Intervention de Guillaume Poupard

Réunion du jeudi 8 mars 2018 à 11h00
Commission de la défense nationale et des forces armées

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information :

Je pourrais esquiver la question sur les données personnelles en vous renvoyant vers la CNIL, mais ce serait trop facile. De fait, le règlement général sur les données personnelles en cours de déploiement constitue une avancée majeure. Est-elle suffisante ? Je l'ignore. A-t-elle un impact ? Est-elle lourde ? Oui, à l'évidence. Toutes les sociétés que je rencontre paniquent à l'idée de sa mise en oeuvre. Nous allons donc dans le bon sens en Europe et même au-delà.

À titre personnel, je dirais que les GAFA et autres sont dans le paysage, et toute solution simple qui consisterait à les interdire n'aurait pas de sens. La solution, forcément complexe, passe par la sensibilisation et l'explication. Il arrive d'ailleurs que j'explique les choses de manière assez brutale à certains acteurs économiques, pour leur faire comprendre leur irresponsabilité de confier tous leurs systèmes à Google – ce que certains font – mais ils ont beau jeu de me répondre que ces systèmes fonctionnent bien et ne coûtent pas cher. En clair, nous devons mener un dialogue et ce dialogue, parfois, se tend jusqu'à remonter aux plus hautes autorités de l'État de sorte qu'elles montrent les gros yeux pour faire plier tel ou tel acteur, étant entendu que cette méthode ne peut être réservée qu'à quelques cas et ne saurait être généralisée. Objectivement, la situation est compliquée, notamment par manque de prise de conscience. Au-delà des attaquants bien identifiés qui représentent une menace évidente, je constate encore un manque de lucidité concernant le risque que présentent les grandes sociétés numériques, en particulier américaines, à qui l'on prête parfois une image trop bonne. Quoi qu'il en soit, c'est par la discussion qu'il faut procéder et l'ANSSI n'est qu'un petit maillon dans cette chaîne – raison pour laquelle je suis un peu gêné de vous répondre.

Sur Linky, en revanche, je serai beaucoup plus à l'aise. Tout d'abord, la CNIL a largement réglé la question de savoir si cet outil permettait ou non d'espionner la vie des gens. Ensuite, je laisse aux spécialistes médicaux le soin d'apprécier si les ondes émises par les compteurs sont cancérigènes, mais j'en doute.

Nous avons dialogué avec les promoteurs de Linky dès l'origine du projet de compteur intelligent. Dans la chaîne des acteurs de l'énergie – les centrales nucléaires venant spontanément à l'esprit en premier –, il faut sécuriser tous les maillons, et les compteurs, quoiqu'en bout de chaîne, en font partie. Les compteurs d'hier étaient vulnérables : le plus souvent, ils se trouvaient dans la rue et il était facile de les détruire. La nouveauté symptomatique de l'informatique tient au fait qu'un individu pourrait non pas même espionner mais surtout éteindre tous les compteurs Linky d'une ville ; c'est le risque à redouter. Même en faisant toute confiance à nos énergéticiens, l'arrêt simultané de tous les compteurs risque de créer un excédent d'énergie et, sans doute, une rupture du réseau quelque part. Quoi qu'il en soit, il faut protéger ces compteurs.

À l'époque, il existait donc deux possibilités : signaler les risques et laisser l'opérateur s'en débrouiller ou l'aider. L'ANSSI a choisi à juste titre d'aider Enedis, ce que nous continuons de faire en apportant des conseils et en mettant à disposition notre mécanisme de certification de produits. C'est ainsi que tous les compteurs intelligents qui ont été déployés ont été évalués par des centres d'évaluation de la sécurité des technologies de l'information (CESTI) agréés par l'ANSSI. Chaque compteur est donc assorti d'un certificat que j'ai signé au nom du Premier ministre et qui atteste que son niveau de sécurité est satisfaisant en fonction de la cible de sécurité envisagée. C'est un travail colossal qui ne plaît pas à tout le monde, parce que certains produits ont été certifiés mais beaucoup ne l'ont pas été – avec des conséquences parfois dramatiques pour certains fabricants qui n'ont pas réussi à sécuriser leurs compteurs. Au vu des résultats, cependant, je ne prends pas la responsabilité, au nom du Premier ministre, de garantir la sécurité de tels produits ; ce ne serait pas raisonnable. En revanche, les produits certifiés nous semblent atteindre un niveau satisfaisant – même si rien n'est jamais sûr à 100 % – compte tenu des risques identifiés. Tout cela constitue un équilibre subtil. Sachez toutefois que nous avons analysé et pris en compte la menace lors du développement technique des compteurs et de l'ensemble du système sur lequel ils sont assis. Je tiens plutôt à saluer l'intelligence et la qualité du travail considérable qu'ont accompli les équipes chargées de déployer les compteurs Linky – malgré d'inévitables frottements occasionnels.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.