Intervention de Guillaume Poupard

Réunion du mardi 8 juin 2021 à 17h30
Commission de la défense nationale et des forces armées

Guillaume Poupard, directeur général de l'Agence nationale de sécurité des systèmes d'information :

La situation actuelle de l'ANSSI me satisfait. Notre effectif croît de 40 à 50 ETP par an. Cela signifie que je dois recruter quelque 150 personnes chaque année pour faire face aux départs naturels : beaucoup de nos salariés sont des jeunes gens embauchés sous contrat qui n'ont pas vocation à rester à l'Agence jusqu'à la retraite. Notre effectif devrait être de 750 agents à l'horizon 2025, ce qui donne à l'ANSSI les moyens de son action, étant entendu qu'elle ne fera pas tout à elle seule : notre mission est de contribuer à la cybersécurité mais la question concerne la collectivité nationale dans son ensemble. Notre rôle est de porter des réglementations et de répondre aux incidents en relation avec nos partenaires nationaux. Nous devons donc maintenir l'équilibre atteint. Si notre effectif n'augmentait pas chaque année dans les proportions dites, je serais contraint de faire des choix difficiles et d'abandonner des actions utiles. Mais si l'on me disait que notre mission est d'une importance telle que l'on va affecter chaque année à l'Agence de 100 à 150 ETP supplémentaires, je serais mal à l'aise parce que je ne suis pas certain qu'ils seraient utilisés efficacement. La protection contre la cybermenace repose aussi sur le secteur du renseignement, lequel dispose de moyens considérables parce qu'il lui est beaucoup plus difficile qu'à nous de se reporter sur des acteurs privés. La LPM fait état de forts besoins pour le cyber et à mon sens, sans être un va-t-en-guerre, la priorité est plutôt à l'offensif. En résumé, pour l'ANSSI, un effectif de quelque 750 personnes à terme, ou peut-être un peu plus, me semble judicieux. Viser un personnel de 2 000 à 3 000 agents conduirait probablement à déresponsabiliser ceux que nous voulons au contraire mobiliser.

Les questions relatives à Huawei sont complexes. L'essentiel a été fait par la loi du 1er août 2019 sur le contrôle des réseaux 5G, aux termes de laquelle tout opérateur voulant installer une antenne en France doit avoir l'autorisation du Premier ministre. Nous utilisons cette disposition capitale de manière équilibrée. Ce qui est, de fait, une manière de contrôler les équipementiers chinois a été attaquée par les opérateurs, avec lesquels cinquante contentieux sont en cours. Mais le Conseil constitutionnel a validé le bien-fondé de la disposition, par laquelle on se fonde sur des questions de sécurité nationale pour autoriser ou refuser le déploiement d'un réseau, en tenant compte notamment de l'origine géographique des équipementiers. Voilà ce qui nous sauve, dans un jeu complexe avec des opérateurs qui mettent évidemment en exergue des considérations économiques : ainsi, prétendument, les installations de Huawei marcheraient mieux et coûteraient moins cher que d'autres. Mais pourquoi donc ? Il ne faut pas être naïf.

Pour autant, faut-il aller jusqu'à bannir un équipementier comme les États-Unis l'ont fait avec Huawei ? Nous ne le pensons pas, car une démarche très discutable envers une entreprise que l'on accuse de tous les maux n'est pas forcément efficace. Il n'est pas grave que Huawei implante à Paris son centre de recherche en design – au contraire, cela montre que la France attire. Quand la société installe un centre de recherches à deux pas d'ici, on peut s'interroger – et on s'interroge. Quand Huawei a décidé d'installer une usine proche de Strasbourg, différents services se sont penchés sur ce choix, sans naïveté. Je ne pense pas que cela crée un risque réel ; cela nous permet plutôt de dire que nous décidons objectivement des autorisations et des refus d'installations, sans faire une fixation sur un industriel particulier. C'est donc aussi une manière de donner des gages, dans un contexte diplomatique complexe et sujet à de nombreuses tensions. Nous devons être extrêmement vigilants, et fermes quand nous avons de bonnes raisons de l'être, mais nous ne devons pas faire de cet industriel un martyr, car nous en sortirions très probablement perdants.

Sur l'origine des cyberattaques, sujet majeur, notre doctrine, qui s'est établie au fil du temps avec la DGSE, la DGSI et le COMCYBER, est de faire autant que possible de l'imputation, en apportant aux autorités politiques un maximum d'éléments permettent de dire qui, selon nous, est derrière une attaque. Notre certitude est rarement totale, car l'analyse technique ne donne quasiment jamais de garanties. Aussi, une imputation efficace avec un haut niveau de certitude suppose du renseignement complémentaire. C'est dire que si nous voulons assurer notre souveraineté et notre autonomie sans nous limiter à croire nos alliés anglo-saxons sur parole, il nous faut une capacité de renseignement autonome dont je puis vous dire sans entrer dans le détail qu'elle progresse très nettement. Les services nous apportent de plus en plus d'éléments complémentaires qui nous permettent de déposer des dossiers solides sur le bureau de nos autorités.

Après l'imputation, acte technique, vient l'attribution, acte politique qui peut varier en fonction de la situation géopolitique ou d'autres intérêts, et qui peut être rendue publique, comme le font les Américains, ou être signalée en privé et rester secrète. Il m'arrive d'accompagner des autorités politiques dans des pays compliqués auxquels on dit : « Nous vous avons percés à jour, ce que vous faites est inacceptable ». Je ne suis pas certain que cela les terrorise, mais cela porte. Choisir un canal de communication qui n'est pas public, c'est probablement l'efficacité optimale que l'on peut atteindre. Nous nous attachons à rechercher une attribution collective, notamment à l'échelle de l'Union européenne. Une Europe forte, capable de dire à Vingt-Sept : « Ce que vous avez fait est inadmissible », c'est la voie que nous encourageons et nous en parlons beaucoup avec la Commission européenne et avec nos partenaires européens. De là à faire suffisamment pression sur des acteurs pareils – nos alliés compris, d'ailleurs – pour parvenir à empêcher les attaques… Il ne faut pas se leurrer, nous n'avons pas de pouvoir de dissuasion. Nous pouvons nous faire respecter et élever le niveau de coût de ces attaques pour leurs auteurs, mais nous ne sommes pas en mesure de les empêcher uniquement par ces moyens de nature diplomatique.

Vous m'avez interrogé sur l'état de notre coopération avec les collectivités territoriales. Nous sommes bien reçus, mais nous avons souvent affaire à des gens qui considèrent ne pouvoir s'occuper de la cybersécurité, domaine qu'ils jugent compliqué sinon incompréhensible et n'étant pas de leur ressort. Je comprends que l'idée de devoir se prêter à cet exercice peut être perturbante mais ce qui est déjà nécessaire, comme l'a montré le cas de Marseille, le sera encore davantage avec le développement des smart cities. Elles sont difficiles à sécuriser et ce sont les collectivités qui les géreront ; elles ont donc un rôle à jouer. Valenciennes teste le schéma alternatif, qui est de confier la ville à un industriel, Huawei en l'espèce. Je suis contre, mais certaines collectivités l'expérimentent. C'est leur choix, mais à mon avis elles le regretteront. Ici, il s'agit d'un industriel chinois, mais serait-ce un industriel français bien sous tous rapports que le problème serait le même : on ne délègue pas la gestion d'une ville. On peut déléguer des concessions, mais les décisions restent aux collectivités. L'ANSSI s'emploie donc, comme je vous l'ai indiqué, à leur mettre le pied à l'étrier en les incitant à faire mener les audits de cybersécurité nécessaires à la mise en œuvre des plans adéquats, qu'elles devront prendre en charge, car les leviers sont à leur main.

Toutes les forces vives – la gendarmerie, la police, les réservistes, les commissaires aux comptes… – doivent contribuer à la sensibilisation. Elle doit commencer dès l'école, et l'on progresse : cette année, pour la première fois, la cybersécurité était au programme du deuxième cycle des lycées et il existe désormais une option « numérique » en classe de première. Cela permet de former les enfants en faisant passer des messages au juste niveau. Il faudra encore former des professionnels pour commencer cette sensibilisation dès le collège et, plus largement, faire de la cybersécurité une grande cause nationale, ce qui permettrait d'adresser à toute la population les messages que diffuse la plate-forme cybermalveillance.gouv.fr. L'initiative de Pôle emploi que vous avez citée, excellente, est de celles qui ont un effet d'entraînement.

Le « cloud de confiance » est un sujet compliqué. Nous avons de beaux acteurs français – OVH, Outscale, Scaleway… – qui ont une parfaite compréhension des enjeux et avec lesquels nous pouvons travailler en confiance. Mais nous n'aurons ni au niveau national ni au niveau européen à court et moyen-terme certaines offres que proposent les hyperscaler s américains et dont nos industriels ont besoin pour fonctionner à mesure que se développe le télétravail. Aussi, le compromis annoncé récemment par le Gouvernement consiste à autoriser les hyperscalers américains à opérer sous licence avec des acteurs de confiance français, après que nous aurons vérifié la sûreté technique et juridique des contrats. C'est une voie compliquée mais intéressante à tenter. L'ANSSI est très impliquée dans ce processus, puisque toute la vérification technique opérationnelle lui revient.

On doit pouvoir assurer la sécurité juridique de ces montages face à une réglementation américaine hyper-intrusive d'application extraterritoriale, mais nous n'en avons pas la certitude absolue, d'autant que nul ne sait si le cloud Act et le Patriot A ct ne seront pas suivis d'autres textes de portée encore plus large. Nous devons donc nous employer à ce que les structures portant ces offres soient juridiquement distinctes de leur maison mère. Capgemini et Orange ont ainsi annoncé leur intention de créer une société commune, Bleu, pour commercialiser en France une offre de Microsoft. Capgemini, qui a des activités majeures aux États-Unis, ne peut proposer cette offre en son nom propre mais elle le peut à travers une filiale. Nous devrions parvenir de cette manière à un niveau suffisant de sécurité juridique avec Microsoft pour ce qui est de notre sécurité économique – nous ne procéderons pas de la même manière pour nos systèmes de défense – mais il faudra être très vigilant car le diable est dans les détails. Avec Google et Amazon nous n'y sommes pas encore et ils devront faire des efforts importants. Je pense qu'ils les feront parce qu'ils y ont un intérêt économique : ces sociétés coopèrent évidemment avec les autorités américaines quand elles le leur demandent, mais elles veulent avant tout gagner de l'argent. Elles savent que les questions d'autonomie stratégique en Europe ne seront pas abandonnées et ne veulent pas se priver de ce marché.

En matière de cryptologie, nous saurons faire évoluer les algorithmes ; c'est un gros travail. En toute franchise, je n'aurais pas forcément destiné autant d'argent à Euro QCI, mais cette décision est le fruit d'un consensus. La recherche et le développement en matière de technologies quantiques coûtent très cher et il ne faudrait pas que ce financement ait un effet d'éviction pour d'autres travaux. Il est vrai que développer la technologie quantique sera utile dans d'autres domaines, si bien que je ne sais pas mesurer exactement quel sera le retour sur investissement. En bref, le développement de cette technologie n'est pas indispensable sur le plan strictement opérationnel mais n'est pas une mauvaise idée pour autant. Rien dans l'enveloppe de 136 millions d'euros que j'ai mentionnée ne concerne le quantique : elle vise à des réalisations bien plus pragmatiques tendant à élever le niveau de sécurité assez rapidement. Il faut anticiper la menace quantique, mais ce n'est pas la priorité du plan de relance.

Lorsqu'une PME subit une cyberattaque, on est face à un triste fait divers. Si 10 000 étaient attaquées en même temps, ce qui est tout à fait possible, au-delà de l'effet économique la sécurité nationale serait effectivement en jeu. Faire participer les professionnels tels que les experts comptables et les commissaires aux comptes à la prévention de cette menace est indispensable ; eux-mêmes le disent, ajoutant que s'ils ne sont pas certains que les réseaux informatiques de leurs clients sont sains, ils ne savent pas s'ils certifient les vrais chiffres ou des chiffres manipulés par un attaquant. Mais si les gros cabinets ont déjà, en général, des activités de conseil en matière de cybersécurité, ce n'est pas le cas des petits cabinets de commissariat aux comptes : comment pourraient-ils avoir un avis légitime sur le niveau de sécurité de leurs clients ? Si obligation leur est faite, un jour, d'en donner un, ils disparaîtront. L'idée est donc bonne, mais elle peut être dangereuse pour les petits cabinets, qui doivent dans un premier temps diffuser les bonnes pratiques et procéder aux vérifications élémentaires.

L'hypothèse d'une « notation cyber » est intéressante, mais on ne sait pas encore la mettre en œuvre. Un avis étayé sur le niveau de cybersécurité d'un acteur économique suppose de s'appuyer sur un audit, procédure coûteuse, longue et lourde, alors qu'une notation doit pouvoir s'appliquer à tous. Diverses tentatives de notation ont déjà été faites, qui se sont toutes traduites par des échecs jusqu'à présent. Mais l'on y viendra car ce serait utile, comme l'est la notation financière.

Le Campus Cyber a été conçu pour assurer la communication entre les acteurs de la cybersécurité. Notre seule chance d'appartenir au cercle des pays capables de garantir leur souveraineté numérique est d'optimiser le lien entre chercheurs, formateurs, entreprises et ministères concernés. Si chacun joue sa propre partition, cela ne marche pas. C'est une des responsabilités de l'ANSSI de porter cette conception au niveau national, et les choses se passent plutôt bien même si des progrès sont toujours possibles.

Beaucoup a été fait en matière de coopération européenne. La cybersécurité européenne se fait en trois phases et nous sommes au niveau de la troisième. En premier lieu, chaque État membre devait impérativement développer ses propres capacités. L'idée que seuls les grands pays doivent le faire et qu'ils protégeront les petits pays est mauvaise ; cela peut fonctionner dans certains domaines militaires mais pas en matière de la cybersécurité. Le développement général de ces capacités a eu lieu, notamment grâce à la directive NIS. La deuxième étape consiste à organiser ces capacités en réseau, ce qui commence à bien progresser : un réseau opérationnel est en place qui permet à l'ANSSI et à ses vingt-six homologues d'échanger en permanence des informations opérationnelles, et ce dispositif monte en puissance. L'optimum n'est pas encore atteint mais les choses fonctionnent bien, au niveau des instances de coopération techniques comme au sein du réseau stratégique CyCLONe, créé il y a deux ans avec le soutien bienveillant de la Commission européenne et de l'Agence européenne pour la cybersécurité, l'ENISA. Le troisième niveau est le déclenchement de la solidarité européenne si un État subit une cyberattaque. Nous souhaitons avancer à ce sujet pendant la présidence française de l'Union. Ce n'est pas hors de portée, mais cela suppose un niveau de confiance assez élevé car aider un État n'est pas si simple ; je suis convaincu que nous ne parviendrons à notre objectif que si nous faisons intervenir, outre des acteurs étatiques, des prestataires privés.

Sans aller jusqu'à dire qu'il n'y a pas de lien entre les missions de l'ANSSI et les questions environnementales, je ne sais pas vraiment répondre à votre question sur ce que l'Agence fait en ce domaine – pas grand-chose, en vérité. Inversement, certains s'en prennent au chiffrement parce que cela gêne les services d'enquête et de renseignement. Deux des arguments utilisés me font bondir : d'abord, que le chiffrement étant utilisé par les pédophiles, y être favorable c'est être favorable à la pédophilie, d'autre part que l'empreinte carbone du chiffrement est élevée en raison de la puissance de calcul nécessaire. Je ne suis pas certain que ce soit de bonnes raisons pour interdire le chiffrement ou en réduire l'efficacité. Que l'on commence donc par s'intéresser aux cryptomonnaies, catastrophes écologiques surtout utilisées par des criminels ou à leur bénéfice, ou par des spéculateurs.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.