ANNEXE I - AUDITION DE M. FRANCIS DELON, SECRÉTAIRE GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE
Lors de sa séance du 23 octobre, la commission a auditionné M. Francis Delon, secrétaire général de la défense et de la sécurité nationale.
M. Daniel Reiner, président. - Deux jours après l'approbation par le Sénat de la loi de programmation militaire, à laquelle vous avez beaucoup oeuvré, je peux vous exprimer la satisfaction du Sénat d'avoir mené à bien un débat de qualité et où tous les acteurs étaient de bonne foi. Nous avons adopté des amendements ayant une forte valeur symbolique, visant essentiellement la sécurisation financière, mais aussi renforçant les pouvoirs de contrôle des parlementaires. Avec Xavier Pintat et Jacques Gautier, nous avons été au fond de la question ; nous avons même remis autour de la table des gens qui ne se parlaient plus, mais certains refus incompréhensibles nous ont agacés.
Nous vous entendons aujourd'hui sur les crédits pour 2014 du Secrétariat général de la défense et de la sécurité nationale (SGDSN), sur lesquels nous donnons un avis par la voix de deux rapporteurs : Jacques Berthou et Jean-Marie Bockel. Le positionnement du budget de votre service - rattaché au premier ministre - au sein du programme 129 « Coordination de l'action gouvernementale » de la mission « Direction de l'action du gouvernement » explique que nous l'étudiions pour la première fois. Cette mission faisait l'objet d'un rapport au fond de la commission des finances et le programme 129 d'un rapport pour avis de la commission des lois. Or de nombreuses compétences du SGDSN concernent directement la défense : la lutte contre la prolifération, l'exportation de matériel de guerre, la planification en fait de défense et sécurité, l'entrainement et la préparation à la gestion de crises graves, la protection du secret de la défense nationale, la sécurité des communications gouvernementales, des systèmes d'informations et la cyberdéfense.
M. Francis Delon, secrétaire général de la défense et de la sécurité nationale. - Le SGDSN avait préparé le Livre blanc par un document d'orientation stratégique dès la fin de l'année 2011 ; il a participé à l'élaboration du Livre blanc et au projet de loi de programmation militaire. Cette activité intense s'est ajoutée aux missions générales et quotidiennes du SGDSN au service du Président de la République et du premier ministre sur l'ensemble des sujets relevant de la sécurité nationale et de la défense. La croissance exponentielle du nombre d'intrusions informatiques contre les infrastructures nationales a conduit le Gouvernement en 2009 à créer une agence nationale de la sécurité des systèmes d'information (Anssi) qui m'est rattachée et est chargée de répondre aux attaques contre les administrations de l'État, mais aussi désormais contre les opérateurs d'importance vitale (OIV) et les entreprises indispensables à notre stratégie de sécurité nationale.
Le SGDSN est structuré autour de deux directions consacrées d'une part à la protection et à la sécurité de l'État (PSE) et d'autre part aux affaires internationales, stratégiques et technologiques (AIST). Elle comporte une agence, l'Anssi et assure la tutelle de deux établissements publics de formation : l'institut des hautes études de défense nationale (IHEDN) et l'institut national des hautes études de la sécurité et de la justice (INHESJ).
Le SGDSN est d'abord un outil au service du gouvernement pour le traitement des sujets sensibles en matière de défense et de sécurité nationale. Il assure ainsi le secrétariat du Conseil de défense et de sécurité dans toutes ses formations. Cette instance présidée par le Président de la République est compétente sur la programmation militaire, la politique de dissuasion, la programmation de sécurité intérieure, la sécurité économique et énergétique, la lutte contre le terrorisme ou la planification de réponse aux crises. Au cours des douze derniers mois, elle a notamment préparé les travaux permettant de valider le Livre blanc de la défense et de la sécurité nationale et le projet de loi de programmation militaire. Ce conseil dans sa formation restreinte a examiné les orientations à prendre pour la conduite des crises diverses, comme celles du Mali, de la Syrie ou de la République centrafricaine. Il comporte deux formations spécialisées qui traitent de sujets spécifiques avec une composition adaptée : le Conseil des armements nucléaires et le Conseil national du renseignement.
Le SGDSN dispose d'une capacité d'analyse et de synthèse, de veille, d'alerte et d'appui à la décision relatives aux questions de sécurité internationale afin de répondre à des demandes du cabinet du Premier ministre ou de la présidence de la République. Sa direction AIST suit les conflits et les crises internationales susceptibles d'affecter les intérêts français, en particulier ceux dans lesquels nos forces sont engagées et anime des groupes interministériels d'analyse sur des sujets tels que les crises affectant le monde arabe, l'Iran ainsi que les zones sahélo-saharienne et afghano-pakistanaise. En fonction de l'actualité, elle peut être sollicitée pour produire des synthèses sur l'évolution de la situation de certains théâtres d'opération, comme depuis janvier 2013 avec la diffusion régulière d'une synthèse de la situation au Sahel. Elle assure la coordination interministérielle sur des questions d'ordre stratégique, telles que le terrorisme, la défense anti-missiles balistiques, le développement du recours aux entreprises de services de sécurité et de défense, la protection des navires dans les zones à risques. Elle est chargée sur ces dossiers de proposer au Président de la République et au gouvernement des orientations et arbitrages.
Le SGDSN assure aussi une veille scientifique et technique permanente dans les domaines nucléaire, radiologique, biologique, chimique et relatif aux explosifs (NRBCE), ainsi que dans le domaine des missiles et le domaine spatial. Il coordonne ou concourt activement aux actions interministérielles portant sur la lutte contre la prolifération, la protection du potentiel scientifique et technique de la Nation, la sécurité du programme européen de navigation par satellite Galileo et le contrôle des images spatiales. Il coordonne des études en matière de lutte contre la prolifération des armes de destruction massive et de leurs vecteurs et produit des documents de synthèse sur les dossiers d'actualité, tels que l'Iran, la Syrie et la Corée du nord. Il assure le secrétariat du comité interministériel pour l'application de la convention sur l'interdiction des armes chimiques (Ciac) et coordonne les travaux portant sur la biologie de synthèse. Il coordonne la réponse nationale à l'initiative internationale Proliferation Security Initiative (PSI), consistant à échanger entre pays membres des informations sur des transits par voie maritime de cargaisons proliférantes et à faciliter leur interception. Celles-ci se multiplient : huit affaires d'interception de biens proliférants ont été menées dans ce cadre depuis l'été 2012.
La France dispose d'une importante base industrielle et technologique de défense qui contribue à la préservation de notre souveraineté, participe à la croissance économique et représente des dizaines de milliers d'emplois. L'exportation de matériels de guerre est soumise à une procédure d'autorisation préalable par décision du Premier ministre - ou du SGDSN par délégation - après avis de la commission interministérielle pour l'étude des exportations de matériels de guerre (CIEEMG), dont le SGDSN assure le secrétariat tout en construisant une doctrine dans ce domaine. Le dispositif de contrôle des exportations de matériels de guerre découlant de la loi du 22 juin 2011 évolue : l'année prochaine, un système simplifié de licence unique d'exportation et de transferts intracommunautaires remplacera le mécanisme actuel. Par ailleurs et conformément aux conclusions du Livre blanc de 2013, le SGDSN contribue à une réflexion plus générale sur le renforcement du contrôle des exportations de biens et technologies à double usage et participe à la totalité des commissions interministérielles des biens à double usage (CIBDU). La France a obtenu, dans le cadre de l'arrangement de Wassenaar, que les outils de surveillance et de contrôle de l'internet soient soumis à autorisation avant leur exportation, comme les matériels d'interception des communications téléphoniques mobiles depuis 2011.
Le SGDSN contribue ensuite à la politique de sécurité nationale. Il procède à la rénovation des plans de protection de la famille Pirate - dont le plan Vigipirate de lutte contre le terrorisme - dans la continuité du travail engagé en 2012, pour aboutir fin 2013 à un nouveau plan Vigipirate qui gardera les principes qui font la force du plan actuel mais qui sera rendu plus efficace par une meilleure visibilité. Une grande partie du plan, aujourd'hui classifié, devrait ainsi être rendue public. Le pilotage des postures de protection sera également amélioré par une caractérisation plus fine des menaces terroristes et des vulnérabilités. Dans les deux ans à venir, les autres plans d'intervention de la famille Pirate - Pirate-air, Pirate-mer, Piranet - seront révisés, à l'exception du plan NRBC qui date de 2011.
Le premier ministre a confié en août dernier au SGDSN une mission relative à la mise en oeuvre d'une stratégie nationale de prévention de la radicalisation, visant à identifier et réduire les vulnérabilités des individus et des groupes face aux idées radicales de toute nature pouvant déboucher sur l'action violente. Lancés début septembre, les travaux associent l'ensemble des ministères concernés et permettent une analyse des dispositifs existants en les comparant avec les initiatives étrangères.
L'organisation gouvernementale de gestion de crise a été consolidée ; la professionnalisation de ses acteurs a été engagée depuis 2012 par des exercices majeurs rénovés et des entrainements spécifiques permettant de former les personnels armant la cellule interministérielle de crise (CIC). Les premiers effets positifs de ce programme global de professionnalisation ont pu être mesurés lors des derniers exercices majeurs, ainsi qu'au travers du bon fonctionnement de la CIC lors des dernières crises, à l'exemple de l'épisode neigeux de l'hiver 2012-2013. Le SGDSN a poursuivi son action de développement d'une culture d'anticipation des crises au sein des ministères.
La gestion de crise s'accompagne d'un renforcement de la résilience qui doit être perçue à la fois comme un objectif (renforcer la cohésion et la solidité de la Nation face aux risques et menaces) et comme une méthode (mobiliser tous les acteurs). Pour atteindre ce double objectif, le SGDSN a initié en 2012 les travaux visant à instaurer une politique nationale de résilience qui s'appuie sur le dispositif de sécurité des activités d'importance vitale, ainsi que sur des actions complémentaires permettant d'améliorer la continuité des activités indispensables à la nation. Il a ainsi publié un guide d'aide à l'élaboration des plans de continuité d'activité à destination des administrations, des collectivités et des entreprises.
Le contrat général interministériel créé par le Livre blanc déterminera, dans une perspective de programmation budgétaire, les capacités critiques des ministères civils et leur niveau d'engagement dans la réponse aux crises majeures. Cette démarche sera prolongée à l'horizon 2016 sous l'autorité du ministre de l'intérieur par une planification territoriale.
Le SGDSN a préparé la mise en place du comité de la filière industrielle de sécurité (Cofis), qu'installera ce soir le Premier ministre. Rassemblant onze ministres, vingt et un présidents-directeurs généraux de sociétés, cinq présidents de groupements industriels et dix-neuf personnalités qualifiées, dont des représentants de la recherche académique, la présidente de la commission informatique et liberté (Cnil) et plusieurs parlementaires, le Cofis définira les besoins et les orientations de la filière : à la différence de l'industrie de défense, qui n'a qu'un seul client, l'État, l'industrie de la sécurité n'a jamais fait l'objet d'une planification. Nos forces font dès lors leurs achats bien souvent sur étagère, et parfois au profit de fournisseurs étrangers.
Le Livre blanc sur la défense et la sécurité nationale marque une nouvelle étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité. La France doit faire face à l'espionnage et au sabotage - encore peu présent, mais auquel il faut se préparer. Les dispositions de la loi de programmation militaire font écho à cette préoccupation.
L'Anssi, quant à elle, a la responsabilité de conduire ou de coordonner l'ensemble des actions destinées à prévenir les attaques contre les systèmes d'information et à réagir en cas d'atteinte à leur disponibilité ou à leur intégrité. Son action s'exerce principalement au profit de l'État, mais également des opérateurs d'importance vitale du secteur public et privé. Elle est chargée, dans son champ de compétences, d'élaborer la stratégie de l'État et de développer et d'entretenir la coopération internationale. Cette stratégie nationale partiellement couverte par le secret de la défense nationale se fixe pour objectifs la protection de l'information de souveraineté de l'État, la sécurisation des systèmes d'information des entreprises les plus sensibles et le positionnement de la France comme nation majeure en matière de cyberdéfense. Elle protège ainsi les systèmes d'information de l'État et des OIV et assure la sécurité des communications du Président de la République et du gouvernement ; elle coordonne l'action gouvernementale en cas d'attaque ou de compromission des systèmes et prend la main en cas d'attaque majeure. Elle donne des instructions aux opérateurs conformément à la loi de programmation militaire et mobilise des groupes d'intervention rapide.
En 2012, l'Anssi a traité 27 cyberattaques majeures visant des administrations ou des grandes entreprises nationales ; ses effectifs étaient insuffisants pour traiter toutes les attaques dont elle a eu connaissance. Elle héberge le centre d'alerte et de réaction aux attaques informatiques (CERT), qui est alerté sur des incidents, analyse les codes malveillants, rédige des synthèses des incidents traités et propose le cas échéant des mesures générales de prévention. Le CERT a reçu en 2012 plus de 700 signalements mais n'a pu - ou pas voulu, car certains s'avèrent anodins - en traiter que 70.
La loi de programmation militaire représente une avancée sur la sécurisation des entreprises appartenant aux secteurs d'activité d'importance vitale. Le renforcement de la sécurité des systèmes d'information passe aussi par la labellisation de produits et de services et par le maintien d'un tissu industriel de confiance. Nous encourageons ainsi des PME, dont certaines sont des perles technologiques en matière de cyberdéfense et auxquelles nous déléguons des activités. L'agence apporte aussi son expertise technique dans le cadre des investissements d'avenir et est consultée par la direction générale du trésor lorsque des demandes d'autorisation d'investissements étrangers concernent des entreprises du secteur de la sécurité des systèmes d'information.
L'Anssi mène une politique de communication de plus en plus active en direction des administrations de l'État, des entreprises et même du grand public. À travers son centre de formation à la sécurité des systèmes d'information (CFSSI), elle forme des acteurs publics à ces questions.
L'accomplissement de l'ensemble de ces missions suppose de disposer de personnels très compétents - c'est le cas - et d'un budget préservé. Ce dernier est globalement de 195 millions d'euros de crédits de paiement, y compris le titre II, dont une soixantaine de millions sont transférés au ministère de la défense pour des projets interministériels. Le budget de l'Anssi bénéficie de la montée en puissance de la politique de lutte contre les cybermenaces, tandis que celui du reste du SGDSN tend plutôt à la baisse. Ce dernier dispose d'un service d'administration générale capable de répondre aux multiples sollicitations liées à la multiplicité des statuts et des personnels militaires ou civils, fonctionnaires ou contractuels, et qui a géré 220 embauches en 2013.
La croissance rapide de l'Anssi implique une augmentation du titre II. Le Livre blanc fixe un effectif cible de 500 agents en 2015 ; le projet de loi de finances prévoit 65 équivalents temps plein supplémentaires en 2014 pour arriver à 422 à la fin de l'année. L'objectif du Livre blanc implique 110 embauches par an, soit le tiers de son effectif. Or la ressource devient rare et chère ; nous avons passé un gentleman agreement avec le ministère de la défense, mais la concurrence avec le secteur privé est ardue. Pourtant la bonne image de l'Anssi lui permet de recruter. Elle embauche en général des jeunes sortis d'école qui iront ensuite irriguer le secteur privé en constituant des relais efficaces de la politique de cybersécurité.
Le SGDSN hors ANSSI, dont les missions ne cessent de s'approfondir et de se renforcer depuis deux Livres blancs, respecte la discipline budgétaire générale et contracte ses effectifs : il comptera 207 agents à la fin de 2014. Il applique les mêmes règles aux établissements placés sous sa tutelle. Il alloue par transfert budgétaire une part importante de son budget d'investissement à des opérations conduites par la Direction générale de la sécurité extérieure (DGSE) ou la DGA. Il est maître d'ouvrage des réseaux de communication gouvernementaux sécurisés. Le renouvellement quasi simultané de l'intranet sécurisé interministériel pour la synergie gouvernementale (ISIS) et du réseau interministériel de base uniformément durci (RIMBAUD) devrait donner lieu à des engagements importants en 2016. Au sein du centre de transmissions gouvernemental (CTG), des investissements particuliers couvrent le développement des moyens de communication du Président de la République, notamment le système embarqué dans l'avion à usage gouvernemental. Les plafonds de crédits révisés s'élèvent à 64,1 millions d'euros d'autorisations d'engagement et 70,5 millions d'euros de crédits de paiement. Ils seront ajustés l'année prochaine dans le cadre des travaux sur le budget triennal 2015-2017.
M. Jeanny Lorgeoux. - Malgré les dénégations alambiquées de James Klepper, la pieuvre de la National Security Agency (NSA) a fait la preuve de son efficacité, qui rend diaphane le secret de nos ambassades et de nos administrations. Est-il possible de lutter contre cet espionnage par un pays allié et ami, ou sommes-nous condamnés, tel Sisyphe, à lutter indéfiniment et vainement contre lui ? La loi de programmation militaire comporte un important volet relatif à la cyberdéfense ; ces mesures sont-elles suffisantes ? J'aimerais mesurer le décalage entre nos petits efforts et l'ampleur de la tâche. Je n'ai pu assister au dernier conseil d'administration de l'IHEDN, mais j'ai cru comprendre que son budget avait été raboté de 300 000 euros...
M. Jacques Gautier. - On a pu observer le rôle discret mais essentiel du SGDSN lors de la préparation du Livre blanc. Votre budget peut paraître limité par rapport à celui que nous examinons habituellement ; il n'est pas concerné par la loi de programmation militaire, mais par la loi de finances triennale. Compte tenu du caractère mouvant des questions que vous traitez, seriez-vous favorables à une actualisation tous les deux ans, plutôt que tous les trois ans ? Quels sont vos liens en matière de renseignement avec le coordonnateur du renseignement auprès du Président de la République, et avec le délégué interministériel à l'intelligence économique ? Pour faire face aux réductions de crédits alloués à l'IHEDN et à l'INHESJ, comptez-vous recourir à la mutualisation ou supprimer une session de formation une fois de temps en temps ? L'augmentation du contrôle parlementaire sur les services de renseignement introduit par la loi de programmation militaire semble-t-elle excessive au professionnel que vous êtes ?
M. Francis Delon.- Les menaces qui pèsent sur nos systèmes d'information ne sont pas nouvelles ; le Monde ne nous apprend rien. Pour les prévenir, il nous faut des moyens de détection des attaques et de protection des communications sensibles, mais aussi une discipline dans leur usage, qu'il nous faut rappeler en permanence. Sur ce point, il y a eu des progrès. C'est un combat qui existe dans tous les pays. Les dispositions de la loi de programmation militaire vont dans ce sens. Compte tenu de l'origine de l'espionnage allégué, rapporté par le journal Le Monde, les plus hautes autorités de l'État ont exprimé leur incompréhension et leurs protestations auprès des autorités américaines.
Monsieur Lorgeoux, nous n'avons pas sacrifié en votre absence le budget de l'IHEDN lors du dernier conseil d'administration ! J'ai demandé à l'IHEDN et à l'INHESJ de faire des économies, mais sans réduire leurs missions. Nous nous efforçons de mutualiser les activités matérielles des deux instituts mais nous n'allons pas les fusionner car ils ont leur personnalité propre.
Nos liens avec le coordonnateur national du renseignement sont étroits et nous travaillons sur des sujets thématiques et géographiques. Nos relations avec la déléguée interministérielle à l'intelligence économique sont excellentes. Je l'ai notamment associée aux travaux sur le comité de filière que j'ai mentionné tout à l'heure.
M. Robert del Picchia. - Je ne vous interrogerai pas sur les cyberattaques. Il y a un an et demi, notre rapport, qui avait déplu au quai d'Orsay, traitait de la fonction anticipation stratégique et soulignait quelques disfonctionnements. La coordination s'est-elle améliorée ? La transmission de l'information fonctionne-t-elle mieux ?
Lors de l'examen de la loi de programmation militaire, la commission des lois souhaitait beaucoup plus d'informations et de transparence en matière de renseignement alors que notre commission estimait que la transparence avait ses limites pour ne pas mettre en danger les personnels. Quelle est votre position ?
M. André Trillard. - Vous avez évoqué la sécurisation des entreprises. Mais où commence l'intérêt national ? Vous limitez-vous aux fournisseurs bien connus des services de l'État ou vous intéressez-vous aussi aux PME ? Si tel est le cas, qui se charge de ces PME ?
Dans certaines administrations, comme les grandes écoles, les grandes universités, le monde de la recherche, la notion de sécurisation en est encore à ses balbutiements : le seul critère retenu semble celui de la gratuité. Quid de la sécurité ?
Dans quels délais accordez-vous des visas pour les exportations de matériel militaire ? Ces délais ont indéniablement un impact économique.
M. Francis Delon. - Le Livre blanc évoque l'anticipation stratégique et prévoit un dispositif plus efficace pour coordonner les actions de la délégation aux affaires stratégiques (DAS) et de la direction générale de l'armement du ministère de la défense, de la direction de la prospective du quai d'Orsay, et de nous-même. Nous allons prochainement réunir tous ces services pour que chacun explique ce qu'il veut faire en matière d'anticipation. Ceci nous permettra de coordonner nos actions et d'éviter les doublons. Nous jugerons de ce travail dans quelques mois, et nous tiendrons compte de vos recommandations.
En ce qui concerne les exportations de matériel de guerre, elles ne peuvent se faire sans autorisation. La commission compétente se réunit une fois par mois et elle examine des centaines d'affaires. Mais tous les jours, avec les ministères de la défense, des affaires étrangères, de l'économie et, parfois, de la recherche, nous examinons des dossiers et décidons sans attendre le rendez-vous mensuel. Nous nous efforçons d'avoir des délais rapides.
M. Daniel Reiner, président. - Les directives communautaires ont permis de simplifier les procédures.
Je vous remercie pour toutes ces informations.