EXAMEN EN COMMISSION

Réunie le mercredi 24 mai 2023, sous la présidence de M. Christian Cambon, président, la commission des affaires étrangères, de la défense et des forces armées a procédé à l'examen du rapport d'information du groupe de travail sur le programme 129 « Coordination du travail gouvernemental » (action 2 : Coordination de la sécurité et de la défense, SGDSN, Cyberdéfense), dans la perspective de la loi de programmation militaire (MM. Olivier Cadic et Mickaël Vallet, rapporteurs).

M. Christian Cambon, président. - Nous examinons ce matin les conclusions de nos rapporteurs du groupe de travail sur le programme 129 « Coordination du travail gouvernemental », dans la perspective de la loi de programmation militaire (LPM).

M. Olivier Cadic. - Mes chers collègues, le programme 129 que je rapporte avec mon collègue Mickaël Vallet sur la coordination de la sécurité et de la défense relève de la mission « Direction de l'action du Gouvernement », c'est-à-dire les services de la Première ministre, et non de la mission « Défense ».

Nous y examinons chaque année en loi de finances le budget du Secrétariat général de la défense et de la sécurité nationale (SGDSN) dont relèvent notamment l'agence nationale de sécurité des systèmes d'information (ANSSI).

Ce programme comporte toutefois plusieurs liens avec la LPM en cours d'examen et je remercie le Président de la commission d'avoir bien voulu renouveler la mise en place d'un groupe de travail sur le thème de la coordination de la cyberdéfense, comme pour la LPM précédente.

Je remercie André Gattolin d'avoir rejoint et contribué aux travaux du groupe.

« Il va falloir être plus connectés et moins vulnérables », a dit Eric Trappier, Président de Dassault aviation, ce matin. Cet objectif guide nos réflexions.

Quels sont ces points de contact entre l'ANSSI et la LPM ?

En premier lieu, la résilience cyber a été érigée en objectif stratégique par la Revue nationale stratégique et le Président de la République a annoncé dans son discours sur la LPM son souhait de voir doubler notre capacité de traitement des attaques cyber majeures.

À notre sens, cet objectif ne peut s'inscrire que dans une coordination entre les milieux civils et militaires, le public et le privé, le national et le local.

S'y ajoute un enjeu de coordination entre le bouclier (la lutte informatique défensive) et le glaive (la lutte informatique offensive) qui caractérise la dichotomie du dispositif français :

- avec d'une part la compétence de l'ANSSI sur le volet défensif des réseaux interministériels, des opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) au nombre desquels figurent par exemple 142 centre hospitaliers ;

- et d'autre part la compétence de lutte informatique offensive dont l'existence est reconnue mais dont les acteurs et les moyens relèvent du ministère des armées et donc in fine du Président de la République si une action devait être déclenchée.

On se demande d'ailleurs si le seul objectif de doublement de capacité est suffisant quand on sait la progression exponentielle des menaces répertoriées par l'ANSSI (831 intrusions avérées) et Cybermalveillance (plus de 170 000 demandes d'assistance dont plus de 90 % émanent de collectivités territoriales).

Sur le volet militaire de la lutte informatique défensive (LID), le commandement de la cyberdéfense (COMCYBER) a traité en une année 150 événements de sécurité numérique touchant au périmètre du ministère des armées (hors services de renseignements).

Le second point de contact a trait à la coordination civilo-militaire entre ANSSI d'une part et le COMCYBER, la DGA-MI, (Délégation générale à l'armement « maîtrise de l'information ») et la DGSE d'autre part.

Le groupe de travail s'est rendu à Rennes à la rencontre du Pôle d'excellence cyber et dans les locaux du ComCyber et de la DGA-MI. Il nous y a été relaté la relation très directe et quasi quotidienne entre l'ANSSI et la DGA-MI cette dernière apportant son expertise technique dans le traitement des données et la conception de programmes dédiés.

Comment véritablement inscrire dans la prochaine LPM la nécessité de rapprocher les fonctions défensives et offensives (qui sont traditionnellement et structurellement séparées dans notre organisation actuelle) pour que la défense de nos intérêts soit mieux intégrée, notamment entre l'ANSSI pour le volet civil (en métropole et dans les outre-mer) et le ComCyber pour le volet militaire?

Le troisième point de contact entre ANSSI et LPM se matérialise par 4 articles normatifs :

- l'article 32 vise à demander aux opérateurs un filtrage des noms de domaine afin d'entraver une menace susceptible de porter atteinte à la sécurité nationale ;

- l'article 33 prévoit la transmission à l'ANSSI de données lui permettant d'identifier les serveurs et infrastructure des pirates informatiques ;

- l'article 34 vise à obliger les éditeurs de logiciels informatiques à informer l'ANSSI et les utilisateurs de tous incidents ou vulnérabilité de leur produit ;

- enfin, l'article 35 vise à renforcer les capacités de détection des cyberattaques en permettant à l'ANSSI l'accès au contenu des communications et à l'identité des victimes présumées de cyberattaques.

J'attire votre vigilance sur ces articles qui soulèveront certainement un débat sur la question de l'accès aux contenus des communications, alors que jusqu'à présent le leitmotiv de l'ANSSI était de n'accéder qu'aux réseaux, c'est-à-dire les contenants, voire aux métadonnées, mais pas aux contenus proprement-dit.

On pourra s'interroger sur la compétence de l'Autorité des communications électroniques, des postes et de la distribution de la presse (ARCEP) en tant qu'autorité de contrôle a priori sur les avis autorisant l'accès aux données de contenu.

Alors même que le projet de loi propose la suppression de l'assermentation judiciaire des agents de l'ANSSI, celle-ci emploierait des techniques d'accès au contenu jusqu'alors réservées aux services de renseignement, ce que l'agence n'est pas.

S'agissant du financement, le rapport annexé à la LPM prévoit 4 milliards d'euros de besoins programmés pour la cyberdéfense afin d'augmenter les effectifs, de s'adapter aux évolutions technologiques, d'accompagner les entreprises du secteur de la défense et d'appuyer l'ANSSI en cas de crise cyber nationale.

Il faut rappeler que le ComCyber est susceptible de mettre à disposition quelques cybercombattants pour soutenir directement l'ANSSI, mais pas dans des proportions annoncées pour faire face à un doublement des cyberattaques.

Cela pose la question de la cible d'augmentation des effectifs pour la période 2024-2030 : le ministre des armées a annoncé une hausse de 953 ETP pour le seul ministère des armées répartis entre la DGSE, la DGA et les armées. C'est moins que les 1 500 postes prévus dans le domaine cyber pour la LPM 2019-2025.

J'en viens maintenant à quelques observations assorties de propositions :

Ainsi que le ministre des armées l'a précisé lors de son audition, aucun des 4 milliards de crédit de la LPM n'est destiné à l'ANSSI. La LPM ne vise aucunement à financer le passage de l'ANSSI de 660 agents en 2023 à 800 agents en 2027. Cette augmentation sera financée par le budget du SGDSN.

Une question se pose de savoir si ces 4 milliards d'euros seront principalement fléchés vers la DGSE, la DGA-MI et le COMCYBER, en partie dans le but de pouvoir davantage contribuer à l'action défensive. La raison serait d'organiser l'emploi des ressources publiques et privées en cas de dépassement des capacités de l'État à faire face à une crise cyber d'ampleur. Mais alors pourquoi ne serait-ce pas à l'ANSSI, au lieu de l'armée, de monter davantage en puissance afin de coordonner directement les capacités cyberdéfensives publiques et privées du pays pour faire face à la massification des attaques ?

Enfin, je souhaite formuler deux observations plus générales sur les stratégies de réponse. S'il existe bien une comitologie de niveau stratégique (le C4 strat est mensuel) et opérationnel (le C4 TechOps est quasi quotidien), on peut s'interroger sur les conditions de contrôle de l'efficience globale du dispositif.

Ensuite, je ne partage pas, et d'autres pays alliés non plus, la stratégie de la revue nationale stratégique selon laquelle, je cite, « l'application d'une logique dissuasive dans le cyberespace qui forcerait tout attaquant à la retenue contre la France est illusoire ».

Comme l'a dit le Président de la République, le 9 novembre 2023, je cite, « une attitude qui serait seulement réactive, voire défensive, pourrait passer pour une forme de passivité ».

Voilà pourquoi je pense qu'il faut absolument faire évoluer l'action de l'ANSSI vers un rôle plus offensif, a minima plus proactif, ainsi que le prévoient certains des articles de la LPM.

M. Mickaël Vallet. - Mes chers collègues, je partage le constat sur la massification des attaques qui conduit l'ANSSI à devoir protéger les collectivités et les entreprises qui auparavant ne se trouvaient pas dans son périmètre de compétence. La part des incidents affectant le secteur de la santé n'a cessé d'augmenter en métropole comme en Outre-mer avec plus de 400 incidents depuis 2020. Au début de l'année 2023, c'était au tour de l'hôpital de la Réunion de détecter des « compromissions d'importance », traitées par les CERT Santé et CERT-FR national qui est l'équipe de réaction aux incidents cyber de niveau gouvernemental. Je précise que le CERT signifie « Computer Emergency Response Team », que la dénomination officielle française est centre gouvernemental de veille et de réponses aux attaques informatiques. C'est cette définition française que nous privilégierons dans nos rapports. Le sigle est formulé en anglais du fait des directives européennes.

Comme j'ai pu le constater avec Olivier Cadic, lors de la venue d'une délégation du Monténégro au Sénat, celle-ci nous avait décrit la paralysie dans laquelle s'étaient trouvés tous les ministères du pays suite à une cyberattaque. L'Albanie a fait l'objet elle aussi d'une attaque étatique, attribuée à l'Iran, en juillet 2022. Il faut conserver à l'esprit que personne n'est à l'abri pas même l'Assemblée nationale et le Sénat qui peuvent être pris pour cible par des attaques.

L'enjeu de la coordination de la cyberdéfense n'est pas que celui des attaques, il est aussi celui de la définition et de la typologie des entreprises à protéger. La directive dite « NIS 2 » aura pour effet au niveau européen de considérablement ouvrir le champ des entreprises assujetties à des obligations de cybersécurité. Comme pour la sécurité incendie, il y a des tailles d'entreprises et des niveaux d'obligations différents selon d'un immeuble reçoit du public ou non. De quelques centaines d'acteurs à réguler, l'ANSSI prévoit une multiplication par 20, soit près de 15 000 entreprises.

C'est une des raisons ayant conduit l'agence à susciter la création dans chaque région d'un CSIRT (Computer security incident response team) - que nous pourrons appeler « centre de réponse aux incidents de cybersécurité » (CRIC) - afin de prendre en charge les entreprises qui entreront dans les critères de seuil les assujettissant aux obligations de cette directive NIS 2. Le plan de relance a prévu une enveloppe de 12 millions d'euros répartis entre 12 CSIRT régionaux, à l'exception de la région Auvergne-Rhône-Alpe. Nous y reviendrons plus loin.

Ces dispositifs, contractualisés en 2021 dans le cadre du plan de Relance, sont entrés progressivement en oeuvre après 2 années consacrées à la création des structures par les régions, l'embauche d'experts - ou la débauche d'experts - et la recherche de locaux sécurisés.

Plusieurs observations peuvent être faites à la lumière d'une visite effectuée au Campus cyber de Nouvelle Aquitaine dont le « CRIC » venait d'entrer en service en avril 2023 avec d'abord 2 ingénieurs puis un troisième par ailleurs ancien agent de l'ANSSI. Plusieurs remarques :

- la création de ces centres, qui remplissent localement des missions régaliennes qui leur sont confiées par l'ANSSI, nécessite un portage politique important (au titre de la compétence développement économique des régions) alors même que la pérennité de la ressource n'est pas assurée ;

- après la consommation des crédits du Plan de relance (1 million d'euros de démarrage par région), le risque est grand de voir toute la charge reposer sur des conseils régionaux qui n'ont pas vraiment l'obligation de poursuivre dans cette démarche. C'est ce qui se passe en Nouvelle Aquitaine pour un budget de 650 000 euros, le reste étant constitué d'apport des entreprises partenaires de ce Campus. Ce point nous a éclairé sur les raisons du refus de la région Auvergne-Rhône-Alpe de se lancer dans cette démarche car nous pouvons comprendre qu'une collectivité, ne voyant pas assuré sur le très long terme une mission qui n'entre pas forcément dans ses compétences, ne souhaite s'engager en toute confiance ;

- en tout état de cause les élus régionaux que nous avons rencontrés se sont malgré tout montré allants sur la création de leurs CSIRT respectifs (Bretagne et Nouvelle Aquitaine) mais ils appellent d'urgence à penser dès maintenant l'après Plan de Relance, soit par le biais d'un plan État-Région, soit, et c'est plus original, au moyen d'un modèle de type SPL (société publique locale) qui générerait des ressources financières, comme une SPL de télécommunication, pour assurer le financement d'un CSIRT. La piste de la constitution de groupement d'intérêt public (GIP) a également été évoquée. Cela pose toutefois la question d'un transfert de compétences régaliennes à des collectivités territoriales ;

- cette question ne s'éloigne pas du sujet de la LPM dans la mesure où l'objectif de la revue nationale stratégique est de constituer des synergies entre public et privé pour constituer un environnement sécurisé et faire face aux menaces. Dans une optique d'« économie de guerre », le caractère régalien de la cybersécurité nécessiterait une harmonisation de l'offre de services et des modalités d'appel en cas d'incident. L'ANSSI assume le caractère expérimental de la démarche dans sa phase de lancement, mais indique qu'une association « Inter-CERT » serait créée pour constituer une tête de réseau des CSIRT régionaux et ultérieurement harmoniser les procédures. Certains CSIRT communiquent largement leurs coordonnées tandis que d'autres confient le soin de la diffusion d'information aux réseaux consulaires et organisations professionnelles. On est encore loin du principe du numéro d'appel universel tel que le 18 ou le 112 sur les questions cyber.

Enfin, pour conclure ces observations sur la question des campus cyber en région, de la création récente du Campus Cyber national à Puteaux, ou d'autres initiatives qui se font jour, le rapport annexé de la LPM prévoit la création d'un nouveau pôle d'excellence structuré autour de l'Ecole polytechnique au bénéfice des armées. Ce sur quoi nous alertons, c'est qu'il ne faudrait pas que la multiplication des pôles d'excellence ou des campus cyber conduise à l'effet inverse de celui recherché qui était de mettre dans un même lieu des acteurs du cyber de tous horizons et non de multiplier les locaux, disperser les acteurs et saupoudrer les moyens.

J'ajoute un point sur ce qu'a évoqué Olivier Cadic et soulevé Yannick Vaugrenard, c'est la question des recrutements. Nous sommes dans un domaine ou des États étrangers recrutent des ingénieurs comme on recrute des joueurs de football en allant prospecter dans les écoles, et même en ciblant dès le collège pour identifier des talents. Cette rareté de la ressource est aggravée par le fait que les structures publiques se trouvent en situation de concurrence entre-elles, avec des grilles de rémunérations très diverses. Les débauchages mutuels conduisent à des effets contreproductifs sur lesquels il convient de s'interroger.

M. André Gattolin. - Je salue le travail des deux rapporteurs que j'ai eu l'occasion d'accompagner lors de la visite de la DGA-MI et du Comcyber à Rennes. Nous avons été impressionnés par les moyens mis en oeuvre et les capacités techniques de ces unités.

Je voudrais formuler une remarque valable pour les deux programmes, 129 et 144. Notre doctrine évolue sur la séparation dans le domaine cyber entre le défensif et l'offensif, cette distinction étant illusoire dans le contexte actuel. Le problème fondamental lorsque l'on passe du défensif à l'offensif est celui d'avoir une doctrine. Il faut savoir ce que l'on veut faire. Il faut le penser et le faire dans le cadre de l'État de droit. Et ce cadre, nous ne l'avons pas.

Nous sommes très bons pour nous occuper des tuyaux et des technologies. Mais quand il s'agit d'agir, dans le domaine de l'influence, nous sommes assez mauvais dans la construction des discours et des narratifs. Le contre-narratif est laissé au ministère des affaires européennes et étrangères. Nous devons définir si nous nous autorisons, face à la désinformation, nous aussi la divulgation de fausses informations. Cela paraît compliqué pour un État de droit.

En revanche, quel discours tenons-nous. Notre problème repose sur un désarmement intellectuel de l'État. On lance beaucoup d'études et on crée un observatoire des ingérences étrangères mais on n'en définit pas le périmètre. C'est notre rôle de parlementaire que d'alerter sur la nécessité d'une approche plus inclusive notamment à l'égard du monde de la rechercher pour conduire des travaux duaux, c'est-à-dire à double usages, surtout si nous voulons construire une pensée et une doctrine, au-delà des seuls aspects techniques. Il faut aussi définir quels sont les ennemis ou les ennemis potentiels.

Cela nécessite davantage de coordination et c'est à mon sens essentiel pour les années à venir.

Mme Hélène Conway-Mouret. - Merci pour ce rapport qui pose les bonnes questions et qui va au fond des sujets. Ma question s'adresse à Olivier Cadic pour savoir si les observations formulées sont personnelles ou collectives, les co-rapporteurs pouvant ne pas être sur la même ligne, et si l'intention est de traduire les propositions en amendements à la LPM ?

M. Olivier Cadic. - Nous travaillons en bonne intelligence, ce qui ne veut pas dire que nous pensons pareil sur tout, et il est important de pouvoir exprimer des nuances personnelles. D'ailleurs, Mickaël Vallet a exprimé des constats qui lui sont propres, mais que je partage et prends à mon compte.

M. Mickaël Vallet. - Par exemple sur la question du rôle de l'ANSSI, de l'ARCEP et de la fin de l'assermentation judiciaire de certains agents, nous avons fait une présentation factuelle de ces points d'attention car il est possible que dans les débats, des amendements viennent modifier des seuils d'alerte avant que le texte ne soit transmis au Sénat. Nous souhaitions pointer du doigt des évolutions notables du droit existant.

M. Christian Cambon, président. - Je note la pertinence de la méthode que nous avons utilisée en confiant à des parlementaires la préparation de la discussion de la LPM, chacun dans son secteur de compétence, au lieu de se fondre dans les groupes de travail qui nous étaient proposés par le gouvernement et dont aucune proposition, à part peut-être pour la condition militaire, n'est véritablement sortie.

Les recommandations sont adoptées.

La commission adopte, à l'unanimité, le rapport d'information et en autorise la publication.