Intervention de Francis Delon

Je tiens à vous remercier de me convier devant vous, pour vous apporter des précisions sur certains sujets abordés dans la loi de programmation militaire. Au regard des compétences du secrétariat général de la défense et de la sécurité nationale (SGDSN) et des auditions que votre commission a déjà programmées, il me semble opportun, sauf objection de votre part, de concentrer mon propos sur la sécurité des systèmes d'information, le renseignement et la création d'une plateforme de traitement des données PNR (passenger name record).

S'agissant de la sécurité des systèmes d'information, vous savez, madame la présidente, ainsi que MM. Christophe Guilloteau et Edouardo Rihan Cypel, qui étaient membres comme vous de la commission du Livre blanc, combien ce sujet nous a occupés lors des travaux menés par celle-ci. Les dispositions que je vais vous présenter reprennent pour l'essentiel celles que vous avait exposées en juillet Patrick Pailloux, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

Au préalable, je souhaite vous rappeler en quelques mots les cybermenaces auxquelles nous sommes confrontés.

L'espionnage tout d'abord. La situation que nous observons est préoccupante. L'espionnage, souvent d'origine étatique, est massif. En matière industrielle, il atteint tous nos secteurs de souveraineté. Or ce n'est qu'une fois l'attaque réussie et le pillage accompli que les entreprises victimes comprennent la nécessité de renforcer la sécurité de leurs systèmes d'information. Nous ne voulons pas attendre que nos entreprises soient confrontées à ce pillage pour qu'elles réagissent : d'où le choix du Gouvernement de proposer au Parlement des mesures appropriées. Les efforts déployés doivent aussi contribuer à protéger la compétitivité de nos entreprises nationales.

Le deuxième objectif possible pour un attaquant est la déstabilisation. L'attaque est alors médiatisée. Il s'agit de messages de propagande ou d'hostilité placés sur des sites Internet mal protégés à l'occasion d'un conflit, armé ou non, ou bien même d'une décision politique qui suscite la controverse. On se souvient par exemple du blackout de l'Internet en Estonie en 2007, qui a privé ce pays de l'accès aux services bancaires et à l'administration en ligne.

Troisième objectif possible : le sabotage. L'attaquant cherche alors à perturber le fonctionnement d'installations connectées aux réseaux de communications électroniques – ce peut être un service bancaire, un château d'eau de l'une de nos communes ou une centrale de production d'énergie. L'exemple le plus frappant nous est donné par le ver informatique Stuxnet qui a perturbé le fonctionnement des centrifugeuses de la centrale de Natanz, détruisant un millier d'entre elles et retardant ainsi le programme nucléaire iranien.

Les précisions sur le cyberespionnage figurant dans le rapport de la société de sécurité informatique américaine Mandiant confirment le caractère méthodique d'un pillage systématique effectué à distance par des unités militaires – je rappelle que ce rapport faisait état d'attaques chinoises. Depuis quelques mois, les révélations quasiment quotidiennes issues des documents de l'ex-consultant en sécurité de la National Security Agency (NSA) Edward Snowden montrent l'ampleur de l'espionnage et les moyens considérables qui y sont alloués.

Si les protestations diplomatiques et politiques sont indispensables et pleinement justifiées, elles ne sont pas suffisantes pour nous protéger. Il est urgent de renforcer de manière significative la sécurité des systèmes d'information de nos opérateurs les plus importants.

Les dispositions proposées dans le chapitre III du projet de loi ont deux objectifs.

Le premier est politique. Il est l'affirmation de la nature interministérielle et stratégique de la sécurité et de la défense des systèmes d'information. Le Livre blanc a placé les cyberattaques parmi les menaces majeures auxquelles nous sommes exposés. Et à travers l'ANSSI qui m'est rattachée, je suis témoin, au quotidien, de la réalité de cette menace qui vise et touche tant le Gouvernement et les administrations que les entreprises. Il s'agit ici de donner un signe à tous les acteurs concernés, y compris à ceux qui nous attaquent, de notre volonté collective de faire face à cette menace en adaptant notre droit, notre organisation et nos moyens.

Le second objectif découle du premier. Il s'agit d'accroître de manière sensible le niveau de sécurité des systèmes d'information les plus critiques pour la nation.

J'en viens aux détails des dispositions qui vous sont proposées.

L'article 14 du projet de loi insère deux articles dans le chapitre consacré à la sécurité des systèmes d'information du code de la défense. Il précise les responsabilités du Premier ministre, qui a la charge de la définition de la politique en matière de défense et de sécurité des systèmes d'information et coordonne à ce titre l'action gouvernementale. Il dispose de l'ANSSI pour l'assister dans cette mission ; cette agence est chargée 24 heures sur 24 de prévenir et de réagir aux attaques contre nos infrastructures les plus importantes. Comme elle est rattachée au SGDSN, son domaine d'intervention, initialement centré sur les administrations et les organismes dépendant de l'État, s'est rapidement élargi aux opérateurs d'importance vitale (OIV) et aux entreprises indispensables à notre stratégie de sécurité nationale.

L'article 14 a aussi une vocation opérationnelle et politique.

Opérationnelle : il s'agit de mettre un terme à la situation actuelle dans laquelle l'attaquant a tous les droits et ceux qui sont chargés de la défense, à peu près aucun. L'attaquant a généralement l'avantage sur le défenseur. Les agents de l'État chargés de la sécurité et de la défense des systèmes d'information doivent être en mesure d'utiliser toutes leurs capacités pour mieux appréhender la nature et l'ampleur d'une attaque, en prévenir et en atténuer les effets ou la faire cesser lorsque les circonstances l'exigent.

Il est arrivé que, dans le cadre du traitement d'une attaque informatique en cours contre un fleuron de notre industrie, les ingénieurs de l'ANSSI soient en mesure de collecter des informations susceptibles d'anticiper les mouvements de l'attaquant. Ils auraient dû, pour cela, accéder au système d'information utilisé par celui-ci. Mais ils ne l'ont pas fait car cette intrusion aurait été illégale. Dans l'état de notre législation, les agents de l'ANSSI, comme ceux du ministère de la Défense ou d'autres administrations de l'État compétentes, ne sont pas autorisés par la loi à effectuer toutes les opérations techniques qui leur permettraient d'être pleinement efficaces dans leurs actions. Ainsi, le code pénal prohibe de manière générale la pénétration de systèmes de traitement automatisé de données. Le projet de loi vise donc à rétablir une forme d'équilibre en permettant au défenseur d'accéder aux systèmes d'information participant à l'attaque, d'en collecter les données disponibles et, en tant que de besoin, de mettre en oeuvre des mesures visant à neutraliser les effets recherchés par l'attaquant.

Dans le même esprit, le deuxième alinéa de l'article L. 2321-2 du code de la défense, permet aux services désignés par le Premier ministre de détenir des programmes informatiques malveillants, d'en observer le fonctionnement et d'en analyser le comportement. Dans ce cas, il s'agit également de corriger la situation actuelle dans laquelle, en la transposant dans le monde médical, le chercheur n'aurait pas le droit de détenir ou d'étudier un virus pathogène meurtrier afin de fabriquer le vaccin correspondant.

Au-delà de ses aspects organisationnels et techniques, l'article 14 traduit la volonté du Gouvernement de ne pas rester passif face à des attaques informatiques qui portent aujourd'hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français.

J'en viens à l'article 15 du projet de loi, qui vise à augmenter de manière significative le niveau de sécurité des systèmes d'information des opérateurs d'importance vitale, publics et privés.

Les nouvelles dispositions permettent au Premier ministre d'imposer des règles techniques à ces opérateurs. Il s'agit d'opérateurs « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon les termes de l'article L. 1332-1 du code de la défense ; ils sont environ 200. Le Premier ministre pourra également demander des audits ou des contrôles de sécurité à ces opérateurs, qui devront par ailleurs notifier les incidents affectant leurs systèmes d'information. Pour les situations de crise informatique majeure, un article précise que le Premier ministre pourra, lorsque la situation l'impose, les soumettre à des mesures d'exception.

L'expérience opérationnelle de l'ANSSI montre que le niveau de sécurité des systèmes d'information des entreprises et administrations désignées comme opérateurs d'importance vitale est en général insuffisant. Certains systèmes très critiques doivent impérativement être déconnectés de l'Internet pour garantir qu'aucun attaquant ne puisse facilement les pénétrer. Or, l'État n'est pas, à ce jour, en mesure d'imposer une telle règle aux opérateurs concernés. Il est arrivé que l'ANSSI aide une grande entreprise française à reprendre le contrôle de son système d'information et lui conseille la mise en place de règles techniques destinées à renforcer la sécurité de son réseau. Mais il est aussi arrivé qu'elle découvre un peu plus tard que cette même entreprise avait subi une nouvelle attaque car elle n'avait pas appliqué l'ensemble des mesures proposées. Si le projet est adopté, le Premier ministre disposera de la capacité d'imposer des règles de sécurité, organisationnelles ou techniques, susceptibles de renforcer la sécurité des systèmes d'information des opérateurs d'importance vitale. Il pourra par exemple imposer à l'un de ceux-ci d'installer un dispositif de détection d'attaques informatiques.

Comme le Livre blanc le souligne, la capacité à détecter des attaques informatiques relève de la souveraineté nationale. Ce dispositif devra en conséquence s'appuyer sur des équipementiers de confiance labélisés par l'ANSSI, car le concepteur d'un équipement de sécurité est toujours le mieux placé pour le contourner. L'exploitation de ces équipements devra être effectuée sur le territoire national, afin d'éviter toute interception ou compromission des données, et réalisée par les prestataires qualifiés par l'ANSSI ou par l'ANSSI elle-même.

Le projet de loi instaure aussi une obligation de notification d'incidents affectant le fonctionnement ou la sécurité des systèmes d'information des opérateurs d'importance vitale. À ce jour, la situation est contrastée : les attaques informatiques sont souvent découvertes tardivement. L'expérience acquise par l'ANSSI montre que lorsqu'un opérateur est attaqué à des fins d'espionnage, il est vraisemblable que les opérateurs appartenant au même secteur d'activité subissent, souvent au même moment, les mêmes attaques. Il est donc indispensable que l'État ait connaissance au plus vite de celles-ci afin d'en informer les autres opérateurs du secteur concerné.

Le projet de loi propose aussi d'étendre à l'ensemble des opérateurs d'importance vitale le droit pour le Premier ministre de procéder à des audits ou des contrôles de leurs systèmes d'information. Il est de la responsabilité de l'État de connaître le niveau de sécurité des systèmes d'information des infrastructures critiques de la nation. Aujourd'hui, malheureusement, l'État n'a pas la possibilité d'opérer ou de faire opérer des audits ou des contrôles chez les opérateurs du secteur privé, à l'exception du secteur des communications électroniques. Cette disposition lui permettrait donc de disposer de cette capacité.

Enfin, en cas de crise informatique majeure — par exemple une infection virale destructive touchant nos secteurs d'activité les plus sensibles —, qui exigerait la mise en oeuvre de contre-mesures dans des délais courts, la loi donnerait au Premier ministre la possibilité d'imposer des mesures techniques aux opérateurs concernés. L'ANSSI aurait alors la capacité d'imposer les mesures nécessaires pour réagir. L'inscription dans la loi de cette disposition permet également, dans cette circonstance particulière et exceptionnelle, de dégager les opérateurs concernés de leurs responsabilités vis-à-vis de leurs clients.

Des dispositions d'accompagnement complètent ces articles. Elles assurent la confidentialité des informations recueillies dans le cadre des audits. L'effectivité des mesures prescrites est confortée par un dispositif de sanction en cas de manquement après mise en demeure.

En ce qui concerne le contrôle des équipements d'interception, l'article 16 du projet de loi, dont l'actualité révèle la pertinence, vise à mieux maîtriser le risque d'espionnage à grande échelle des réseaux de communications électroniques. Les opérateurs de télécommunication sont tenus de disposer de moyens d'interception afin de répondre, dans le cadre de la loi, aux réquisitions des magistrats pour des interceptions judiciaires, ou du Premier ministre pour les interceptions de sécurité. Les équipements conçus pour réaliser les interceptions présentent un risque pour le respect de la vie privée de nos concitoyens. Ils ne peuvent donc être fabriqués, importés, détenus que sur autorisation délivrée par le Premier ministre, conformément à l'article R. 226-1 et suivants du code pénal. Les interceptions des communications étaient autrefois effectuées par des équipements dédiés. Or, les évolutions technologiques montrent que de plus en plus d'équipements de réseau, sans être des moyens d'interception en eux-mêmes, possèdent des fonctions qui pourraient être aisément utilisées pour intercepter le trafic du réseau.

À cet égard, les fonctions de duplication ou de routage du trafic de certains équipements de réseau, configurables et accessibles à distance, sont susceptibles de permettre des interceptions. Par exemple, certains équipements de coeur de réseau, alors même qu'ils n'ont pas été spécifiquement conçus à des fins d'interception légale, sont susceptibles, selon leurs caractéristiques, de permettre des interceptions du trafic. N'étant pas spécifiquement conçus pour les interceptions, ces équipements ne sont pas actuellement soumis à l'autorisation prévue par l'article 226-3 du code pénal, qui ne porte que sur les appareils « conçus pour réaliser » les interceptions. Or ces équipements présentent les mêmes risques pour la sécurité des réseaux et des communications que ceux destinés spécifiquement à l'interception. La modification législative qui vous est proposée permettrait donc d'étendre la délivrance d'une autorisation à l'ensemble des équipements susceptibles de permettre ces interceptions, et ainsi d'assurer une plus grande sécurité des réseaux et des communications.