Intervention de Guillaume Poupard

Réunion du 18 janvier 2017 à 10h30
Commission des lois constitutionnelles, de la législation et de l'administration générale de la république

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information, ANSSI :

Je reviens sur les risques et menaces. C'est mon rôle que d'alerter sur ces risques qui sont bien réels. Le risque numérique ou informatique est parfois connu sous l'angle qui n'est pas le plus grave – les attaques de sites internet sont désagréables mais pas graves fondamentalement pour la sécurité nationale. En revanche, le vol d'informations stratégiques est malheureusement aujourd'hui une réalité – ce n'est pas parce qu'on ne communique pas sur les victimes que cela n'existe pas. Le risque de sabotage est bien réel aussi – c'est tout l'objet du dispositif réglementaire qui est mis en place. Depuis les élections américaines, on s'intéresse de plus en plus aux risques de déstabilisation que l'informatique peut faire peser sur les processus démocratiques de nos pays. Cette menace ne doit pas nous tétaniser, elle doit être prise en compte au juste niveau, y compris dans le processus électoral que nous allons vivre. Ce processus reste très concret, avec des bulletins dans des enveloppes. C'est de nature à me rassurer. L'idée n'est pas de faire du numérique pour le plaisir de faire du numérique.

Je suis très favorable à l'extension du moratoire sur les machines à voter. Ces machines présentent le défaut d'être assez différentes les unes des autres ; elles sont difficiles à évaluer. Il faut peut-être se reposer la question de leur intérêt – mais c'est là un avis personnel –, en dehors de leur utilisation pour le vote des Français de l'étranger. Nous avons été associés au choix qui a été fait en 2012 du vote électronique concernant les élections législatives pour les Français de l'étranger. Depuis cinq ans, nous avons travaillé avec le ministère des Affaires étrangères parce que ce sont des systèmes compliqués et qui vont attirer les attaquants, cela ne fait aucun doute. Ces modalités de vote seront reconduites pour les élections législatives à venir. En toute franchise, je ne suis pas favorable au vote électronique, car lorsqu'on met en regard aujourd'hui les capacités de sécurisation dont nous disposons, même avec beaucoup d'efforts et l'intervention de gens très sérieux, et le niveau des attaquants potentiels, qui font probablement partie des meilleurs, il est difficile d'être totalement rassuré.

S'agissant des moyens, vous l'avez rappelé, l'ANSSI n'est pas à plaindre. Je suis, au contraire, très reconnaissant aux différentes autorités successives d'avoir pris en compte les questions de cyber-sécurité depuis la création de l'Agence en 2009 – le ministère de la Défense n'est pas oublié non plus. Le ministère compte 24 000 attaques, nous en dénombrons 20 000 parce que nous ne comptons pas la même chose. Il faut savoir ce que les chiffres recouvrent. Il est certain que les attaques sont de plus en plus nombreuses, les attaquants de plus en plus forts et les risques de plus en plus importants au fur et à mesure que notre société et notre économie se numérisent. Cela doit vraiment être un sujet de préoccupation aujourd'hui, mais aussi demain.

Il ne m'appartient pas de me prononcer sur l'exclusion des dépenses de sécurité des comptes de campagne, mais cela me paraît une évidence. Cette mesure permettrait d'encourager les partis politiques, dont la cyber-sécurité n'est pas le métier premier, à agir. Pour nous, les partis s'apparentent à des petites et moyennes entreprises (PME) dans leurs structures et leur équipement informatique. Il faudrait pouvoir les inciter, et avec eux les autres structures de même type, à investir dans la sécurité, sans que cela se retourne contre eux.

Certains ont retenu du vif débat que la carte nationale d'identique électronique a suscité il y a quelques années que cette carte n'était pas possible. Or toutes les auditions que nous avons menées et toutes les expertises montrent que ce n'est pas le cas. Je suis convaincu qu'une carte intégrant des moyens modernes – certes coûteux – tels que des puces serait de nature à apporter de véritables protections, comme c'est le cas pour les passeports. Je vais plus loin, je considère que c'est peut-être même le rôle de l'État de fournir une identité électronique à chaque citoyen. Il s'agit typiquement d'une activité régalienne, de mon point de vue, mais, là encore, cela nécessite un débat que l'on ne peut pas tenir ici en quelques minutes.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion