EXAMEN EN COMMISSION
Au cours de sa réunion du mercredi 24 novembre 2021, la commission des affaires étrangères, de la défense et des forces armées, sous la présidence de M. Philippe Paul, vice-président, a procédé à l'examen du rapport de MM. Olivier Cadic et Mickaël Vallet, sur les crédits de la coordination du travail gouvernemental (cyberdéfense, SGDSN).
M. Olivier Cadic, rapporteur . - Pour 2022, les crédits de l'action n° 02 du programme 129 sont en augmentation. Les moyens du secrétariat général de la défense et de la sécurité nationale (SGDSN), notamment, sont confortés, avec une hausse de 4,6 millions d'euros des crédits de titre 2 et une hausse de 13,8 millions d'euros hors titre 2 en crédits de paiement, la diminution en autorisations de programme s'expliquant par l'achèvement d'opérations d'ampleur, comme l'acquisition de la nouvelle antenne de l'Agence nationale de la sécurité des systèmes d'information (Anssi) à Rennes.
Cette progression des crédits va permettre une augmentation des effectifs de 77 équivalents temps plein (ETP), dont 40 au profit de l'Anssi et 10 au profit de l'opérateur des systèmes d'information interministériels classifiés (Osiic), et le financement de nouvelles missions, en particulier le nouveau service de vigilance et de protection contre les ingérences numériques étrangères (Viginum) à compétence nationale.
Ce nouveau service, dont nous saluons la création, aura pour mission de détecter les opérations de désinformation sur les plateformes en ligne et d'en informer les pouvoirs publics. Il est appelé à jouer un rôle important pendant les périodes électorales en fournissant toute information utile au Conseil supérieur de l'audiovisuel (CSA), au Conseil constitutionnel et à la Commission nationale de contrôle de la campagne électorale. Sa mise en place, à quelques mois de l'élection présidentielle, était plus que nécessaire, car, nous le savons à la lumière de ce qui s'est passé en France pendant la campagne de 2017, mais aussi chez un certain nombre de pays amis, les périodes électorales se prêtent particulièrement aux tentatives d'ingérence et de déstabilisation par les puissances hostiles aux démocraties. Dès 2022, Viginum comprendra une cinquantaine d'agents, recrutés dans les domaines des technologies des réseaux sociaux, des sciences humaines et sociales, de la géopolitique et du big data, ayant déjà de l'expérience en matière de recherche des menaces sur internet.
Les rapporteurs du programme 129 plaident, depuis plusieurs années, en faveur de la création d'une telle structure. Pour mémoire, en 2020, dans une étude intitulée Désinformation, cyberattaques et cybermalveillance : l'autre guerre du covid-19, nous avions notamment appelé à la mise en place d'une « force de réaction rapide » contre les fausses informations. Il s'agit donc d'une avancée importante, qui, après le vote de la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, complète notre dispositif anti-infox.
Nous regrettons cependant une certaine timidité dans l'approche. En effet, Viginum ne sera pas chargé de la réaction aux campagnes de désinformation. Il nous semble au contraire indispensable que cette structure joue à terme un rôle moteur dans le pilotage de la réponse à apporter à ces attaques hybrides, même si, bien entendu, elle n'en serait pas chargée seule. Elle pourrait ainsi proposer au Gouvernement des modalités de réponse aux attaques, comme le blocage du site d'une ambassade étrangère diffusant de fausses informations. Le travail de concertation qu'elle mène avec les plateformes, réseaux sociaux et médias sociaux et d'étude de leurs méthodes de certification des faits va évidemment dans le bon sens. Nous espérons qu'il débouchera, à terme, sur un positionnement plus ambitieux de Viginum.
La lutte contre les menaces cyber constitue l'une des missions phares du SGDSN, à travers le rôle de l'Anssi.
Je veux, pour commencer, évoquer l'état de la menace, qui ne faiblit pas, bien au contraire. Les actes cybermalveillants - cyberrançonnage, mais aussi espionnage mené par certaines puissances, sabotage... - ont augmenté avec la pandémie, qui a accru significativement l'exposition au risque de la société et des acteurs économiques du fait du développement sans précédent des usages du numérique. Selon le SGDSN, sur les neuf premiers mois de l'année 2021, le nombre de cyberattaques recensées a doublé par rapport à celui qui avait été dénombré sur l'ensemble de l'année 2020. Les acteurs publics sont particulièrement touchés. En 2020, 128 incidents cyber ayant affecté les ministères ont été traités par l'Anssi, contre 81 en 2019, soit une augmentation de 58 %. En 2020 toujours, 20 % des victimes de rançongiciels signalées à l'Anssi étaient des collectivités territoriales, et 11 % étaient des hôpitaux.
Face à cette menace sans cesse renouvelée, l'État adapte en permanence sa réponse, qui vise à renforcer la sécurité des acteurs publics et à accompagner les acteurs privés dans leur démarche de sécurisation. Mais beaucoup reste à faire.
En 2021, l'Anssi s'est vu confier une enveloppe de 136 millions d'euros issue du plan de relance en vue de participer à la mise en oeuvre d'une « stratégie d'accélération cybersécurité » lancée en février dernier. L'agence, qui dispose de deux ans pour utiliser ces crédits, en consacre une grande partie au renforcement de la cybersécurité d'acteurs publics vulnérables, en premier lieu les collectivités territoriales et les hôpitaux, qui ont été des cibles privilégiées ces derniers temps. Après un démarrage assez lent, au sujet duquel nous avions exprimé notre inquiétude, le dispositif est monté en puissance, 400 entités sur les 700 visées ayant d'ores et déjà bénéficié d'un « parcours de sécurisation cyber ». Il faudra bien s'assurer que, au-delà du diagnostic, les collectivités auditées ont bien la capacité de réaliser les adaptations recommandées. Par ailleurs, il faudra être attentif aux collectivités qui ne sont pas encore entrées dans le dispositif et qui sont sûrement les moins bien « outillées » pour solliciter cet accompagnement. Enfin, il faudra envisager d'autres mesures pour les milliers de collectivités qui n'ont pas vocation à être prises en charge au titre du plan, mais qui sont souvent les plus vulnérables et ont besoin d'une véritable acculturation au risque cyber.
M. Mickaël Vallet, rapporteur . - L'autre grand volet du plan de relance cyber est la création de « centres régionaux de réponse cyber de proximité » ou « centres de réponse aux incidents » (CSIRT), qui doivent constituer sur le plan local un premier niveau de soutien aux acteurs de taille intermédiaire - petites et moyennes entreprises (PME), entreprises de taille intermédiaire (ETI), collectivités territoriales - victimes de cyberattaques. Mis en place en partenariat avec les régions, ces centres doivent bénéficier, chacun, pour démarrer, d'une subvention de 1 million d'euros et d'un accompagnement technique de l'Anssi. Ils devront ensuite trouver un mode de financement pérenne, en s'appuyant sur l'écosystème local.
Pour l'heure, seules 4 régions sur 13 se sont engagées dans le dispositif, ce qui est insuffisant. Il faudra aussi définir une articulation logique et efficace entre ce réseau de centres de proximité et la structure Acyma, plus connue sous le nom de cybermalveillance.gouv.fr. Tout l'enjeu est de parvenir à une architecture lisible et cohérente, permettant d'orienter efficacement et rapidement les victimes, en évitant tout fonctionnement en silo - de la même manière qu'il faudrait éviter qu'un particulier en difficulté doive choisir entre appeler les pompiers, la gendarmerie ou les urgences.
Créée en 2017 sous la forme d'un groupement d'intérêt public (GIP) associant acteurs publics et acteurs privés, Acyma met en relation, via une plateforme numérique, les victimes d'actes de cybermalveillance avec des prestataires agréés pouvant les aider. S'il se construit progressivement une notoriété auprès du grand public - les visites sur la plateforme ont augmenté de 155 % en 2020 -, Acyma manque en revanche singulièrement de moyens pour les autres missions qui lui sont confiées : la sensibilisation de la population au risque cyber et la mise en place d'un observatoire de la cybermalveillance.
De fait, en dépit de l'importance de l'enjeu, il fonctionne avec un budget de 1,6 million d'euros, provenant pour moitié de contributions publiques et pour moitié de contributions privées, qui lui permet d'employer 12 agents. Avec des moyens aussi limités, il paraît impossible d'envisager un service d'assistance téléphonique direct doté d'un numéro d'appel unique tel que nous le recommandons. Or, en cas de problème cyber ou de « plantage », il est rassurant de se dire que l'on peut passer par le téléphone...
Sans remettre en cause la forme juridique du GIP, qui est ici particulièrement adaptée, il est urgent d'augmenter significativement le budget alloué à Acyma, c'est-à-dire de le porter, au minimum, à 3 millions d'euros. Au vu des enjeux et de l'ampleur des risques dans le champ cyber, un tel effort est indispensable et ne semble pas hors de portée, surtout s'il est partagé entre les différents membres du GIP.
Soulignons, en outre, que le développement des actes cybermalveillants du fait de l'absence ou de l'insuffisance de la politique de prévention a un coût pour la société. Rappelons, par exemple, que le préjudice pour l'État d'une arnaque récente sur les comptes professionnels de formation s'élève à plusieurs dizaines de millions d'euros, alors que budget d'Acyma n'est que de 1,6 million d'euros.
Nous plaidons par ailleurs en faveur d'une grande campagne nationale de prévention contre la cybermalveillance, qui serait dotée d'une enveloppe de communication exceptionnelle et qui serait mise en oeuvre par Acyma.
Je veux, pour terminer, évoquer la présidence française de l'Union européenne, qui doit constituer une fenêtre d'opportunité pour faire avancer les dossiers cyber au plan européen. Cela concerne d'abord la révision de la directive Network and Information System Security (NIS) de 2016, pour étendre le champ des secteurs considérés comme critiques - traitement des eaux usées, espace, administrations... - et rehausser les obligations imposées à leurs opérateurs. Il faudra, à cet égard, prêter une attention toute particulière à la concertation avec les secteurs professionnels concernés, tant lors de la révision que lors des désignations d'opérateurs, celle-ci semblant avoir été insuffisante pour la mise en oeuvre de la directive NIS.
La France se donne par ailleurs l'objectif d'oeuvrer au renforcement de la sécurité des institutions européennes elles-mêmes, qui sont insuffisamment protégées.
Elle souhaite également favoriser le développement d'un « tissu industriel de confiance » à l'échelle européenne, par la mise en place du Centre européen de compétences industrielles en matière de cybersécurité et par des avancées en matière de certification de sécurité. En effet, l'absence d'outil de certification commun à l'échelle européenne est un frein pour les entreprises qui souhaitent distribuer leurs solutions auprès de l'ensemble des pays européens.
La France a une longueur d'avance et cherche notamment à étendre à l'échelle européenne son approche de la certification, y compris dans le domaine du « nuage » - avec la certification SecNumCloud -, et de sécurisation des réseaux 5G. Si la certification est nécessaire pour produire de la confiance, attention toutefois à ne pas tomber dans l'écueil de l'excès de normes, lesquelles ont un coût élevé pour les entreprises et, in fine, restreignent l'offre. Une idée intéressante et relativement simple, qui a été évoquée lors des auditions, serait de créer un label de qualité associé à un niveau de confiance correspondant à une lettre (A,B,C,D), sur le modèle de celui qui existe en matière de consommation énergétique.
Enfin, notre pays souhaite s'impliquer pleinement dans la mise en place de mécanismes de solidarité à l'échelle européenne, à savoir le cadre européen de réponse aux crises cyber Blueprint et le réseau de liaison Cyber Crisis Liaison Organisation Network (CyCLONe), qui doit être déployé dans tous les États membres. Ce volet est très important, car, on le sait, les crises dans le champ cyber ne s'arrêtent pas aux frontières. Une approche collective et la mise en réseaux des compétences sont indispensables.
J'ajouterai que, quand on rencontre les acteurs du champ cyber, on n'a que de bons retours sur l'Anssi - d'un point de vue régional ou local, qu'il s'agisse ou non de développeurs de logiciels libres. Le répondant de l'Anssi est toujours évalué de manière très positive.
Mme Catherine Dumas. - Disposez-vous d'informations sur le Campus Cyber qui devrait s'ouvrir en 2022 à La Défense et qui pourrait avoir une extension dans les Yvelines en 2024 ?
M. Mickaël Vallet, rapporteur . - Le directeur général de l'Anssi estime que ce campus alimentera un écosystème bénéfique. Il est d'ores et déjà satisfait de son lancement. L'inauguration aura lieu en 2022.
S'agissant de l'extension dans les Yvelines, je ne suis pas en mesure de vous répondre.
La commission donne acte de leur communication aux rapporteurs et en autorise la publication sous la forme d'un rapport d'information.