Cybersécurité : un enjeu majeur pour la sécurité de l’Etat, notre économie et nos libertés

L’intervention d’André Gattolin, lors du débat sur le projet de loi de finances ce 3 novembre au Sénat, s’intéresse à la sécurité des systèmes d’information, assurée par l’Agence nationale de la sécurité des systèmes d’information.

« Monsieur le président, Monsieur le Ministre, Mes chers collègues,

Je focaliserai mon propos sur le programme 129, et surtout sur la politique en matière de sécurité des systèmes d’information, assurée depuis 2009 par l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI.

Ses missions se concentrent sur la prévention et la défense contre les cyber-menaces affectant l’administration publique et les opérateurs d’importance vitale, les OIV, publics comme privés.

Elle laisse ainsi le versant « guerrier » aux militaires, et « policier » au Ministère de l’Intérieur, ce qui est bien pertinent et évite un mélange des genres douteux que l’on retrouve dans des pays anglo-saxons.

Je veux à ce propos féliciter notre collègue, Michel Canevet, pour son excellent rapport émanant de la mission de contrôle de l’ANSSI qu’il vient d’achever. Je ne peux que soutenir ses préconisations, quand il incite les ministères à coopérer davantage avec cette agence, ou encore à créer un budget opérationnel de programme propre à l’ANSSI pour un meilleur suivi de son action.

La numérisation fulgurante des données et de l’information fragilise tous les secteurs d’activité face à des cyberattaques d’envergure. Ces dernières ont d’ailleurs un coût économique élevé, estimé récemment à près de 2 700 milliards d’euros d’ici à 2020, si nous ne nous armons pas.

Dès lors, je salue le dynamisme du budget de l’ANSSI, qui est bien inhabituel par ces temps d’austérité. De 2010 à 2014, il a plus que doublé, s’élevant pour 2016, à 100 millions d’euros. Le budget triennal 2015-2017 prévoit d’ailleurs la création de 40 postes par an.

Il y a cependant un bémol. L’agence peine à recruter des personnes expérimentées pour compléter ses équipes opérationnelles, évidemment plus séduites par l’attractivité salariale du privé. Le « turn over » y est très élevé, ce qui est handicapant en termes de maintien de l’expertise en interne. Il est donc indispensable d’y remédier, notamment en repensant les niveaux salariaux.

Mais cela ne suffira pas, car l’ANSSI ne peut agir seule pour protéger l’Etat et ses nombreux OIV.

L’accent doit être mis sur une sensibilisation plus accrue à la cybersécurité de tous, et par le plus grand nombre ! Cela passe à mon sens par le renforcement de la coopération de l’Etat avec d’autres acteurs disposant de compétences complémentaires aux siennes. Je pense aux universités, aux écoles d’ingénieurs et aux centres de recherche.

Mais je pense tout autant à nos grandes sociétés informatiques ou nos brillantes start-up, tout au moins celles, dont l’éthique justifie une certification claire en matière de cybersécurité.

Cette coopération passe enfin par un plus grand signalement des attaques subies par nos entreprises privées, hors OIV, et qui redoutent parfois de révéler leurs défaillances.

Bref, la tâche est d’ampleur mais elle est vitale tant pour la sécurité de l’Etat, que pour la préservation de nos intérêts économiques, et surtout pour la protection des droits de nos concitoyens.

Je vous remercie. »