II. L'APPUI DES ARMÉES À L'ANSSI EN CAS DE CRISE CYBER MAJEURE

A. RAPPEL DES MOYENS DE LA CYBERDÉFENSE RATTACHÉE AUX SERVICES DU PREMIER MINISTRE (PROGRAMME 129)

Avec quelque 120 millions d'euros, les moyens de la cybersécurité « civile » restent sans commune mesure inférieurs à ceux consacrés aux armées.

 
 
 

Agence nationale de la sécurité des systèmes d'information (ANSSI)

création en 2009

660 postes (527 ETPT)

75 millions €5(*)

Opérateur des systèmes d'information interministériels classifiés (OSIIC)

création en 2020

300 personnels (135 ETPT)

40 millions €

Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)

création en 2021

42 personnels (47 ETPT)

7 millions €

Or, l'ANSSI doit déjà faire face à la multiplication et à la complexification des cyber menaces. De plus, la directive NIS 2 conduira l'ANSSI à devoir protéger, au-delà des quelques centaines d'OIV et d'OSE (environ 700), plusieurs milliers d'entreprises supplémentaires (de 7 000 à 14 000 selon l'évaluation très large de l'ANSSI).

Outre les crédits annuels décrits ci-dessus, il faut signaler que, dans le cadre de la stratégie nationale cyber6(*) lancée en 2021, le plan « France Relance » a dédié une enveloppe spécifique de 136 millions d'euros à l'ANSSI pour renforcer la cybersécurité de l'État et des territoires sur la période 2021-2022. Ces crédits sont destinés à cofinancer des projets de sécurisation de systèmes d'information existants, à accompagner, sur le plan financier et méthodologique, la création de centres régionaux de réponse à des incidents cyber (CSIRT7(*)) et, plus largement, à élever le niveau de cybersécurité des services de l'État, des collectivités territoriales et des établissements de santé.

Répartition du volet ANSSI du plan France Relance

- 60 M€ au profit des collectivités territoriales, via des parcours de cybersécurité, le co-financement de projets et le soutien à la création des CSIRT régionaux ;

- 25 M€ au profit du secteur de la santé pour la sécurisation des établissements de santé, du ministère et des organismes qui en dépendent ;

- 30 M€ au profit des ministères et organismes qui en dépendent, hors secteur de la santé, notamment via le co-financement de projets de sécurisation des réseaux de l'État ;

- 21M€ pour le développement et le déploiement mutualisé des capacités nationales de cybersécurité.

Source : ANSSI

Plusieurs réflexions sur la cybersécurité civile peuvent être formulées :

- Contrairement à la programmation militaire qui se projette sur les 7 prochaines années, il est difficile d'obtenir une visibilité des moyens du SGDSN au-delà d'une trajectoire triennale. De ce point de vue, le Plan France Relance contribue à donner de la visibilité à des investissements sur le temps long. Mais un suivi régulier s'impose concernant la pérennité financière des projets au-delà de la période d'amorçage du plan de relance (cf. infra concernant la pérennité des CSIRT régionaux) ;

- L'appui à l'ANSSI des moyens technologiques des armées représente un puissant atout pour la cybersécurité française en ce qu'elle bénéficie de l'expertise des laboratoires spécialisés de la DGA-MI. Ces synergies évitent ainsi les doublons. En revanche, si l'appui en ressources humaines militaires peut être déterminant lors d'une crise, celui-ci se limite à certaines opérations et à quelques dizaines de personnels. Ce constat ne peut donc exonérer le gouvernement d'une réflexion sur l'évolution des moyens propres de l'ANSSI pour véritablement répondre à une crise cyber majeure et un doublement, voire plus, des attaques ;

- Sur le plan national et territorial, le rôle et les moyens de l'ANSSI devront évoluer à la mesure des obligations que créera la transposition de la directive NIS 2 que la France doit mettre en oeuvre avant la fin 2024. Dans le même temps, devront être clarifiées les missions respectives des régions (dispositif CSIRT) et du GIP ACYMA en charge du site « Cybermalveillance ».

Constats :

- Les moyens de l'ANSSI devraient progresser de 660 personnels en 2023 à 800 en 2027 ;

- Il n'existe pas de trajectoire de programmation des moyens de cyberdéfense du SGDSN comparable dans le montant et la durée avec la LPM.

Recommandations :

- Clarifier le périmètre de la transposition en France de la directive NIS 2 ;

- Établir un plan de progression des moyens de l'ANSSI, de l'OSIIC et de Viginum en rapport avec l'augmentation du périmètre de protection de la directive NIS 2.


* 5 Dont 4,9 millions d'euros pour la préparation des JO de Paris 2024.

* 6 Cette stratégie s'inscrit dans le plan d'investissement France 2030 visant à tripler le chiffre d'affaires du secteur cyber et créer 37 000 emplois d'ici 2025. Le financement total de la stratégie d'accélération cybersécurité serait composé de 1 milliard d'euros dont 720 millions d'euros de crédits publics (source : https://www.economie.gouv.fr/strategie-nationale-acceleration-cybersecurite#).

* 7 Computer security incident response team