Intervention de Général Éric Bucquet

Nous avons effectivement des inquiétudes concernant la vulnérabilité de certaines PME et PMI dont les carnets de commandes sont vides ou qui n'ont pas eu les commandes qu'elles attendaient, et qui sont en outre gênées dans leur fonctionnement par les contraintes sanitaires, tout en subissant la concurrence extérieure. Les risques sont donc de plusieurs ordres : l'entreprise peut faire faillite, avec des conséquences sociales que cela implique ; elle peut être rachetée par une société étrangère. C'est pourquoi, comme la DGSI, nous restons en contact avec les entreprises pour connaître leurs difficultés, essayer de les analyser avec elles, puis remonter ces informations le plus rapidement possible vers le service de l'information stratégique et de la sécurité économique afin d'apporter, si besoin, des mesures correctrices et d'essayer de les soutenir.

À ce stade, en dépit de vulnérabilités importantes, il n'y a pas de catastrophe. Les mesures gouvernementales, complétées par le chômage partiel, constituent un bon amortisseur, toutes les entreprises le disent. Nous sommes plus inquiets pour le futur, au terme de la crise sanitaire, dans six mois. Notre crainte est double : le potentiel rachat de fleurons technologiques, entreprises françaises exceptionnelles, par des étrangers, et donc leur disparition, le savoir-faire partant à l'étranger – on l'a déjà vu par le passé ; la rupture de la chaîne de valeur de certains grands groupes, qui ne pourraient plus construire leurs systèmes d'armes, l'entreprise française habilitée et accréditée qui y participait n'étant plus disponible.

Les habilitations des PME et PMI sont une priorité, et cela dès mon arrivée en 2018 – j'avais rencontré les patrons de ces entreprises, qui n'en pouvaient plus et se plaignaient de la lenteur du sytème. Grâce à un effort considérable et la mise en place d'une task force, nous avons résorbé notre dette et modernisé le dispositif. Je ne reçois d'ailleurs plus de plaintes des entreprises ; le taux de réponse dans les délais, tel qu'il est décrit dans le PAP, est de 93 % et nos délais sont inférieurs aux quatre mois légaux. Ces délais sont tenus alors qu'une enquête visant à déterminer des vulnérabilités peut prendre du temps si le sujet est compliqué et nécessite des investigations complémentaires. Ce délai va encore être réduit avec les nouveaux équipements dont je vous ai parlé, probablement d'ici à l'été. Reste un délai supplémentaire pour la signature de l'habilitation, laquelle relève de la direction générale de l'armement (DGA), autorité d'habilitation pour les entreprises de la BITD.

Enfin, j'ai aussi mis en place un système de type « Chronopost », permettant aux demandeurs de savoir où en est leur dossier. L'officier de sécurité qui aura lancé la demande d'habilitation verra où elle se trouve. Si les gens veulent savoir, ils pourront ainsi s'adresser à la bonne personne.

S'agissant des interactions entre commande publique et souveraineté nationale, la DRSD est exemplaire puisque sa nouvelle base de souveraineté du service sera le premier système de contre-ingérence souverain ayant une véritable capacité « big data ». Lorsque j'ai pris mes fonctions et que j'ai fait mon étude de marché, un autre service utilisait un système américain très connu. Avec la ministre, nous avons décidé que cela n'était pas possible et qu'il convenait d'en développer un français qui nous permette d'évaluer nos vulnérabilités et de les traiter nous-mêmes. C'est cette logique qui prévaut pour tous les systèmes que nous sommes en train de développer. Il en est ainsi pour le système de tri complexe pour les habilitations, que je viens d'évoquer, qui est purement français, élaboré avec des start-up françaises. Nous avons réussi à fidéliser un certain nombre d'entreprises, qui sont désormais sous contrat, avec lesquelles nous développons des systèmes français spécifiques, répondant exactement à notre besoin.

Nous partageons ces innovations avec les autres acteurs institutionnels. Ainsi, j'ai offert à l'ensemble de la communauté du renseignement notre nouveau système qui sera installé en 2021, opérationnel dans une première version en 2022 et susceptible de faire l'objet de développements ultérieurs. Certains services de renseignement ont déjà fait part de leur intérêt. La volonté de mutualiser existe donc. Nous essayons aussi d'acheter des équipements en commun et des systèmes nous permettant de communiquer entre nous et d'être plus efficaces même si, bien sûr, certains systèmes de renseignement sont spécifiques et nécessitent des développements particuliers.

S'agissant du Battle-Lab et des moyens de prévenir le risque d'espionnage, la problématique est la même que pour les salons d'armement. En temps normal – puisqu'en raison de la crise sanitaire, celui-ci a été annulé –, nous gérons la sécurité complète de celui du Bourget : nous nous occupons de la préparation, nous sommes présents pendant l'événement et gérons les retours d'expérience (RETEX) à l'issue. Nous proposons la même chose aux entreprises : quand un ingénieur ou une équipe part à l'étranger, nous les débriefons et les alertons sur les risques et les bons réflexes après le passage de la frontière – piratage du téléphone de service, de l'ordinateur dans la chambre d'hôtel, mise en sécurité des documents écrits, etc. Si nous sommes présents sur place, nous les accompagnons puis, au retour, nous faisons un bilan précis des événements, un RETEX, afin de mettre en lumière les éventuelles difficultés et, donc, les vulnérabilités. Quand on veut vendre, on s'expose et, quand on s'expose, le risque d'espionnage existe, d'où l'importance des mesures préventives, qui sont de notre ressort.

Je partage totalement l'analyse de M. Molins concernant l'arrêt Tele2 : nous allons être en difficulté si les fournisseurs d'accès ne sont plus obligés de garder en mémoire les connexions des douze derniers mois. On ne peut caractériser la menace que lorsqu'on a travaillé dessus. En outre, cela nous empêchera de connaître les comportements et les déplacements de la cible et nous devrons recourir à d'autres modes d'action, sans possibilité de gradation. Cette jurisprudence remet donc clairement en cause le fonctionnement des services de renseignement, la progressivité de nos opérations, leur préparation et la sécurité opérationnelle de nos personnels. C'est une catastrophe.

Je ne pense pas que les gens aient pleinement conscience de ce qui pourrait se passer, mais cela serait dramatique pour la sécurité en France. Tous les services de renseignement partagent le même avis : nous sommes en phase et nous en avons parlé au Président de la République. L'affaire suit maintenant un cours juridique.

La crise du Covid nous a amenés à adapter notre approche dans le cadre des inspections ou des entretiens avec les entreprises ou des personnels. Certains ne souhaitant pas nous recevoir, nous avons fait une grande partie du travail par téléphone, ce qui nous a permis de développer des liens bénéfiques avec des salariés se sentant seuls et beaucoup d'entreprises qui n'avaient que nous comme contacts – nous sommes l'un des seuls acteurs à être resté quotidiennement au contact. Depuis septembre, les personnels de la DRSD travaillent en présentiel ; le télétravail est impossible car nos systèmes sont classifiés . Le travail à la maison n'est pas possible. Ils viennent donc travailler au Service avec des mesures barrières adéquates et des plages horaires étendues.

La compliance, dans les entreprises de la BITD, constitue une menace réelle. Pour obtenir du renseignement, il y a plusieurs moyens : le vol, par exemple, d'un ordinateur dans une chambre d'hôtel ou dans un train – c'est un cas très fréquent ; la séduction, en faisant rencontrer une prétendue âme sœur ; l'hameçonnage, par l'installation sur le téléphone ou la tablette d'un dispositif qui va récupérer les données. Mais tout cela demande un investissement, alors qu'il y a un outil plus simple par le droit : c'est le cas de la compliance. Il permet d'infliger des amendes record et de récupérer beaucoup d'informations légalement. D'ici peu, les seuls qui ne seront pas encore protégés, ceux dont le marché sera entièrement ouvert, ce seront les Européens.

Face à cette menace, notre rôle est d'alerter les entreprises et de faire en sorte qu'elles soient au niveau. Ainsi, la réglementation américaine sur le trafic d'armes au niveau international (ITAR) fixe les règles en matière de commerce des armes et ne cesse d'évoluer ; on ne sait jamais exactement ce qu'elle contient. Tout cela est très ciblé, au détriment des entreprises du secteur tout particulièrement.

La Chine est très présente. Ses entreprises sont très actives sur les technologies de pointe et la localisation de sites industriels appartenant à des entreprises chinoises près d'implantations sensibles militaires et civils exige des précautions qui seront au bénéfice des deux parties.

Quant à l'espionnage au profit de la Russie, il y a eu un cas récent en Italie et en France. Les services d'espionnage russes sont très actifs. L'actualité en témoigne.

La judiciarisation des faits est possible : c'est un autre service de renseignement qui s'en occupe, très souvent la DGSI. Nos relations avec les autres services sont parfaitement fluides, elles se renforcent et nous travaillons désormais ensemble que ce soit dans le domaine du terrorisme, de la sécurité économique ou du trafic d'armes. En la matière, nous ne cessons de progresser – je pense que cela apparaît en filigrane dans mon intervention. Les réseaux se développent, on partage de plus en plus d'expériences et de formations. L'Académie du renseignement joue un rôle important à cet égard.

En matière de cybersécurité, les collectivités territoriales ne font pas partie des attributions de la DRSD. Néanmoins, notre maillage territorial nous permet de disposer d'officiers experts en cybersécurité dans chacune des régions. Je leur ai demandé de se rapprocher des CERT, ces centres experts dans la réponse aux cyberattaques, qui sont en cours d'installation dans toutes les régions. Nous travaillons aussi avec les préfectures. Enfin, je l'ai dit, nous avons rejoint le GIP ACYMA, ce qui va nous permettre d'échanger des informations, d'affiner notre perception des menaces et de concevoir de meilleures parades. Ce sera à mon avis gage d'une meilleure efficacité encore à l'avenir. Nous allons en outre entrer en relation avec les entreprises qui seront certifiées ExpertCyber par le GIP ACYMA, afin de mieux coordonner les actions à leur niveau.

Cela étant, il n'existe pas de solution miracle. Il faut avant tout faire de la prévention, en permanence et à tous les niveaux, afin que les gens soient conscients des menaces. Nous intervenons ainsi auprès des Comex, des agents, des personnels qui partent en opération ou à l'étranger. Ensuite, il faut que nous ayons connaissance des menaces. Or les entreprises qui subissent des cyberattaques peuvent ne pas le dire pour ne pas nuire à leur réputation. Ce que nous essayons de faire, c'est de les aider à vaincre cette appréhension ; nous le faisons en développant notre réseau territorial et en établissant une relation de proximité, afin que les entreprises comprennent que nous sommes là pour les aider et non pour les sanctionner. Enfin, une fois que nous avons analysé une menace, il importe que nous puissions détecter le code malveillant puis vérifier que les entreprises qui disposent du même système ou ont accès aux mêmes réseaux ne font pas l'objet de la même menace.

À terme, les actions seront de mieux en mieux coordonnées entre le niveau national et les collectivités territoriales, mais cela requiert du temps. La priorité, aujourd'hui, est de développer les compétences : on manque de cyberdéfenseurs. Les besoins ne cesseront de croître dans les prochaines années et on va avoir besoin d'une armée de cybercombattants.

La loi de 2015 est une bonne loi, car elle protège à la fois nos agents et le citoyen, et offre en cela un bon équilibre. Elle permet de nous inscrire dans le même cadre que nos partenaires internationaux. À mon sens, les modifications à lui apporter seraient minimes. On pourrait, par exemple, envisager une harmonisation des délais légaux pour certaines techniques de renseignement. Je souhaiterais néanmoins que nous continuions sur notre lancée, parce que nous avons mis beaucoup de temps pour appréhender le nouveau système. Il serait bon d'avoir un peu de stabilité. La loi est d'application récente : cinq ans, ce n'est pas très long pour un texte qui a nécessité trois à quatre années de conception. Nous sommes dans les faits très contrôlés.

La prolifération nucléaire fait l'objet d'un suivi de la part des services partenaires ; cela ne fait pas partie de mes compétences directes.

Concernant la radicalisation, une enquête a été menée à la suite de l'attentat d'octobre 2019 à la direction du renseignement de la préfecture de police de Paris. Elle a montré que le système de la DRSD était efficace. Premièrement, tous ceux qui veulent nous rejoindre en tant que militaires sont passés au crible, et notre méthode de criblage ne cesse de se perfectionner. Deuxièmement, ce que nous appelons le commandement, à savoir l'encadrement de proximité, permet de détecter les changements de comportement. En cas d'anomalie, le référent du régiment nous contacte et nous allons immédiatement voir ce qu'il en est. Nous menons des enquêtes à charge comme à décharge ; par exemple, nous avons eu le cas d'une femme qui avait accusé son mari de s'être radicalisé, mais c'était faux : il s'agissait d'une vengeance dans le cadre d'un divorce. Cette rapidité de détection et de réaction fait notre force, même s'il convient de rester humble.

Nous n'avons pas de difficulté à recruter. Pour les personnels civils, nous recevons environ trente candidatures pour un poste – quoique pour certains très spécialisés, le rapport soit plutôt de deux pour un, voire d'une pour un.

S'agissant de la mouvance d'ultradroite, je le répète, nous passons au crible tous les personnels militaires qui souhaitent rejoindre nos services, au moyen de ce que nous appelons l'enquête initiale de sécurité. L'objectif est de vérifier qu'il s'agit de personnes loyales envers le drapeau et la République. Nous avons procédé à 311 000 enquêtes cette année et à plus de 370 000 l'année dernière – la diminution étant liée à l'épidémie de covid-19. Pour l'heure, nous n'avons pas légalement la possibilité d'en faire une de manière préalable au recrutement pour les personnels civils, mais nous essayons d'y remédier, car lorsqu'il s'avère que quelqu'un qui a été recruté est radicalisé, on n'a guère de solution. Nous travaillons ce sujet avec la secrétaire générale pour l'administration (SGA).

Si l'enquête conclut à la possibilité d'un recrutement, la personne est jugée apte pour le service et nous ne le suivons plus s'il ne fait pas l'objet d'une procédure ou de nouvelle demande d'habilitation. Il faut que quelqu'un fasse un signalement pour que nous puissions intervenir ultérieurement. Je précise que sur les cinquante cas relevés par Mediapart, quarante-deux appartenaient à la Légion étrangère, qui effectue son propre recrutement à l'aide d'un service dédié. Tous ne sont plus en activité. Des sanctions ont été prises et le problème est en cours de traitement. Cela étant, je rappelle que la Légion étrangère offre à certains une deuxième chance. Certaines des personnes engagées antérieurement dans cette mouvance n'ont eu aucune activité en la matière depuis qu'elles ont rejoint l'armée. Les assertions de Mediapart ne sont donc pas toutes confirmées par la Légion étrangère.

Les sept autres cas sont en cours de traitement par l'armée de Terre. Cela représente en définitive un nombre très faible d'individus, même si c'est une atteinte grave à la réputation des armées, que la ministre a dénoncée avec beaucoup de fermeté. Nous n'avons pas la volonté de garder dans nos rangs ces personnes qui ont failli à leur devoir de neutralité et n'ont pas respecté l'engagement qu'elles avaient pris.

S'agissant des fuites de données, il faut avoir à l'esprit qu'avec les dossiers partagés, on peut obtenir très rapidement beaucoup d'informations ; une fois volés, ces dossiers sont mis sur des plateformes et vendus. Beaucoup de nos adversaires cherchent à récupérer des données médicales.

Les ONG sont-elles instrumentalisées ? Ce qui est sûr, c'est que certaines, notamment panafricaines, qui agissent contre nos opérations extérieures, sont financées par des puissances étrangères. Et je pense que lorsqu'une ONG bloque un port français pour empêcher l'exportation d'armes, il y a un intérêt économique derrière – la difficulté étant de le prouver. Si les militants agissent en toute innocence, avec naïveté, les financements, eux, proviennent parfois de puissances qui œuvrent contre les intérêts de la France.