III. UN NET RENFORCEMENT DES MOYENS EN FAVEUR DE LA SÉCURITÉ ET DE LA PROTECTION DES DONNÉES
Tendance forte de ces dernières années, le renforcement des moyens alloués à la lutte contre le terrorisme , les atteintes à la sécurité nationale, la cybercriminalité et en faveur de la protection des données s'avère plus que jamais nécessaire en 2023.
L'actualité nous rappelle chaque jour que le niveau de risque est élevé avec un contexte international tendu du fait de la guerre en Ukraine, une multiplication des cyberattaques qui ne frappent plus seulement les grandes entreprises mais aussi les centres hospitaliers, collectivités territoriales et petites entreprises, un terrorisme qui n'est pas éradiqué . Ce sont autant de menaces qui se cumulent depuis plusieurs années et justifient des moyens dédiés à la hauteur de ces enjeux.
En
2021 et 2022
des moyens spécifiques
avaient été mis à disposition des administrations en
dehors du programme 129, dans le cadre du
plan de relance
,
pour réaliser des diagnostics sur leur niveau de protection contre les
cyberattaques et répondre aux fragilités détectées.
Cela ne sera
plus le cas
en 2023
, ce qui justifie aussi
l'augmentation des moyens sur ce programme pour l'année prochaine.
A. UN SOUTIEN APPUYÉ EN FAVEUR DE LA SÉCURITÉ ET DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ
Le
Secrétariat général de la
défense et de la sécurité nationale
(SGDSN)
occupe une place centrale dans le dispositif par ses missions notamment de
planification de gestion de crise et de coordination interministérielle.
Il assure le
secrétariat des conseils de défense
et de sécurité nationale et a reçu mandat du Premier
ministre Jean Castex en
juin 2021 aux fins d'élaborer avec
l'ensemble des ministères une
stratégie nationale de
résilience
(SNR) visant à mieux préparer la
France en cas de crise majeure. Cette stratégie a été
validée par le Premier ministre en
mars 2022.
Il participe à la lutte contre la cybercriminalité par l'entremise de deux entités, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum).
Le SGDSN est également garant des transmissions gouvernementales , grâce aux crédits qu'il met à disposition de l'Opérateur des systèmes d'information interministériels classifiés (OSIIC) créé en 2020.
1. Une cybercriminalité qui n'épargne aucun secteur d'activité
Guillaume Poupard, directeur de l' Agence nationale de la sécurité des systèmes d'information (ANSSI) fait le constat d'une menace cyber qui croît d'année en année, conséquence d'un sous-investissement chronique en matière de sécurisation des systèmes d'information.
Plusieurs attaques ont dernièrement eu pour victimes des centres hospitaliers , des collectivités territoriales ou des entreprises de premier plan .
Cette menace diffuse étant impossible à éteindre à la source, l'ANSSI maintient son positionnement tant de prévention de la cybercriminalité que d' aide aux victimes lorsqu'une attaque informatique ne peut être empêchée.
Ses effectifs seront en
hausse de 46 ETPT
en
2023. Toutefois Guillaume Poupard regrette de ne pas avoir obtenu les 100
emplois supplémentaires demandés afin d'atteindre rapidement un
effectif
de 1 000 agents.
En effet, les efforts de prévention doivent se poursuivre , particulièrement à l'égard des collectivités territoriales et des centres hospitaliers où la culture de la cybercriminalité se diffuse difficilement. L'ANSSI doit également être en mesure de faire face à plusieurs attaques informatiques de grande ampleur simultanées mobilisant de nombreux agents.
Pour faire face à son développement, l'ANSSI ouvrira en 2023 une antenne à Rennes où 200 de ses agents travailleront à terme, à proximité de services du ministère des armées, créant un pôle de compétence en cyberdéfense .
2. La nécessaire lutte contre les ingérences numériques étrangères
La France s'est dotée en 2021 du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), service à compétence nationale relevant du SGDSN.
Ce service a vocation à détecter et
caractériser, en analysant les
contenus accessibles publiquement
sur les plateformes en ligne
, les opérations impliquant, de
manière directe ou indirecte,
un État étranger ou
une entité non étatique étrangère
, et
visant à la diffusion artificielle
ou automatisée, massive et
délibérée d'
allégations ou imputations de
faits manifestement inexactes ou trompeuses
de nature à porter
atteinte aux intérêts fondamentaux de la Nation
,
notamment lorsque celles-ci sont de nature à altérer
l'information des citoyens pendant les périodes électorales.
Composé de 21 ETPT fin 2021, il compte actuellement une quarantaine d'agents , l'objectif étant d'atteindre le nombre de 65 agents.
À partir d'octobre 2021 et jusqu'à la tenue de
la troisième
consultation référendaire
sur l'accession à la pleine souveraineté de la
Nouvelle-Calédonie
le 12 décembre 2021, Viginum
a conduit une opération dédiée à la
protection du débat public numérique
. Puis,
rapidement, le Service a porté son attention sur le début public
entourant les
élections présidentielle et
législatives de 2022
. Dans ce cadre, Viginum a
détecté 60 phénomènes inauthentiques sur les
plateformes numériques. Douze d'entre eux ont fait l'objet
d'investigations approfondies à des fins de caractérisation et
cinq
ont été caractérisés comme
réunissant les critères de définition d'une
ingérence numérique étrangère
3
(
*
)
. Cette capacité nouvelle
de détection des sources d'ingérence oblige à se doter de
moyens conformes à l'état de droit afin de les entraver.
3. La mise en oeuvre de techniques de renseignement
Le Groupement interministériel de contrôle (GIC) est adossé administrativement et financièrement au SGDSN. Ses crédits sont regroupés au sein de l'action 02 - Coordination de la sécurité et de la défense, avec ceux du SGDSN et les fonds spéciaux.
Le GIC, qui centralise les demandes de techniques de renseignement, met en oeuvre les surveillances numériques et exécute les algorithmes autorisés. Les services de renseignement exploitent dans les locaux du GIC situés en métropole et en outre-mer les communications électroniques interceptées.
Le Groupement interministériel de contrôle s'est transformé ces dernières années en service d'ingénierie doté d'une indispensable capacité d'innovation pour faire face à l'évolution constante du cadre légal et des modalités des techniques de renseignement.
Le directeur du GIC souligne que le Groupement avait à
peine atteint son rythme de croisière lorsqu'a été
votée la
loi
n° 2021-998
du 30 juillet 2021
relative à la prévention d'actes de terrorisme et au
renseignement
, qui
a pérennisé et
« débridé » l'algorithme
en
intégrant
les URL et plus seulement les données
téléphoniques. Il estime
ne pas disposer du personnel
suffisant
pour administrer les réseaux et systèmes
d'information ou faire du développement informatique en toute
sécurité. Il conclut que
le fonctionnement est à
risque actuellement
.
Le GIC bénéficiera en 2023 de 34 emplois
supplémentaires,
mais 17 ETPT seront occupés par des
gendarmes dédiés à la sécurisation des nouveaux
locaux rendus nécessaires par la croissance du Groupement, locaux qui
accueilleront les premiers agents en janvier 2024.
Cette année encore, comme l'an passé, le rapporteur s'interroge sur l' adéquation des moyens , bien qu'en hausse, alloués au GIC qui doit être en mesure d'offrir un service de qualité aux services de renseignement. Ceci est un enjeu de sécurité , mais aussi d'efficacité des contrôles effectués par la Commission nationale de contrôle des techniques de renseignement (CNCTR).
La CNCTR, autorité administrative indépendante relevant du programme 308, complète en effet ce dispositif, avec un budget de 3,11 M€ , en hausse de 2,43 % .
La commission continue de traiter un nombre croissant de demandes d'avis. Elles devraient atteindre le nombre de 90 000 cette année , soit entre 200 et 300 chaque jour.
La commission fait le constat d'une adaptation des cibles potentielles qui délaissent l'usage du téléphone au profit de messageries cryptées . Les services de renseignement sont alors contraints de demander l'usage de techniques plus intrusives . La CNCTR doit alors procéder à un rigoureux contrôle de proportionnalité avant de rendre son avis.
Une fois autorisées, ces techniques intrusives impliquent un plus grand contrôle de la part de la CNCTR. « Il faut surveiller la surveillance » résume son président Serge Lasvignes, qui souhaite à l'avenir mieux articuler les contrôles a priori et a posteriori des techniques de renseignement.
L'efficacité des contrôles repose pour beaucoup sur une parfaite connaissance des nouvelles techniques comme la surveillance internationale. À cet effet, la CNCTR mène une politique de recrutement d'ingénieurs de haut niveau , ce qui n'est pas sans difficulté en raison du niveau de rémunération proposé. Elle sera dotée de 4 ETP supplémentaires en 2023.
* 3 Source : rapport VIGINUM ANNÉE #1 http://www.sgdsn.gouv.fr/uploads/2022/10/20221025-viginum-annee1.pdf