B. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI), BRAS ARMÉ DE L'ETAT POUR LA CYBERDÉFENSE

1. La cyberdéfense désormais élevée au rang de priorité nationale
a) Un risque croissant désormais reconnu comme une priorité

Votre commission avait estimé dans son rapport de 2012 qu'il convenait d'élever la cyberdéfense au rang d'une véritable priorité nationale.

Priorité n° 1 du rapport d'information « cyber » de 2012 : Faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale, portée au plus haut niveau de l'Etat, notamment dans le contexte du nouveau Livre blanc.

De fait, l'étendue de la menace ne cesse de s'accroître. La France est classée au 15 ème rang mondial des pays où la cybercriminalité est la plus active 6 ( * ) .

L'augmentation exponentielle des cyberattaques

D'après le dernier rapport de la société américaine de sécurité informatique Symantec 7 ( * ) , les cyberattaques ont augmenté de 91% en 2013. En France, les PME seraient les plus visées, en tant que porte d'entrée vers les plus grands groupes : les attaques ciblées viseraient à 77% des PME et organisations de moins de 250 salariés.

La durée des attaques aurait également significativement augmenté. Les attaques seraient de plus en plus ciblées, passant d'attaques envoyées sur des dizaines de milliers d'ordinateurs à des attaques choisies en fonction de la cible très précisément recherchée. Les assistants personnels et les spécialistes des relations publiques seraient des cibles privilégiées, comme moyen d'accéder aux chefs d'entreprises ou à des personnes en responsabilité.

Coordonnées bancaires, données commerciales, propriété industrielle, informations gouvernementales, sont des cibles prioritaires. Le nombre de violations de données aurait augmenté de 62% entre 2012 et 2013, avec au total 552 millions d'identités qui auraient été utilisées.

Huit attaques de très grande ampleur auraient été recensées en 2013 (contre une seule de cette nature en 2012).

Après les mobiles et les tablettes, les attaques via les objets connectés seraient une cible croissante des cyberattaques.

Source : Symantec

Encore tout récemment, des sites de média ont récemment été la cible d'attaques informatiques : les sites de France Inter et de France Info ont été rendus inaccessibles, jeudi 9 octobre 2014, vraisemblablement suite à une attaque informatique par déni de service (saturation d'un site par « fausses » requêtes pour en bloquer l'accès).

Outre un accroissement quantitatif, on observe en outre un accroissement qualitatif des attaques et surtout un accroissement de leur champ, qui se déplace du terrain de l'Internet et de la bureautique vers celui des applications industrielles, soit à des fins d'espionnage, soit pour perturber le fonctionnement des services.

Le nouveau Livre blanc sur la défense et la sécurité nationale, publié en avril 2013, a marqué une nouvelle et importante étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité.

Dans sa préface, le Président de la République y affirme la nécessité de protéger les Français « y compris face aux risques de la cybermenace » présentée dans l'introduction comme pouvant « affecter gravement la sécurité de la Nation ».

Parmi les priorités identifiées par le nouveau Livre blanc, figurent notamment :

- le renforcement des moyens humains qui sont consacrés à la défense et à la sécurité de nos systèmes d'information, « à la hauteur des efforts consentis par nos partenaires britannique et allemand » ;

- « la capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque » ;

- une politique des systèmes d'information de l'Etat qui « s'appuiera notamment sur le maintien de réseaux de haute sécurité irrigant les autorités de l'Etat, sur une politique appropriée d'achat public et sur une gestion adaptée des équipements de communications mobiles » ;

- pour renforcer le niveau de sécurité des systèmes d'information des infrastructures critiques nationales, « l'Etat fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l'égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. » . Les opérateurs concernés devront notifier ces incidents et l'agence nationale de la sécurité des systèmes d'information (ANSSI) ou d'autres services de l'Etat pourront intervenir en cas de crise grave.

Ces orientations ont été mises en oeuvre dans la loi de programmation militaire du 18 décembre 2013, puis déclinées par l'adoption d'un « pacte défense cyber ». Ce pacte, présenté en février 2014, comporte cinq axes (cf. ci-après) et fait intervenir tant le ministère de la défense (officier général « cyberdéfense » et sa chaîne opérationnelle, DGA, DGSE) que le ministère de l'intérieur (DGSI, DGGN, centre opérationnel de sécurité de Toulouse) et, au premier chef, l'ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d'information.

b) Un cadre législatif et réglementaire renforcé

Priorité n° 3 du rapport de 2012 : Introduire des modifications législatives pour donner les moyens à l'ANSSI d'exercer ses missions (...) ;

Priorité n° 5 du rapport de 2012 : Rendre obligatoire pour les entreprises et les opérateurs d'importance vitale une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information et encourager les mesures de protection par des mesures incitatives.

(1) Des dispositions législatives figurant au sein de la loi de programmation militaire du 18 décembre 2013

Le chapitre IV de la loi relative à la programmation militaire pour les années 2014 à 2019 contient des « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace ».

Trois principales dispositions ont été adoptées, avec le soutien ou à l'initiative de votre commission.

L'article 21 (Articles L. 2321-1 et L. 2321-2 nouveaux du code de la défense) vise le renforcement du dispositif étatique en matière de cyberdéfense. Il tend, en premier lieu, à consacrer au niveau législatif la compétence du Premier ministre en matière de protection et de défense des systèmes d'information. En deuxième lieu, il reconnaît la possibilité pour les services compétents de l'Etat, en cas d'attaque informatique importante visant les intérêts fondamentaux de la Nation, d'accéder aux systèmes d'information qui sont à l'origine de l'attaque. En dernier lieu, il permet aux services de l'Etat déterminés par le Premier ministre de détenir des équipements ou des programmes informatiques susceptibles d'être utilisés lors d'attaques informatiques (comme des virus informatiques par exemple) afin d'analyser leur conception et d'observer leur fonctionnement.

L'article 22 (Articles L. 1332-6-1 à L. 1332-6-6 nouveaux du code de la défense et article L. 1332-7 du code de la défense) tend au renforcement des obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information. Il prévoit notamment l'obligation de notifier les incidents informatiques importants ou la réalisation d'audits réguliers.

Il s'agit d'un changement majeur : jusqu'alors, l'ANSSI avait un rôle essentiellement de conseil et d'alerte. C'est sur ce fondement qu'elle a naturellement, depuis plusieurs années, assis la sensibilisation des acteurs économiques, par exemple autour des risques liés au développement du cloud computing. Désormais, elle dispose de pouvoirs d'action étendus.

L'article 24 (Article L. 2321-3 nouveau du code de la défense, articles L.336-3 et L. 34-1 du code des postes et des communications électroniques) prévoit un accès aux coordonnées des utilisateurs des adresses Internet pour les besoins de la sécurité informatique.

Cet article, introduit dans la loi à l'initiative du Sénat , vise à permettre aux agents de l'Agence nationale de la sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat, d'obtenir des opérateurs de communications électroniques l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués.

(2) Une entrée en vigueur toujours conditionnée à la parution des textes d'application

L'entrée en vigueur de certaines dispositions de la loi est conditionnée à la parution de décrets d'application. Votre commission insiste sur la nécessité de mener rapidement ce chantier réglementaire à terme pour donner aux dispositions législatives leur plein effet.

Pour la mise en application de l'alinéa 2 de l'art. L. 2321-2 du code de la défense (créé par l'article 21 de la loi de programmation) qui légalise la détention et l'analyse de codes malveillants pour les services de l'Etat désignés par le Premier ministre, l'ANSSI mène une concertation interministérielle destinée à définir une liste restreinte des services de l'Etat qui seront autorisés à bénéficier de cette disposition . Un arrêté du Premier ministre devrait rendre publique cette liste 8 ( * ) .

Un décret en Conseil d'Etat doit notamment venir préciser les obligations qui pèsent sur les opérateurs d'importance vitale.

Pour la mise en oeuvre des dispositions précitées donnant au Premier ministre les capacités nouvelles pour protéger les opérateurs d'importance vitale (alinéas 1 à 6 de l'article L. 1332-6 du code de la défense, introduit par l'article 22 de la loi de programmation militaire), l'ANSSI a engagé un travail de concertation et de préparation dès 2013. Des expériences pilotes ont été menées en étroite collaboration avec certains opérateurs volontaires, notamment en ce qui concerne l'identification et la définition de la criticité de leurs systèmes d'informations ou les processus de notification des incidents.

D'après les informations communiquées à votre commission, le projet de décret d'application fait l'objet d'une concertation interministérielle. Il sera ensuite transmis au Conseil d'Etat.

Parallèlement, un travail par secteur d'importance vitale est engagé, sous l'égide de l'ANSSI, afin de prendre en compte la spécificité de chaque secteur, voire de chaque sous-secteur et, dans certains cas, de l'opérateur. Les ministères de tutelle des opérateurs, les autorités de contrôles du secteur d'activité d'importance vitale lorsqu'elles existent, et les opérateurs eux-mêmes sont associés à ces travaux.

Comme l'a confirmé lors de son audition le directeur de l'ANSSI, les arrêtés sectoriels (publics ou classifiés) préciseront les obligations des opérateurs. Ils seront publiés, pour l'essentiel, courant 2015.

Les premiers groupes de travail dédiés à la préparation de ces règles de sécurité ont été lancés mi-octobre 2014 pour les secteurs de l'énergie (électricité et gaz) et des communications électroniques 9 ( * ) .

Mis en place d'ici le début d'année 2015 pour chaque domaine d'activité (eau, énergie, finances, transports, etc.), ces groupes rassemblent, autour de l'ANSSI, les opérateurs d'importance vitale, les ministères coordonnateurs et les autorités sectorielles.

L'objectif de ce travail collectif est de définir les systèmes d'information concernés et des règles efficaces, soutenables et adaptées aux métiers et spécificités des opérateurs, et de garantir la bonne articulation de ce nouveau dispositif avec les réglementations préexistantes.

La disposition introduite par le Sénat à l'article L. 2321-3 du code de la défense et qui donne aux agents de l'ANSSI la possibilité d'obtenir de la part des opérateurs de communications électroniques les coordonnées de victimes d'attaques informatiques doit elle aussi être précisée par décret pour définir les conditions d'habilitation et d'assermentation par le Premier ministre des agents de l'ANSSI autorisés à utiliser cette disposition. Le décret a été transmis au Conseil d'Etat, après avis de la Commission nationale informatique et libertés (CNIL).

(3) Une sensibilisation de l'ensemble du Gouvernement par circulaire du Premier ministre : la « PSSIE »

Le Premier ministre a publié en juillet 2014 une circulaire à destination de tous les ministres et secrétaires d'Etat, fixant les règles de protection des systèmes d'information des différents départements ministériels. Ce document de 40 pages, préparé par l'ANSSI, qui fixe les contours d'une « Politique de sécurité des systèmes d'information de l'Etat » (PSSIE) est un instrument de diffusion des bonnes pratiques dans l'ensemble des ministères.

Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.

Il faut relever que, ministère de la défense mis à part, le niveau de prise de conscience et de réponse apportée, notamment en moyens, face aux cyberattaques, est très variable suivant les ministères. L'enjeu est désormais de diffuser cette culture au-delà de la seule sphère « sécurité-défense ».

c) La mobilisation du ministère de la défense sur l'enjeu « cyber »
(1) La mise en oeuvre du « Pacte défense cyber »

Même s'il n'est pas le seul concerné, le ministère de la défense a une exigence particulière en matière de cyberdéfense, ne serait-ce que parce qu'il met en oeuvre les moyens de la dissuasion nucléaire et qu'il conduit les interventions militaires en opérant pour ce faire des systèmes d'information et de communications particulièrement complexes (notamment pour les systèmes d'armes sophistiqués : aéronefs de combat ou de transport, navires de surface ou sous-marins, véhicules de combat terrestres...).

Le ministère de la défense est naturellement particulièrement concerné par la menace cyber.

Lors de la présentation du « Pacte défense Cyber », le ministère de la défense a ainsi révélé 10 ( * ) que « les attaques significatives contre les systèmes du ministère ont approché les 800 en 2013, ce qui représente un doublement chaque année. ».

Ce plan d'action est destiné à rassembler toutes les actions conduites en matière de cyberdéfense par le ministère de la défense jusqu'en 2016. Son exécution est suivie au travers d'indicateurs précis. Il a vocation à rassembler au-delà du seul ministère de la défense, les industriels et PME/PMI, les organismes de recherche, mais aussi les organismes de formation.

Au total, le ministère de la défense indique qu'un milliard d'euros seront investis pour la cybersécurité d'ici 2019.

Les 6 priorités du « pacte défense Cyber »

Axe 1 : Durcir le niveau de sécurité des systèmes d'information et les moyens de défense et d'intervention du ministère et de ses grands partenaires de confiance.

Axe 2 : Préparer l'avenir en intensifiant l'effort de recherche tant technique et académique qu'opérationnel, tout en soutenant la base industrielle.

Axe 3 : Renforcer les ressources humaines dédiées à la cyberdéfense et construire les parcours professionnels associés.

Axe 4 : Développer le Pôle d'excellence en cyberdéfense en Bretagne au profit du ministère de la défense et de la communauté nationale de cyberdéfense.

Axe 5 : Cultiver un réseau de partenaires étrangers, tant en Europe qu'au sein de l'Alliance atlantique et dans les zones d'intérêt stratégique.

Axe 6 : Favoriser l'émergence d'une communauté nationale défense de cyberdéfense en s'appuyant sur un cercle de partenaires et les réseaux de la réserve.

Source : DICOD

(2) L'exercice « Defnet 2014 »

Exercice interarmées DEFNET 2014

Du 30 septembre au 3 octobre 2014 s'est déroulé l'exercice interarmées de cyberdéfense DEFNET 2014 sur le site des écoles de Saint-Cyr Coëtquidan regroupant une soixantaine d'experts de la cyberdéfense.

Novateur, cet exercice a consisté à simuler des réseaux civils et des réseaux militaires dans lesquels seraient injectés des logiciels malveillants, et à déployer simultanément en réponse trois groupes d'intervention rapide cyber et à activer une cellule de crise.

« DEFNET 2014 », véritable exercice de mise en situation, a permis de valider des procédures opérationnelles dans l'emploi de ces groupes d'intervention rapide. Il a aussi permis d'apporter des évolutions dans le format actuel de la formation et de l'instruction cyber. Joueurs, animateurs et observateurs provenant des armées, de plusieurs organismes du ministère de la défense et d'entreprise partenaires, ont oeuvré ensemble durant 4 jours, contribuant ainsi à renforcer les liens au sein de la communauté de cyberdéfense. Les différentes entités au sein de l'exercice ont pu progresser dans leur domaine respectif :

. La cellule de crise s'est entraînée au partage de l'information et à la conduite des actions défensives de cyberdéfense au profit d'un déploiement opérationnel et d'une entreprise de défense.

. Les membres des trois GIR (Terre, Air, DIRISI/Marine) ont développé leur capacité à intervenir ensemble dans un environnement complexe en vue de renforcer les capacités permanentes d'intervention.

Le développement d'une plate-forme avec les entreprises privées partenaires a permis de simuler des environnements complexes et de mener des investigations techniques en profondeur dans les réseaux. Cela a ainsi augmenté le réalisme de l'instruction. Une étape clé a ainsi été franchie lors de cet exercice riche d'enseignements qui pourrait également être répliqué au sein des grandes entreprises stratégiques ou être exporté auprès de pays alliés.

Source : ministère de la défense

L'intérêt de cette « manoeuvre » militaire d'un nouveau type est à souligner, tant elle constitue une occasion de renforcer la chaîne de cyberdéfense au sein du ministère de la défense.

« DEFNET 2015 », prochaine édition de cet entraînement interarmées, est prévu en mars 2015.

d) La mise en place d'un réseau unifié et sécurisé : le réseau interministériel de l'Etat (RIE)

Les administrations de l'Etat sont des cibles potentielles pour les attaques informatiques, comme l'ont montré les attaques sur le réseau du ministère de l'économie et des finances, les suspicions d'attaques sur celui de l'Élysée ou celles sur le site Internet du Sénat par exemple.

Dès 2011, l'Etat a donc mis en chantier un réseau informatique unifié et sécurisé, destiné tout à la fois à mieux maîtriser la sécurité dans un contexte de cyberattaques croissantes, mais aussi à améliorer le service rendu aux citoyens en facilitant les échanges entre les administrations et le développement d'applications partagées. Ce projet , à la fois de sécurité et de modernisation de l'Etat , est porté par les services du Premier ministre (la DISIC, direction interministérielle de l'information et de la communication 11 ( * ) ).

Le décret n° 2014-879 du 1 er août 2014 relatif au système d'information et de communication de l'Etat est venu affirmer cette « unicité » du système d'information de l'Etat.

Sans tendre à l'uniformité, ce qui serait trop complexe, le but est de faire partager une même vision aux ministères et de privilégier des choix technologiques communs, afin d'imprimer une cohérence globale en raccordant l'ensemble des sites ministériels, des administrations centrales et déconcentrées, pour faciliter les échanges interministériels, dans un système sécurisé.

Ce projet de grande ampleur, puisque 17 000 sites seront progressivement reliés entre 2013 et 2017, avait un coût de construction initial évalué à 11,5 millions d'euros, pour un coût de fonctionnement annuel de 6,5 millions d'euros 12 ( * ) . Ce réseau est destiné à remplacer progressivement l'ensemble des réseaux ministériels.

Le « coeur de réseau » à haut débit, qui relie douze centres informatiques ministériels, est déjà opérationnel, depuis l'été 2013.

Aujourd'hui il est déployé sur plus de 1 500 sites sur l'ensemble du territoire national et relie les ministères de l'agriculture, de l'écologie, de la santé, de l'intérieur, des finances, de la culture, du travail et les services du Premier ministre. Le déploiement sur 8 500 sites ministériels est d'ores et déjà engagé.

2. L'ANSSI : une action amplifiée, des moyens accrus
a) Des missions consolidées

C'est la perception de plus en plus aiguë des risques engendrés par le développement des systèmes d'information, confortée par l'explosion du nombre d'intrusions informatiques contre les infrastructures nationales, qui a conduit à la création de l'ANSSI en 2009.

Votre commission avait d'ailleurs dès cette époque contribué à la prise de conscience de ce phénomène, avec des rapports d'information précurseurs pour alerter sur cette nouvelle menace.

L'ANSSI a la responsabilité de conduire ou de coordonner l'ensemble des actions destinées à prévenir les attaques contre les systèmes d'information, et à réagir en cas d'atteinte à leur confidentialité, à leur disponibilité ou à leur intégrité.

Rattachée au Secrétaire général de la défense et de la sécurité nationale, son domaine d'intervention initialement centré sur les administrations et les organismes dépendant de l'Etat s'est élargi , comme cela vient d'être dit, avec la loi de programmation militaire du 18 décembre 2013, aux opérateurs d'importance vitale, aux entreprises indispensables à la stratégie de sécurité nationale, et plus généralement, vers l'ensemble des acteurs de la société de l'information. Le Premier ministre peut dorénavant imposer des règles de sécurité informatique à ces opérateurs d'importance vitale, qui sont désormais tenus de déclarer les incidents majeurs intervenant sur leurs systèmes d'information.

La loi de programmation a également ouvert à l'ANSSI la possibilité de détenir des codes malveillants afin d'en observer le fonctionnement et l'évolution. Comme d'autres services de l'Etat désignés par le Premier ministre, en cas d'attaque informatique majeure, l'agence est désormais autorisée à accéder aux systèmes d'information à l'origine de l'attaque afin d'en faire cesser les effets. Enfin, ses agents peuvent obtenir des opérateurs de communications électroniques les coordonnées de victimes d'attaques informatiques afin de les avertir et de les protéger.

Le Livre blanc et la loi de programmation militaire de 2013 ont également confirmé, dans un cadre budgétaire pourtant contraint, la poursuite de la croissance des moyens de l'ANSSI, indispensable pour relever des défis toujours croissants.

b) Une action amplifiée
(1) La protection de l'information de souveraineté

En 2013, pour protéger les communications les plus importantes ou les plus secrètes des autorités de l'Etat, l'ANSSI a déployé 500 téléphones sécurisés « TEOREM » supplémentaires sur le réseau téléphonique ordinaire et sur le réseau « RIMBAUD » (réseau résilient destiné aux communications de crise, capable de fonctionner même lorsque les réseaux commerciaux des opérateurs ne fonctionnent plus correctement).

Le réseau de données interministériel confidentiel défense « ISIS » , utilisé pour coordonner la gestion de crises et pour l'échange de données très sensibles entre administrations, poursuit sa modernisation. En complément des offres résilientes conçues avec un opérateur privé, le service ISIS a été également ouvert sur le « Réseau coeur gouvernemental » (RCG) opéré à Paris par le Centre de transmissions gouvernemental (CTG) sur un ensemble de boucles optiques spécifiques. Au total, 230 sites sont raccordés à ISIS, dont les deux tiers hors de l'Ile-de-France. On comptabilise 2 300 abonnés, sur 900 postes, qui ont échangé près de 500 000 courriers électroniques.

Votre commission s'interroge d'ailleurs sur l'opportunité qu'il y aurait à connecter les deux assemblées du Parlement à ce réseau, pour améliorer la fiabilité des transmissions avec le Gouvernement.

LE CENTRE DE TRANSMISSIONS GOUVERNEMENTAL

Organisme militaire mis pour emploi auprès de l'ANSSI, le centre de transmissions gouvernemental ( CTG) compte 180 personnels des trois armées et dispose de locaux sur les sites de la forteresse du Mont-Valérien à Suresnes et de l'hôtel national des Invalides. Il intervient dans la mise à disposition d'une partie des systèmes de télécommunications sécurisés nécessaires à la continuité de l'action de l'Etat.

(2) La détection des attaques informatiques

L'ANSSI développe depuis 2010 une capacité centralisée de détection des attaques informatiques visant les systèmes d'information des services de l'Etat. En 2013, des travaux d'amélioration du positionnement technique des systèmes de détection déjà en exploitation ont permis d'accroître de près de 25% le taux de couverture.

En parallèle, le centre de détection des attaques informatiques de l'ANSSI a industrialisé les solutions développées et amélioré ses capacités afin d'anticiper de nouvelles menaces. Les développements ont principalement porté, d'une part, sur l'intégration de nouvelles techniques de détection innovantes et, d'autre part, sur la conception de sondes haut-débit destinées à la supervision du Réseau interministériel de l'Etat (RIE).

Sur plus de 1 600 « tickets d'incidents » concernant les systèmes d'information de l'Etat surveillés , près de 340 ont donné lieu à des alertes . L'agence a effectué 10 restitutions auprès des ministères afin d'apporter des préconisations indispensables à la bonne compréhension des attaques qui ont été détectées.

L'accroissement de l'activité opérationnelle de l'ANSSI et le besoin d'améliorer la coordination et le pilotage des opérations ont conduit à mettre en place une structure de centralisation et de pilotage des opérations de cyberdéfense, baptisé « centre de cyberdéfense », co-localisé avec le centre d'analyse de lutte informatique défensive (CALID) du ministère de la défense. En cas de crise, le dispositif opérationnel peut monter en puissance et le centre de cyberdéfense est capable d'accueillir entre 50 à 80 personnes.

L'ANSSI a une nouvelle fois constaté une multiplication des attaques « critiques », conséquence à la fois de l'augmentation du nombre et de la virulence des attaques et du déploiement plus large de solutions de détection qui contribue mécaniquement à révéler de plus nombreux cas de compromissions.

(3) Le développement de la sécurité informatique pour l'ensemble de la société

L'ANSSI a publié dans ces douze derniers mois 16 guides et notes techniques dans le cadre de sa mission de sensibilisation auprès des administrations, des acteurs économiques et du grand public. En outre, 6 articles scientifiques ont été publiés par les agents de l'ANSSI et 38 conférences scientifiques ou techniques ont été prononcées dans des manifestations spécialisées.

Dans le cadre de sa mission de soutien au développement d'une meilleure sécurité informatique pour l'ensemble de la société, l'ANSSI attribue un label attestant de la sécurité des produits qui lui sont soumis. Treize produits ont ainsi été qualifiés par l'ANSSI en 2013. Cinq produits ont été agréés pour la protection du niveau « Diffusion Restreinte » (national ou interallié) et deux pour la protection des informations classifiés « Confidentiel Défense » ou « Secret Défense ».

Dans le cadre de sa politique industrielle, l'ANSSI suit le positionnement de l'offre nationale de cybersécurité sur la scène internationale et identifie les secteurs orphelins . Elle établit une base de connaissance sur les entreprises du domaine et tient à jour un réseau de contacts appropriés au sein de la plupart des sociétés. La liste des entreprises suivies compte une proportion croissante de sociétés de services (30%). En une année, l'ANSSI a rencontré 270 industriels (75% de nationaux) pour des entretiens bilatéraux. Dans un cas sur deux, ce sont les sociétés elles-mêmes qui ont provoqué les rencontres. Le tiers d'entre elles ambitionne d'obtenir une labellisation de son offre par l'ANSSI.

L'ANSSI a participé, en liaison avec le commissariat général à l'investissement, la banque publique d'investissement (Bpifrance), la direction générale de l'armement (DGA) et la direction générale de la compétitivité, de l'industrie et des services (DGCIS), à l'élaboration de l'appel à projet « sécurité numérique » des investissements d'avenir, en identifiant notamment cinq axes de travail prioritaires.

Dans le même temps, le « plan 33 » parmi les 34 plans de « reconquête industrielle » du Gouvernement, vise à fédérer et à mobiliser l'ensemble des acteurs publics et privés de la filière cybersécurité , afin d'identifier et de mettre en oeuvre tous les moyens propres à doter la France d'une industrie de pointe dans ce secteur . Son pilotage a été confié au directeur général de l'ANSSI. Les propositions ont été validées à l'été 2014.

Le centre de formation de l'ANSSI a reçu et formé 1 400 stagiaires durant l'année scolaire écoulée, soit un nombre équivalent à l'année précédente. Enfin, l'ANSSI a soutenu le ministère des affaires étrangères pour la sécurisation du vote électronique utilisé pour les élections législatives des Français établis hors de France.

(4) Audits

En 2013, les équipes de l'ANSSI ont mené 28 audits au profit de la Présidence de la République, des services du Premier ministre, du ministère de la défense, du ministère des affaires étrangères, du ministère de la justice et du ministère de l'écologie, du développement durable et de l'énergie.

Dans le même temps, sept inspections ont été conduites. Elles ont porté sur les services du Premier ministre, les ministères économiques et financiers, le ministère des affaires sociales et de la santé, ainsi que le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social.

Enfin, des contrôles de sécurité au sens de l'article L33-10 du code des postes et communications électroniques ont été menés en 2013 à la demande du ministère en charge des communications électroniques

c) Une augmentation des moyens

Priorité n° 2 du rapport d'information de 2012 : Renforcer les effectifs, les moyens et les prérogatives de l'Agence nationale de sécurité des systèmes d'information, ainsi que les effectifs et les moyens dédiés au sein des armées, de la direction générale de l'armement et des services spécialisés, et développer une véritable politique des ressources humaines.

Au total, alors que l'Agence comptait à sa création en 2009 100 personnes, ses personnels sont aujourd'hui de l'ordre de 400, pour une montée en puissance programmée jusqu'à 600 effectifs fin 2017. Cela représente environ 50 embauches nettes par an.

Plus précisément, la programmation des finances publiques 2015-2017 prévoit que les créations d'emplois à l'ANSSI se poursuivront sur la période triennale. Le schéma d'emploi de l'ANSSI est ainsi fixé à +145 équivalents temps plein, dont 65 créations d'emplois dès 2015 , soit une nouvelle cible d'effectif de 487 agents en 2016 et 567 agents fin 2017 .

Pour autant, cette situation « privilégiée » du point de vue de l'emploi n'est pas exempte de tensions ponctuelles. D'abord à cause de la relative « pénurie » de spécialistes formés en sécurité informatique, mais également, dans un contexte de fort « turn over » des jeunes ingénieurs de l'ANSSI, qui, une fois formés, sont débauchés par le privé notamment, de la règle (non écrite ?) tendant à ce que tout poste vacant au 31 décembre soit considéré comme devant être supprimé, qui oblige parfois l'Agence à devoir « défendre » en pratique des postes qui lui ont pourtant été accordés en loi de finances.

Avec ce fort « turn over » de ses cadres, très bien formés, l'Agence participe à l'essaimage de la culture « cyber » dans les différents secteurs de l'économie.

ÉVOLUTION DES EMPLOIS DE L'ANSSI DEPUIS 2008

Source : réponse du Gouvernement au questionnaire de votre commission

Du point de vue des crédits de développement , d'équipement et de fonctionnement, ils enregistrent, dans un souci de maîtrise de la dépense publique, une diminution de 1% des crédits de paiement.

Au total, l'évolution des crédits de l'ANSSI depuis 2009 montre bien à la fois la montée en puissance des moyens de l'Agence engagée ces 5 dernières années, mais également la relative décrue tendancielle de cette augmentation en 2015 :

ÉVOLUTION DES CRÉDITS DE L'ANSSI DEPUIS 2009

Source : réponse du Gouvernement au questionnaire de votre commission

Ces ressources sont destinées à financer les projets innovants - dont les programmes interministériels PMPS (plan de modernisation des produits de sécurité gouvernementaux) et CNG (cryptophonie de nouvelle génération) - de développement et de mise en oeuvre d'une part des moyens de communication sécurisée gouvernementale et intergouvernementale, dont ceux exploités par le Centre de transmission gouvernemental (CTG), et d'autre part des moyens de protection informatique des réseaux sensibles de l'Etat et des opérateurs d'importance vitale.

Elles permettent également, en liaison avec l'augmentation progressive des moyens techniques et humains de l'agence, de financer le schéma immobilier portant sur le développement des capacités d'accueil en bureaux et locaux techniques mis à la disposition de l'agence, compte tenu de la croissance des effectifs (implantations des Invalides et Tour Mercure). L'extension des besoins de moyens techniques de l'ANSSI nécessite en effet le développement d'espaces climatisés informatiques type « Data center » (salles de serveurs) au-delà de ces implantations.

Par ailleurs, des crédits seront transférés vers le ministère de la défense au titre des projets interministériels :

- 4,5 millions d'euros d'autorisations d'engagement et 6,8 millions d'euros de crédits de paiement au titre du plan interministériel de modernisation des produits de sécurité gouvernementaux précité (PMPS) ;

- 0,4 million d'euros d'autorisations d'engagement et 1,9 million d'euros de crédits de paiement au titre du programme lancé en 2012 de « chiffreurs souverains » ;

- 0,9 million d'euros d'autorisations d'engagement et 4,4 millions d'euros de crédits de paiement au titre du programme de cryptophonie de nouvelle génération (CNG) ;

- 59,9 millions d'euros d'autorisations d'engagement et 81,2 millions d'euros de crédits de paiement pour les besoins en capacités techniques interministérielles (CTIM).

3. Un renforcement qui reste modeste au regard des moyens consacrés à la cyberdéfense par nos principaux partenaires et alliés

Nos principaux partenaires et alliés ont une organisation sensiblement différente de la nôtre en matière de cyberdéfense, qui rend toute comparaison internationale difficile.

Il est néanmoins possible de retenir les quelques grands enseignements suivants :


• le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand, dont des missions recouvrent celles de l'ANSSI, a actuellement un effectif de 580 ETP . Le budget du BSI est comparable à celui de l'ANSSI ;


• l'organisation de ces missions au Royaume-Uni rend plus difficile la comparaison mais on peut estimer qu'environ 800 personnes évoluent dans des structures dont la mission recouvre une partie de celles de l'ANSSI ;


• pour des missions opérationnelles, en partie comparables à celles du centre opérationnel de l'ANSSI, le Department of Homeland Security américain, en charge notamment des opérateurs d'importance vitale en dehors du secteur de la sécurité nationale, a un objectif de 1 000 collaborateurs. Mais la principale agence en charge de la cyberdéfense aux Etats-Unis est la National Security Agency (NSA) dont les effectifs ne sont pas connus mais qui comprend probablement plusieurs milliers d'agents dédiés aux opérations défensives.

COMPARAISON INTERNATIONALE DES AGENCES CHARGÉES DE LA CYBERDÉFENSE

France

Allemagne

Etats-Unis

Royaume-Uni

Pilotage de la mise en oeuvre de la stratégie de cybersécurité

ANSSI

BMI

Maison Blanche

(EOP/NSC)

OCSIA

CERT gouvernemental

ANSSI?

BSI

(Cert-Bund)

DHS

(US-CERT)

GCHQ

(GovCERT-UK)

Gestion opérationnelle des incidents de cyberdéfense

ANSSI?

BSI

(administrations seulement)

NSA?(NTOC)

GCHQ

(Direction Cyber)

Gestion des sondes de détection gouvernementales

ANSSI

BSI

DHS

(programme Einstein)

GCHQ

(Direction Cyber)

Soutien technique pour les opérateurs d'infrastructures critiques

ANSSI

BSI

DHS

MI-5?(CPNI)

Coordination de la cyberdéfense opérationnelle au niveau gouvernemental

ANSSI

BSI

(NCAZ)

CSOC?

(plate-forme de coordination interministérielle hébergée au GCHQ)

SSI dans les réseaux classifiés?(dont cryptologie)

ANSSI

BSI

NSA

GCHQ

(CESG)

Evaluation de produits?(protection du sensible non classifié)

ANSSI

(Centre de Certification, Critères Communs)

DGA

BSI

(Centre de Certification, Critères Communs)

NSA

(Centre de Certification, Critères Communs)

GCHQ

(CESG)

Agrément de produits?(protection du classifié)

ANSSI

BSI

NSA

GCHQ

(CESG)

Existence d'un accès unifié et sécurisé des administrations à internet

RIE

(en cours)

OUI

NON

OUI

Effectif

424

Fin 2014

582

Plusieurs milliers

800

(Estimation)

Source : Réponse du Gouvernement au questionnaire budgétaire de votre commission


* 6 Rapport de la société américaine de sécurité informatique Symantec.

* 7 Source : dépêche de l'AFP sur le rapport annuel de Symantec, 8 avril 2014.

* 8 Source : réponse du Gouvernement au questionnaire de votre commission.

* 9 Source : http://www.ssi.gouv.fr/fr/menu/actualites/cybersecurite-et-loi-de-programmation-militaire-preparation-des-regles-de.html

* 10 Source : pacte défense cyber, DICOD

* 11 Créée par le décret n°2011-193 du 21 février 2011, la DISIC est placée sous l'autorité du Premier ministre et rattachée au Secrétariat général pour la modernisation publique.

* 12 Hors coûts de raccordement des sites ministériels.

Page mise à jour le

Partager cette page