– Je suis très heureux d'intervenir une deuxième fois devant l'OPECST, après l'audition de 2014 sur les survols de centrales nucléaires par les drones. Je dois dire que de cette délibération et du travail qui avait suivi, avec la proposition de loi de M. de Ganay, un colloque international pour faire converger les règlementations, une nouvelle règlementation de l'usage des drones, la mise en place de démonstrateurs, l'invention d'éléments de détection – voire de destruction – des drones, déployés pour la première fois à l'occasion de l'Eurofoot 2016, ont montré que ces réflexions sont utiles et ont des débouchés concrets pour notre sécurité.
Le travail de sécurité nucléaire implique de nombreux acteurs, avec au niveau interministériel le SGDSN et sa direction de la protection et de la sécurité de l'État (PSE), au niveau ministériel l'intérieur et la transition écologique et solidaire, les opérateurs et les différentes autorités et appuis techniques de l'État. Les problématiques de sécurité et de sûreté sont disjointes mais pas autonomes. Pour sécuriser des processus, il faut connaître leur impact en matière de sûreté. Il faut étudier ce que l'affaiblissement de la sécurité induirait en matière de sûreté. C'est ainsi que la problématique de sécurité était conçue dès le départ : le risque pour la sûreté induit par un problème de sécurité. La perspective a évolué, notamment à partir de 2001, avec le 11 septembre, avec les attentats de 2004 en Europe : une réflexion interministérielle a été engagée, induisant un changement de perspective au regard des problématiques de malveillance et d'action terroriste. On est passé d'une logique de maîtrise des processus de sûreté, de risque de vol ou détournement de matière ou de technologies à une logique de réaction à des activités malveillantes ou terroristes, qui suscitent les interrogations de ce jour.
Si je mentionne la date de 2001, c'est pour montrer que l'État n'est pas pris de court, et je le rappellerai en énonçant les textes et les réformes intervenus dans ce domaine. Nous bénéficions depuis 17 ans d'un travail d'amélioration permanente de nos dispositifs règlementaires ou concrets de sécurité, notamment : en 2006, la loi relative à la transparence et à la sécurité en matière nucléaire ; en 2008, la finalisation de la directive nationale de sécurité précisant les menaces à prendre en compte ; en 2009, la mise en place des pelotons spécialisés de protection de la gendarmerie (PSPG) ; de 2009 à 2011 le renforcement de la règlementation sur les obligations de protection fixées aux opérateurs, contre les actes de malveillance, notamment les articles R 1333-1 et suivants du code de la défense ; en 2014, le renforcement du pouvoir des préfets en leur donnant la possibilité de réglementer la circulation et le stationnement des véhicules autour des sites nucléaires(1) ; de 2014 à 2016, le travail législatif, règlementaire et organisationnel concernant la prise en compte de la menace des drones ; en 2015, la « loi de Ganay » sur le renforcement des sanctions en cas d'intrusion ; en 2015 également, la possibilité de contraindre les opérateurs à installer des dispositifs de protection dangereux(2) ; en 2017, la création du CoSSeN et le renforcement du cadre juridique de l'armement des cadres privés ; et encore récemment un réunion interministérielle (RIM) tenue à Matignon, dont je rappellerai les principales conclusions.
Il s'agit d'une perspective longue, il ne faut pas s'en tenir aux intrusions de 2017. Nous consolidons sans relâche notre travail pour améliorer les dispositifs de sécurité. Il s'agit aussi d'une perspective large, où le SGDSN, qui n'a pas de fonction opérationnelle mais qui est architecte et intégrateur des protocoles, dispositifs et réglementations de sécurité nationale, ne travaille pas autrement sur le nucléaire que, par exemple, sur la problématique plus récente de la protection des sites Seveso en prenant en compte le retour d'expérience de l'attentat de Saint-Quentin-Fallavier. Les mêmes questions se posent dans les mêmes termes : la problématique terroriste ou de malveillance a impliqué de modifier et d'adapter une règlementation sur des établissements potentiellement dangereux en raison des risques industriels et accidentels.
Le SGDSN est notamment chargé de la mise en place d'une stratégie sur la sécurité des 294 opérateurs d'importance vitale (OIV), qui représentent 1 418 points d'importance vitale (PIV), incluant 7 opérateurs dans le sous-secteur nucléaire : CEA, EDF, Orano (ex-Areva), IRSN, ANDRA, l'Institut Laue-Langevin, ITER, soit 35 points d'importance vitale (PIV), qui sont le coeur de ce qu'il faut protéger.
Cette liste est évolutive, non pas forcément dans la définition de la catégorie des OIV, mais parce que nous intégrons la problématique du risque cyber. Celui-ci est pris en compte pour les OIV, mais il nous a semblé nécessaire de proposer la création d'une nouvelle catégorie d'opérateurs, « les opérateurs de services essentiels (OSE) », dans le cadre de la directive européenne « Network and information security » (NIS) adoptée en juillet 2016. Le risque cyber est important pour l'ensemble des OIV. En la matière, nous avons plus de certitudes s'agissant des centrales nucléaires que dans d'autres domaines, mais nous y veillons, notamment pour certains prestataires ou sous-traitants. Le champ est donc limité, mais peut être étendu au regard du risque cyber.
Le SGDSN intervient en matière de sécurité nucléaire en raison du rôle qui lui est assigné par le code de la défense. Son rôle est encadré par l'article D 1333-69 du code de la défense, qui prévoit que le SGDSN « veille à la cohérence interministérielle des mesures planifiées en cas d'accident, d'attentat ou pour prévenir les menaces d'attentat ou la malveillance, en s'assurant de la concertation des différents départements ministériels lors de l'élaboration de ces mesures et de la prise en compte d'une action coordonnée entre services concernés ».
Le rôle du SGDSN est donc bien d'être ce chef d'orchestre, cet architecte des dispositifs de sécurité, au sein d'un concert interministériel qui implique aussi très directement les opérateurs. Par ailleurs, le SGDSN est concerné par d'autres problématiques relatives au nucléaire et qui font de lui, notamment en termes d'expertise, une institution qui connaît son domaine. Avec sa direction des affaires internationales, stratégiques et technologiques, il est en charge du contrôle de la prolifération nucléaire. Nous suivons pour l'État – ministères des affaires étrangères et de la défense – les textes et les négociations dans ce domaine ; vous connaissez bien ce sujet, monsieur Longuet, en tant qu'ancien ministre de la défense. Nous sommes également chargés de la protection du patrimoine scientifique et technologique, pour laquelle nous avons eu une discussion avec vous, monsieur Villani, sur la difficulté de faire comprendre aux mathématiciens des processus administratifs de protection, les communautés scientifiques étant moins sensibles peut-être aux nécessités de protection des laboratoires qu'à la logique de l'échange intellectuel au plan international. Ce dispositif de la protection du patrimoine scientifique et technologique est absolument essentiel dans le domaine nucléaire au regard du risque de prolifération. Dans cette discussion, il me semble que nous étions arrivés à équilibrer assez bien la logique de l'échange scientifique et celle de la protection du patrimoine scientifique…