Je suis très honoré d'être entendu aujourd'hui par votre commission.
En introduction, je soulignerai que les événements dramatiques que nous vivons depuis plusieurs mois confirment toute la pertinence et la cohérence de la décision du ministre de la Défense de créer cette direction.
Je propose de commencer par vous décrire la DPID, ses missions et son fonctionnement, puis de vous présenter les principales actions qui ont été engagées depuis la constitution de la structure de préfiguration il y a quelques mois.
Directement rattachée au ministre de la Défense, la DPID est la direction fonctionnelle du ministère, tête de chaîne de la fonction « défense-sécurité ». Cette fonction concerne la protection physique, la cybersécurité, la protection du secret, ainsi que la protection du potentiel scientifique et technique et la continuité d'activité.
En termes de périmètre, elle couvre les installations du ministère de la Défense ainsi que les opérateurs d'importance vitale du domaine des activités industrielles de l'armement, c'est-à-dire les grandes sociétés privées oeuvrant pour la défense. Pour vous donner quelques chiffres, le périmètre de protection du ministère porte sur environ 4 000 emprises, dont 270 points d'importance vitale, 80 sites SEVESO, 500 installations sensibles, 4 000 entreprises au titre des marchés sensibles avec la défense et 266 000 agents civils et militaires.
Le champ d'action de la DPID comprend notamment les installations nucléaires intéressant la défense (INID), qu'elles relèvent d'opérateurs publics ou privés. La protection de la dissuasion est clairement une priorité affichée du ministre, au titre des responsabilités particulières qu'il exerce dans le cadre du contrôle gouvernemental de l'intégrité des moyens de la dissuasion.
En résumé, la mission principale de la DPID consiste à élaborer la politique ministérielle de protection et à en contrôler l'application. Cette mission est réalisée à partir d'une analyse des menaces et des vulnérabilités sur la base d'un état des lieux actualisé de la protection des sites ainsi que des capacités technologiques existantes en matière d'équipements de sécurité.
La décision de création de la direction par le ministre de la Défense remonte en effet à l'été 2014, immédiatement suivie par la mise en place, en septembre de la même année, d'une structure de préfiguration. Face à la complexification et à l'intensification des menaces, notamment le terrorisme djihadiste, mais aussi la malveillance, les cyberattaques ou encore les drones, il y avait un impérieux besoin de disposer d'une structure dédiée à la défense-sécurité, afin de coordonner l'action des structures du ministère devenues de plus en plus « matricielles ». On retrouve d'ailleurs ce modèle dans les autres ministères – ce sont les services des hauts fonctionnaires de défense et de sécurité –, mais également au sein des grands groupes du secteur privé.
La DPID est une direction ramassée – moins de 30 personnes, civils et militaires, dont deux officiers de réserve –, qui s'appuie sur l'ensemble des acteurs ministériels concernés.
Ces acteurs sont notamment : l'état-major des armées (EMA), la direction générale de l'armement (DGA) et le secrétariat général pour l'administration (SGA), au titre de leurs périmètres respectifs de responsabilité de protection des armées, directions et services ou opérateurs industriels ; la direction de la protection et de la sécurité de la défense (DPSD) pour l'évaluation des menaces et des vulnérabilités ; le service d'infrastructure de la défense (SID) et la direction de la mémoire, du patrimoine et des archives (DMPA) dans le cadre de la programmation et la réalisation des mesures structurelles de protection ; les différentes inspections qui concourent à l'élaboration de l'état des lieux de la protection ; la direction générale des systèmes d'information et de communication (DGSIC) au titre de la cybersécurité ; et la direction des applications du Commissariat à l'énergie atomique (CEA) pour la protection des INID civiles.
Plus précisément, l'action de la DPID a plusieurs objets : établir et actualiser un référentiel ministériel des menaces – ce qui est maintenant chose faite – ; évaluer les vulnérabilités, à partir d'une analyse des menaces qui nous sont communiquées par les services de renseignement et en prenant en compte la sensibilité intrinsèque des sites ; élaborer et tenir à jour un état des lieux complet, objectivé et communément partagé avec l'ensemble des acteurs concernés ; définir des niveaux de protection adaptés à la nature et à la sensibilité des sites – ces niveaux étant constitués d'exigences fonctionnelles et de standards techniques – ; puis coordonner la programmation pluriannuelle des opérations de renforcement de la protection, principalement des opérations d'infrastructure.
Cette programmation revêtira la forme d'un schéma directeur de mesures de protection. Elle sera établie en fonction de l'état des lieux et des vulnérabilités, des niveaux de protection à atteindre, des technologies existantes et des capacités techniques et financières du ministère à mettre en oeuvre les mesures programmées.
S'agissant de la dissuasion, les dispositifs de protection devront être régulièrement homologués dans le cadre d'un dispositif légal qui a été instauré par la seconde ordonnance d'application de la loi de programmation militaire (LPM).
Enfin et plus généralement, dans le cadre de nos travaux d'élaboration d'une politique ministérielle de protection, il convient de mettre en place une gouvernance claire, en précisant notamment les responsabilités des acteurs concernés, que ce soit au niveau central ou local.
Je souhaiterais illustrer mon propos par une présentation succincte des actions engagées ou des axes d'efforts identifiés.
Ces axes d'effort portent sur quatre domaines : le renseignement, la sensibilisation du personnel, l'organisation de la protection et son dimensionnement en ressources humaines, ainsi que les infrastructures et les équipements de protection.
Sur le premier volet, les échanges de renseignements, tant au niveau central que local, sont essentiels à l'évaluation des vulnérabilités. Au niveau local, il est également nécessaire de développer les relations avec les services préfectoraux et les forces de sécurité intérieure qui concourent à la protection externe de points d'importance vitale. Je tiens à souligner aussi l'importance des enquêtes de sécurité destinées à vérifier la confiance que l'on peut accorder aux accédants à nos zones protégées ou à des emplois sensibles.
En matière de sensibilisation du personnel, qui est essentielle, nous avons engagé l'élaboration d'une politique ministérielle visant, d'une part à informer, objectivement et de manière non anxiogène, nos agents sur les vulnérabilités et, d'autre part, à les former à des principes élémentaires de protection, de comportement et de compte rendu face à des phénomènes anormaux.
Cette démarche passera par une redynamisation de la chaîne des officiers de sécurité des organismes et l'appui précieux de la DPSD, structure du ministère avec laquelle nos relations sont les plus soutenues.
En termes d'organisation et de dimensionnement RH, je rappelle que les effectifs affectés à des fonctions de protection ont augmenté de 800 depuis les attentats du 7 janvier 2015. Ils s'élèvent à environ 7 800 et portent sur des fonctions d'accueil-filtrage, de surveillance et d'intervention armée. S'agissant de l'intervention armée sur des sites non protégés avant les attentats du 7 janvier, nous avons appliqué un principe d'autoprotection, compte tenu des tensions qui pèsent sur les ressources qui alimentent aussi et surtout le dispositif Sentinelle. Ce principe consiste à organiser un tour de garde avec le personnel militaire des sites.
Sur le plan qualitatif, nous avons lancé un travail d'élaboration d'une politique de répartition efficiente et cohérente des compétences entre les différentes composantes RH de la protection, c'est-à-dire les gendarmes spécialisés affectés au ministère de la Défense, les militaires des armées, d'active comme de la réserve opérationnelle, les agents de l'État et les sociétés privées.
Enfin, la réalisation d'un état des lieux actualisé, complet et objectivé de la protection a nécessité l'élaboration d'une politique d'inspection dans ce domaine.
J'achèverai la présentation de ce volet « organisation » par le domaine de la cybersécurité. Les travaux sont bien avancés et certains achevés. La déclinaison ministérielle de la politique de sécurité des systèmes d'information de l'État a été réalisée. Nous travaillons avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) à l'application de l'article 22 de la LPM relatif à la protection des systèmes d'information d'importance vitale, avec l'objectif de publier les arrêtés avant l'été 2016. Enfin, des actions ont été lancées pour réduire nos dépendances ou vulnérabilités via internet. Ces actions concernent la protection des données personnelles des agents, la maîtrise des dépendances techniques ou fonctionnelles à internet ainsi que la robustesse des sites web.
Sur le plan capacitaire, une large part des mesures concerne la sécurisation des accès et la protection périmétrique. Pour les sites les plus importants et sensibles, des systèmes intégrés de protection seront mis en place. Ils intégreront les fonctions de gestion et de contrôle des accès, de surveillance périmétrique, de détection des intrusions ainsi que d'organisation de la protection, quels que soient les modes de pénétration. Il y a donc un intérêt à traiter ces besoins de manière homogène, cohérente et efficiente, dans le cadre d'opérations d'ensemble, à travers des marchés centralisés et sous le pilotage d'une équipe de projet intégrée, qui sera constituée dans les prochains jours. Cette équipe sera notamment chargée de veiller à la cohérence des expressions de besoins et à la standardisation des réponses capacitaires.
À ce stade, les opérations de renforcement de la protection ont été identifiées pour l'annuité 2016. Celles des annuités suivantes seront prochainement définies dans le cadre des travaux d'actualisation du référentiel de la LPM, ce qui permettra d'achever ce vaste travail d'élaboration du schéma directeur qui a été engagé depuis un an.
J'achèverai ma présentation par vous rappeler les actions que nous avons conduites en matière de lutte contre l'utilisation malveillante des drones. Dans le cadre des travaux coordonnés par le secrétariat général de la défense et de la sécurité nationale (SGDSN), la DPID pilote le groupe de travail relatif aux réponses capacitaires et copilote avec la direction générale de la gendarmerie nationale (DGGN) celui qui est chargé de déterminer le cadre et les conditions de neutralisation des drones. À cette fin, nous avons organisé plusieurs campagnes d'essais sur le site de l'armée de l'air de Captieux. La première, qui a réuni au mois de mars de nombreux industriels, a permis de démontrer que de premières solutions technologiques existent pour nous permettre d'acquérir des capacités intérimaires de façon relativement rapide. La seconde, plus récente, a permis de mesurer les rayons de dangerosité des brouilleurs électromagnétiques, qui constituent, à ce stade, le mode de neutralisation le plus efficace.