Intervention de Claire Landais

Selon tous les militaires que j'ai pu côtoyer au ministère de la défense, les plans sont conçus, non pas pour être appliqués d'un bout à l'autre d'une crise, mais pour s'y préparer et pouvoir s'organiser rapidement lorsqu'elle survient. La réalité peut dépasser ce qui est prévu sur le papier, mais le travail de planification et l'organisation d'exercices demeurent précieux.

Dans le champ des risques NRBC, les plans sont complétés par un volet capacitaire majeur, une programmation pluriannuelle et un contrat général interministériel qui offre une visibilité de l'intervention de chaque acteur et de leur mise en cohérence en cas d'attaque. C'est un modèle dont nous pourrons nous inspirer, mais le SGDSN est un service du Premier ministre qui agit dans le cadre d'une coordination interministérielle ; il n'a pas l'autorité pour contrôler les stocks ou les capacités de chaque ministère. Un tel modèle n'est donc pas facile à appliquer à l'ensemble des risques auxquels nous réfléchissons.

Nous organiserons dès que possible, avec l'ANSSI mais aussi avec les services de renseignement s'ils en sont d'accord, une réunion pour vous présenter notamment les questions d'hygiène informatique ou de protection face à des ingérences étrangères.

Associer un volet capacitaire à chaque plan serait idéal ; encore faut-il pouvoir le suivre dans la durée. Au sein du SGDSN, environ 25 personnes travaillent à l'élaboration des plans – dont les fiches-mesures sont pilotées par les ministères –, mais la direction des affaires internationales, stratégiques et technologiques compte également des experts qui suivent les crises internationales. Cependant, nous ne disposons pas de bataillons importants consacrés à la formation à la gestion de crise, à l'organisation d'exercices ou à la planification de sécurité nationale. Peut-être devrons-nous y réfléchir pour renforcer notre capacité d'anticipation.

A priori, ce n'est pas au SGDSN de réfléchir à la stratégie de constitution d'un stock de masques pour l'avenir. Il peut cependant avoir un rôle à jouer en la matière – à vrai dire, c'est déjà le cas – si la question du dimensionnement de nos capacités productives nationales se pose et dépasse le champ de la santé. Nous avons, certes, fait appel à des importations chinoises massives, mais nous avons des capacités productives nationales. Les quatre producteurs de masques français ont, du reste, fait preuve d'un grand civisme et la production nationale a beaucoup augmenté en volume. C'est un élément stratégique pour la reconstitution des stocks, qui devront être roulants. Outre ces capacités productives de masques sanitaires, une filière distincte de production de masques en tissu lavables a été créée sous l'impulsion de la secrétaire d'Etat à l'économie et de la direction générale des entreprises, avec l'aide notamment de la direction générale de l'armement, et des études sont en cours pour rendre les masques des soignants réutilisables.

Il est évident que nous devrons être plus attentifs à certaines de nos coopérations internationales. Cela commence par l'adoption d'une culture de la sécurité, de la contre-prolifération et de la protection de la propriété intellectuelle et de nos actifs stratégiques, que le SGDSN s'efforce depuis longtemps de diffuser auprès des acteurs de la recherche notamment, sans toujours parvenir à les convaincre complètement car leur culture de l'ouverture et de la transparence qui est aussi un gage d'avancée de la recherche n'est pas toujours facile à concilier avec la nôtre. Mais nous les incitons à ne pas être naïfs et à ne pas livrer toutes leurs informations dans le cadre de leurs coopérations internationales…

Avant la crise, certains établissements de santé ont fait l'objet de cyber-attaques très lourdes. Le degré de préparation à la survenue d'une cyber-crise majeure dans le monde de la santé n'est pas très élevé. Celui-ci a pris conscience de ces enjeux, mais il y a un certain retard à rattraper. L'ANSSI a fait des offres de services pour parer aux risques les plus importants. En matière de « rançongiciels », les petits cybercriminels s'en donnent, hélas, à cœur joie, mais les établissements hospitaliers ne font pas spécifiquement l'objet, depuis le début de la crise, de menaces stratégiques ou d'exactions de gros acteurs cybercriminels.