Intervention de Patrick Pailloux

Monsieur Candelier, ne demandez jamais à un directeur s'il dispose d'assez de moyens ! Plus sérieusement, le Gouvernement a fait, je le pense, le maximum pour renforcer les moyens de l'ANSSI depuis sa création, et les signaux sont bons pour l'après-2013. L'Agence ne pourrait de toute façon pas grandir beaucoup plus vite car d'une part, il n'est pas si facile d'intégrer de nouveaux personnels en très grand nombre – fin 2013, nos effectifs auront déjà été multipliés par 3,6 depuis 2009 –, d'autre part, nous ne trouverions pas à les recruter. On nous accuse déjà, avec nos collègues de la DGA et des services de renseignement, de « ponctionner » tout ce que notre pays forme d'experts cyber. Il ne serait pas raisonnable de chercher à intégrer plus de 60 à 80 nouvelles personnes par an, ce qui est le rythme actuel hors turn-over.

De toute façon, l'ANSSI ne pourra pas répondre seule à tous les besoins, de même qu'il n'y a pas un policier dans chaque logement pour empêcher un cambrioleur de s'y introduire. Il faut pouvoir faire appel à des prestataires capables d'assurer au quotidien la cybersécurité des entreprises et d'intervenir en cas d'attaque. Il est en effet très difficile, même pour de grosses entreprises, de disposer en interne des compétences nécessaires, très pointues. Cela ne serait d'ailleurs pas rentable pour elles. Nous allons labelliser dans les prochains mois les premiers prestataires.

Vous m'interrogez sur l'accord conclu entre le ministère de la Défense et Microsoft. Le piégeage des logiciels n'est plus vraiment un problème, sauf pour des systèmes requérant une très haute sécurité et qui, de toute façon, doivent être isolés pour être parfaitement protégés. N'importe quel système peut être attaqué, une fois repérées ses failles de sécurité, et on trouve tous les jours des failles aussi bien dans les logiciels libres que semi-libres ou fermés. On peut toujours se demander dans un logiciel libre si elles ont été délibérément introduites par ses concepteurs ou si elles résultent seulement d'un bug de programmation. D'une manière générale, nous préférons plutôt les logiciels libres, parce que leurs codes sources sont accessibles, mais nous savons qu'ils ne sont pas une garantie de sécurité ultime. Le choix entre logiciel libre et logiciel propriétaire dépend avant tout de considérations financières et de gestion. Aucun système, en dehors de systèmes militaires hyper-protégés comme les téléphones ou les chiffreurs secret défense, n'est absolument sûr. Des systèmes d'exploitation tels que Windows ou Linux sont si complexes qu'ils sont par nature vulnérables.

Nous avons bien sûr besoin de coopération européenne, à l'échelle industrielle tout d'abord. Je suis désespéré que l'essentiel des innovations dans les nouveaux usages de l'Internet aient lieu hors de France et que tant de données soient gérées par Facebook et Google. À cet égard, le soutien du Gouvernement à deux opérateurs de cloud comme Numergy et Cloudwatt est bienvenu. Nous avons besoin d'acteurs de taille européenne capables de rivaliser avec les grands acteurs américains et chinois. Il importe également, lorsque Bruxelles régule des secteurs comme les télécommunications ou l'énergie, que la question de la cybersécurité soit prise en compte afin d'imposer à tous les opérateurs européens le même niveau de sécurité.

Pour le reste, vous avez raison. Certains pays sont moins bien armés que ne le sont la France, l'Allemagne ou le Royaume-Uni. C'est le rôle de l'ENISA, l'agence européenne chargée de la sécurité des réseaux et de l'information (European Network Information Security Agency), installée à Heraklion, que d'assister les pays qui le souhaitent. Même si sur les cyberattaques, la coopération est conduite entre pays européens de même niveau, il est essentiel que tous coopèrent.