Mercredi 12 janvier 2022
- Présidence de M. Arnaud Bazin, président -
La réunion est ouverte à 16 h 30.
Audition de M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
M. Arnaud Bazin, président. - Nous poursuivons nos travaux avec l'audition de M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) depuis mars 2014.
L'audition de M. Olivier Véran, ministre des solidarités et de la santé, a été reportée en raison de l'examen du projet de loi renforçant les outils de gestion de la crise sanitaire et modifiant le code de la santé publique. Nous allons convenir d'une nouvelle date avec le ministre afin de pouvoir l'entendre dans les prochaines semaines.
Notre commission d'enquête a entrepris de cartographier l'intervention des cabinets de conseil dans la sphère publique et d'en analyser les conséquences en matière de pertinence de l'action administrative, de sécurité et de souveraineté.
C'est sur ces deux derniers aspects que nous avons souhaité entendre le directeur général de l'Anssi.
L'intervention de plus en plus fréquente et intensive des cabinets privés auprès de l'État et de ses opérateurs, d'une manière qui semble assez peu organisée et centralisée, pose en effet des questions quant à la protection des informations sensibles détenues par la puissance publique.
Cela est d'autant plus vrai pour la question des données, dont le recueil, le stockage et la protection sont devenus au cours des dernières années un enjeu de souveraineté à part entière. En juin 2020, vous vous êtes d'ailleurs inquiété, Monsieur le directeur général, de l'hébergement par Microsoft des données de santé du Health Data Hub, un projet qui semble aujourd'hui remis en cause ou en tout cas mis en sommeil.
Les auditions de la commission d'enquête nous mettent face au paradoxe de la donnée, que nous avons relevé à plusieurs reprises. D'un côté, les administrations affirment que les données confiées aux cabinets de conseil font l'objet d'une protection particulière et qu'elles ne sont en aucun cas « réutilisées » par les cabinets. D'un autre côté, des cabinets de conseil internationaux proposent des benchmarks réalisés en très peu de temps, qui semblent utiliser les informations transmises par leurs clients.
Parallèlement, les cabinets de conseil interviennent dans des secteurs stratégiques, comme la défense nationale, la cybersécurité ou l'économie.
Cette audition est ouverte au public et à la presse. Elle est retransmise en direct sur le site Internet du Sénat. En raison du contexte sanitaire, les collègues peuvent également intervenir par visioconférence.
Comme pour toutes les personnes auditionnées, je rappelle qu'un faux témoignage devant notre commission d'enquête est passible de sanctions pénales, qui peuvent aller, selon les circonstances, de 3 à 7 ans d'emprisonnement et de 45 000 à 100 000 euros d'amende.
Je vous invite, Monsieur le directeur général, à prêter serment de dire toute la vérité, rien que la vérité.
Levez la main droite et dites : « Je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, M. Guillaume Poupard prête serment.
Je vous laisse la parole pour une intervention liminaire, avant les questions de Madame la rapporteure puis de nos collègues.
M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). - Le rôle de l'Anssi est de sécuriser les systèmes d'information critiques pour la Nation, au-delà de l'État. Notre périmètre couvre à la fois le secteur public et le secteur privé.
Il s'agit de lutter contre la menace cyber, c'est-à-dire ces attaques informatiques qui peuvent être d'origine criminelle ou étatique. Dans ce dernier cas, nous avons affaire à des adversaires de très haut niveau, avec des moyens considérables.
L'espionnage informatique est aujourd'hui une réalité très forte mais sous-estimée. C'est une menace silencieuse, très différente de la menace criminelle qui est plus visible car elle bloque des hôpitaux, des collectivités territoriales ou encore des entreprises. Dans l'espionnage informatique, l'attaquant et la victime ne souhaitent pas que les faits soient connus.
L'Anssi agit en prévention, pour éviter les attaques, mais également en réaction puisque nous avons des capacités de compréhension de la menace et de détection. Nous allons chez la victime, qu'elle soit publique ou privée, pour arrêter les attaques et parfois reconstruire le système d'information, ce qui est plus original.
Aujourd'hui, les attaques informatiques de haut niveau servent à espionner. Demain, elles pourront servir à commettre de véritables actes de guerre : lorsque l'on est capable de rentrer dans un système d'information, on peut y voler des données mais également en prendre le contrôle et provoquer des catastrophes. La première de nos priorités est de préparer nos infrastructures critiques à ces attaques informatiques, qui ne manqueront pas de se produire dans le futur.
Nous conseillons les entités publiques, parfois de manière plus intrusive. Mais nous sommes toujours positionnés sur la sécurisation des systèmes d'information, c'est-à-dire des contenants, des réceptacles numériques. Il est très rare que nous nous intéressions aux données elles-mêmes. Cette distinction est très importante : l'estimation du niveau de sensibilité et de protection des données reste de la responsabilité de leurs détenteurs.
Nous encourageons nos partenaires à analyser les risques qui pèsent sur leurs systèmes d'information et, au regard de cette analyse de risques, à réaliser les investissements nécessaires pour résister aux menaces qu'ils ont eux-mêmes identifiées. L'Anssi ne se substitue pas à eux en termes de responsabilité.
Notre action porte bien sur la protection des systèmes d'information, sur cet aspect purement cyber. Dans un cas extrême, si une administration décidait de remettre des données sensibles à un adversaire, cela ne passerait pas par l'Anssi. Je ne dis toutefois pas que les adversaires sont les cabinets de conseil. Il faut rester très prudent.
Nous développons également un écosystème d'acteurs privés : en matière de cybersécurité, il faut faire des choses en interne mais également se faire aider. Nous concevons donc des solutions avec des prestataires de services. Ce ne sont pas des cabinets de conseil, même si beaucoup d'entre eux ont une offre de prestations de services dans le domaine cyber.
Ces prestataires de services reçoivent une qualification de l'Anssi, à partir de référentiels et d'un processus d'évaluation par des tiers indépendants. Ainsi, nous sommes en mesure de livrer à nos bénéficiaires, publics ou privés, des « listes blanches » d'acteurs compétents et de confiance dans le domaine de l'audit de sécurité, de la réponse aux attaques, etc. Nous évaluons à la fois la compétence technique de ces acteurs mais également le niveau de confiance que l'on peut leur accorder. Si l'auditeur d'un système d'information en profitait pour « capter » ses données, alors le remède serait pire que le mal !
Ce processus peut aller jusqu'à la demande d'habilitation de certains de ces acteurs au secret de la Défense nationale, pour les cas les plus critiques.
L'Anssi doit parfois aller plus loin, comme pour la sécurité des prestataires d'informatique « nuagique », ou cloud. Si le développement de cette technologie constitue une évolution naturelle pour l'informatique, nous sommes confrontés à des solutions surtout portées par des industriels américains et chinois, ce qui soulève des questions en termes de sécurité.
Nous avons besoin de savoir en qui nous pouvons avoir confiance dans le domaine du cloud. Nous avons donc rédigé un référentiel qui fixe les règles de sécurité attendues de la part des prestataires, en commençant par la sécurité technique et opérationnelle des offres.
Ceci étant, les offres américaines posent le problème d'un droit extrêmement intrusif : en simplifiant, les autorités américaines se donnent à peu près tous les droits d'accès aux données des prestataires américains, au titre de l'antiterrorisme ou plus généralement des enquêtes judiciaires ou administratives. À cause du Cloud Act, les données d'acteurs français hébergées par des Américains sont vulnérables.
Depuis quelques années, nous avons ajouté à la sécurité technique et opérationnelle des questions de sécurité juridique, qui n'étaient pas dans périmètre initial de l'Anssi. Elles permettent d'exclure la qualification d'offres qui ne seraient pas sûres en termes de droit, ce qui revient à vérifier que seul le droit européen s'applique. Ce sujet est difficile car, dans le domaine du numérique, l'extraterritorialité arrive très vite...
Aujourd'hui, nous qualifions des offres de cloud qui sont sûres d'un point de vue technique, opérationnel et juridique. C'est une démarche forte, qui est portée par la France à l'échelle européenne car nous souhaitons que l'Union applique ces mêmes principes pour certifier les offres de cloud. Cette question fait débat car certains États membres sont moins sensibles aux problèmes causés par l'extraterritorialité du droit américain.
En pratique, il existe deux pistes pour qualifier les offres de cloud : passer par des industriels français et européens ou faire opérer de la technologie non européenne, typiquement américaine, par des opérateurs qui ne sont pas soumis au droit américain.
L'Anssi accompagne également des projets emblématiques, en faisant du conseil. Nous avons une capacité d'assistance technique dans le développement des projets informatiques qui sont très sensibles au regard des données qu'ils supportent ou d'un point de vue politique, comme le Health Data Hub.
Nous nous sommes très tôt rapprochés de l'équipe du Health Data Hub pour leur proposer notre aide, voire même l'imposer. Il faut parfois savoir être convaincant...
Sur ce projet, je distingue deux choses.
Il y a, d'une part, notre aide technique pour sécuriser le système à un juste niveau. Ce travail a été objectivement d'une grande qualité avec l'équipe du Health Data Hub, qui est une petite équipe sur le plan numérique et qui a découvert la cybersécurité à ce moment-là. Des hackers qui souhaiteraient attaquer le Health Data Hub auraient beaucoup de mal.
Il y a, d'autre part, la question de la sécurité juridique, accompagnée d'un risque médiatique, autour du recours à un acteur soumis à un droit non-européen pour porter ce projet. C'est donc la question du droit américain qui pose problème.
Quand il s'agit de droit, nous sommes beaucoup plus à l'aise lorsque c'est la Commission nationale de l'informatique et des libertés (CNIL) qui analyse le Règlement général sur la protection des données (RGPD).
L'autre exemple, c'est celui de l'application TousAntiCovid, initialement StopCovid. Je n'ai jamais caché mes réserves vis-à-vis du contact tracing. Mais lorsque cette idée a été mise sur la table, nous avions le choix entre présenter les risques induits ou contribuer à un projet porté par des acteurs aussi crédibles que possible.
Une équipe pilotée par les chercheurs de l'Institut national de recherche en informatique et en automatique (INRIA) a été réunie pour créer l'application, avec des protocoles garantissant la poursuite d'une seule finalité : identifier les contacts à risques, en anonymisant au maximum les données.
Nous avons choisi de soutenir cette équipe de l'INRIA, accompagnée d'industriels, car c'était la meilleure manière d'éviter une catastrophe et, en même temps, de nous rendre utiles. Ce n'était pas à nous de juger de l'opportunité de l'application, cette décision relevant du niveau politique.
Je défends la qualité du travail effectué par l'équipe de l'INRIA, dans le respect du droit à la vie privée. TousAntiCovid sert aujourd'hui à montrer son attestation de vaccination ; l'enjeu de l'anonymat est donc levé, mais, à l'origine, il était majeur dans le cadre du contact tracing. Le travail a été bien fait, et plutôt en interne, avec des ressources de l'INRIA, dont ce n'est pourtant pas le métier. La démarche était originale mais saine.
Il y a bien pire comme risques que la perte ou la diffusion de données par le biais des cabinets de conseil : de grands acteurs internationaux ont pour modèle économique d'aller voir les entreprises qui possèdent des masses de données, qu'elles ne savent pas traiter, pour leur proposer de les récupérer et de les valoriser.
La tentation a été grande pendant la crise sanitaire : les Britanniques ont livré toutes les données de santé de leurs concitoyens à un acteur américain, pour une livre symbolique. Cet acteur n'est toutefois pas un philanthrope...
La France n'a pas cédé à cette tentation, alors que le chant des sirènes était objectivement très fort. C'était un choix courageux.
La cession de données est en effet un phénomène très grave, pour deux raisons. D'une part, nous perdons le contrôle de données sensibles. D'autre part, et plus préoccupant encore, nous renonçons à apprendre à analyser les données, alors qu'elles peuvent permettre à l'État d'offrir de meilleurs services au profit de nos concitoyens. Si nous sous-traitons ce travail d'analyse, nous serons condamnés à acheter des poissons au lieu d'apprendre à les pêcher !
J'en viens aux relations entre l'Anssi et les cabinets de conseil.
Nous délivrons des qualifications sur des métiers particuliers, pouvant être portés par des entreprises qui exercent par ailleurs une activité de conseil. Aujourd'hui, tous les grands cabinets de conseil, et des petits aussi, disposent d'une activité cyber pour faire des audits, de la détection, de la réponse aux incidents, etc.
Cette situation me convient du moment que ces entreprises sont de confiance : nous avons besoin d'avoir des acteurs privés capables d'assurer ce type d'activités. À côté d'eux, il y a d'autres acteurs qui font ça très bien aussi : Thales, Athos, Sopra Steria, CapGemini, Airbus, Orange, etc. Il existe un écosystème très riche, dont les entreprises sont qualifiées par l'Anssi.
Il y a quelques cas où nous avons été amenés à bénéficier de prestations de conseil pour nos propres activités. Nous avons fait un peu d'archéologie grâce à votre commission d'enquête : je ne sais pas comment font les autres mais, chez nous, ces prestations n'étaient pas simples à extraire de la nomenclature budgétaire.
L'Anssi dispose d'un budget d'environ 20 millions d'euros par an, soit 100 millions d'euros sur cinq ans. Sur ce total, nous avons dépensé 2 millions d'euros auprès de cabinets de conseil.
Lorsque nous faisons appel à ces cabinets, ce n'est pas sur des questions techniques de cybersécurité car, en ce domaine, nous avons la prétention d'internaliser les compétences et d'être les meilleurs en France. Ce n'est donc certainement pas pour aller chercher une compétence dans notre coeur de métier, ce qui serait probablement malsain.
Nos prestations de conseil portent d'abord sur la communication. À titre d'exemple, les gens ne comprenaient pas nos mécanismes d'évaluation et de certification des entreprises, alors que nous avions essayé de les expliquer à plusieurs reprises. J'ai fini par me résoudre à faire appel à un cabinet en communication, qui nous a indiqué que nos mécanismes étaient totalement incompréhensibles. Ce cabinet nous a donc aidés à faire simple... C'est vexant, mais nous ne sommes pas des experts en communication et cette prestation s'est révélée très utile.
Nous avons également eu recours à des cabinets de conseil car nous avons eu besoin d'aide pour réformer notre direction des systèmes d'information (DSI), pour nos propres besoins numériques. Il y avait des marges de progrès, ce qui est paradoxal car 80 % de nos effectifs sont des informaticiens. Nous avons donc fait appel à un prestataire dont c'est le métier, qui nous a dit des choses que nous savions déjà mais que nous n'arrivions pas à admettre. Un cabinet extérieur peut vous dire les évidences que vous ne voulez pas vous dire à vous-même. Cette aide, dont le montant est resté limité, a été précieuse.
De même, nous avons fait appel à des cabinets de conseil en ressources humaines, domaine sur lequel nous ne sommes pas des experts. À la suite du premier confinement, des équipes n'étaient pas au mieux. Paradoxalement, il s'agissait de celles qui avaient été les moins mobilisées depuis le début de la crise sanitaire. C'était en réalité tout le noeud du problème, comme je l'ai appris plus tard : les personnels qui étaient restés chez eux se sont sentis inutiles, alors qu'ils voyaient leurs collègues qui continuaient de travailler pour gérer les urgences opérationnelles. Nous avons dû nous faire aider, ce que je ne regrette pas.
Nous faisons enfin appel à des prestations extérieures dans le cadre du plan de relance, même si cela se situe entre le conseil et la prestation de services.
Nous bénéficions d'une enveloppe de 136 millions d'euros pour remettre à niveau la cybersécurité dans le secteur public. Nous travaillons notamment au profit des collectivités territoriales pour les aider à faire un état des lieux - que l'on appelle un parcours de sécurité - et pour comprendre ce qu'il faut faire pour se mettre au bon niveau.
700 acteurs se sont portés volontaires pour ce projet, dont 60 % de collectivités territoriales et 25 % d'hôpitaux.
Je n'ai pas eu un seul agent de plus pour gérer cette nouvelle enveloppe et je suis incapable d'organiser 700 audits de sécurité avec les ressources internes de l'Anssi. Nous avons donc eu besoin de nous faire aider pour mettre en oeuvre le projet, à partir des règles du jeu que nous avons fixées. En pratique, la mise en relation de chaque bénéficiaire du parcours de sécurité avec le bon auditeur a été externalisée.
En l'espèce, nous faisons appel à des compétences extérieures lors d'un pic de charge, dont je me félicite par ailleurs. Sur l'enveloppe de 136 millions d'euros du plan de relance, 5,6 millions sont consacrés à la mise en place du projet avec les prestataires extérieurs, ce qui me paraît raisonnable.
Il n'y a d'ailleurs aucun risque en termes de sécurité des données : nous sommes sur des données qui ne sont pas particulièrement sensibles et nous recourons de préférence à des acteurs Français car, dans le cadre du plan de relance, l'incitation était très claire pour passer par des acteurs nationaux.
Mme Éliane Assassi, rapporteure. - Je connais peu l'Anssi mais j'ai bien compris les grandes lignes de vos missions.
Pourriez-vous nous préciser la différence que vous faites entre des prestations extérieures et le recours à des cabinets de conseil ? J'ai le sentiment que nous pourrions parler de la même chose...
M. Guillaume Poupard. - J'ai aussi eu un doute !
Le conseil, au sens strict du terme, couvre des consultants qui viennent avec un savoir-faire particulier, qui comprennent votre problématique et qui vous disent : « vous devriez faire comme ça ». Hormis les quelques cas précités, nous ne faisons pas appel à des cabinets de conseil et nous ne sommes pas dans la boucle lorsque des entités y recourent, qu'elles soient publiques ou privées.
Dans le champ de la cybersécurité, le lien qui peut exister entre le conseil au sens strict et d'autres prestations extérieures repose sur le fait qu'une même entreprise peut avoir différents types d'activités. C'est par exemple le cas de Deloitte et Ernst & Young. Quel est le cloisonnement entre ces deux activités ? Je vais vous le dire franchement : nous nous assurons que leurs activités cyber soient bien protégées mais nous ne sommes pas non plus derrière les épaules en permanence.
Les cabinets de conseil peuvent eux-mêmes être des cibles de cyberattaques. C'est une réalité. D'une manière générale, tous les détenteurs de données, qu'il s'agisse de leurs propres données ou des données de leurs clients, sont aujourd'hui des cibles.
Ce raisonnement s'applique également aux commissaires aux comptes : parfois les mêmes entreprises sont des cabinets de conseil et des commissaires aux comptes, ce qui finit de tout complexifier. Ces activités sont normalement séparées, c'est en tout cas ce que nous jurent les entreprises. Les commissaires aux comptes subissent aujourd'hui des attaques parce qu'ils disposent de données, parfois très sensibles, de leurs clients. Les cabinets d'avocat et les agences de notation se font de plus en plus attaquer, pour les mêmes raisons.
S'assurer du niveau de sécurité de ces détenteurs de données n'est pas simple. Si vous deviez me demander quel est le niveau de sécurité des cabinets de conseil et quelle est leur capacité à protéger l'information de leurs clients, je ne saurais pas vous répondre, et c'est peut-être un problème.
Une autre question consiste à se demander si ces acteurs, lorsqu'ils sont de nationalité américaine, vont eux-mêmes transmettre des informations à leurs autorités. Ça, je ne le sais pas. J'ai tendance à être paranoïaque et à considérer que oui, mais ça n'a pas de valeur. S'ils ne sont pas soumis au Cloud Act, ils ne font pas l'objet de ce genre de réglementation.
Mme Nicole Duranton. - Pensez-vous que les institutions publiques sont suffisamment outillées pour se protéger des cyberattaques ?
M. Guillaume Poupard. - La réponse politiquement correcte consiste à dire que la situation est hétérogène. Ce qui est une manière d'avouer qu'il y a des administrations qui ne sont pas au niveau, très clairement, et d'autres qui sont assez sérieuses.
Aujourd'hui, c'est une course : je vois que tout le monde progresse parmi les administrations avec lesquelles nous travaillons. Nous ne sommes plus dans le déni, dans la question de savoir s'il y a un risque ou pas.
Les instructions politiques sont extrêmement claires. À la suite d'un Conseil de défense, nous avons eu fin août 2021 une réunion avec les membres du Gouvernement, présidée par le Premier ministre, pour fixer la cybersécurité parmi les priorités. Tous les ministres, même si ce n'est pas leur métier, doivent être très vigilants à la sécurité informatique de leur cabinet et de leur administration. En termes de volonté politique, il n'y donc a pas de débat.
Dans l'administration centrale, nous résistons bien à la menace criminelle : je n'ai pas d'exemple d'attaque par « rançongiciel ». Les difficultés concernent surtout les collectivités territoriales et les hôpitaux, qui ne pensaient pas être des cibles.
En revanche, en termes d'espionnage, nous avons affaire à des gens très doués, qui sont dotés de moyens quasiment illimités. Je ne peux pas rentrer dans le détail mais nous traitons en ce moment des affaires extrêmement graves avec des acteurs étatiques, dont on se doute de qui il s'agit, qui cherchent à accéder à des informations stratégiques des ministères. Et là, il y a de moins en moins de ministères qui peuvent se dire qu'ils ne sont pas concernés, que ce soit au niveau de la défense, des armées, de l'intérieur, de Bercy ou de la diplomatie. Tous ces ministères sont confrontés à une pression extrêmement forte de la part de nos adversaires, voire de nos alliés, qui peuvent se montrer curieux.
La barre est placée très haut, ce qui représente une difficulté : nous ne pourrons jamais tout protéger face à une telle menace, d'où l'importance de faire de bonnes analyses de risques. Toutes les données ne se valent pas : il faut être capable de ne pas tout enregistrer dans les mêmes systèmes d'information, de traiter l'information au bon niveau de sécurité et enfin de consentir aux investissements nécessaires.
La cybersécurité coûte cher en ressources humaines et nous estimons qu'elle représente entre 5 et 10 % des budgets informatiques. C'est colossal, pour l'État comme pour le secteur privé.
Certains acteurs sont plus à l'aise pour se mettre à niveau, parce qu'ils ont commencé plus tôt, parce qu'ils ont plus de moyens ou une culture de sécurité plus ancrée. D'autres sont en train de découvrir. Nous travaillons en priorité avec ces derniers, pour rattraper leur retard. Pour le dire de manière positive, nous avons d'excellentes relations avec le ministère des armées mais les ressources de l'Anssi n'y sont pas concentrées. Nous sommes sur du « réglage fin » avec ce ministère, qui est sensibilisé depuis longtemps et qui a les moyens de sécuriser ses systèmes d'information.
M. Mickaël Vallet. - J'aborderai trois points.
Le premier, vous nous avez dit dans votre propos liminaire que, par « paranoïa », vous partiez du principe que les cabinets privés qui recueillent des données peuvent se faire « siphonner » par des intérêts étrangers, en raison notamment du principe d'extraterritorialité.
Cet élément est évidemment important car, dans l'audition que nous avons eue avec de grands cabinets de conseil, ici même dans cette salle, la question a été posée : « pensez-vous que vos données puissent tomber sous le coup de l'extraterritorialité ? ». La réponse a été : « nous assurons toujours à nos clients la protection de leurs données ». Soit il y a quelqu'un de trop paranoïaque, soit il y a des naïfs ! Soit il y a des naïfs qui, pour des raisons commerciales, ne sont pas si naïfs et disent autre chose que la réalité.
Deuxième point, vous avez souvent évoqué, y compris dans les travaux que nous avons à la commission des affaires étrangères, de la défense et des forces armées, le fait qu'il n'y avait pas la même culture informatique dans les différents ministères et dans les différentes administrations d'État, que certains découvraient encore le problème, que d'autres avaient une vraie « culture maison ». Parallèlement, il ressort des auditions de notre commission d'enquête que le recours aux cabinets extérieurs est le plus fréquent dans le domaine informatique.
Au regard des besoins de l'ensemble des administrations, ne pourrions-nous pas internaliser le conseil informatique pour qu'il soit mieux encadré, notamment en termes de sécurité ?
Mon dernier point concerne les prestations pro bono et les propositions spontanées qui ont été faites sur le recueil de données, ministérielles notamment, pendant la crise sanitaire. Pensez-vous qu'il faille une loi pour encadrer cette pratique ? Pourrait-on envisager un dispositif comparable aux interceptions judiciaires, pour avoir un contrôle parlementaire lorsqu'un ministère a la tentation de se défaire de certaines données ?
M. Guillaume Poupard. - Sur la capacité des cabinets de conseil à protéger les données, je ne veux pas avoir d'avis définitif sur leur niveau de sécurité et sur les actions qu'ils mettent en oeuvre. Ce serait très injuste car je ne sais pas ce qu'ils font.
Mais, comme vous le rappeliez, nous faisons de la sécurité et notre point de départ est un point de vue paranoïaque. Nous nous rassurons ensuite, s'il y a raison de se rassurer.
Je ne suis pas un expert mais il y a cabinets de conseil et cabinets de conseil. Il existe des groupes mondiaux avec un véritable cloisonnement au niveau national. Il faudrait vérifier au cas par cas comment les données sont réellement traitées. J'espère que les administrations qui passent par ces cabinets, et c'est probablement souvent très légitime, ont des assurances qui vont au-delà d'un simple « faites-moi confiance, tout est bien géré ».
Sur l'internalisation d'une part de ce conseil, cette logique est déjà l'oeuvre avec la direction interministérielle du numérique (DiNum), même si les moyens informatiques restent organisés ministère par ministère.
La DiNum réalise un travail formidable depuis plusieurs années et lutte pour internaliser une partie du conseil, ce qui est extrêmement positif. Elle peut également jouer le rôle d'intermédiaire pour avoir une prestation de conseil maîtrisée. Enfin, elle contrôle les grands projets informatiques de l'État pour éviter les impasses qui ont pu être observées par le passé, avec des conséquences budgétaires catastrophiques.
Il est souvent dit que l'État n'arrive pas à recruter des informaticiens. C'est compliqué, certes. Mais la DiNum parvient à faire venir des talents qui ont envie de servir l'État. Elle a des ressources et arrive à embaucher.
S'agissant du contrôle de l'utilisation des données, celui-ci existe au niveau de l'exécutif. Faut-il l'étendre au contrôle parlementaire ? Je ne sais pas : cette question dépasse mes compétences. Ce dont je peux témoigner, c'est qu'il y a des agents au sein de l'État, y compris tout en haut de la hiérarchie, qui sont très sensibles à ces questions-là. Nous pouvons les alerter lorsque certains, sans forcément penser à mal, s'engagent dans une mauvaise voie. Le retour de la hiérarchie est immédiat. Je ne suis pas inquiet, même dans des situations extrêmement tendues comme cela a pu être le cas lors de la crise sanitaire.
M. Franck Montaugé. - Microsoft a été retenu dans le cadre d'un appel à projets concernant le data lake for nuclear. Cette société va travailler sur des données de simulation, notamment sous forme d'intelligence artificielle, relatives à la filière nucléaire française.
Cette prestation me pose problème du point de vue de la souveraineté nationale. Qu'en pensez-vous ?
Je précise que l'État est actionnaire à 85 % d'EDF et que c'est BPI France qui a piloté l'appel à projets et le choix du prestataire. Des cabinets privés ont-ils été associés à la préparation de cet appel à projets ? L'Anssi a-t-elle été sollicitée ?
M. Guillaume Poupard. - Ma réponse va être très simple : je n'en ai jamais entendu parler.
M. Franck Montaugé. - Je pense qu'il s'agit tout de même d'un sujet important...
Autre question : l'État s'est récemment doté d'une équipe de data scientists de très haut niveau dans une structure qui s'appelle le pôle d'expertise de la régulation numérique (PEReN). Je crois qu'ils sont accueillis par la direction générale des entreprises (DGE).
M. Guillaume Poupard. - Oui, à Bercy.
M. Franck Montaugé. - Ils interviennent en tant que conseils techniques de haut niveau auprès de certains acteurs étatiques, comme l'Autorité de la concurrence sur le thème de la surveillance des plateformes.
Pourrait-on développer ce type de structures, en lieu et place des cabinets privés dont les prestations peuvent se révéler plutôt catastrophiques ? Nous aurions quelques exemples à vous donner dans le cadre de la commission d'enquête...
M. Guillaume Poupard. - Je suis par nature extrêmement favorable à l'internalisation de certaines fonctions. Pas tout, ça n'aurait pas de sens. Mais dans le domaine de la cybersécurité, l'État fait l'effort, y compris financier, pour développer en interne une capacité d'expertise de haut niveau et j'ai la prétention de croire que les meilleurs sont à l'Anssi. Je l'affiche même si cela peut être vu comme de l'élitisme et un manque de modestie.
La DiNum a recruté des agents de très haut niveau ; le PEReN intègre des experts qui peuvent ensuite travailler sur différents projets, dans un souci de mutualisation.
L'internalisation des compétences va dans le sens de l'histoire, le sens de l'état d'esprit que j'observe autour de moi en ce moment. Mais nous partons parfois de loin : il n'y a pas si longtemps, l'informatique et le travail d'ingénierie étaient considérés comme du soutient, quelque chose d'assez méprisable et qui était une source de coûts, qu'il fallait externaliser. Nous avions peut-être réussi à nous faire convaincre par certains à l'extérieur que nous ne serions jamais au niveau, que nous n'arriverions pas à embaucher les bonnes personnes et qu'il fallait sous-traiter.
Nous sommes complètement revenus sur cette logique et il nous faut maintenant reconstruire. Au quotidien, cela veut dire qu'il faut supprimer certains verrous. J'entends encore dire : « ce contractuel est payé plus cher qu'un fonctionnaire ». Eh bien oui ! Il est payé plus cher qu'un fonctionnaire parce que ce n'est pas une question de statut et que nous allons chercher des savoirs faire spécifiques. Nous n'allons pas inventer des corps de fonctionnaires pour travailler sur la data science, ce n'est pas dans l'air du temps. En revanche, nous faisons appel à des agents contractuels qui sont ravis de venir puis ravis de repartir.
Je pense qu'il faut encourager ce type de démarches. Il ne faut surtout pas réduire la fonction publique à un rôle purement administratif, qui consisterait à systématiquement externaliser les prestations lorsqu'elles deviennent trop complexes ou techniques.
Par ailleurs, la DiNum est un intermédiaire extrêmement efficace pour aller chercher des compétences à l'extérieur. Quand vous savez ce que font les prestataires, vous pouvez beaucoup mieux les contrôler. Quand vous ne savez pas ce qu'ils font, c'est très dur mais vous êtes obligés de faire confiance...
M. Gilbert Favreau. - Quel est votre statut juridique ? Êtes-vous un établissement public de l'État ou une agence ? Au regard de ce statut, pouvez-vous traiter avec l'extérieur et donc avec des cabinets de conseil ?
Vous avez parlé des cyberattaques contre les hôpitaux de Paris mais il y a eu d'autres hôpitaux touchés. Avez-vous été saisi de cette affaire ?
Enfin, nous avons parlé de la 5G comme d'un cheval de Troie pour la « captation » des données françaises. Confirmez-vous cette crainte ?
Mme Nathalie Goulet. - J'aurai deux questions.
La première n'a pas vraiment trait au sujet de la commission d'enquête mais elle me semble très importante : comment jugez-vous le matériel utilisé par l'administration et les services que vous conseillez ? Nous avons souvent beaucoup de difficultés avec du matériel et des logiciels obsolètes...
La deuxième question porte sur votre appréciation concernant le recours par BPI France à Amazon pour héberger les attestations des prêts garantis par l'État (PGE), qui concernent plus de 500 000 entreprises françaises. Nous aurions évidemment préféré recourir à une entreprise française plutôt qu'à Amazon...
M. Jérôme Bascher. - J'invite nos collègues à lire les conclusions de la commission d'enquête sur la souveraineté numérique, présidée par Franck Montaugé et dont le rapporteur était Gérard Longuet.
L'Anssi s'occupe tout spécialement des opérateurs d'importance vitale (OIV), ce qui est normal. Est-ce que le fait « d'essaimer » vos anciens collaborateurs dans ces OIV facilite la labellisation de ces derniers, par le partage des bonnes pratiques ?
M. Guillaume Poupard. - L'Anssi est un « service à compétence nationale » - je l'ai appris en prenant mon poste... Cela signifie que nous ne sommes pas une autorité indépendante. Mon supérieur est le Secrétaire général à la défense et à la sécurité nationale (SGDSN), placé sous l'autorité du Premier ministre, qui, toutes les semaines, participe au conseil de défense avec le Président de la République. Cela me place très près de l'exécutif, ce qui, je ne vous le cache pas, est extrêmement pratique au quotidien... Ainsi, nous ne sommes pas indépendants comme la CNIL, mais nous n'en ressentons pas le besoin. La relation avec l'exécutif fonctionne, ce qui ne nous empêche pas de travailler avec les autorités indépendantes. Ce système est plutôt vertueux et je n'en ai pas de meilleur à proposer.
Nous avons été très impliqués dans les attaques cyber contre les hôpitaux, nous rendant successivement à Rouen, Villefranche-sur-Saône, Dax et Saint-Gaudens. Ces hôpitaux se sont trouvés totalement à l'arrêt en pleine crise sanitaire. Aider ces établissements, et rester pour reconstruire, est une part originale de notre mission. Quelques savoir-faire restent en effet très peu partagés. Mais nous n'intervenons pas seuls et la possibilité de nous appuyer sur des prestataires privés de confiance est indispensable à notre modèle. Très souvent, nous travaillons à distance, alors que ces prestataires de confiance, qualifiés par nous, interviennent sur place.
La 5G a été qualifiée de « cheval de Troie » ; on fait aussi beaucoup de liens avec l'espionnage. Cette menace existe mais la vraie menace de demain, à mon sens, est la capacité de nos adversaires à éteindre nos réseaux de télécommunications. Or il est très difficile de se protéger face à cela. Dans l'équilibre subtil à trouver entre les équipementiers et les opérateurs, l'État doit avoir son mot à dire. C'est le cas en France, et les pays qui ont pris des mesures législatives en ce sens ne sont d'ailleurs pas nombreux. Ainsi, le déploiement de toute antenne 5G est soumis à autorisation de mon supérieur, le SGDSN. C'est indispensable, parce que les équipementiers sont incapables d'intégrer la dimension de sécurité nationale - une manière pudique de parler de la résilience et du fonctionnement même des réseaux de demain.
Cette menace n'est pas appelée à disparaître ; au contraire, elle sera de plus en plus forte au fur et à mesure que toute l'industrie se connectera à la 5G. C'est le sens naturel de l'évolution technologique. Ces réseaux deviendront un but de guerre pour nos adversaires.
En réponse à Nathalie Goulet, j'ai constaté un progrès dans les matériels informatiques. Les problèmes viennent plutôt du fait que les utilisateurs trouvent leur tablette ou PC personnel beaucoup plus performant que l'équipement fourni par l'employeur. C'est un paradoxe malheureusement classique : les équipements standardisés et sécurisés fournis aux utilisateurs souffrent souvent d'une ergonomie moindre - dans certains cas, cette perte d'ergonomie atteint des niveaux certes inacceptables. À cet égard, la crise sanitaire a donné lieu à un rattrapage considérable car elle a contraint les administrations à équiper leurs agents pour le travail à domicile.
Le recours à Amazon par Bpifrance est, a minima, de mauvais goût. Je pense que la leçon a été apprise.
L'essaimage de l'Anssi est en partie subi, mais nous essayons d'en faire une stratégie. La plupart de nos agents sont des contractuels qui restent à l'Agence cinq ou six ans. Nous ne pouvons pas leur reprocher de nous quitter à l'issue de cette période ; c'est même plutôt sain, tant que nous ne constatons pas d'hémorragie. Grâce à cela, il y a désormais une forme de « diaspora Anssi », dans l'administration comme dans le secteur privé. Ainsi, chez les victimes d'attaques informatiques, il est beaucoup plus facile d'établir le contact quand un ancien collaborateur de l'Anssi y travaille. Nos anciens portent en quelque sorte la bonne parole. Nous avons un très faible nombre de « défecteurs », c'est-à-dire d'agents qui rejoignent des entreprises que nous ne cautionnons pas, voire des adversaires.
Nous ne pouvons imposer quoi que ce soit à nos anciens agents : c'est une question de valeurs. Nous leur demandons simplement de ne pas compromettre de secrets de la Défense nationale, mais pour le reste ils sont libres. Cela relève davantage du soft power. C'est un modèle dont nous sommes satisfaits, qui nous place dans un rôle de formateurs, au profit de l'intérêt général.
M. Arnaud Bazin, président. - Je souhaite revenir sur le paradoxe de l'utilisation de la donnée que j'ai évoqué en introduction, même si j'entends que vous vous occupez davantage de la sécurité des systèmes informatiques que de celle des données en elles-mêmes.
Supposons qu'un cabinet américain soit recruté par une administration pour une étude de marché sur la santé d'un secteur industriel ou d'une filière. Quelles précautions faudrait-il prendre pour parer aux risques liés aux hackers, au caractère extraterritorial de la souveraineté américaine et enfin à nos concurrents étrangers sur le secteur en question ?
La commission d'enquête a entendu beaucoup de réponses lénifiantes, tant des administrations que des cabinets de conseil, sur le sujet ; mais nous ne savons toujours pas, concrètement, comment ces données sont mises à l'abri et anonymisées. Avez-vous déjà été sollicité pour aider les administrations à rédiger leurs contrats avec les cabinets de conseil, de manière à ce que leurs données soient sécurisées ?
M. Franck Poupard. - Non, nous ne sommes pas consultés pour ce type de contrats. Nous travaillons à un « clausier » générique avec la direction des achats de l'État (DAE), pour aider les acheteurs publics à intégrer des règles de cybersécurité dans leurs marchés, mais cela ne résout pas les problèmes que vous mentionnez. Cela ne fait pas partie de nos missions, et nous aurions du mal à apporter des solutions simples à ce paradoxe que vous décrivez.
À l'Anssi, nous réfléchissons en termes d'analyse de risques : que voulons-nous protéger, contre quels types de menaces ? Si la menace est constituée par un pays tiers et adversaire, il convient de s'assurer que les données sont protégées dans des systèmes d'information au bon niveau. En revanche, si elle est représentée par nos alliés américains, je ne vois pas comment nous protègerons nos données si nous les confions à un prestataire américain.
Lorsque l'on travaille avec un consultant, il convient de s'assurer qu'il n'emporte pas de données sensibles avec lui lorsqu'il se rend sur place. Il nous arrive ainsi de fouiller certains prestataires à l'entrée et surtout à la sortie, dans les secteurs les plus critiques. Il est vrai que cela demande un effort considérable.
Mme Éliane Assassi, rapporteure. - La CNIL a été informée, à la mi-2020, d'une fuite de données à l'Assistance publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la covid-19. Dans le même temps, le cabinet Accenture était missionné sur « l'élaboration de la vision et de la pérennisation du système d'information vaccination sur le fondement des données SI-DEP. » Avez-vous proposé une doctrine de sécurité sur l'utilisation de ces données par des cabinets privés ?
M. Franck Poupard. - Non : cela peut vous apparaître comme une subtilité sémantique mais l'Anssi est chargée de la sécurité des systèmes d'information, et non de la sécurité de l'information elle-même.
Dans le cas du vol de données que vous avez évoqué, j'ai été convoqué à Matignon pour une réunion de crise, avec des représentants de l'AP-HP. La première décision a été d'en informer la CNIL : d'abord, la réglementation l'exige ; ensuite, l'Anssi a appris, au fil du temps, à ne pas considérer la CNIL comme un ennemi. Une fois le vol constaté, la première chose à faire est de prévenir les détenteurs de ces données.
Quant à l'accès de prestataires étrangers à certaines données, l'Anssi n'est pas impliquée dans ce dossier. Je ne suis pas en mesure d'évaluer ce qui a été fait dans ce domaine.
Mme Éliane Assassi, rapporteure. - Quelles précautions ont été prises pour la construction de StopCovid et TousAntiCovid, dans laquelle plusieurs cabinets sont intervenus ? Quels sont ces cabinets ?
Vous avez évoqué les agents qui quittent votre administration ; or certains d'entre eux rejoignent les cabinets de conseil... Au vu du niveau de confidentialité des sujets traités par votre agence, comment évitez-vous les conflits d'intérêts ?
M. Franck Poupard. - Pour StopCovid, nous avons conçu un protocole très robuste avec les meilleurs chercheurs français. L'implémentation a été menée avec CapGemini, qui intervenait non en tant que cabinet de conseil mais comme prestataire numérique, au niveau opérationnel. Pour l'hébergement des données, nous avons également travaillé avec l'opérateur de cloud Outscale, qualifié par l'Anssi. Je n'ai pas connaissance de toutes les dimensions du projet mais je n'ai pas vu intervenir de cabinet de conseil. C'était une équipe resserrée, en mode projet, avec un pilotage étroit assuré par INRIA.
L'enjeu sous-jacent - et le combat a été très violent - était le choix entre deux modèles. Dans le premier modèle, le développement de l'application est assuré par l'État, qui prend ce faisant d'énormes risques, car c'est une tâche particulièrement délicate - surtout quand les acteurs du numérique qui fabriquent les téléphones et les systèmes d'exploitation sont peu coopératifs. C'est ce que nous avons vécu avec TousAntiCovid. Dans le second modèle, la mission de santé publique est confiée à Apple et Google.
Présenté ainsi, le choix n'est pas difficile à faire. Or en Europe, la France s'est trouvée très isolée dans son refus de confier une telle mission régalienne aux acteurs numériques, qui plus est non européens, que sont les Gafam. Ce n'est même pas une question de confiance : la santé publique n'est simplement pas leur rôle. La pression politique et le lobbying ont été tels que la plupart de nos partenaires ont basculé vers une solution où le contact tracing est effectué par les Gafam.
J'avais souligné alors que ces opérateurs, qui connaissent déjà tout de nous, pourraient, demain, concevoir des assurances grâce à ces données de santé. Or l'été dernier, Alphabet, maison-mère de Google, a créé une filiale dédiée à l'assurance santé... Cela montre qu'il faut être extrêmement vigilant dans la régulation de ce secteur, faute de quoi tout le système mutualiste volera en éclats. Le choix de la France a été courageux, car les autorités ont été brocardées de manière extrêmement violente. En revanche, il est incontestable que le contact tracing n'est pas une activité innocente : en la matière, on n'est jamais trop prudent !
La question du départ de nos collaborateurs vers les cabinets de conseil relève de l'enjeu plus général de la déontologie. Il n'est pas facile de gérer de tels départs, mais en poussant la logique à son terme, il faudrait les interdire. Or la question ne se résume pas à un affrontement entre les « gentils » du secteur public et les « méchants » du privé. On s'en remet donc aux règles de déontologie, qui sont très contraignantes.
Lorsqu'un collaborateur quitte l'Anssi, il n'est pas possible de lui vider le cerveau... En revanche, les engagements liés au classifié défense lui sont systématiquement rappelés. Pour le reste, nous leur faisons confiance. Je ne suis pas choqué qu'ils emportent avec eux un savoir-faire ; quant aux données, il faut savoir les oublier, ce qui demande une part de schizophrénie. Mais les mêmes questions se posent, de manière peut-être plus dure, dans les départs du privé vers le privé.
Ce modèle fondé sur la déontologie est perfectible, mais il perdrait à être trop contraignant. Si on interdit à tout agent public de rejoindre le privé, il ne faudra pas se plaindre que le public a des difficultés à recruter...
Mme Valérie Boyer. - Ce n'est pas seulement le modèle mutualiste qui risque de voler en éclats, mais l'assurance maladie dans son ensemble ! Contrairement à une entreprise, l'assurance maladie n'exploite pas les données des patients pour faire de la médecine ou de l'assurance prédictives.
D'un autre côté, j'ai été surprise qu'à la sortie du premier confinement, on ne se soit pas appuyé sur la carte Vitale pour distribuer les masques ou les tests, alors que notre réseau de médecins libéraux et de pharmacie maille très bien le territoire - il y a une pharmacie d'officine pour 2 500 habitants. Nous avons laissé les grandes surfaces distribuer du matériel médical.
Ainsi nous avons perdu sur les deux tableaux, celui des données et celui de la distribution. Quelles réflexions vous inspire cette situation ?
M. Mickaël Vallet. - Y a-t-il un contrôle sur la transmission par un ministère d'un ensemble de données à un des grands prestataires que vous avez évoqués, pour les faire analyser ?
Au point de vue juridique, dans l'organisation interne du Gouvernement, qui veille à ce que les données ne soient pas dispersées ? Qui serait responsable d'un loupé ou d'une erreur de jugement ?
M. Franck Poupard. - En matière de données de santé, et de données en général, la France, pour des raisons historiques, se montre particulièrement prudente. Nous avons une CNIL particulièrement forte, et je m'en félicite. Il est pertinent de considérer le risque en premier, et l'Anssi y contribue, mais cela ne doit pas être stérilisant. On peut être tenté de ne rien faire pour ne pas prendre de risques...
À titre personnel, je suis convaincu que l'État a de grandes marges de manoeuvre dans l'exploitation des données qu'il détient déjà, pour rendre un meilleur service. Cela implique une internalisation de savoir-faire et une démarche volontariste pour extraire la valeur de ces données, sans recourir à la sous-traitance - sinon la valeur sera captée par d'autres.
Dans le privé, la situation est analogue. Un exemple : le secteur de l'automobile. Faut-il continuer à construire des châssis avec des roues, comme nous le faisons depuis plus d'un siècle, ou évoluer vers un modèle numérique fondé sur l'exploitation de données, comme le fait Tesla ? Ce constructeur vend ses voitures à perte, mais réalise de la valeur ailleurs. Les constructeurs qui refusent de s'intéresser à la question des données disparaîtront.
De même, nous devons être en mesure d'exploiter nos données de santé, non pour surveiller les citoyens mais pour construire une santé plus efficace. L'enjeu est de trouver un compromis sur le traitement de la donnée - et les débats parlementaires passés sur les expérimentations en la matière montrent combien c'est difficile. Il faut en permanence objectiver le risque, car la peur non objectivée empêche d'agir, ou fait faire des erreurs. Il faut protéger les données, tout en les exploitant. À une échelle plus réduite, TousAntiCovid relève de la même problématique : comment s'autoriser ce qui est nécessaire, et pas davantage, en matière de contact tracing, sans prendre de risque supplémentaire ? Ce n'est pas aisé, mais je crois possible de trouver un équilibre.
Le contrôle de la protection des données est assuré par chaque organisation. Le RGPD l'a formalisé, avec le délégué à la protection des données (DPO) qui intervient en appui des décideurs.
L'Anssi plaide pour que les directeurs d'administration centrale assument des responsabilités de plus en plus importantes en matière de numérique, de données, de cybersécurité. Certains d'entre eux mettent en avant leur manque de compétences dans ce domaine. Or je suis convaincu que nos hauts fonctionnaires doivent être formés aux enjeux du numérique. Un haut fonctionnaire qui ne les comprend pas fera de mauvais choix, ou déléguera ces choix à des gens qui ne peuvent pas prendre de responsabilités à sa place. On ne peut décliner toute responsabilité en matière de numérique en se déclarant incompétent - de la même manière que, directeur de l'Anssi, je ne peux me défausser de mes responsabilités juridiques au prétexte que je n'ai pas de connaissances en droit.
M. Franck Montaugé. - La DiNum n'est-elle pas censée apporter cette valeur ajoutée sur la problématique des données produites et exploitées par l'État ?
M. Franck Poupard. - La DiNum a une vision globale des projets numériques - un champ considérable. En revanche, la DiNum, pas plus que l'Anssi, ne saurait déresponsabiliser les porteurs de projet. Elles apportent du conseil, mais la responsabilité en propre ne doit pas résider au-dessus du niveau du projet.
M. Franck Montaugé. - L'échec de certains projets d'État pose tout de même la question de l'efficience du contrôle exercé par ces directions...
M. Franck Poupard. - L'Anssi et la DiNum interviennent dans le cadrage initial du projet.
M. Arnaud Bazin, président. - Pour résumer vos propos, la responsabilité doit rester à la chaîne hiérarchique au sein de chaque administration. Les organismes comme la DiNum et l'Anssi ont pour rôle de conseiller et, éventuellement, d'intervenir préventivement.
Je vous remercie pour votre contribution à notre instruction en matière de cybersécurité. À défaut d'être pleinement éclairés sur l'influence des cabinets privés dans la détermination des politiques publiques, nous connaissons mieux le paysage de la sécurité des systèmes et, par voie de conséquence, des données.
La réunion est close à 17 h 55.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.