Intervention de Bastien Lachaud

Le Royaume-Uni a mis en place en 2014 un enseignement d'informatique dès l'école primaire, le Japon a prévu de faire de même au début des années 2020 pour tous les niveaux d'enseignement primaire et secondaire, et Israël a rendu un tel enseignement obligatoire au lycée. Selon nous, c'est le plus tôt possible dans la scolarité qu'il faut inculquer aux enfants les bonnes pratiques en matière cyber. Il suffit pour s'en convaincre de se rappeler que c'est en moyenne à onze ans que les jeunes Français se voient offrir leur premier téléphone intelligent : c'est avant cet âge qu'ils doivent être conscients des risques afférents à la protection de la vie privée et des données, ce qui contribuerait d'ailleurs à la lutte contre le cyber-harcèlement dans le secondaire.

S'agissant de la résilience de nos armées, Monsieur Becht, nos armements ne sont par nature pas invulnérables à des attaques cyber. Il est donc impératif que les nouveaux équipements soient systématiquement conçus pour pouvoir fonctionner en mode dégradé.

Concernant la coopération entre membres de l'Union européenne ou de l'OTAN, les États ont des capacités et des niveaux de compétence aujourd'hui très hétérogènes. Le risque est donc que des standards communs de protection soient moins ambitieux que les nôtres. De plus, un « bouclier cyber européen » pourrait même être contre-productif pour les États les plus vulnérables. En effet, il n'encouragerait pas ces États à développer leurs propres capacités de défense, alors même qu'un tel bouclier aurait nécessairement ses limites : en la matière, un peu comme pour la dissuasion, aucun État n'ouvre jamais la totalité de ses connaissances à ses partenaires, même les plus proches. Et ce n'est pas moi qui le dis, mais le directeur général de l'ANSSI. En somme, la coopération est nécessaire pour faire cesser les cyberattaques, mais on ne peut pas tout en attendre ; nous partageons des intérêts avec nos partenaires, mais la souveraineté reste la règle. Il existe à l'ONU une instance qui constitue un cadre approprié pour une telle coopération, le Group of Governmental Experts, mais celui-ci a dû interrompre ses travaux du fait de la défection des Russes et des Chinois. C'est dans un tel cadre que la France pourrait utilement faire la promotion de sa vision des rapports de droit international dans le cyberespace.

Quant à savoir s'il vaut mieux se placer au sein de l'OTAN ou en dehors pour faire prévaloir les vues françaises en matière de cybersécurité, encore faudrait-il que la France établisse une doctrine claire et que celle-ci trouve un écho parmi ses partenaires. Rien n'est certain en la matière. D'ailleurs, pour assurer le rayonnement d'une telle doctrine, les moyens dont dispose aujourd'hui notre ambassadeur pour le numérique, qui se limitent à trois collaborateurs, sont à l'évidence insuffisants.

En réponse à l'interrogation de Mme Mirallès sur la fiabilité des systèmes, les certifications délivrées par l'ANSSI permettent de s'assurer de la robustesse d'un produit. Nous formulons d'ailleurs le voeu, dans notre rapport, de conforter le processus de certification et de l'amplifier.

Pour revenir au plan de deux milliards d'euros proposé par l'Union européenne, la seule question qui vaille est : pour quoi faire ? Une nouvelle fois, nous avons le sentiment que l'argent est prêt à être dépensé mais qu'aucune stratégie n'a été établie afin de définir des priorités. Aujourd'hui, nul ne sait ainsi s'il faut investir dans la constitution d'un cloud européen ou dans un autre système. En somme, il est difficile de savoir si la somme engagée est suffisante dans la mesure où nous ne savons pas précisément ce qu'il faudrait financer.

Comme d'autres puissances, la France dispose de la capacité de mener des actions cyber-offensives dans le respect du droit international.

S'agissant du financement des activités de recherche et de développement, la loi de programmation militaire prévoit un investissement de 1,6 milliard d'euros. De plus, les entreprises investissent en moyenne entre 5 % et 8 % de leur chiffre d'affaires dans la sécurité de leurs systèmes d'information. Au-delà, nous n'avons pas eu accès à des informations plus précises, couvertes du reste par les dispositions législatives et réglementaires relatives au secret industriel.

La question de M. Pueyo me permet de rappeler que l'Union européenne dispose d'une agence spécialisée : l'ENISA (European Network and Information Security Agency). Cette agence a vocation à évoluer dans le cadre de la mise en place du système de certification à l'échelle européenne que j'évoquais précédemment. Pour la France, l'enjeu sera de veiller à ce que notre propre niveau de certification ne soit pas abaissé en raison d'un éventuel nivellement par le bas des normes de certification.

M. Marilossian nous a interrogés sur les réserves. Nous préconisons en effet un rapprochement des différentes réserves et le renforcement de leur rôle dans le cadre de la cyberdéfense.

Enfin, en réponse à l'interrogation de Mme Guerel, les flottes aériennes subissent quotidiennement des tentatives de piratage. Il semble relativement facile de hacker la bibliothèque de films mise à disposition des passagers. En revanche, accéder au système de navigation est beaucoup plus complexe, notamment parce que l'immense majorité de la flotte ayant été construite au début des années 2000, les avions sont assez peu connectés. Demain, les enjeux seront tout autres !

Pour conclure, j'évoquerai Palantir. Nous recommandons que les questions les plus sensibles restent protégées par les dispositifs garantissant la préservation de la souveraineté nationale. S'agissant de Palantir en particulier, il nous a été indiqué que lorsque les services de renseignement utilisaient les solutions proposées par cette société, une barrière hermétique était abaissée afin de garantir que les données ne s'échappent pas des serveurs sur lesquels le logiciel est installé. En d'autres termes, normalement la NSA n'a pas accès aux données de la DGSI. J'ajoute que les solutions de Palantir sont utilisées par divers acteurs, dont des avionneurs pour le traitement des données prédictives. Le mot de la fin sera la reprise du mantra de l'ensemble des acteurs rencontrés : en ce domaine, nous avons des alliés mais pas vraiment d'amis…