Un grand merci, Guillaume Poupard, pour votre présence aujourd'hui avec nous. Vous êtes directeur général de l'Agence nationale de la sécurité des systèmes d'information, une agence créée en 2009 et rattaché à la secrétaire générale de la défense et de la sécurité nationale. Le rôle de cette agence, si je vous ai bien lu car je vous cite, est « de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France ».
Votre audition s'imposait naturellement au regard de la crise que nous traversons aujourd'hui. Celle-ci est bien sûr sanitaire, et par contrecoup économique et sociale, mais elle comporte également une autre dimension, moins évidente, moins médiatisée, mais tout aussi essentielle à prendre en compte : la dimension cyber.
Cette crise a en effet accru l'exposition de nos concitoyens aux cyberattaques. Elle renforce le risque sur les systèmes d'information de nos établissements de santé, de nos collectivités territoriales ou encore de nos entreprises, notamment à l'aune du recours massif et rapide au télétravail.
C'est dans ce contexte inédit que notre commission a souhaité vous entendre, tout en ayant conscience que le format de cette audition par visioconférence rend le présent exercice délicat, y compris en termes de cybersécurité.
Nous attendons de vous, M. le directeur général, que vous nous dressiez un panorama de l'état de la menace cyber et de son évolution sur les particuliers et sur les entreprises depuis le début de la crise.
Nous sommes intéressés à avoir des renseignements plus précis sur les établissements de santé qui étaient déjà des cibles privilégiées des cyberattaquants avant la crise. En témoigne par exemple la cyberattaque qui a frappé le CHU de Rouen en novembre 2019 et que vous avez décrite dans votre récent rapport sur l'état de la menace rançongiciel, un terme que j'ai appris grâce à vos travaux et qui désigne l'utilisation d'un code malveillant empêchant la victime d'accéder au contenu de ses fichiers afin de lui extorquer de l'argent. Ce type d'attaque a été lancé il y a peu à l'encontre de l'établissement de santé de Lomagne, dans le Gers. Estimez-vous, M. le directeur général, que nos établissements de santé investissent suffisamment pour assurer leur sécurité informatique et les considérez-vous suffisamment armés pour répondre seuls aux cyberattaques dont ils sont la cible ?
J'en profite pour saluer l'action de l'ANSSI en faveur des collectivités territoriales également de plus en plus touchées par les cyberattaques. Et je signale le guide sur leur sécurité numérique que vous avez publié en mars dernier.
Nous aimerions également vous entendre sur le risque d'accroissement du cyberespionnage en cette période de crise. Alors que les acteurs profitant de l'actualité pour mener leurs attaques étaient initialement des cybercriminels isolés, il semblerait que l'on ait affaire de plus en plus à des groupes parrainés par des États qui mènent leurs campagnes d'espionnage en direction des institutions publiques mais également de nos entreprises stratégiques et de notre base industrielle et technologique de défense. De plus, les instituts de recherche et les laboratoires universitaires font également l'objet de ces opérations de cyberespionnage dans le cadre de la recherche mondiale d'un vaccin contre le COVID-19, comme le FBI en a récemment accusé la Chine. Estimez-vous cette menace sérieuse et quelles seraient vos préconisations pour s'en prémunir plus efficacement ?
Nous savons par ailleurs que l'ANSSI travaille en étroite collaboration avec plusieurs services, auxquels elle a pu apporter son expertise dans le cadre de cette crise, comme ce fut le cas auprès de l'Institut national de recherche en sciences et technologies du numérique pour l'application StopCovid. Pourriez-vous évoquer avec nous cette coopération spécifique, et plus généralement les coopérations qui sont les vôtres avec d'autres organismes.
Enfin, vous pourriez nous dire un mot sur l'évolution organisationnelle de l'ANSSI ainsi qu'à ses méthodes de travail. En particulier, quels sont les enjeux et les conséquences pour l'ANSSI de la récente réforme qui aboutira à la création au 1er juillet 2020 de l'Opérateur des systèmes d'information interministériels classifiés, à partir de la fusion de la sous-direction numérique de l'ANSSI avec le centre de transmissions gouvernemental ?