Intervention de Guillaume Poupard directeur général de l'Agence nationale de la sécurité des systèmes d'information

De manière générale, l'ANSSI est l'autorité concernée par la sécurité numérique. Cette agence s'intéresse à toutes les questions de cybersécurité ayant un impact sur la Nation. Elle s'occupe de plusieurs sujets importants, à commencer par la protection des processus démocratiques sous l'angle numérique. Nous savons qu'il s'agit du sens de l'histoire, tandis que de plus en plus de domaines sont concernés. Nous avons établi un constat en termes de menace réelle. En effet, nos processus démocratiques sont ciblés par des adversaires ayant différentes motivations et dont la volonté principale demeure la déstabilisation. Puisqu'il s'agit d'une audition ouverte, je ne citerai pas les pays concernés. Ces derniers sont très joueurs et ont peu de limites en matière de moyens financiers. Leur volonté est de créer le chaos. Ils ont déjà démontré leurs compétences.

Ce phénomène a été mis à jour en 2016 lors de la campagne électorale aux États-Unis et des élections présidentielles qui ont suivi. Ces dernières ont été victimes de véritables attaques électroniques à des fins de manipulation et de déstabilisation. À l'époque, avec en ligne de mire l'élection présidentielle, puis les élections législatives de 2017 en France, la volonté d'intégrer cette thématique dans le champ des analyses de l'ANSSI est apparue. Notre métier de tous les jours consiste à sécuriser les systèmes d'information critiques des administrations. Nous travaillons étroitement avec le ministère de l'Intérieur de manière à nous assurer que leurs réseaux sont au bon niveau de sécurité, afin d'éviter des attaques qui pourraient perturber les scrutins ou modifier leur résultat. Nous collaborons également avec le Conseil constitutionnel, juge de l'élection, pour trouver les modalités d'intervention adaptées dans un contexte de transparence et de légalité totale. Il s'agit d'un travail régalien classique. En parallèle, nous travaillons avec le ministère des Affaires étrangères afin de proposer le vote électronique aux Français de l'étranger de manière sécurisée. Cette modalité de vote ne leur était pas accessible en 2017, absence dont nous tirons une leçon très importante. Lorsqu'il a été nécessaire de prendre une décision, j'ai suggéré à l'échelon politique d'ajourner le vote électronique, car les conditions sécuritaires n'étaient pas remplies pour permettre un vote en toute confiance. Nous pensions qu'une déstabilisation aurait pu être tentée.

D'autres travaux sont menés pour sensibiliser les équipes de campagne des partis politiques. Ce processus d'information est neutre et concerne l'intégralité des partis politiques. L'objectif n'est pas de proposer des procédures miracles, mais de décrire la menace, de montrer ce qui existe déjà comme type d'attaque aboutie et de permettre aux équipes de campagne d'agir au mieux en limitant leur exposition et en préparant les modalités d'une communication en cas de situation de crise.

Une attaque a eu lieu la veille des élections présidentielles françaises. Elle a touché le parti d'Emmanuel Macron. Au travers de méthodes rudimentaires, une escroquerie a permis de récupérer les identifiants et les mots de passe d'accès aux messageries de proches du futur président de la République. Ce type d'escroquerie fonctionne, car nous sommes tous vulnérables à ce genre d'attaques. Cette dernière a donné lieu à la publication de messageries entières de proches du candidat. Nous nous sommes félicités d'avoir anticipé le dialogue avec les équipes de campagne pour préparer l'unique action possible en cas d'attaque, c'est-à-dire une communication de crise efficace. Nous avons entamé un nouveau cycle de discussions en vue des élections présidentielle et législatives à venir en 2022.

Un autre sujet, plus vaste, concerne celui des différents acteurs appartenant à un second cercle autour de la question électorale. Ils ne sont pas directement impliqués. Cependant, ils jouent un rôle majeur dans le processus. C'est notamment le cas des sondeurs. Les chiffres qu'ils fournissent ne sont certes pas les chiffres officiels. Toutefois, si à 20 heures les chiffres des sondages se révèlent trop différents des chiffres officiels, il sera problématique d'expliquer ce décalage à la population, l'ambiguïté pouvant engendrer un problème de confiance.

L'utilisation des machines à voter renvoie à une problématique différente de celle du vote électronique ou du vote à distance. Avec ce processus, nous bénéficions des conditions de vote connues : bureaux de vote, isoloirs, etc. Ces machines ont l'avantage de permettre un dépouillement rapide et automatique. La question se pose de sortir de la situation actuelle. Depuis 2008 ‑ soit une éternité dans le monde numérique ‑, il existe un moratoire concernant les machines à voter. Seules celles achetées avant ce moratoire peuvent être utilisées. De ce fait, nous sommes condamnés à ne plus pouvoir utiliser ces machines ou à tirer parti de machines obsolètes. Nous menons activement des travaux sur ce sujet avec le ministère de l'Intérieur. Notre objectif demeure de définir les caractéristiques des machines à voter pour un processus de vote comparable en matière de sécurité aux modalités du système actuel. Un rapport vous sera transmis dans les prochains jours. Il précise nos attentes sur les questions de sécurité vis-à-vis des machines à voter pour une utilisation future.