Intervention de Guillaume Poupard

L'authentification consiste à vérifier l'identité d'une personne à l'aide de ses empreintes digitales ou de ses données biométriques. L'identification est le procédé inverse. Dans le cadre de la sécurisation des titres, l'authentification présente un intérêt précis : elle permet de comparer les empreintes d'une personne faisant une demande de carte d'identité avec celles qu'elle aura laissées lors d'une demande antérieure. En ce sens, l'authentification prémunit davantage contre l'usurpation de titres. Elle n'empêche cependant pas les fraudes lors d'une première demande de carte d'identité, qui semblent majoritaires. Encore une fois, la sécurisation participe d'un ensemble de mesures.

Nous ne nous prononcerons pas quant à l'opportunité d'un fichier permettant de faire de l'identification, étant plutôt chargés de mettre en application les mesures que vous votez. Aujourd'hui, le fichier TES est plutôt axé sur l'authentification, raison pour laquelle nous recommandons, dans la lignée de la CNIL, de n'y conserver qu'une petite partie des informations. L'ensemble de l'empreinte n'est, en effet, pas nécessaire pour procéder à une authentification. Le système est un peu comparable à celui du code PIN d'une carte bancaire : nombre de personnes en France ont très probablement le même code à quatre chiffres sans que cela remette en cause la sécurité du système ni ne les empêche de s'authentifier. En revanche, on a besoin d'une image biométrique beaucoup plus précise pour pouvoir identifier avec une quasi-certitude une ou plusieurs personnes.

S'agissant de la prise en compte de nos recommandations, un plan d'action a été rédigé par le ministère de l'Intérieur avec lequel nous sommes en interaction étroite, dans de bonnes conditions. Nous ne sommes pas d'accord sur tout, et il y a beaucoup de discussions entre experts, qui sont fort intéressantes pour l'homologation puisque celle-ci consiste à mettre en regard les mesures prises, les risques et les menaces résiduelles. Inscrire cette homologation dans le temps, comme cela a été recommandé, permet de faire évoluer le niveau de sécurité du fichier et du système sous-jacent parallèlement à la menace et aux risques. Il serait contradictoire avec nos objectifs de sécurité de ne pas toucher à un système, même très bien conçu, au motif qu'il fonctionne. La démarche vertueuse qui est proposée par le ministère de l'Intérieur est clairement de nature à nous rassurer, et nous jouerons le jeu en assurant un suivi dans le temps de la sécurité du système.

Vous l'avez rappelé, aucun système n'est inviolable. Nous avons renoncé au concept de sécurité absolue pour lui préférer celui de sécurité dynamique, qui s'adapte au niveau de risque. On ne peut pas protéger tous les systèmes de la même façon. Ce serait même, pour des raisons économiques, totalement irréaliste. Mieux vaut avoir une vision claire de ce dont on veut se protéger. En l'espèce, compte tenu des risques de déstabilisation encourus, il me semble nécessaire de viser des attaquants au potentiel élevé. Certes, le niveau de sécurité attendu d'un tel fichier devra répondre à une exigence forte, mais il ne pourra toutefois pas atteindre la sécurité absolue. Tous les systèmes d'information, y compris les plus sensibles pour la sécurité nationale, tels les systèmes militaires, sont exposés au même risque d'intrusion. Simplement, la barre de protection est placée plus ou moins haut – parfois de manière très paranoïaque – en fonction des possibles attaquants, dans un jeu de calage entre la menace envisagée et les mesures techniques ou organisationnelles à mettre en oeuvre pour s'en protéger.

S'agissant des autres architectures possibles, comme nous l'avons précisé en introduction de notre rapport, nous nous sommes interdits de les analyser. Cela ne veut pas dire qu'elles n'existent pas, mais la question qui nous était posée n'était pas celle-là : il s'agissait de déterminer si le système tel qu'il est peut être utilisé à court terme. La réponse est plutôt positive, moyennant les ajustements qui ont été faits. On pourrait, bien évidemment, concevoir d'autres architectures plus décentralisées – certainement plus rassurantes, car plus faciles à sécuriser. Une base centralisée donne une impression de simplicité mais impose de telles mesures de sécurité que je ne suis pas certain que son coût final soit forcément inférieur à celui de bases décentralisées. Mais, encore une fois, nous ne voulons pas réécrire l'histoire, car les décisions qui ont été prises s'appuient sur une réflexion datant d'avant 2008. On procèderait peut-être différemment si on reprenait les choses aujourd'hui, mais je ne puis en dire davantage à ce stade.

Quant aux réquisitions judiciaires, elles sont légitimes. Nous avons seulement recommandé d'en avoir une meilleure traçabilité. On a besoin de savoir, en protégeant ces données par la suite, qui a accès à quelles informations. Certaines mesures techniques permettent de contrôler l'accès à ces informations, telles que les cartes à puce et certains moyens d'authentification. Mais il importe d'avoir plusieurs lignes formant une défense dite « en profondeur », de manière à pouvoir retrouver de manière fiable, le lendemain ou un an plus tard, quelle personne a interrogé la base à des fins judiciaires, quand et pourquoi. Une telle traçabilité est de nature à renforcer le contrôle que l'on exerce – y compris sur les personnes habilitées, car celles-ci peuvent subir des pressions ou être victimes de chantage. On a besoin de les protéger, parfois contre elles-mêmes. La traçabilité sert essentiellement à limiter la menace interne, car il n'y a pas que des attaquants extérieurs venant de l'autre bout du monde. La doctrine telle qu'on l'envisage aujourd'hui repose beaucoup moins sur une sécurité périmétrique – avec les « méchants » à l'extérieur et les « gentils » à l'intérieur. On ne fait plus confiance à grand monde, et l'on veut éviter d'avoir à faire confiance. D'ailleurs, quand on doit le faire, c'est qu'on ne peut plus faire autrement ; quelque part, c'est un échec. Dans les systèmes modernes, on évite autant que possible d'avoir à faire confiance.

La sous-traitance me semble nécessaire. On peut toujours rêver de ré-internaliser l'ensemble des systèmes d'information, mais je n'y crois pas, même si cela n'interdit pas d'avoir de bons informaticiens au sein de l'État – ce dont nous manquons à mon sens. Nous avons besoin d'une compétence en interne qui nous permette de sous-traiter efficacement. La sous-traitance suppose une bonne gouvernance et des contrats qui prennent en compte les questions de sécurité dans le temps même si, en faisant évoluer sa stratégie de sous-traitance dans le temps, on court le risque qu'il y ait « des trous dans la raquette ».

Le lien unidirectionnel pose une vraie question, à laquelle il faut répondre. Je serai un peu provocateur : s'il y avait collusion de plusieurs acteurs au sein du ministère de l'Intérieur, détenteur du système dans sa globalité, il serait tout à fait possible d'inverser le lien. Disposant de la liste de tous les noms et données biométriques ainsi que du moyen de les faire correspondre, il suffirait de relier ces données pour les 60 millions de personnes enregistrées dans le fichier pour reconstituer une base unidirectionnelle. Bref, si l'acteur menaçant est l'ensemble du ministère de l'Intérieur, la garantie du lien unidirectionnel ne tient évidemment pas. En revanche, face à des individus, nous disposons de moyens techniques permettant de limiter le risque qu'un opérateur du système, même légitime, fasse les 60 millions de requêtes pour reconstituer la base. En font partie la traçabilité et la détection de tout événement anormal, déclenchant un contrôle immédiat.

Nos lois sont-elles adaptées aux cyber-attaques ? De fait, la loi de programmation militaire de décembre 2013 a fait de la France un pays en pointe en matière de réglementation et de législation sur la cyber-sécurité, en prévoyant que les opérateurs d'importance vitale sont tenus de suivre des règles de sécurité fixées par le Premier ministre et par son bras armé, l'ANSSI. Cette disposition ne couvre, certes, que les opérateurs d'importance vitale et pas l'ensemble des systèmes sensibles, mais c'est déjà considérable. Cela inclut tous les grands acteurs publics et privés des secteurs de l'énergie, de l'eau, des télécommunications et de la finance, soit tous les secteurs importants pour la sécurité nationale. Bien que difficile à appliquer, cette disposition est très vertueuse, et c'est la raison pour laquelle elle a été reprise par l'Allemagne ainsi que par la Commission européenne qui a élaboré une directive allant exactement dans le même sens. La France me semble donc bien préparée de ce point de vue, étant entendu qu'il convient toujours de maintenir un équilibre entre la force de la réglementation et le niveau de sécurité qu'on cherche à obtenir. Imposer à l'ensemble de nos concitoyens de faire de la sécurité, par exemple, n'aurait aucun sens.