Intervention de Jean-Marie Bockel

Les conclusions de mon rapport sur la cyberdéfense ont été adoptées à l'unanimité par notre commission en juillet, ce qui montre que nous avons su aller ensemble à l'essentiel. J'y aborde le problème quotidien de la cybersécurité sous l'angle de la défense, après notre ancien collègue député Pierre Lasbordes, en 2006, puis notre ancien collègue sénateur Roger Romani, en 2008.

Sans conteste, les attaques contre les systèmes d'information constituent aujourd'hui l'une des premières menaces pour la sécurité nationale et les intérêts vitaux d'un pays, lesquels sont en jeu lorsque l'économie et les services publics sont visés. Elles figurent d'ailleurs explicitement dans la lettre de mission adressée à M. Jean-Marie Guéhenno par le Président de la République. De fait, avec le développement d'Internet, les systèmes d'information constituent désormais les centres nerveux de nos sociétés, du simple citoyen jusqu'aux infrastructures les plus importantes.

Depuis celle qui a frappé l'Estonie en 2007, les attaques se sont multipliées, essentiellement à des fins d'espionnage, en vue de piller la richesse économique et industrielle des pays cibles, mais aussi dans le seul but de détruire : en témoignent la cyberattaque contre les centrifugeuses des futures installations nucléaires militaires en Iran et, plus récemment, l'offensive qui a rendu inutilisables 30 000 ordinateurs et 2 000 serveurs du premier producteur mondial de pétrole, Saudi Aramco. La France n'est pas épargnée : j'en veux pour preuve l'attaque massive contre le ministère de l'économie et des finances à la veille du G8 et du G20, en 2011, les attaques via l'Internet d'AREVA ou encore la saturation des sites de l'Assemblée nationale et du Sénat lors des débats sur la loi réprimant la négation du génocide arménien. Ces attaques sont d'origine diverse, des hackers surdoués aux groupes d'activistes en passant par des organisations criminelles et des entreprises concurrentes, voire des États : on cite souvent la Russie ou la Chine, mais ils ne sont pas les seuls.

En réaction, de nombreux pays ont développé leur défense, au premier rang desquels les États-Unis. Ainsi le président Obama s'est-il personnellement impliqué dans ce domaine, qu'il s'agisse de l'organisation, des moyens – de 2010 à 2015, 50 milliards de dollars seront consacrés à la cyberdéfense – ou, plus spécifiquement, de la question iranienne, à propos de laquelle il aurait présidé lui-même 42 réunions. C'est d'ailleurs le sujet d'un livre polémique paru aux États-Unis en juin dernier. En Europe, le Royaume-Uni n'est pas en reste : 700 agents s'y occupent de la cyberdéfense, à laquelle le Premier ministre David Cameron a décidé, malgré le contexte de grande rigueur budgétaire, de consacrer 650 millions de livres supplémentaires au cours des quatre années à venir. En Allemagne, le système de cyberdéfense, confié à l'office fédéral de sécurité des systèmes d'information (BSI), qui relève du ministère de l'intérieur, dispose de moyens considérables et n'emploie pas moins de 560 agents.

En France, sous l'impulsion du Livre blanc de 2008, une stratégie a été élaborée qui a conduit à la création en 2009 de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dirigée par M. Patrick Pailloux sous l'autorité du secrétaire général de la défense et de la sécurité nationale, M. Francis Delon. L'ANSSI est au service des administrations, du ministère de la défense au premier chef, mais aussi de tous les organismes publics qui touchent à nos intérêts vitaux et de notre économie en général. Son action est respectée par nos partenaires européens et américain, à juste titre. Ainsi les responsables des systèmes d'information chez AREVA et les représentants du ministère de l'économie et des finances nous ont-ils confirmé l'efficacité de l'ANSSI pour remettre en état les systèmes attaqués et améliorer leur résilience. Nous sommes donc compétents ; mais nous ne sommes qu'au milieu du gué. En 2012, l'ANSSI n'emploie encore que 230 personnes – elles devraient être plus de 300 en 2013 – et son budget ne dépasse pas 75 millions d'euros. Dans deux à quatre ans, si nous parvenons à doubler progressivement ses moyens, essentiellement humains, nous devrions nous hisser au niveau de nos principaux partenaires européens.

Plus généralement, notre appareil d'État s'est structuré. Le ministère de la défense a constitué autour du contre-amiral Coustillière une organisation militaire solide et reconnue. La dimension interministérielle de la cyberdéfense a été développée sous l'autorité de Matignon, mais des lacunes subsistent – ainsi Le Canard enchaîné a-t-il pu pointer récemment l'imprudence de certains ministères –, sans parler des entreprises et des organismes d'importance vitale. Au-delà du problème de l'espionnage industriel, pour qui voudrait provoquer de graves perturbations dans notre pays, il serait aisé de s'en prendre par le biais de l'informatique aux systèmes d'énergie, aux transports ou aux hôpitaux.

J'évoquerai en conclusion les priorités que le rapport met en avant.

Premièrement, la protection et la défense des systèmes d'information devrait constituer une véritable priorité nationale, portée au plus haut niveau de l'État. Les pertes financières potentielles, notamment celles qui résulteraient de l'espionnage massif, sont telles qu'il est justifié d'y consacrer les moyens nécessaires, même dans le contexte budgétaire actuel : l'effet levier sera considérable.

La deuxième priorité est l'augmentation des effectifs et des moyens de l'ANSSI.

Troisièmement, il convient de sensibiliser les administrations et les entreprises, notamment les PME, au nom de nos intérêts vitaux mais aussi pour le bien de notre économie. Ce n'est guère coûteux, alors qu'il suffit pour pénétrer tout le système qu'une seule entreprise, notamment dans l'industrie de défense, soit mal protégée. Comme le rappelle le directeur général de l'ANSSI, si nous respections à tous les niveaux des règles élémentaires de sécurité, assez faciles à appliquer, nous pourrions éviter 80 % des problèmes. Naturellement, à toute défense répondra un nouveau type d'attaque, mais il est précieux de savoir rapidement que l'on a été attaqué afin de réagir avant d'avoir été entièrement envahi et pillé.

Faut-il aller plus loin et introduire une législation contraignante ? Certaines entreprises ou administrations ne déclarent pas les attaques dont elles ont fait l'objet parce qu'elles craignent que cet aveu de faiblesse ne leur fasse perdre des marchés, notamment dans le secteur de la défense. Dans d'autres pays, cette conscience du danger est au contraire perçue, à juste titre, comme une preuve de force. L'obligation de déclaration – qui existe déjà dans plusieurs pays, notamment en Allemagne – ne doit pas être assortie de sanctions, mais elle engage la responsabilité, y compris civile, des entreprises visées et les aide à mieux se défendre.

En matière industrielle, une proposition a fait polémique : il s'agirait d'interdire sur le territoire européen les « routeurs de coeur de réseaux » – grands équipements informatiques par lesquels transitent les flux d'information – d'origine chinoise. En effet, Huawei et ZTE, les deux principales entreprises chinoises qui émergent au côté de leurs homologues américains, sont des chevaux de Troie rêvés pour l'espionnage industriel, voire pire encore. L'Australie a déjà interdit leur utilisation ; la Commission européenne y réfléchit également. Il appartient à l'exécutif de se prononcer, mais ma proposition a le mérite d'ouvrir le débat. Nos échanges avec les Chinois, partenaires incontournables, doivent être aussi développés que possible mais ils doivent être un tant soit peu équilibrés. L'introduction de labels et de normes pourrait y concourir.

Des emplois sont également en jeu. Songeons à l'Europe du spatial et de l'aéronautique. Dans le domaine de la cybersécurité, nous pourrions créer en France quatre à cinq fois plus d'emplois que nous ne le faisons aujourd'hui. Les Allemands et les Britanniques en sont d'ailleurs très demandeurs.

Le rapport évoque enfin la dimension internationale du problème : la fragilité de l'OTAN et les partenariats, essentiellement bilatéraux dans un domaine qui touche à la souveraineté nationale.