C. DES DIFFICULTÉS CLAIREMENT IDENTIFIÉES ET EN VOIE DE RÉSOLUTION MALGRÉ DES RETARDS
Un évènement d'une telle ampleur nécessite une organisation irréprochable en matière de sécurité, d'autant plus que les contraintes exposées ci-avant impliquent une anticipation forte pour permettre le déploiement d'un plan de sécurisation adapté au niveau et à la multiplicité des risques pesant sur l'évènement. À ces risques majeurs s'ajoutent d'importants enjeux capacitaires ainsi que de nombreuses difficultés opérationnelles comme organisationnelles résultant de l'implication d'acteurs très nombreux et peu habitués à travailler de concert.
1. Une cartographie des risques achevée et régulièrement actualisée
Les rapporteures partagent le constat formulé par la Cour des comptes d'une nécessaire « approche transversale des risques »18(*) et appellent à porter une attention particulière aux quatre principaux risques majeurs, constamment réactivés par un contexte international évolutif : le risque terroriste, le risque cyber, le risque drone et le risque NRBC (armes nucléaires, radiologiques, biologiques ou chimiques).
Au cours de leurs travaux, elles ont pu constater l'importante cartographie des risques réalisée par les agences spécialisées et partagée au sein du centre de renseignement olympique (CRO), formellement rattaché à la coordination nationale de la sécurité des Jeux (CNSJ). D'après leurs informations, le document d'analyse nationale des risques, dit « ANR », aurait été actualisé au moins à sept reprises afin de tenir compte, régulièrement, des évolutions de la menace et des scénarios critiques à anticiper de façon à planifier, autant que possible, des réponses de crise.
Elles ont concentré leurs efforts sur l'analyse des risques Cyber et terroriste, le risque drone faisant l'objet de travaux de la commission des affaires étrangères et de la défense du Sénat et le risque NRBC relevant du champ de compétence de la commission des affaires économiques.
S'agissant du risque Cyber, les rapporteures rappellent l'attention particulière qui doit être apportée à ce risque désormais majeur compte tenu des enjeux médiatiques, économiques et réputationnels associés aux JOP. Un tel évènement constitue assurément la cible de cyberattaques, dont l'acuité semble se renforcer compte tenu des évolutions récentes du contexte international.
En raison de l'intérêt qu'ils suscitent chez des centaines de millions de personnes et des flux financiers importants qu'ils génèrent, les JOP constituent une opportunité d'agir pour des attaquants informatiques aux motivations diverses. Ces derniers peuvent en effet chercher à perpétrer des actes malveillants à des fins lucratives, de déstabilisation ou encore d'espionnage. Au surplus, le contexte géopolitique constitue un contexte de tensions favorable à la conduite d'attaques informatiques. Des groupes d'attaquants affiliés à l'un des États impliqués dans un conflit international ou géopolitique en cours ou des hacktivistes pourraient chercher à tirer profit de la couverture médiatique des JOP 2024 pour promouvoir leur cause ou discréditer la France.
Face à ce risque, les rapporteures ont constaté que la désignation, en juillet 2022, de l'ANSSI comme pilote de la stratégie de cybersécurité des Jeux, a représenté une clarification bienvenue et créé les conditions d'une élaboration efficace du plan de cybersécurité des Jeux, dans le cadre des instances de coordination mises en place et en particulier du groupe de travail Cyber qu'elle pilote désormais.
Auditionnée par les rapporteures, l'ANSSI a considéré, en novembre 2023, que « la principale menace identifiée lors des JOP 2024 est celle à finalité lucrative, aussi bien à l'encontre des organisateurs que des athlètes et des spectateurs ».
En outre, les travaux des rapporteures ont permis de mettre en lumière les nombreux chantiers conduits par l'ANSSI afin de préparer au mieux la sécurisation des JOP en matière Cyber. Celle-ci a articulé son action autour de cinq principaux objectifs : connaître la menace, sécuriser les systèmes d'information critiques, protéger les données sensibles, sensibiliser, et assurer la préparation opérationnelle en cas de crise.
En particulier, elle a concentré ses efforts, de manière pertinente, dans la sécurisation des systèmes d'information sensibles. Après avoir identifié un écosystème de près de 500 entités, réparties en trois catégories par le biais d'une analyse de risques intégrant notamment le niveau de criticité des entités, elle a réalisé des actions préventives de sécurisation à leur profit afin de les accompagner dans le renforcement de leur cybersécurité d'ici aux JOP.
Trois niveaux de sécurisation par l'ANSSI des systèmes d'information sensibles
Les entités de catégorie 1 sont des entités critiques dont la défaillance porterait atteinte à l'ensemble des Jeux. Elles sont quelques dizaines pour lesquelles l'ANSSI mène, en propre, des actions d'audit et d'accompagnement technique.
Les entités de catégorie 2 sont des entités dites sensibles, car leur défaillance pourrait avoir un impact sur une ou plusieurs épreuves. C'est pour cette catégorie contenant près d'une centaine d'entités qu'a été conçu le programme spécifique d'accompagnement à la sécurisation des systèmes d'information. Ce programme, piloté par l'ANSSI et doté d'un budget de 10,1 M€, bénéficie aux sites de compétition, à certaines collectivités territoriales, des opérateurs publics ou privés dans le domaine de l'énergie, des transports, de la logistique et de la gestion de l'eau et des prestataires de Paris 2024. Il comprend 3 grands volets :
- un volet « diagnostic » qui consiste à réaliser des audits afin d'identifier des vulnérabilités et construire des plans de sécurisation,
- un volet « sécurisation » pour lequel sont proposées des missions d'accompagnement technique,
- un volet « détection et réponse » afin de déployer un dispositif infogéré alliant EDR (endpoint detection and response) et sondes industrielles permettant de détecter des menaces et de proposer des actions de remédiation.
À ce jour, le nombre de cibles concernées par ce programme de sécurisation des SI a augmenté de 25 % en un an, signe de son succès mais aussi de l'élargissement constant des entités à considérer comme sensibles, d'un point de vue cyber, pour les Jeux.
Les entités de catégorie 3 sont des entités dont la défaillance pourrait avoir des effets sur l'image de la France sans pour autant déstabiliser la bonne tenue de l'évènement. Cette catégorie contient près de 400 entités parmi lesquelles des collectivités hôtes, des opérateurs de transport, certains médias, etc. Ces entités font l'objet d'action de sensibilisation et sont encouragées à déployer les outils d'audit automatique de l'ANSSI.
Par ailleurs, outre ces 3 catégories, l'ANSSI s'assure que les entités régulées (opérateurs d'importance vitale et opérateur de services essentiels) concernées par les JOP et qu'elle supervise indépendamment de cet évènement prenne les mesures adaptées à un accroissement de la menace sur la période des jeux.
Source : d'après les réponses de l'ANSSI au questionnaire des rapporteures.
Comme l'a relevé la Cour des comptes, afin de garantir la protection des données à caractère personnel des participants aux JOP, l'ANSSI a, avec le concours de la CNIL, « défini une solution technique alternative [à celle proposée par le CIO] consistant en l'hébergement des données et applications sensibles39 sur les serveurs d'un opérateur européen dit « de confiance », en l'espèce la société française Atos ». Depuis, la migration des données, systèmes et applications a été achevée et un audit de cybersécurité de l'ANSSI a été conduit sur la solution retenue.
Enfin, la planification opérationnelle de la gestion du risque Cyber semble aujourd'hui stabilisée et claire s'agissant du traitement des signalements. L'ANSSI a indiqué aux rapporteures avoir défini, en coopération avec les différents services de l'État impliqués dans la préparation des JOP, un dispositif de veille, d'alerte et de traitement des incidents cyber. Ce dispositif s'appuie sur les chaînes déjà existantes et vise à faire de l'ANSSI le point central de la remontée des signalements de cybersécurité.
S'agissant du risque terroriste, comme l'a rappelé le ministre de l'intérieur et des outre-mer, Gérald Darmanin, lors de son audition par la commission des lois ; « la menace terroriste demeure à un niveau élevé ».
Plus précisément, d'après les informations transmises aux rapporteures, la menace terroriste d'inspiration islamiste, si elle est présente sur le territoire national, ne cible pas encore spécifiquement les JOP - bien qu'ils puissent constituer un moment d'opportunité pour d'éventuelles actions.
En complément, d'après la DGSI auditionnée par les rapporteures, deux autres menaces semblent aujourd'hui se raviver :
- d'une part, la menace contestataire, qui demeure la plus probable avec des modes opératoires et des actions visant à perturber le déroulement de la compétition - qu'elle soit d'ultra-gauche ou d'ultra-droite, qu'elle émane d'environnementalistes radicaux ou encore qu'elle se nourrisse d'une contestation économique et sociale ;
- d'autre part, les ingérences étrangères portées par des États désireux de déstabiliser le pays lors de l'organisation de l'évènement qui pourraient, outre le risque Cyber, prendre la forme de campagnes de manipulation de l'information.
Interrogé sur les moyens de lutte contre le terrorisme, le ministre de l'intérieur a indiqué aux rapporteures lors de son audition par la commission des lois « disposer de tous les outils pour y faire face ». En l'occurrence, plusieurs mesures opérationnelles ont été déployées par les services du ministère de l'intérieur afin de prévenir, en amont, de telles menaces, notamment par :
- la mise en oeuvre d'un dispositif spécifique d'anticipation, de suivi et d'entrave administratifs et judiciaires notamment par le biais des instruments de la loi du 30 octobre 2017 dite « SILT » (visites domiciliaires, mesures individuelles de contrôle administratif et de surveillance, interdictions d'entrée sur le territoire national, etc.) ;
- la réalisation de nombreux criblages - plus d'un million d'enquêtes de sécurité administratives doivent être réalisées et susceptibles de donner lieu à des avis d'incompatibilité ;
- la mise en place d'une cellule de centralisation, d'attribution et de suivi du traitement des signalements relevant du périmètre de la lutte antiterroriste.
De façon générale, les rapporteures relèvent que les principaux risques pesant sur la sécurité des JOP ont été identifiés, cartographiés, analysés et ont donné lieu à l'édiction de stratégies opérationnelles pour les contrer en amont et en cas de survenance d'un évènement en lien avec ces menaces au cours de l'évènement.
Aussi, elles considèrent que la prise en compte par l'État comme par le Cojop de ces risques est d'autant plus achevée qu'elles ont pu constater que des phases de tests de ces risques et des réponses apportées par les différents acteurs publics le Cojop avaient été organisées, notamment s'agissant du risque cyber, ce qui va indéniablement dans le bon sens, sans pour autant pouvoir prémunir le dispositif retenu de l'émergence d'un nouveau risque ou d'une faille.
2. Une comitologie foisonnante, en cours de rationalisation et testée lors de la coupe du monde de rugby
Frappées par le nombre et la diversité des acteurs impliqués dans la sécurisation des JOP, les rapporteures ont été surprises de la multiplicité des structures décisionnelles, de coordination ou de concertation existantes.
En effet, conformément au constat dressé par la Cour des comptes, elles ont recensé plus de 90 structures chargées d'assurer leur concours à la sécurisation des JOP, impliquant l'ensemble du continuum de sécurité, des acteurs placés sous la responsabilité d'autorités hiérarchiques nombreuses et protéiformes - ministères, Cojop, CIO, collectivités territoriales, entreprises de sécurité privée.
Au surplus, il leur est apparu particulièrement étonnant qu'après le départ de Ziad Khoury en juin 2023, le poste de coordinateur national pour la sécurité des jeux Olympiques et Paralympiques soit resté vacant jusqu'au 21 août de la même année, date de la nomination de Thierry Mosimann. Si un intérim a été assuré, il n'apparaît pas souhaitable que de telles vacances soient constatées tant d'un point de vue opérationnel que d'un point de vue humain, les synergies collectives devant être rapidement établies entre l'ensemble des acteurs afin de limiter les risques résultant d'une comitologie importante et peu habituée à travailler de concert.
Toutefois, les acquis de l'expérience de la sécurisation réussie de la coupe du monde du rugby 2023 semblent, aux yeux des rapporteures, devoir être pleinement mobilisés afin de rationaliser la comitologie inhérente à l'organisation d'un évènement d'une telle ampleur. En effet, l'accélération du déploiement opérationnel des dispositifs de sécurisation des JOP renforce le besoin de coordination, d'une part, entre le Cojop et les pouvoirs publics, et d'autre part, au sein de l'État entre les différents acteurs mobilisés.
Ainsi, leur sont apparu plus efficientes la désignation du ministre de l'intérieur comme seule autorité décisionnelle en matière de sécurité des Jeux, sous l'autorité du Premier ministre, et la concentration des pouvoirs de commandement sur la plaque parisienne aux mains du préfet de police. Leurs rôles en la matière doivent être confortés tant l'unité de commandement est indispensable, tant à la préparation de l'évènement qu'à sa gestion opérationnelle en cours d'évènement - y compris en l'absence de crise - et plus encore à sa lisibilité pour les citoyens et acteurs des JOP.
De façon analogue, le choix d'installer un centre national de commandement stratégique (CNCS), à vocation interministérielle, susceptible de se transformer d'un mode de veille en un centre interministériel de crise, apparaît particulièrement efficient et de nature à répondre aux nombreuses interrogations formulées par la Cour des comptes quant à la pertinence d'une dualité de structures en pareil cas. Au cours de leurs travaux, ce choix a été unanimement salué par les acteurs auditionnés, singulièrement à la lumière de l'expérience positive de son déploiement pour la coupe du monde de rugby 2023.
Au surplus, ce CNCS a été déployé avec succès lors de la coupe du monde de rugby 2023, apparaissant comme la pièce cardinale de la rationalisation de la comitologie de la sécurité des Jeux et permettant le plein déploiement du « concept C3 », autrement dit de « commandement intégré » entre l'État et le Cojop, sur l'ensemble des sites.
3. Un plan de sécurisation des JOP global stabilisé et des plans locaux presque achevés permettant de lever des incertitudes longtemps persistantes au sein des forces de sécurité
Comme l'a relevé la Cour des comptes dès juillet 2023, « un plan global de sécurité » est désormais « finalisé »19(*), ce que saluent les rapporteures. Toutefois, de nombreuses incertitudes, lors du lancement de leurs travaux, ont été relayées par l'ensemble des acteurs du continuum de sécurité émanant tant des représentants des personnels que des directeurs quant à la finalisation des plans locaux de sécurité, permettant ainsi à chacun de connaître le volume, les conditions matérielles et indemnitaires, la durée et la nature de son engagement au service de la sécurité des JOP. Auditionnés par les rapporteures, les syndicats représentatifs au sein de la police nationale comme les représentants des personnels de la gendarmerie nationale ont souligné l'importance de lever ces incertitudes afin de faciliter l'adhésion des forces aux efforts demandés pour assurer, malgré la période estivale, la sécurisation des JOP.
Les rapporteures constatent l'ampleur des progrès accomplis en matière de planification opérationnelle, et ce tant par l'État que par les collectivités territoriales et le Cojop. Ainsi, un protocole social dédié, issu du dialogue social conduit à partir de novembre 2023 par le ministre de l'intérieur, a permis de déterminer trois catégories de primes pour les FSI ainsi qu'un compteur d'heures supplémentaires spécifiques, des indemnités pour absences missionnelles et un accompagnement social renforcé.
De façon analogue, d'après les informations transmises par le Cojop, celui-ci a été en mesure de communiquer des plannings plus précis et actualisés aux entreprises de sécurité privée attributaires des marchés, voire, depuis la livraison des premiers sites olympiques, de leur permettre de procéder à des sessions de reconnaissance sur les lieux de l'évènement. Prise en réponse aux nombreuses alertes émises par les représentants de la filière de la sécurité privée et relayées aux rapporteures, une telle mesure doit permettre de limiter les risques de « no show » des agents de sécurité privée et de défaillance des entreprises de ce marché.
4. L'allotissement contractuel par le Cojop de 97 % de ses besoins en sécurité privée
Tony Estanguet, accompagné par Michel Cadot, a annoncé le 27 mars 2024 que le Cojop avait alloti 97 % de ses besoins en sécurité privée pour les JOP, à l'issue de la quatrième vague de marchés publics20(*). Poursuivant le même objectif, au 1er février 2024 près de 11 000 personnes ont été embauchées dans les métiers de la sécurité privée en Ile-de-France du fait des efforts menés par France Travail dans le rapprochement de l'offre et de la demande. 18 000 personnes ont été formées depuis le 1er janvier 2024 à la sécurité privée, dont 30 % de femmes.
Si une telle annonce ne peut que contribuer à dissiper les incertitudes entourant la mobilisation de la sécurité privée pour assurer la sécurité des JOP, les rapporteures rappellent toutefois que 3 % des appels d'offres demeurent infructueux et, qu'à supposer même que l'ensemble des lots soient attribués, le risque d'une défaillance - anticipée ou non - de certains prestataires ne peut être exclu.
En complément, des mesures ont été présentées aux rapporteures par le Cojop afin de couvrir une partie du risque de « no show » : il en va ainsi du choix visant à imposer aux entreprises attributaires la mobilisation de 20 à 30 % d'agents supplémentaires et des clauses contractuelles dites « d'interchangeabilité » permettant ou Cojop de déplacer les agents de sécurité présents et mobilisés sur d'autres lots attribués à des entreprises défaillantes ou de mobiliser le contingent d'agents supplémentaires d'une entreprise au profit d'une autre.
En tout état de cause, ce chiffre atteste des progrès réalisés en la matière depuis l'été 2023 - pour mémoire, moins de la moitié des marchés avaient été attribués - du fait des efforts massifs déployés collectivement par le Cojop, l'État, les collectivités territoriales et la filière.
En sus des efforts de formation et de la prise en charge financière de celle-ci, de nombreux aménagements réglementaires ont été conduits par l'État en la matière afin de développer la filière de la sécurisation évènementielle, attirant des profils d'étudiants du fait d'offres de travail ponctuelles et nécessitant une formation plus courte centrée sur la sécurisation d'évènements. A ainsi été créée une nouvelle carte professionnelle intitulée « Surveillance grands évènements » - plus de 300 personnes -, délivrée à l'issue d'une formation de 106 heures dont la durée de validité a été allongée à cinq années. De façon analogue, un certificat de qualification professionnelle (CQP) « grands évènements » a été créé permettant aux étudiants concernés de se voir délivrer la carte professionnelle précitée. Enfin, les conditions de formation pour l'obtention de cette carte spécifique ont été assouplies pour faciliter l'organisation de multiples sessions par les organismes en autorisant la dispense à distance d'une semaine sur les trois semaines de formation théorique et d'élever de douze à quinze le nombre maximum de stagiaires par session de formation.
*
* *
Si l'ensemble des acteurs auditionnés par la mission se montrent confiants quant à la qualité de la préparation de la sécurisation des JOP et de la déclinaison opérationnelle retenue par les pouvoirs publics comme par le Cojop, les rapporteures ont constaté que des marges d'amélioration persistaient et pouvaient encore, d'ici à la cérémonie d'ouverture, être utilement exploitées.
Convaincues de la nécessité de la réussite de cet évènement inédit et d'ampleur inégalée, les rapporteures ont souhaité, dans une démarche constructive formuler 55 recommandations, afin de :
- assurer la pleine mobilisation de tous les acteurs du continuum de sécurité ;
- permettre l'utilisation efficiente de l'ensemble des moyens légaux et réglementaires à disposition des acteurs de la sécurité ;
- garantir l'opérationnalité de la réponse en cas de crise ;
- conforter l'adhésion du plus grand nombre aux mesures de sécurité, par le biais d'une information transparente et claire, condition de leur réussite ;
- et enfin, préserver l'héritage de l'expérience de sécurisation d'un tel évènement pour de prochains « grands évènements » sur le territoire national.
* 18 Cour des comptes, rapport complémentaire au Parlement sur l'organisation des JOP de Paris 2024, juillet 2023, p. 38-40.
* 19 Ibidem, p. 41-42.
* 20 Audition de Tony Estanguet et Michel Cadot, commission des Affaires culturelles et de l'Éducation de l'Assemblée nationale, 27 mars 2024.