité des systèmes d'information Service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorité nationale chargée d'accompagner et de sécuriser le développement du numérique. Acteur majeur de la cyber sécurité, l'ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d'importance vitale (OIV). Elle assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques. En collaboration avec les administrations compétentes, l'ANSSI instruit et prépare les décisions gouvernementales relatives à la sécurité du numérique et à celle des données sensibles. Elle participe également à la construction et à la maintenance des réseaux et des terminaux sécurisés pour les services de l'État. L'agence accompagne ainsi les cabinets du président de la République, du Premier ministre et des membres du Gouvernement dans la sécurisation de leurs systèmes d'information. (...) En cas d'attaque avérée ou soupçonnée, le Centre opérationnel de la sécurité des systèmes d'information (COSSI) assure la défense des services de l'État et des opérateurs privés les plus sensibles. Pour mener à bien sa mission, le COSSI met en oeuvre des dispositifs de veille, de détection, de collecte, d'analyse et de réponse aux incidents de sécurité. Source : site internet de l'ANSSI |
Votre rapporteur spécial a pu constater en échangeant avec les responsables administratifs et techniques des différents pouvoirs publics qui font l'objet du présent contrôle que le rôle de l'ANSSI est particulièrement décisif et incontournable , tant en amont pour préparer les conditions d'une sécurité informatique satisfaisante des institutions françaises qu'en cas d'attaque avérée, où ses équipes peuvent jouer un rôle crucial dans le traitement des conséquences d'une attaque. Son expertise est reconnue, sa fiabilité aussi.
|
Recommandation n° 1 : Conforter le rôle de l'Agence nationale de sécurité des systèmes d'information (ANSSI) auprès des pouvoirs publics. |
* 2 Le budget total de la direction des systèmes d'information du Sénat a varié sur la période 2016-2018 entre 3,5 et 4,2 millions d'euros.