19/10/2016

Audition du Secrétaire général

Audition devant la commission des affaires étrangères et de la défense du Sénat

Sénat, le 19 octobre 2016. Présidence de M. Jacques Gautier, vice-président

La commission auditionne M. Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, et M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information, sur le projet de loi de finances pour 2017.

M. Jacques Gautier, président. – Nous sommes heureux de vous accueillir pour cet exercice annuel de présentation des crédits du Secrétariat général de la défense et de la sécurité nationale et de l’Agence nationale de sécurité des systèmes d’information.

C’est pour nous l’occasion de suivre votre activité et nous nous félicitons de la publication pour la première fois cette année de rapports d’activité. Ceci nous permet de mieux formuler les nombreuses questions que nous aurons, mes collègues et moi à vous poser.

Avant de vous donner la parole pour cette présentation liminaire, je voudrai vous prier d’excuser notre président, M. Jean-Pierre Raffarin et l’un des co-rapporteurs du programme 129, notre collègue, Jean-Marie Bockel, tous deux en déplacement à l’étranger.

M. Louis Gautier, secrétaire général de la défense et de la sécurité nationale. – Mon intention est de vous exposer les problématiques de gestion et de construction du budget du SGDSN. Le budget pour 2017 est un budget de mutation puisqu’il retranscrit à la fois une extension du périmètre de l’ « ensemble SGDSN » Ce périmètre est désormais composé du SGDSN proprement dit qui comprend deux directions et un service, mais aussi de l’ANSSI dont le directeur général Guillaume Poupard vous présentera les évolutions et qui poursuit sa montée en puissance, du centre de transmissions gouvernemental (CTG), cet organisme militaire chargé des communications gouvernementales dont le rattachement est récent, et du groupement interministériel de contrôle (GIC) qui vient rejoindre notre ensemble cette année. Chacune de ses entités a ses propres rythmes et sa propre évolution budgétaire.

Le SGDSN « proprement dit » dispose d’une organisation stable issue de sa réorganisation de 2008, conçue en application de la révision générale des politiques publiques. Elle comprend deux grandes directions, celle des affaires internationales et stratégiques (AIST), mobilisée sur les thématiques de la prolifération, du contrôle des exportations d’armement et du contrôle de la technologie, et celle de la protection et de la sécurité de l’Etat (PSE), très sollicitée sur toutes les questions liées au terrorisme, et un service de l’administration générale (SAG). Le CTG a des effectifs stables. L’ANSSI poursuit sa croissance à raison de celle de ses missions, de celle de son volume d’activités tant dans le domaine de la réalisation d’audit et d’action de sécurisation au sein des services de l’Etat et des opérateurs d’importance vitale, mais aussi le développement d’une politique de prévention plus large, avec désormais des implantations territoriales. Enfin, nous devons soutenir la montée en puissance du GIC qui doit prendre en compte des évolutions imposées par les modifications du cadre juridique des activités de renseignement intervenues en 2015. Les transformations dans lesquelles le GIC est engagé sont nombreuses, concernent à la fois son mode de financement et les ressources humaines mises à sa disposition, et doivent s’effectuer sans nuire au bon accomplissement des missions qui lui sont confiées.

C’est donc un budget dynamique pour un ensemble en mouvement que je vais vous présenter. C’est d’ailleurs assez habituel dans une histoire que nous aurons l’occasion de présenter, à côté de ses missions actuelles, à l’occasion d’un colloque, auquel vous êtes conviés qui se tiendra les 22 et 23 novembre à l’occasion du 110ème anniversaire de sa création en 1906 en appui au premier conseil de défense nationale présidé par le Président de la République.

L’ensemble du périmètre SGDSN bénéficiera en 2017 d’un budget total de 277,6 millions d’euros (M€) de crédits de paiement. Ce total se décompose en 84,5 M€ de masse salariale et 193,1 M€ hors titre 2. Les crédits inscrits en loi de finances sont donc supérieurs aux 244,3 M€ qui ont été votés l’année dernière.

Cette augmentation de 33,4 M € s’explique par deux éléments que je mentionnais en introduction : le rattachement administratif et financier du GIC au SGDSN et la poursuite de la montée en puissance de l’ANSSI.

Le rattachement du GIC entraîne un transfert des crédits vers le SGDSN à hauteur de 27,6 M€. La montée en puissance de l’ANSSI est financée par une augmentation des crédits hors titre 2 de 3,7 M€ et de 2,8 M€ de progression du financement de la masse salariale.

Le volume des crédits de fonctionnement prend en compte les instructions du Premier ministre de baisser de 5 % le montant des subventions pour charge de service public, par rapport à la gestion 2016. En conséquence, la dotation globale destinée aux instituts IHEDN et INHESJ ainsi qu’au Conseil supérieur de la formation et de la recherche stratégique (CSFRS) est donc en baisse de 1,2 M€.

Une part importante des dépenses de fonctionnement de l’ensemble SGDSN est constituée d’achats de matériels, que ces matériels servent au SGDSN ou bien qu’ils soient achetés par le SGDSN pour l’ensemble des administrations de l’État. Ainsi, l’informatique, la téléphonie et les moyens de communications sécurisés représenteront une consommation prévue de l’ordre de 20 M€.

S’agissant des crédits d’investissement (82,7 M € en crédits de paiement) qui sont consacrés de façon quasi-exclusive au financement de recherche, de développement et d’acquisition de capacités techniques répondant aux besoins interministériels, le SGDSN attribue ces crédits, mais il n’en est pas le bénéficiaire direct. 6,5 M€ de crédits de paiement seront utilisés dans le financement d’une nouvelle tranche annuelle d’un centre informatique qui sera exploité conjointement – quoique de façon totalement distincte – par l’ANSSI et le ministère de l’intérieur.

En ce qui concerne les emplois, on retrouve des réalités différentes selon les ensembles. La progression notable des effectifs de l’ANSSI, le rattachement du centre de transmissions gouvernemental en 2015 et le rattachement administratif du GIC en 2016 ont fait évoluer de façon sensible les effectifs de l’ensemble SGDSN : en 2013, la programmation prévoyait 565 emplois pour le SGDSN et l’ANSSI ; ce sont 1 126 emplois représentant 1 113 ETPT qui sont prévus en 2017 pour le SGDSN, l’ANSSI, le CTG et le GIC. L’essentiel de l’effort, c’est la création de 50 emplois à l’ANSSI et l’intégration du GIC.

Les points d’attention en termes de gestion, sont, je vous le rappelle, la nécessité pour nous de moderniser nos outils de planification stratégique. Je dois toutefois signaler un point de difficulté : le nombre d’emplois trop limité du service de l’administration générale (SAG). Deux directions centrales ont été supprimées en 2008 en application de la révision générale des politiques publiques, dont la direction des affaires générales qui est devenue un simple service, n’y revenons pas. En revanche, la croissance du périmètre du SGDSN, alors que le SAG et la structure centrale du SGDSN demeuraient sur un modèle issu de la RGPP, a beaucoup dégradé le ratio entre effectifs de soutien et effectifs soutenus. Ce ratio était de 15,6 % entre 2008 et 2009 et il est actuellement inférieur à 7 %. Nous devons donc, avec des moyens proportionnellement réduits, mener ce développement de l’ANSSI, l’intégration du CTG, le rattachement du GIC ainsi qu’une série de missions qui sont en constante augmentation. Les premiers rapports d’activités du SGDSN et de l’ANSSI, publiés en 2016 pour retracer l’activité de l’année 2015, permettent de mieux décrire nos actions, dans un souci de transparence démocratique et de justification de nos crédits et de nos actions, même si une partie de celles-ci ne peuvent pas être divulguées. Les activités traditionnelles du SGDSN demeurent : le secrétariat des conseils de défense et de sécurité nationale, les réunions de commission interministérielle pour l’étude des exportations des matériels de guerre (CIEEMG), la gestion des grands contrats interministériels, le soutien au coordonnateur national du renseignement (CNR), les groupes de travail « renseignement, l’audit des opérateurs d’importance vitale, le renforcement de la cybersécurité… Toutefois, pendant cette séquence ouverte par les attentats de janvier 2015, l’activité du SGDSN a été forcément très intense. Je vous décrivais l’année 2015 comme une année particulière : c’est la première crise de sécurité nationale depuis cinquante ans. La lutte contre le terrorisme impliquait bien la gestion interministérielle intégrée de tous les moyens de lutte et de toutes les réponses, que ce soit dans les opérations extérieures ou que ce soit sur le sol national, que ce soit avec nos alliés avec l’application de la disposition de garantie mutuelle dans l’Union européenne prévue à l’article 42 du traité sur l’Union européenne ou que ce soit l’évolution de la mission Sentinelle. L’année 2015 avait été rythmée par les attentats de janvier et novembre, la crise de TV5 Monde, le déclenchement de l’état d’urgence que nous avions préparé, ainsi que par toute une série de rapports « drones » qui a conduit à l’adoption de la proposition de loi sur le sujet.

M. Jacques Gautier, président. – Cette proposition de loi a été adoptée, en seconde lecture, sans modification, la semaine dernière au Sénat.

M. Louis Gautier, secrétaire général de la défense et de la sécurité nationale. – Nous nous en réjouissons. Il y a eu aussi le rapport Sentinelle, les négociations de rachat des deux bâtiments de projection et de commandement (BPC), la création d’une firme franco-allemande Kant avec le Français Nexter, mais c’est aussi la loi sur le renseignement. L’année 2016, c’est la pérennisation de cette suractivité parce que notre pays a encore été frappé par des attentats. On pense notamment à Nice et Saint-Etienne-du-Rouvray. La permanence de la menace a conduit à la multiplication des conseils de sécurité et de défense nationale qui, depuis le 14 juillet, se réunissent à un rythme hebdomadaire et que nous devons préparer en interministériel pour proposer des arbitrages au Président de la République. C’est aussi la révision très régulière des postures Vigipirate, notamment pour accompagner le championnat d’Europe des nations de football, le placement du département des Alpes- Maritimes en Alerte attentat ou encore la posture de rentrée qui s’est accompagnée d’un travail très étroit avec les recteurs et les inspecteurs d’académie, pour mieux faire passer les messages de prévention. Cela a été aussi l’accompagnement des lois en matière de sécurité Urvoas, Savary, Leroy, qui ont permis l’introduction dans notre droit ordinaire de mesures exceptionnelles pour la lutte contre le terrorisme ; mesures seulement envisageables, auparavant, dans le cadre de l’état d’urgence. S’agissant de la garde nationale, un mandat interministériel nous a été confié pour le projet gouvernemental présenté au Conseil des ministres de la semaine dernière. Nous sommes partis du rapport des sénateurs Gisèle Jourda et de Jean-Marie Bockel sur la garde nationale et je profite de l’occasion pour les remercier puisqu’ils ont contribué à nourrir notre réflexion et à faciliter ce travail interministériel. Il y a eu le plan d’action contre la radicalisation et le terrorisme (PART), qui nous amène à suivre un tableau de bord extrêmement dense de mesures de déradicalisation confiées au comité interministériel de prévention de la délinquance et de la radicalisation dirigé par madame Muriel Domenach. Il y a eu des mandats industriels exécutés dans une série de domaines : le plan d’actualisation du dispositif de sécurité des activités d’importance vitale (SAIV), l’intégration de 18 nouveaux sites dans les plans Seveso et je cite pour mémoire le suivi de crises comme celles liées aux crues de la Seine et au débordement du Loing. L’activité internationale a été également été intense. Je pense au travail que nous avons conduit au Japon pour renforcer les coopérations dans le domaine spatial, en matière d’observation de la Terre. Ce sera un éclairage stratégique de nos décisions tout à fait intéressant, compte tenu du positionnement sur d’autres zones de nos satellites. Notre activité nous a également conduit à Singapour, dans le cadre d’un travail coopératif en matière de cybersécurité, en Australie où nous sommes en passe de finaliser un accord général de sécurité qui consolide une relation de sécurité pour l’échange d’informations classifiées industrielles, ce qui est un élément de sérénité pour les autorités australiennes. Nous avons été très réactifs puisque les négociations ont été suspendues pendant les élections australiennes et qu’elles ont ensuite été bouclées entre fin août et maintenant.

Au total, c’est une action extrêmement dense qui conduit le SGDSN à auditer tous les dispositifs de sécurité, notamment la sécurité aérienne en liaison avec la direction de l’aviation civile, ce qui permet de renforcer la sécurité de nos aéroports mais aussi de contrôler, y compris grâce à un programme de coopération internationale avec les États-Unis et le Royaume-Uni les opérateurs dont les vols entrants posent problème comme ceux du Mali. Le SGDSN auditionne régulièrement les services de sécurité (aviation civile) et coopère avec les États-Unis et le Royaume-Uni concernant la sécurité des vols problématiques en provenance de l’extérieur, particulièrement de la Tunisie, du Liban.

L’audit mené concernant les risques dans les aéroports français est clos, l’audit concernant les sites Seveso est également bientôt terminé. La sécurisation des transports qui est problématique va faire l’objet d’un prochain rapport. En effet, le transport ferroviaire et les zones de connexion inter-transports sont devenus des priorités et il est nécessaire de trouver une cohérence et des solutions, afin de tirer toutes les conséquences et les enseignements de la tentative d’attentat du 21 août 2015 dans le Thalys

Concernant le plan Vigipirate, nous continuons sa rénovation afin de présenter aux autorités et aux élus une rationalisation qui passera par des postures claires concernant certains événements (Fêtes de fin d’année) et qui doit tirer les conséquences des évolutions juridiques que les parlementaires ont adoptées. Ce travail spécifique d’adaptation juridique s’effectuera sereinement à la fin de l’état d’urgence.

Le criblage a été étendu. Ce criblage est déjà en place dans le domaine nucléaire, sur la plaque parisienne particulièrement et, en application de la loi Savary, dans les transports parisiens mais le contrôle de sécurité doit être étendu à d’autres domaines d’activité. Le SGDSN fera des propositions en la matière prochainement.

M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information. – Dans le domaine de la cybersécurité, les menaces sont polymorphes du fait de la transformation numérique des activités humaines dans les pays développés et donc de l’omniprésence des systèmes d’information qui soutiennent cette transformation. Les entreprises et les États sont les cibles prioritaires. Le phénomène est inquiétant. Cette menace rapporte plusieurs milliards d’euros à des groupes qui agissent souvent loin du territoire national. C’est une menace qui est prise au sérieux car elle a des conséquences sur la disponibilité des services affectés, le patrimoine et la compétitivité des entreprises et peut provoquer des pertes de vies humaines.

L’atteinte au fonctionnement des systèmes informatiques qui soutiennent nombre de services publics tels que les hôpitaux ou les distributeurs d’électricité est une forme nouvelle de menace. Comme l’a montré l’actualité récente des élections présidentielles américaines, c’est le fonctionnement des démocraties qui est désormais visé. Des partis politiques sont ciblés par des actes de piratages de messageries, de révélations de données ou plus de déstabilisation informatique par dénis de service. Nous allons donc sensibiliser les partis politiques à de telles menaces à l’approche des élections présidentielles françaises, et ce dès la semaine prochaine.

Nos deux inquiétudes principales relatives à la cybersécurité concernent en premier lieu le vol de données qui est quotidien. Ainsi, 20 attaques majeures à des fins d’espionnage ont été subies par des grandes entreprises françaises au cours de l’année ce qui représente des pertes économiques et stratégiques lourdes (vols de brevets, courriels, appels d’offres, données financières et commerciales) et a donc un impact en terme d’emplois. Ces attaques informatiques sont pilotées par des concurrents, des États également. La seconde inquiétude porte sur le sabotage informatique qui peut causer des pertes de vies humaines lorsqu’il vise des systèmes d’information d’infrastructures critiques (aiguillages ferroviaires, contrôle aérien, équipement hospitalier par exemple).

Il faut ainsi bien prendre en compte que si la numérisation représente de nombreux avantages, elle est parallèlement une menace pour beaucoup d’acteurs du fait de ses différentes mises en oeuvre qui exposent davantage ceux qui effectuent leur transition numérique.

Face à cette menace qui va continuer à se développer, il n’y a aucun doute là-dessus, l’ANSSI va poursuivre sa montée en puissance. Elle est passée d’une centaine de personnes en 2009 à 500 aujourd’hui avec un niveau de compétence et d’expertise exceptionnel, déployé de façon préventive et réactive au profit des victimes et des cibles potentielles des attaques informatiques. Le Royaume-Uni et l’Allemagne s’inscrivent dans la même démarche. Les Britanniques sont en train d’ouvrir leur centre national de cybersécurité doté d’emblée de 700 personnes et le BSI allemand, qui dépend du ministère de l’intérieur et emploie 600 personnes, annonce le recrutement de 180 salariés supplémentaires en 2017, de manière à répondre à l’accroissement des missions.

Je ne vous cacherai pas que le recrutement n’est pas une chose facile : recruter des experts, c’est compliqué -on a de très bons experts en France mais on n’en a pas assez – les conserver, c’est aussi une question. On a la chance d’avoir une image attrayante pour attirer des jeunes, qui sont patriotes, et qui ont envie de faire de la technique de haut niveau. Ils ont vocation à repartir un jour car ils ne viennent pas pour faire toute leur carrière à l’ANSSI, ce qui n’a plus beaucoup de sens dans ce secteur. L’enjeu consiste donc à gérer la montée en puissance de l’agence en assurant le turn over et donc en restant le plus attractif possible. Il s’agit d’un travail permanent et exigeant. On arrive à être sur la courbe de montée en puissance, mais cela nous demande beaucoup d’énergie.

En termes de type d’actions, nous essayons de maintenir l’équilibre entre celles qui relève de la prévention et celles qui correspondent à la réaction. Prévenir, cela consiste à pousser les gens à être de mieux en mieux sécurisés, à faire développer des équipements et des services capables d’apporter aux différentes cibles potentielles ce dont elles ont besoin pour se protéger avec un aspect de politique industrielle que l’on pilote avec le ministère de l’économie et des finances et avec le ministère de la défense, notamment avec la direction générale de l’armement. Côté réaction, l’ANSSI développe aujourd’hui ses propres équipements techniques, ses propres sondes qui sont mises à l’entrée de l’ensemble des réseaux de la quasi-totalité des ministères qui permettent de détecter, le plus tôt possible, les attaques informatiques en cours. Nous envoyons alors nos équipes de réaction, comme nous le faisons pour les opérateurs d’importance vitale mais également, de façon exceptionnelle, dans des cas particulier comme celui de TV5 Monde en 2015, pour aider la victime à limiter les conséquences de l’attaque et à reprendre en main son propre système d’information.

Nos priorités sont clairement orientées vers les opérateurs d’importance vitale. La loi de programmation militaire 2014-2019 nous donne les moyens d’imposer à ces opérateurs des obligations dans le domaine de la cybersécurité, au-delà du simple conseil. Nous avons été les premiers au monde à faire ce choix, mais beaucoup d’Etats se rallient à cette méthode désormais. Le conseil n’est pas suffisant, si l’on veut pouvoir mobiliser les acteurs avant qu’ils soient attaqués, il faut passer par une politique réglementaire intelligente. C’est ainsi que la loi a été adoptée en décembre 2013, que les décrets d’application ont été publiés en mars 2015 et que les arrêtés qui fixent secteur par secteur les règles de sécurité imposées aux opérateurs le sont depuis l’été 2016. Ce délai s’explique par notre volonté de coécrire des règles avec les opérateurs, pour mettre en place une réglementation efficace, soutenable financièrement et humainement, et adaptée à chaque secteur. Nous avons voulu être au plus proche de la réalité des métiers, à leurs contraintes et à la nature des menaces qui correspondent à chaque secteur.

Nous avons également influencé l’Union européenne puisqu’une directive Network & Information Security (NIS) allant exactement dans le même sens a été adoptée au début de l’été. Elle permet que soit reprise au niveau européen cette démarche fondée sur trois grands principes : l’identification des acteurs critiques, la fixation des règles de sécurité obligatoires qui leur sont applicables et l’obligation qui leur est faite de notifier les incidents de sécurité dont ils seraient victimes. Ainsi, le système promu par l’ANSSI ne sera plus une exception franco-allemande, mais sera uniforme et unifié une fois la directive transposée, d’ici deux ans.

Pour les autres victimes que les opérateurs d’importance vitale, nous conduisons une démarche originale pour une administration : nous « incubons » un dispositif d’assistance aux victimes d’actes de cybermalveillance. Ce n’est pas forcément la mission de l’ANSSI mais je crois indispensable de créer une assistance aux PME, très nombreuses et très vulnérables aux attaques. Ce dispositif est aujourd’hui élaboré au sein de l’ANSSI s’adressera également aux collectivités territoriales et plus largement encore aux particuliers. Il est élaboré en collaboration avec le ministère de l’intérieur et en lien avec l’industrie privée qui a tout intérêt à l’élévation du niveau de sécurité globale. Ce système a vocation, à voler de ses propres ailes, d’ici deux à trois ans.

M. Jean-Pierre Masseret, co-rapporteur pour avis du programme 129. – On peut se féliciter de la politique suivie qui a permis la montée en puissance de l’ANSSI, la législation du domaine du renseignement et donc la transformation du GIC et d’avoir une relation européenne fondamentale dans le domaine de la sécurité.

S’agissant du GIC, envisage-t-on de le doter d’un statut de service à compétence nationale et sera-t-il doté de moyens suffisants pour assurer la totalité des missions qui lui sont désormais confiées, dans un contexte au surplus de forte activité ?

S’agissant des emplois tant au GIC qu’à l’ANSSI, la recherche de hauts niveaux de compétences et d’expertises est indispensable et la gestion du turn over est évidemment très compliquée. Il faut pour appuyer cette politique pouvoir proposer des niveaux de rémunération élevé, est-ce toujours possible dans le cadre du statut de la fonction publique ?

Où en est-on de la création d’un data center ? Peut-on connaître le montant de l’investissement et le calendrier de sa réalisation ?

Concernant l’IHEDN et l’INHESJ, ces établissements subissent la contrainte budgétaire que l’on connaît et essaient en conséquence de rechercher des fonds propres pour développer leurs activités. Ce développement suppose aussi des moyens en personnel. Des assouplissements des contraintes sont-ils envisageables pour aller dans cette direction ?

S’agissant de Sentinelle, le chef d’état-major de l’armée de terre a estimé devant nous que l’on pouvait améliorer les choses. Quelle est votre appréciation ?

M. Xavier Pintat. – Nous nous félicitons de l’adoption de la proposition de loi sur l’usage civil des drones Mais la législation que nous venons de voter n’épuise pas toutes les réponses s’agissant de l’usage des drones malveillants en France. La malheureuse affaire des soldats français blessés en Irak par un drone malveillant nous rappelle ce type de menace. Votre rapport préconisait des solutions techniques de détection, d’identification et de neutralisation de ces appareils de petite taille. Vous aviez lancé en 2014 un appel à projet. Où en sommes-nous exactement sur la neutralisation de drones qui survoleraient des installations sensibles ?

M. Michel Boutant. -. Depuis quelques années, on assiste à une vraie montée en puissance de l’ANSSI. Son périmètre d’action s’étend de manière assez considérable et en même temps, la menace est croissante et se diversifie à la fois dans ses cibles, dans ses origines et dans ses intentions. Quelles sont les relations que l’ANSSI entretient avec les unités du ministère de la défense en charge de la cyberdéfense ? Ma seconde question porte sur le GIC. L’une des missions nouvelles figurant dans la loi de sécurité intérieure prévoit que tous les renseignements collectés par les différents services de renseignement du premier et du deuxième cercle, selon les techniques autorisées, doivent être centralisés. Or cela suppose une quasi inviolabilité des canaux de transmission, surtout depuis qu’un décret permet à des services du deuxième cercle de recueillir également des renseignements, en recourant à ces techniques nouvelles. La question se pose de la centralisation de ces renseignements. Leur dissémination rend sûrement plus difficile leur contrôle par la CNCTR mais le risque de volatilité est peut-être plus grand. La mise en oeuvre de la centralisation, au niveau du GIC, de tous les renseignements glanés par tous les services – si on veut bien admettre l’exception accordée à la DGSI et à la DGSE et à d’autres services du premier cercle qui le demanderaient – nécessite à la fois des techniques et des financements très lourds. On sait que cette centralisation demandera du temps. Il faut donc recourir à une solution intermédiaire. Quelle solution est envisageable et dans quel délai cette centralisation de tous les renseignements obtenus pourrait-elle permettre un contrôle plus efficace de la part de la CNCTR ?

M. Robert del Picchia. -Avez-vous une coopération avec le ministère des affaires étrangères ? Actuellement le ministère des affaires étrangères organise le vote sur Internet des Français de l’étranger en vue des prochaines élections. Il y a pas mal de discussions avec la CNIL. Les services du Quai d’Orsay mettent tout en oeuvre pour éviter les intrusions. Travaillez-vous avec eux et comment cela se passe-t-il ? Par ailleurs, il y a pas mal de tentatives dans certains pays pour avoir d’autres réseaux de transmission qu’Internet ? Où en est-on pour ce qui nous concerne ? Les banques internationales ont leurs propres réseaux. Y-a-t-il de la recherche et du développement sur ce sujet ?

M. Jacques Gautier, président. – Je rajoute deux questions. Des conseils de défense et de sécurité multiples, presque hebdomadaires : est-ce sain dans la durée et arrivez-vous à fournir la matière ? Dans notre rapport sur l’approche globale et coordonnée des OPEX, adopté le 13 juillet dernier par notre commission, nous avons rappelé le rôle essentiel du SGDSN pour être le coordonnateur au sein du conseil de défense de « cette marche sur deux pieds » entre l’aide au développement et les actions militaires. Nous y avons proposé la nomination d’un haut représentant par théâtre qui travaillera en lien direct avec vous, car il faut avoir une vision interministérielle. Je souhaiterais avoir votre appréciation sur ces deux propositions.

M. Louis Gautier, Secrétaire général de la défense et de la sécurité nationale. – Le GIC est rattaché organiquement au SGDSN. Son activité opérationnelle dépend du cabinet du Premier ministre et son contrôle de la CNCTR. Notre rôle est organique, ce qui fait une très grande différence avec l’ANSSI. Nous normalisons administrativement le GIC. Pour le reste, les procédures qui ont été mises en place, notamment au travers de la rénovation du contrôle indépendant des techniques de renseignement, s’imposent.

Pour répondre à Michel Boutant, la centralisation des données issues des techniques de renseignement a été rendue nécessaire par la volonté du législateur de permettre à la CNCTR de contrôler de façon effective l’emploi des techniques. Afin d’éviter une centralisation globale qui exposerait à des contraintes et à des risques démesurés, le Gouvernement a autorisé plusieurs organismes, dont le GIC, à conserver les données issues des techniques de renseignement. Pour autant, les questions de la protection des données et de la sécurité du réseau de communication sont une priorité et le GIC porte une attention toute particulière à la sécurité informatique.

Le nouveau directeur travaille à la modernisation du travail du GIC pour l’inscrire dans le bon rythme opérationnel, notamment dans le cadre de la lutte contre le terrorisme. En modifiant la classification de certains documents, le renseignement issu des interceptions de sécurité pourra bientôt être disponible sous de nouvelles formes.

Le turn-over du personnel à l’ANSSI est certes rapide mais nécessaire. Il permet d’avoir en permanence du personnel qualifié et motivé et s’effectue dans des justes proportions qui assurent une pleine efficacité. Ce mouvement permet en outre une diffusion de la culture de la cybersécurité dans d’autres services.

L’IHEDN et l’INHESJ pourraient mutualiser des postes de prospection de mécénat. Dans tous les cas, des évolutions sont souhaitables.

Dans les améliorations du programme Sentinelle, on peut noter tout d’abord la dynamisation des modes d’action. Il faut saluer l’implication de l’encadrement et l’effort de formation, mais également l’accent mis sur la collecte du renseignement qui a été améliorée. La densification de la mission Sentinelle est cohérente avec le niveau de la menace mais Sentinelle n’a pas pour vocation de rendre permanent le déploiement militaire sur le terrain.

Le rééquilibrage Paris-Province consécutif aux attentats de Nice et de Saint-Etienne-du-Rouvray est essentiel dans la lutte et crée un lien Armées-Nation fort du fait de la quotidienneté des rapports entre militaires et civils.

M. Daniel Reiner. – L’Armée de Terre a mis sur pied un groupe de réflexion et de prospective et de planification. Doté d’un général, il était prévu qu’il monte jusqu’à 80 personnels. Le SGDSN est-il associé ?

M. Louis Gautier, Secrétaire général de la défense et de la sécurité nationale.- Le SGDSN est associé. Il faudrait également associer le secrétaire de la garde nationale, le général de division de Raucourt.

L’enjeu du contrôle des drones est important, plus encore en prenant en considération les deux militaires blessés à Erbil. Dans un premier temps, le travail législatif et administratif effectué réduit la zone d’incompréhension de ce phénomène. De plus, le travail de sécurisation des sites mené avec l’ONERA et l’ANR a permis pendant l’Euro 2016 la mise en place de dispositifs de détection, d’un canon à micro-ondes et d’un système de brouillages. Ces dispositifs seront testés dans quelques jours, à Villacoublay.

Le véritable problème reste les menaces opportunistes sur cibles mobiles et non sur les sites fixes (centrales nucléaires, stade de football) et nos groupes de travail étudient ce problème qui semble être devenu l’une des stratégies de Daesh dans la zone de combat.

La coopération est régulière avec le ministère des affaires étrangères comme avec l’ensemble des autres ministères et elle se caractérise par la préparation des conseils, les enjeux d’Europe de la défense et la problématique de la prolifération.

Pour sensibiliser les formations politiques sur les menaces informatiques durant les élections, le SDGSN et l’ANSSI organiseront la semaine prochaine un séminaire fermé, comme ce fut le cas avec les médias après le piratage de TV5 Monde. Le vote des Français de l’étranger par internet est selon l’ANSSI une prise de risque majeure…

Le SGDSN reste très mobilisé et attentif à la capacité à monter, dans le domaine des industries de sécurité, des programmes gouvernementaux structurants. Cette structuration passe par un accès aux investissements du PIA3 et un bon suivi de l’application du PIA2. Il manque peut-être au sein de l’appareil de l’État, comme cela existe avec la DGA dans le domaine militaire, un organe pour porter ces dossiers. Au moins jusqu’à l’expression du besoin, le SGDSN entend jouer son rôle comme copilote du comité de la filière industrielle de sécurité (CoFIS).

S’agissant du Conseil de défense, les réunions devenues hebdomadaires changent un peu la nature de l’exercice, qui perd de sa solennité, mais cela permet à l’instar de ce qui se pratique, par exemple aux États-Unis, d’avoir un échange sur des points précis sur l’activité opérationnelle des services, des armées et sur l’agenda diplomatique. C’est donc très utile pour la cohérence de la chaîne gouvernementale et présidentielle. Le SGDSN prépare systématiquement un dossier car il faut construire le débat sur la base d’éléments dont par exemple l’évaluation de la menace en France et à l’étranger, la situation des grands théâtres sur lesquels notre pays est engagé et souvent sur un sujet particulier qui nécessite un arbitrage. C’est ainsi que le projet de la garde nationale a d’abord été évoquée en Conseil de défense avant d’être adopté en Conseil des ministres. Certains sujets sont examinés à une cadence régulière, ce qui permet d’ajuster le niveau d’intervention des uns et des autres. Le Président de la République peut suivre l’évolution d’un dossier avant qu’il n’entre dans sa phase publique (conseil des ministres, projet de loi, examen parlementaire) et arbitrer s’il le faut.

Sur le rôle et la capacité de pilotage du SGDSN dans la définition et la mise en oeuvre d’une approche globale des crises, vous connaissez ma position. C’est une suggestion qui mériterait d’être examinée. Elle va un peu dans le sens de ce que nous avions traité dans le rapport sur le Sahel où l’on voit bien que les règlements de ces crises passent outre l’action militaire par des accompagnements diplomatiques et de coopération économique. Il y aurait un intérêt à la mise en oeuvre de cette suggestion.

Quant aux réseaux, nous sommes dans la logique de déployer des réseaux de fibres comme le fait le ministère de la défense. Dans le périmètre de responsabilité du SGDSN, c’est ce que fait le CTG pour des communications très sécurisées, mais cela est très coûteux. Nous préconisons plutôt la sécurisation de flux de données grâce à des techniques que nous maîtrisons, comme le chiffrement robuste.

M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information. – S’agissant de la rémunération des personnels, j’ai le sentiment que nous bénéficions de d’une certaine souplesse par rapport à d’autres administrations, elle est souhaitable et nécessaire. Je soumettrai ainsi au secrétaire général, la semaine prochaine, les primes que je propose d’attribuer à nos personnels contractuels qui représentent 80 % de notre effectif. La politique de primes est une manière de motiver ces personnels. Évidemment, nous sommes démunis lorsque d’autres proposent trois fois plus ailleurs, mais nous ne sommes pas certains de vouloir embaucher des mercenaires à l’ANSSI donc, on prend surtout des jeunes, motivés, patriotes qui ont envie d’apprendre, qui nous quittent après 5 ou 6 ans pour aller travailler dans le domaine de la cybersécurité, dans le privé. Cela crée aussi un écosystème très précieux pour nous. Au-delà de la politique de rémunération, il faut surtout s’intéresser à la formation car le vivier est insuffisant. Nous avons la qualité mais pas la quantité et c’est bien là le problème principal. Nous travaillons avec les universités et les écoles d’ingénieurs pour identifier les filières de formation et aller vers une labélisation de certaines d’entre-elles par l’ANSSI afin de montrer à ceux qui veulent travailler dans le domaine de la cybersécurité vers lesquelles se diriger.

En ce qui concerne le centre informatique en cours de construction, l’ANSSI, comme d’autres, utilise des données en masse (big data) et collecte énormément d’informations qui sont très précieuses si l’on est capable d’aller chercher ces contenus précis. Elles proviennent de victimes de cyberattaques, de victimes potentielles, d’opérateurs d’importance vitale. Elles ne peuvent être stockées sur des serveurs étrangers ou privés ; elles doivent être protégées dans une enceinte sécurisée. Nous travaillons à la construction de ce centre avec le ministère de l’intérieur qui est maître d’ouvrage. Les travaux avancent bien et il devrait pouvoir être livré début 2019. Le montant de l’investissement et de 24 millions d’euros (18 pour l’ANSSI et 6 pour le ministère de l’intérieur). 18 millions sont inscrits en autorisation d’engagement dans le projet de loi de finances pour 2016 et 6 millions en crédits de paiement en 2017 qui s’ajoutent aux 6 millions inscrits en 2016, le solde sera financé en 2018.

S’agissant de nos relations avec le ministère de la défense, le modèle français, que je défends ardemment a clairement séparé les activités défensives et les activités offensives, la protection des victimes et le renseignement, contrairement au modèle anglo-saxon. C’est important pour la clarté des missions et pour asseoir un climat de confiance dans nos relations avec nos clients et notre personnel. Cela ne veut pas dire que les entités ne dialoguent pas, ce dialogue est nécessaire. Il existe des liens avec les services de renseignement qui se matérialisent par la présence réciproque d’officiers de liaison. Il existe aussi des liens forts avec les services de protection défensive du ministère de la défense et notamment le centre d’analyse de lutte informatique défensive (CALID). En cas de crise majeure, nous serions capables de travailler ensemble. Nous avons également des relations avec la DGA dans le domaine de la prévention et du développement d’équipements de sécurité informatiques robustes, notamment des chiffreurs permettant de résister aux attaquants les plus puissants, pour protéger le secret de la défense nationale. Enfin dans notre métier défensif, nous ne nous interdisons pas in fine d’éventuelles contre-attaques qui pourraient être réalisées par les services du ministère de la défense, ce qui n’est qu’un exemple supplémentaire d’un usage des forces armées ou des capacités militaires dans le cadre de missions qui ne sont pas strictement militaires.

Concernant le ministère des affaires étrangères, il s’agit d’abord d’un client, qui se fait régulièrement attaquer par des ennemis et par des alliés de la France ; nous en avons les preuves. Lorsque nous travaillons sur des sujets de cyberdéfense avec certains pays ou dans les enceintes internationales comme les Nations unies, nous profitons de la compétence de nos diplomates. Sur le cas particulier des bureaux de votes pour permettre aux Français établis à l’étranger de voter via l’Internet, ils seront mis en place pour les élections présidentielles et pour les élections législatives comme c’était déjà le cas en 2012. Nous sommes intégrés à l’équipe du ministère des affaires étrangères en charge de cette mission. Nous avions produit beaucoup de retours d’expériences à la suite des scrutins de 2012. La version 2017 sera bien plus robuste que la précédente. Mais je déconseille une extension du vote électronique au-delà de cette catégorie spécifique d’électeurs, car ce serait prendre d’énormes risques.

Quant aux réseaux, nous sommes dans la logique de déployer des réseaux comme le ministère de la défense.

Lien vers le site du Sénat