Intervention de Guillaume Poupard

Réunion du mercredi 27 mai 2020 à 9h00
Commission de la défense nationale et des forces armées

Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information :

L'industrie de défense a été la première ciblée par les attaques, il y a dix ans. L'industrie de l'armement, l'industrie spatiale, la BITD sont ciblées par de l'espionnage de haut niveau. Depuis dix ans, nous collaborons avec nos industriels et les services du ministère des armées en charge de la sécurité industrielle afin de les protéger efficacement. L'avantage revenant souvent aux attaquants, la lutte doit être renouvelée sans cesse. Le cas d'Airbus montre ainsi la nécessité de sécuriser l'ensemble de l'écosystème. Depuis longtemps, les industriels ne travaillent plus seuls mais avec un écosystème très dense et varié de PME, de grands groupes, voire des acteurs étrangers. Les attaquants ne s'y trompent pas et ils commencent par s'en prendre aux sous-traitants pour remonter au cœur des réseaux de leur cible par le biais d'accès légitimes. Dès 2013, la France a été le premier pays au monde à adopter une réglementation stricte sur la sécurité des opérateurs d'importance vitale. Cela nous permet d'imposer une prise en compte complète de la cybersécurité dans l'industrie de l'armement et dans nombre d'autres secteurs comme l'énergie, les transports ou les télécoms, jugés critiques pour la sécurité nationale.

Certains de ces groupes, ni français ni européens mais mondiaux, doivent gérer des réglementations différentes d'un pays à l'autre. Nous sommes intervenus auprès de la Commission européenne pour que l'esprit des règles applicables en France soit érigé en principe européen. C'est l'esprit de la directive NIS (Network and Information System Security) relative à la sécurité des réseaux, fortement inspirée par l'Allemagne et la France. Au-delà de l'Europe, nous invitons les grands industriels à recloisonner les réseaux, car si le même réseau « à plat » est déployé dans le monde entier, y compris dans des pays à risque, il est impossible d'en protéger le cœur.

Bien que non déclarée, la guerre cyber, froide ou chaude, est forte entre ennemis et alliés. Dans ce contexte, deux cercles se dessinent, le premier englobant les nations capables d'assurer leur souveraineté numérique, c'est-à-dire les États-Unis, la Chine, la Russie et Israël, et un second avec les pays en quête de protection par le biais de l'OTAN ou d'autres alliances. Ainsi que dans d'autres domaines de défense comme la dissuasion – et on notera que les pays cités sont également des puissances nucléaires – nous avons les moyens d'appartenir au premier cercle. L'enjeu pour la France est de jouer dans le cercle des grands, grâce à une volonté politique constante de souveraineté prenant appui sur une base industrielle forte. Nous nous employons avec les États membres de l'UE intéressés et la Commission européenne à combiner une souveraineté nationale avec une autonomie stratégique européenne.

S'agissant des infrastructures, certains équipementiers et acteurs non européens – vous avez cité Huawei – sont plus à risque que d'autres. Au regard de l'exigence de souveraineté, une loi vise à contrôler le déploiement des équipements au sein des réseaux 5G. L'État doit avoir son mot à dire sur le déploiement de ce type d'équipement. L'enjeu est de permettre le développement des réseaux 5G dans des conditions économiques acceptables pour les opérateurs, sans renoncer à notre souveraineté ni à la sécurité à long terme des réseaux. Cela concerne toutes les infrastructures numériques comme les datacenters ou encore les câbles. Nous ne pourrons être souverains sans une certaine maîtrise de ces infrastructures.

L'expérience militaire a montré que la souveraineté technologique ne consiste pas à faire tout nous-mêmes – la DGA ne réalise pas des systèmes d'armes composés exclusivement de composants français – mais à concevoir une architecture sûre et maîtrisée, puis à distinguer, parmi les différentes briques élémentaires, celles qui doivent être développées en confiance par la BITD et celles acquises sur étagère. La difficulté, c'est de réaliser l'architecture ménageant une maîtrise suffisante. Dans le domaine des télécoms, la question est de savoir ce que nous devons maîtriser et ce que nous pouvons acheter, y compris à Huawei.

Force est de reconnaître que nous n'étions pas prêts à répondre au besoin de visioconférence révélé par la crise. Des solutions qui fonctionnent ne sont pas sûres, d'autres garantissant la sécurité manquent de fonctionnalité, mais je suis convaincu qu'il est possible, même si cela a nécessairement un coût, de développer des outils à la fois maîtrisés et fonctionnels. Pour les plus hautes autorités de l'État, nous avons développé depuis plusieurs années un réseau de visioconférence sécurisé au niveau confidentiel défense qui s'est avéré bien utile et grâce auquel des conseils de défense et des conseils des ministres se sont tenus. Il serait certainement possible d'organiser des auditions à huis clos sécurisées à l'Assemblée nationale, mais cela exigera une volonté et des moyens. Si elle est sollicitée, l'ANSSI aidera volontiers à garantir la sécurité d'un tel système.

Nous ne sommes pas capables de tout faire, mais nous sommes capables de progresser sur la ligne de crête qui doit nous permettre de nous maintenir dans le premier cercle des pays souverains. Mais pour cela il faut renoncer aux solutions internationales faciles d'emploi et d'accès, et souvent moins coûteuses, au moins au début… Si, lors de la construction de la dissuasion, on avait choisi le meilleur rapport qualité/prix à court terme, nous n'aurions certainement pas développé toutes les industries dont nous bénéficions aujourd'hui.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.