Rapport relatif à l'activité de la délégation parlementaire au renseignement pour l'année 2022-2023

b. La sensibilisation des entreprises

La sécurité économique est un impératif stratégique qui nécessite une appropriation collective de l'ensemble des acteurs qui y concourent, et pas seulement des pouvoirs publics. La sensibilisation des acteurs économiques, à chacun des maillons de la vie de l'entreprise, est requise pour réduire les risques extra-financiers pesant sur l'entreprise comme la non-conformité, le risque de réputation, de fuites de données stratégiques ou encore d'usage du numérique à des fins malveillantes.

Si les grands groupes sont bien outillés juridiquement et techniquement pour prévenir au mieux les tentatives d'ingérences étrangères, beaucoup reste à faire pour les plus petites structures, TPE/ PME /ETI et les start-up confrontées à des tentatives de déstabilisation et d'espionnage par la captation de données par des acteurs étrangers.

Des outils ont été conçus ces dernières années, tant par le Service de l'information stratégique et de la sécurité économique (SISSE) à Bercy que par la DGSI pour apporter aux acteurs économiques un mode d'emploi très opérationnel sur la sécurité des entreprises et la protection de leurs informations stratégiques.

Pour réduire les vulnérabilités, les préconisations sont d'ordre organisationnel (à destination des managers), technique (à destination des responsables de la sécurité des systèmes d'information, des locaux ou de la logistique, mais aussi potentiellement à chaque employé dans son comportement quotidien) et comportemental.

Les deux services menants (DGSI et DRSD) dans le domaine de la protection économique ont effectué en 2022 plus de 700 conférences au profit des dirigeants et salariés des *****.

c. La sensibilisation du monde académique

Deux rapports récents ont attiré l'attention sur la vulnérabilité du monde académique et son ciblage par des puissances étrangères. Le premier, spécifique à l'enseignement supérieur et à la recherche (ESR), est celui du sénateur André Gattolin, issu des travaux de la mission d'information sénatoriale sur « les influences étatiques extra-européennes dans le monde universitaire et

académique français et leurs incidences ⁽¹⁾ ». Le second est un rapport de l'IRSEM sur « Les opérations d'influence chinoises, un moment machiavélien » de MM. Charon et Jeangène Vilmer qui, comme son titre le laisse entendre, s'attache à démontrer des influences chinoises, notamment dans l'enseignement supérieur et la recherche.

Les vulnérabilités du monde académique français résultent de la conjugaison de plusieurs facteurs que sont une insuffisance de ressources budgétaires, des modalités de gouvernance peu adaptées à la prise en compte du risque d'ingérence - plus précisément dans cette zone grise qui s'étend de l'influence à l'ingérence - et la culture d'une recherche ouverte fondée sur le partage des connaissances et la circulation des idées.

Dans ce contexte, les tentatives de pénétration du milieu universitaire français sont initiées par le biais de plusieurs vecteurs. Certaines puissances étrangères mènent leurs opérations d'influence directement depuis leurs emprises diplomatiques dans le but de cultiver un réseau d'universitaires qui leur soit favorable. D'autres privilégient l'utilisation de chercheurs et doctorants comme agents d'influence au sein des universités françaises.

Toutefois, le principal vecteur de pénétration demeure les coopérations avec les universités étrangères. En effet, nos institutions académiques se révèlent de plus en plus dépendantes de financements étrangers, notamment chinois, ce qui emporte des conséquences sur leur liberté académique.

La DGSI, en étroite coordination avec le ministère de l'enseignement supérieur et de la recherche, a élaboré à l'été 2021 un plan d'action dédié au renforcement et au suivi des structures et organismes de recherche les plus stratégiques. Décliné en plusieurs actions, ce plan vise principalement à :

- Renforcer le travail de sensibilisation effectué auprès de la communauté scientifique, notamment auprès de directeurs d'unités, de chercheurs et d'experts.

- Délivrer un discours efficace auprès du milieu de la recherche et diversifier les points de contacts du Service en s'appuyant sur les outils pédagogiques visant à expliquer l'action du Service au profit du monde de la recherche.

La ministre de l'enseignement supérieur et de la recherche, Sylvie Retailleau, a fait de ce sujet une des priorités de son ministère, en lien avec la communauté du renseignement.

(1) « Mieux protéger notre patrimoine scientifique et nos libertés académiques » - Rapport d'information d'André Gattolin, fait au nom de la mission d'information du Sénat sur les influences étatiques extra- européennes : (septembre 2021).

La DGSI a ainsi rencontré les directeurs et présidents des principaux organismes de recherche et grandes écoles françaises (Inria, Cnes, CEA, CNRS, Inserm, Institut PASTEUR, Sciences Po, ESCP, Mines, etc.). Ces échanges ont permis d'identifier les spécificités de ce secteur : logique de coopération avec l'étranger, publications internationales, enjeu du financement.

Par ailleurs, le suivi des structures sensibles a été renforcé : 300 contacts auprès des établissements d'enseignement supérieur et de recherche ont été réalisés au premier semestre 2022 (autant que sur l'ensemble de l'année 2021).

*****

Au-delà des vulnérabilités humaines, le niveau de sécurité des systèmes d'information, publics comme privés, se révèle encore, à bien des égards, perfectible au vu de l'utilisation fréquente de systèmes obsolètes ou en voie d'obsolescence, d'absence de correctifs de sécurité à jour, de recours à des protocoles de communication non sécurisés, etc. La sensibilisation fait régulièrement défaut, quand les entreprises n'ont tout simplement pas de chaîne SSI clairement identifiée en leur sein. Ceci est d'autant plus important que l'aspect humain est une composante essentielle dans les cyberattaques observées : l'ouverture d'un courriel d'hameçonnage par un salarié reste efficace pour déjouer les meilleurs dispositifs de sécurité.

Dès lors que les victimes sont compromises, on peut aussi faire le constat d'un manque de moyens et de mesures de sécurité suffisants pour les investigations techniques voire pour la remédiation. La DGSI relève un enjeu majeur concernant les infrastructures d'attaque de très grande taille, pouvant être composées de plusieurs milliers d'équipements compromis à travers le monde, chaque équipement pouvant n'être utilisé individuellement que quelques jours par l'attaquant. Ces caractéristiques rendent ces réseaux particulièrement complexes à suivre et imposent une très grande réactivité aux services.

Les prises de contrôle capitalistiques étrangères au sein des entreprises, start-up et laboratoires stratégiques ne sont pas sans conséquences. Le risque existe tant pour les entreprises concernées que pour l'État, au vu des enjeux en termes de souveraineté. Cela concerne en particulier les entreprises duales au regard des enjeux en matière de sécurité et de défense.

Il est fréquent qu'une entreprise incubée en France n'ait d'autre choix que de se tourner vers un investisseur étranger pour changer d'échelle. Le

basculement du capital de start-up stratégiques à l'occasion d'une levée de fonds peut certes être une chance pour l'entreprise concernée mais aussi une vulnérabilité pour la souveraineté nationale. Le fait qu'une start-up stratégique ne trouve aucun - ou du moins pas suffisamment - de financements en France ou en Europe et se tourne vers des fonds étrangers peut emporter d'importantes conséquences. Dans son flash de janvier 2022 sur l'ingérence économique et les risques liés aux investisseurs étrangers déloyaux, la DGSI met particulièrement en garde sur la vulnérabilité financière de start-up françaises développant des technologies stratégiques. Dans les secteurs de la medtech et de la biotech, on estime en effet à 80 % le pourcentage de jeunes pousses françaises rachetées, in fine, par de grands groupes américains.

Nos PME ont besoin d'investisseurs pour croître ; à défaut de financements bancaires qu'elles ne parviennent à obtenir, elles deviennent la proie d'investisseurs étrangers pas toujours bienveillants. En effet, un fonds d'investissement activiste peut, en ne possédant que quelques pourcents du capital de l'entreprise, déclencher une campagne de déstabilisation.

La contre-ingérence doit permettre d'articuler les objectifs de sécurité économique au service de la lutte contre les risques d'ingérences d'États tiers avec la nécessité de préserver l'accès au financement des entreprises françaises innovantes qui conditionnent la souveraineté industrielle et numérique de demain.

Des outils juridiques existent pour bloquer certains investissements étrangers, notamment l'article L. 151-3 du code monétaire et financier qui soumet ceux-ci à une procédure d'autorisation préalable « dans le cas où ils pourraient nuire aux intérêts du pays ».

En 2022, s'agissant des investissements étrangers en France, 325 opérations ont été examinées (contre 328 en 2021) et 131 d'entre elles ont été autorisées dont plus de la moitié (53 %) sous condition.

Afin de se prémunir de prises de participations opportunistes non européennes pouvant présenter des menaces pour la sécurité nationale, le seuil déclenchant le contrôle des IEF dans les sociétés françaises cotées a été abaissé au printemps 2020 dans le contexte de la crise sanitaire, de 25 % à 10 % des droits de vote. Cette mesure a été prolongée jusqu'au 31 décembre 2023.

Le renseignement prend toute sa part à l'évaluation des risques et à l'accompagnement des entreprises ciblées par des investisseurs étrangers pouvant nuire aux intérêts du pays. À titre d'exemple, *****

Il est ainsi nécessaire d'activer une multiplicité de leviers pour éviter que des entreprises stratégiques ne passent sous contrôle étranger hostile du fait d'une faiblesse d'accès aux financements. Dans ce contexte, la Délégation parlementaire au renseignement estime nécessaire de pérenniser à 10 % (au lieu de 25 %) le seuil de déclenchement de la procédure de contrôle des IEF non européens. (Recommandation n° 6)

Les démocraties sont par leur nature même vulnérables face aux moyens utilisés par des régimes autoritaires dont les méthodes relèvent d'un autre registre.

Dans sa résolution adoptée le 9 mars 2022 sur « l'ingérence étrangère dans l'ensemble des processus démocratiques de l'Union européenne, y compris la désinformation », le Parlement européen se déclare ainsi

« préoccupé du manque criant de sensibilisation, y compris parmi le grand public et les représentants des pouvoirs publics, à la gravité des menaces actuelles que présentent les régimes autoritaires étrangers et d'autres acteurs malveillants et qui visent tous les niveaux et secteurs de la société européenne dans le but de nuire aux droits fondamentaux et à la légitimité des autorités publiques, d'exacerber la fragmentation politique et sociale et, dans certains cas, même de mettre en danger la vie des citoyens de l'Union »

Comme l'a déclaré Bernard Emié, directeur général de la sécurité extérieure, le 15 février 2023 devant la Commission d'enquête parlementaire sur les ingérences étrangères : « Nous avons le privilège d'être des démocraties, ce qui impose aux services de renseignement de nombreuses limitations : des cadres légaux, des contrôles de méthodes propres aux démocraties ».

La force de la démocratie a donc pour contrepartie une vulnérabilité qui doit conduire à développer des outils de lutte contre les ingérences étrangères qui demeurent compatibles avec les valeurs d'un système démocratique que sont notamment la liberté d'expression, le pluralisme des médias, la libre concurrence, la transparence, la protection des données personnelles, etc.

Le sujet est double : il s'agit tout à la fois de se défendre face à des pratiques qui ont pour visée de saper le bon fonctionnement de notre démocratie et dans le même temps de développer des outils de contre-ingérence qui soient compatibles avec le respect de nos valeurs démocratiques.

C'est à l'échelle européenne que se situent aussi les enjeux. Alors que le Parlement européen conduit des travaux approfondis que le sujet des ingérences étrangères dans le cadre d'une commission spéciale, la Commission

européenne plaide en faveur d'une législation européenne contre les ingérences qui pourrait prendre la forme d'un paquet législatif et règlementaire

« défense de la démocratie européenne ». Il s'agit d'introduire des normes communes de transparence et de responsabilité pour les services de représentation d'intérêts qui seraient payés ou commandités depuis l'extérieur de l'Union européenne, afin de contribuer au bon fonctionnement du marché intérieur et de protéger la sphère démocratique de l'Union contre les ingérences extérieures dissimulées.

Pourtant, cette proposition de la Commission européenne est loin de faire l'unanimité. Dans une lettre ouverte à sa Présidente Ursula Von der Leyen, 230 organisations de la société civile ont mis en garde contre le risque que ce futur texte contrevienne au droit international et européen en matière de droits de l'Homme et en particulier à l'exercice des libertés civiques, la liberté d'association et la liberté d'expression. Les signataires rappellent que

« plusieurs États membres de l'UE ont déjà adopté ou proposé des législations et des politiques qui restreignent volontairement ou involontairement l'espace civique, ce qui a donné lieu à des protestations et contestations tout ce qu'il y a de plus justifié ».

Pour toutes ces raisons, et compte tenu de l'évolution permanente des menaces qui pèsent sur la sécurité nationale, de leur intensification et de la nécessité de sensibiliser l'ensemble des acteurs publics et privés pour s'en prémunir, la Délégation parlementaire au renseignement considère important que ces sujets n'échappent pas au débat public. Aussi recommande-t-elle, comme c'est le cas dans la plupart des démocraties occidentales, qu'un rapport public au Parlement soit établi chaque année par le Gouvernement sur l'état des menaces pesant sur la sécurité nationale et que ce rapport fasse l'objet d'un débat sans vote au Parlement (Recommandation n° 7).

II. LA NOUVELLE PRIORITÉ DONNÉE À LA CONTRE-INGÉRENCE OUVRE UN NOUVEAU CYCLE DU RENSEIGNEMENT

Le climat de guerre froide est de retour et avec lui, les pratiques qui lui étaient caractéristiques. En matière de renseignement, nous assistons au chevauchement de deux cycles entre celui lié à la lutte contre le djihadisme - marqué par une coopération des grandes puissances et de leurs services de renseignement - et celui de la confrontation qui bouleverse les équilibres du monde.

Depuis une quinzaine d'années, plusieurs documents sont venus prendre acte d'un changement de paradigme pour la communauté du renseignement.

Déjà en 2008, le Livre blanc sur la défense et la sécurité nationale dressait le constat que « la poursuite des échanges mondialisés et le développement de nouveaux pôles de puissance sont propices à des activités de renseignement offensif visant la France et l'Europe, comme au développement de stratégies d'influence destinées à amoindrir notre rôle dans le monde et sur le marché international ». Et de poursuivre que « les éléments qui garantissent la supériorité technologique comme notre patrimoine scientifique, économique et militaire continueront à faire l'objet de manoeuvres extérieures. Ces manoeuvres viseront à obtenir des informations protégées ou secrètes sur notre stratégie de sécurité, notre diplomatie, nos technologies civiles et militaires et la stratégie de nos entreprises ».

Le Livre blanc alertait sur nos vulnérabilités soulignant que « les actions étrangères privilégieront les attaques informatiques. Dans d'autres cas, elles peuvent viser l'affaiblissement d'une entreprise ou une personne, par une désinformation générale propagée sur les médias et via Internet. Pourront aussi être visées par de telles actions les communautés françaises à l'étranger et les communautés étrangères en France ».

Et de conclure que « ces risques imposent à la France et à l'Europe de développer les capacités de leurs services de contre-ingérence, mais aussi les moyens de la « puissance douce » (soft power), reposant notamment sur la présence dans les médias et sur Internet, la culture d'entreprise et sur la sensibilisation préalable des hauts responsables du secteur privé et du secteur public ».

Cinq ans plus tard, le Livre blanc « sécurité et défense » de 2013 soulignait la montée en puissance des nouveaux champs de confrontation au premier rang desquels le cyber et l'espace : « Le cyberespace est donc désormais un champ de confrontation à part entière. La possibilité, envisagée par le précédent Livre blanc, d'une attaque informatique majeure contre les systèmes d'information nationaux dans un scénario de guerre informatique constitue, pour la France et ses partenaires européens, une menace de première importance. L'espace extra-atmosphérique est devenu indispensable au fonctionnement de services essentiels. Dans le domaine militaire, le libre accès et l'utilisation de l'espace sont des conditions de notre autonomie stratégique. Ils rendent possible le maintien et le développement de capacités technologiques dont dépendent la qualité de notre outil de défense et, en particulier, la crédibilité de notre dissuasion nucléaire ».

*****

La stratégie nationale du renseignement publiée en juillet 2019 reprend ces analyses à son compte, considérant que « l'ingérence et l'espionnage auxquels se livrent plusieurs puissances étrangères de manière décomplexée entraînent des préjudices majeurs pour nos intérêts (politiques, stratégiques, scientifiques...), notre souveraineté et ceux de nos partenaires européens. Compte tenu de sa politique volontariste et attractive de recherche et de développement, comme d'une insuffisante culture de la sécurité dans les milieux concernés, la France constitue une cible privilégiée pour des puissances ou des structures étrangères qui cherchent à s'approprier nos savoir-faire et nos résultats. Parmi les formes préoccupantes d'ingérences, notons l'acuité et la sophistication des actions de manipulation de l'information, tout particulièrement celles orchestrées par des puissances étrangères hostiles à nos intérêts ».

La stratégie nationale du renseignement assigne ainsi aux services de renseignement la mission « d'identifier les entités et services agressifs à notre encontre ainsi que leurs cibles, et de décrire leurs buts et leurs méthodes ». Il s'agit également « d'en évaluer les conséquences pour notre souveraineté et nos intérêts, afin d'éclairer la décision politique de réponse à ces agissements hostiles ».

***** la Délégation préconise une prise en compte par le PNOR de ces nouveaux enjeux, en cohérence avec la nouvelle revue nationale stratégique adoptée fin 2022, c'est-à-dire après le déclenchement de la guerre en Ukraine, et qui fixe notamment comme objectif stratégique d'assurer notre capacité à nous défendre et à agir dans les champs hybrides. (Recommandation n° 8)

Le retour de la menace étatique et le déploiement de nouvelles formes d'agression ouvrent un nouveau chapitre dans le cycle du renseignement. Dans son discours de voeux aux armées du 20 janvier 2023, le Président de la République a ainsi déclaré que « le coeur de souveraineté, c'est aussi le renforcement des postures permanentes. Cela suppose des capacités accrues de renseignement qui nous permettent d'anticiper les crises ou les menaces ».

À la menace terroriste qui demeure élevée, vient désormais s'ajouter une menace permanente et structurelle liée au retour de la compétition entre les États dans un contexte de confrontation des modèles et des valeurs.

Cela n'est pas sans conséquences sur le fonctionnement des services de renseignement si l'on considère que les métiers du renseignement diffèrent en fonction des menaces, comme le contre-espionnage se distingue par exemple du contre-terrorisme. Le contre-terrorisme appelle réactivité, fluidité et adaptation. Travailler contre l'appareil étatique d'un pays comme la Russie ou la Chine requiert une approche, des techniques, des alliances différentes, un tempo opérationnel, des mécanismes de protection différents.

S'agissant des coopérations internationales, nous sortons d'une union sacrée face au terrorisme transnational djihadiste, marqué par l'augmentation sensible du nombre et de la densité des coopérations internationales. Devant la nécessité et l'urgence, les services occidentaux ont été conduits à travailler avec des services d'États qui n'étaient pas des partenaires naturels dans le contexte de la guerre froide, et pour certains d'entre eux peu respectueux des droits de l'homme. C'était là un choix assumé par les autorités politiques.

Ce nouveau cycle du renseignement se traduit par plusieurs faits marquants :

D'abord de nouvelles organisations internes pour différents services avec la volonté d'adapter leur structure à l'évolution de la menace. L'exemple le plus emblématique est celui de la DGSE avec une modernisation du Service autour de la création de sept « centres de mission » : *****. Cette nouvelle organisation interne, plus horizontale et transversale, vise à casser la logique de silos et à raccourcir la chaîne hiérarchique. Concrètement, le rôle des centres de mission en matière de pilotage des actions et des opérations de contre-ingérence est renforcé et affermi, chaque centre de mission étant à la fois l'intégrateur de l'ensemble des dimensions contre-ingérence (cyber, lutte contre les manipulations de l'information, contre-espionnage...) dans son domaine géographique ou thématique. Cette intégration, notamment au niveau opérationnel, est le gage d'une réactivité accrue.

D'autres services de renseignement ont également adapté leur organisation interne pour tenir compte de l'évolution de la menace. *****

Tracfin a pour sa part fait le choix *****. Ces unités mobilisent expertise et capacité de réponse pénale contre ces menaces, et sont identifiées par les partenaires des autres services et institutions comme les interlocuteurs experts au sein du service.

Les nouvelles façons de travailler des services supposent également le renforcement des capacités techniques des services de renseignement. La loi de programmation militaire (LPM) 2024-2030 fait du renforcement des capacités techniques un objectif stratégique. Sur les cinq milliards d'euros inscrits dans la LPM, *****. Alors que les sauts technologiques actuels sont de plus en plus rapides, au point de menacer notre autonomie, la France doit renouveler ses capacités d'exploitation et industrialiser ses outils d'investigation numérique. Il s'agit de comprendre des situations sans avoir à dépendre de nos partenaires. Cette capacité à se saisir des sauts technologiques relève donc d'enjeux de souveraineté. Pour ce faire, la France peut s'appuyer sur son aptitude à développer de nouvelles capacités, notamment dans le domaine cyber, tout en couvrant le champ des technologies de rupture. Elle peut aussi compter sur l'acquisition de nouveaux équipements que sont les satellites de renseignement optique et électromagnétique ou encore les avions d'interception électromagnétique Archange.

Enfin, le développement des partenariats internationaux ciblés représente une orientation majeure dans la lutte contre les ingérences étrangères. Au-delà des échanges d'analyse sur un état partagé de la menace, ces coopérations internationales sont essentielles, notamment en matière opérationnelle. La DGSI échange ainsi avec nombre de partenaires étrangers, constitués de différents services de sécurité intérieure et extérieure, majoritairement occidentaux. *****

Le renseignement s'impose également plus que jamais comme une priorité budgétaire pour les années à venir, avec cinq milliards d'euros prévus dans la nouvelle loi de programmation militaire. Cela va permettre, sur une période decinq ans, le doublement des budgets des trois services de renseignement placés sous l'autorité du ministère des Armées et l'augmentation de leurs effectifs. Cela confirme la montée en puissance de la DRSD qui avait perdu en moyens et en effectifs au cours de la décennie précédente. Il en est de même pour la direction du renseignement militaire (DRM). En termes d'effectifs, il y avait en 2012, 7 700 ETP au sein les services de renseignement du ministère des armées ; il y en aura plus de 10 000 en 2030. Le budget annuel cumulé des trois services passera de 500 millions d'euros annuels en 2017 à près de 1 milliard d'euros à la fin de la période de la LPM.

*****

Au sein de la communauté du renseignement, la mission de contre- ingérence relève principalement de trois services (la DGSI, la DGSE et la DRSD) qui peuvent également mobiliser d'autres services et structures dans l'exercice de leurs compétences.