18/03/2016

Discours du Secrétaire Général

Intervention pour les dix ans de la sécurité des activités d’importance vitale

Discours prononcé par M. Louis Gautier le 18 mars 2016. Salons du Sénat

Monsieur le sénateur,

Monsieur le directeur du Centre national de protection des infrastructures critiques d’Espagne,

Mesdames, Messieurs,

Permettez-moi de remercier à travers vous, Monsieur le sénateur, le Président du Sénat, qui a bien voulu nous accueillir dans cette enceinte prestigieuse du Palais du Luxembourg pour dresser le bilan des dix ans de la sécurité des activités d’importance vitale.

Le décret du 23 février 2006 qui en constitua l’acte fondateur est ici connu de tous, puisque vous contribuez, chacun selon vos responsabilités, à son application quotidienne. Plutôt que d’en détailler inutilement le contenu, permettez-moi donc de revenir brièvement sur ses origines et sur le rôle essentiel qu’il a joué dans la redéfinition de notre politique nationale de sécurité.

Définie par l’ordonnance du 29 décembre 1958, une politique de protection des installations d’importance vitales existait en effet au début des années 2000. Centrée sur la prévention du sabotage et sur les seules entreprises, elle reposait néanmoins sur un dispositif rendu caduc par la fin de la guerre froide et par la montée en puissance du terrorisme dramatiquement incarnée par les attentats du 11 septembre 2001. En une décennie, la menace avait profondément changé de nature. Dans le même temps, une redéfinition des cibles à défendre était devenue indispensable face à la démultiplication des installations dites d’importance vitale et des points sensibles alors répartis en trois catégories, selon qu’ils étaient indispensables, nécessaires ou seulement utiles à la défense du pays. Au début du XXIe siècle, ce sont ainsi pas moins de 7000 sites qui figuraient alors au catalogue des installations à protéger, incluant notamment – dans une forme de liste à la Prévert – des sous-préfectures, des usines agro-alimentaires, des abattoirs, des phares, des trésoreries générales et plus de 300 ponts et viaducs.

Un tel dispositif exigeait d’être modernisé et actualisé, ce qui a conduit dès 2005 à l’adoption de deux modifications importantes, l’obligation de prendre en compte « toute menace, notamment à caractère terroriste », et le remplacement de la notion d’entreprise par celle d’« opérateur », plus large, puisqu’elle englobe à la fois les acteurs publics et privés. En un demi-siècle, nous sommes effectivement passés d’une économie marquée par une forte présence étatique à une logique de privatisation qui a placé les entreprises privées au cœur des activités d’importance vitale.

Le décret du 23 février 2006 compléta ce travail de réforme, tout en anticipant, par bien des aspects, les évolutions à venir de notre stratégie de défense et de sécurité nationale que les livres blancs de 2008 et de 2013 ont entérinées. Que retenir de ses dix années d’application ?

Trois points me semblent devoir être mentionnés.

Le premier est celui de de la concentration et du durcissement du dispositif qui ont été opérés. La SAIV concerne aujourd’hui douze secteurs d’activité rattachés à neuf ministres coordonnateurs, qui ont élaboré 22 directives nationales de sécurité. Elle implique quelque 250 opérateurs d’importance vitale qui sont responsables de près de 1 400 points d’importance vitale (1 500 à terme), soit cinq fois moins que les 7 000 points sensibles encore répertoriés au début du siècle. Un important travail de rationalisation et de simplification a ainsi été entrepris, en même temps que s’est imposée une conception globale de la défense des activités indispensables au bon fonctionnement et à la sécurité de la Nation.

Le deuxième point est celui d’une progressive européanisation de cet enjeu sous l’impulsion de la France qui a joué un rôle précurseur en la matière. La directive du 8 décembre 2008 en constitue la principale traduction. Elle transpose à l’échelon européen l’initiative française, tout en en modifiant la portée, puisqu’elle ne s’attache pas aux « opérateurs » mais aux « infrastructures vitales ». En impulsant un mouvement d’identification des installations dont l’arrêt ou la destruction aurait un impact sur au moins deux Etats membres, cette directive a favorisé un processus d’échanges avec nos voisins afin d’évaluer de concert la réalité des impacts transfrontaliers, et je remercie à cet égard M. Sanchez, directeur du centre national de protection des infrastructures critiques d’Espagne, de nous faire l’amitié d’être aujourd’hui parmi nous et d’incarner cette logique de coopération. Ce sont aujourd’hui 78 infrastructures critiques européennes qui ont ainsi été recensées, traduisant le niveau d’interdépendance entre Etats membres dans les seuls secteurs des transports et de l’énergie. Les concertations actuelles avec nos partenaires nous conduisent au demeurant à envisager d’étendre cette opération d’identification à d’autres secteurs.

Le troisième point, enfin, est celui de l’ouverture de cette politique à de nouveaux champs, et plus particulièrement au champ cyber. En une décennie, la menace n’a effectivement cessé de se renforcer dans ce domaine, au rythme de la démultiplication des objets connectés qui ont aujourd’hui gagné tous les pans de notre société. Dans le domaine de la sécurité des activités d’importance vitale, il n’est dès lors plus possible de séparer le réel du virtuel, les deux devant nécessairement être considérés de pair. De ce nouvel impératif, l’article 22 de la loi de programmation militaire s’est fait la traduction en introduisant un volet cyber dans la SAIV.

A ces différents résultats, j’ajouterai deux innovations d’ordre plus méthodologique.

La première tient à l’inscription du dispositif SAIV à l’intérieur du continuum sécurité-défense qui est en train de se dessiner depuis deux décennies. Celle-ci se traduit en particulier par l’articulation adoptée entre la politique de sécurité des activités d’importance vitale et le plan Vigipirate, articulation qui oblige les opérateurs d’importance vitale à reprendre à leur compte les différentes mesures prévues pour eux par les postures Vigipirate. Il y a deux avantages à cette articulation : la pertinence et la souplesse. Pertinence, car le plan Vigipirate est actualisé très régulièrement en fonction de l’évolution de la menace. A ce titre pas moins de 15 actualisations ont été prises au cours de l’année 2015. En étant soumis à des mesures de protection prises dans le cadre du plan Vigipirate, vous bénéficiez ainsi de la meilleure protection possible à l’instar de ceux qui mettent à jour automatiquement leur antivirus informatique. Mais tout cela se fait par ailleurs avec une grande souplesse puisque les mesures contraignantes qui sont imposées font l’objet d’une définition suffisamment large pour vous permettre une adaptation locale à la spécificité de vos secteurs d’activités et à la singularité de chaque point d’importance vitale.

La deuxième tient à la valorisation de la complémentarité de l’action de l’Etat et des opérateurs et au passage d’une logique coercitive à une logique participative. Du sommet de l’Etat, à travers l’action des hauts fonctionnaires de défense et de sécurité chargés d’élaborer les directives nationales de sécurité, d’identifier les opérateurs d’importance vitale et d’examiner leur plan de sécurité d’opérateur, jusqu’à l’échelon local, où la police, la gendarmerie et les armées participent à la protection des points d’importance vitale, en passant par le niveau intermédiaire des préfectures – celles des zones de défense et de sécurité, qui assurent l’examen des plans de sécurité des opérateurs locaux, et celles des départements, qui approuvent les plans particuliers de protection et qui élaborent leurs plans de protection externe -, les différents ressorts de l’action publique ont été mobilisés. Dans le même temps, les opérateurs d’importance vitale – chargés de décliner dans leur plan de sécurité les objectifs de sécurité fixés par l’Etat ainsi que de proposer aux pouvoirs publics la liste de leurs points d’importance vitale assortie d’un plan particulier de protection pour chacun d’entre eux – ont adhéré de façon volontaire et dynamique à ce nouveau dispositif, qui leur impose pourtant des contraintes. Ils ont repris à leur compte l’idée d’un objectif partagé, celui de la sauvegarde des fonctions essentielles du pays par le renforcement de notre niveau et de notre culture de sécurité. Entre les opérateurs et l’Etat, un rapport de confiance a ainsi été progressivement tissé dont témoigne la concertation qui a récemment présidé à l’élaboration des arrêtés d’application de l’article 22 de la LPM.

Ces succès ne doivent cependant pas être conçus comme la marque d’un aboutissement, mais comme le signe d’une dynamique qui reste à approfondir. En effet, si le processus de validation et d’élaboration des plans de protection est bien lancé, il est loin d’être achevé et il doit désormais s’accélérer afin d’atteindre au plus vite nos objectifs. De même la territorialisation de la politique de sécurité des activités d’importance vitale doit-elle être renforcée afin de mieux différencier notre action à l’échelon régionale. Cette ambition a d’ailleurs conduit dans le domaine cyber à la création de délégués régionaux de l’ANSSI dont quatre ont déjà été établis à Rennes, Lille, Lyon et Paris, neuf autres créations devant suivre au cours de l’année 2016. Cette action, au plus proche de vos besoins d’opérateurs et de vos emprises disséminées sur l’ensemble du territoire national, sera coordonnée par un bureau qui a été créé à l’échelon central dès ce début d’année.

Chargé de la coordination de ce dispositif à travers la présidence de la commission interministérielle de défense et de sécurité, qui s’est réunie pas moins de 30 fois en 10 ans, le SGDSN, en lien étroit avec les hauts fonctionnaires de défense et de sécurité, est à cet égard présent pour apporter tout le soutien méthodologique nécessaire. Il par ailleurs prêt, à travers l’ANSSI, à soutenir la prise en compte des enjeux de sécurité des systèmes d’information dans ce dispositif.

Dix années, à l’aune d’une vie, peuvent paraître une longue période. Au regard d’une refonte en profondeur d’une politique publique majeure, elles ne forment finalement qu’un laps de temps assez bref. Ce constat est valable pour la SAIV qu’il convient encore d’approfondir et dont nombre de défis restent à relever : la soutenabilité de notre réponse face à une menace ancrée dans la durée, la mise en œuvre de moyens de protection plus économes et plus efficaces, l’harmonisation européenne ou encore le renforcement de l’offre de criblage dont le SGDSN a reçu mandat d’expertiser les conséquences.

C’est là tout le sens de ce petit-déjeuner qui doit aussi bien permettre de célébrer l’effort déjà accompli que de réfléchir aux perspectives à venir.