Le 6 novembre, la commission des affaires étrangères du Sénat auditionnait Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l’ANSSI et Marc-Antoine Brillant, chef du service de Viginium. Au cours de cette audition, les intervenants ont fait un point sur les tentatives d’ingérences étrangères et cyberattaques dont la France a été la cible, notamment au cours de la période olympique. Ils ont présenté l'état de la menace en France, les différentes formes que prennent aujourd’hui les ingérences étrangères, et les actions qui permettant de s’en protéger. Revivez ces échanges. Année de Production :
Category
📺
TVTranscription
00:00Bonjour à tous et bienvenue dans cette nouvelle édition 100% Sénat pour suivre ce matin l'audition des représentants des agences qui traquent les ingérences étrangères en France.
00:20Elles étaient reçues au Sénat mercredi dans le contexte d'une baisse de leur budget, moins 3% dans le budget de 2025, une situation paradoxale, a dit Cédric Perrin, le président de la Commission de la Défense du Sénat, direction de la salle de la Commission.
00:34Mes chers collègues, nous poursuivons nos auditions sur le projet de loi de finances pour 2025 en entendant ce matin M. Stéphane Bouillon, secrétaire général de la Défense et de la Sécurité Nationale,
00:44sur les crédits du programme 129 relatifs à la coordination de la sécurité et de la défense. Il s'agit ici d'un ensemble de moyens permettant aux SGDSN d'assurer ces trois missions principales,
00:54que sont l'organisation des conseils de défense et de sécurité nationale, la coordination interministérielle pour prévenir les crises et enfin la sécurité des systèmes d'information et la protection contre les ingérences numériques étrangères.
01:07Vous disposez à cet effet de deux services à compétence nationale dont les chefs vous accompagnent aujourd'hui, M. Vincent Strubelle, directeur général de l'Agence nationale de sécurité des systèmes d'information, la fameuse ANSI,
01:19dont c'est la première audition devant notre commission depuis sa nomination en janvier 2023, même si ça va faire bientôt un an, mais on n'a pas encore eu l'occasion de vous auditionner,
01:28et M. Marc-Antoine Briand, chef du service de vigilance et de protection contre les ingérences numériques étrangères, Viginum.
01:36J'ajoute que vous assurez la tutelle de l'Institut des hautes études de la défense nationale, l'IHEDN, bien connu dans ses murs, je le précise, à dessein, car je ne doute pas que vous serez interrogé,
01:47peut-être même par moi, à son sujet, en raison évidemment de la réduction brutale de ses moyens envisagés pour cette année et les suivantes.
01:55Nous attendons donc que vous nous présentiez votre budget pour 2025 en nous expliquant précisément les différences entre ce que vous escomptiez pour accompagner la croissance de l'ANSI et de Viginum
02:04et la réalité de l'enveloppe qui vous est allouée. Avec 425 millions d'euros au lieu de 438 millions d'euros, les crédits de paiement de l'action numéro 2, coordination de la sécurité et de la défense,
02:15subiront en 2025 une baisse de 3% par rapport à 2024. Vous nous direz les contraintes ou les renoncements que cela impose. Cette situation est paradoxale car nous savons combien l'année 2024
02:26a mobilisé vos services tant en matière de cybersécurité que de lutte contre les menaces informationnelles pour assurer le bon déroulement de deux élections européennes et législatives ainsi que des Jeux olympiques.
02:38Cette situation est d'autant plus paradoxale que l'année 2025 devrait entraîner pour l'ANSI et Viginum un accroissement de leur mission. Je pense au projet de loi relatif à la résilience des infrastructures critiques
02:49et au renforcement de la cybersécurité pour lequel le Sénat va créer une commission spéciale. Je pense aussi à la préparation d'une stratégie nationale de lutte contre les manipulations de l'information
02:58que la commission d'enquête sénatoriale sur les politiques publiques face aux influences étrangères appelait de ses vœux. Et je ne rebondirai pas sur les événements de cette nuit
03:08qui ne vont pas forcément améliorer la situation en matière de lutte informationnelle et de coopération dans un certain nombre de domaines qui vous concernent plus particulièrement.
03:16Mais vous nous en direz peut-être un mot. Je ne serai pas plus long. Mes collègues auront certainement beaucoup de questions à vous poser, à commencer par Olivier Cadic et Michael Vallée
03:24qui sont les co-rapporteurs du programme 129. Monsieur le secrétaire général, sans plus attendre, et messieurs les directeurs, je vous cède la parole.
03:33Je rappelle que toute cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site Internet du Sénat, puis consultable en vidéo à la demande. Je vous laisse la parole.
03:44Merci. Merci, monsieur le Président. Mesdames et messieurs les sénateurs, c'est pour nous un devoir républicain et aussi un vif intérêt que de venir vous présenter,
03:52comme chaque année, le bilan et les orientations du secrétariat général de la Défense et de la Sécurité nationale dans son ensemble et dans ses composantes opérationnelles.
04:01Vous l'avez rappelé, je suis encadré par le directeur général de l'ANSI et le chef du service de Virginie. S'agissant du bilan, le résultat le plus marquant en 2024 pour nous
04:12a été bien sûr l'impeccable déroulement des Jeux olympiques de Paris et paralympiques. C'était notre priorité. Nous y avons travaillé en lien étroit avec la Dijob depuis plus de 2 ans,
04:22à la fois en tant qu'opérateur et au titre de la coordination interministérielle dans le champ de la Défense et de la Sécurité nationale.
04:30Tout s'est bien passé, ou presque, dans notre champ d'action comme dans tous les autres, et nous en sommes fiers. Le succès de la gestion de la sécurité et de la cybersécurité
04:39de l'organisation des Jeux a permis l'esprit de fête qui a régné à Paris et sur tous les sites de compétition cet été, l'engouement du public pendant les épreuves.
04:46Tout cela a permis aussi le formidable bilan de nos athlètes, tant chez les valides que chez les paralympiques. Et c'est grâce à la mobilisation de tous, acteurs publics,
04:55acteurs privés et citoyens. Et heureusement, car certains incidents étaient inquiétants. Les trois attentats qui ont été déjoués par la DGSI au printemps,
05:04directement en lien avec les Jeux olympiques. L'individu d'origine russe qui s'est blessé en manipulant des explosifs dans un hôtel de Roissy en France le 3 juin.
05:15Les sabotages sur l'infrastructure des lignes à grande vitesse le 26 juillet, le jour même donc de l'ouverture des Jeux. Et de notre côté, le nombre de manœuvres de désinformation
05:25pour dissuader les visiteurs, déstabiliser notre société, a largement cru depuis l'automne 2023. Le rehaussement de nos boucliers cyber a été bien utile,
05:34car plusieurs attaques pour espionner, pour saboter des infrastructures critiques ont bien été constatées. Et je veux dire que tous ces dispositifs nous ont aussi été utiles
05:44pour les élections européennes plus législatives. Ils étaient en place. Et cela nous a permis d'être efficaces pour les européennes. Les législatives, compte tenu de la surprise
05:54que ça représentait pour beaucoup de monde, y compris donc pour nos contradicteurs, ont été de ce point de vue moins attaquées.
06:01Nous nous sommes beaucoup intéressés au SGDSN, à l'organisation de la gouvernance de la sécurité des Jeux, pour vérifier sa pertinence. Tout le champ devait être couvert.
06:10Chaque entité, dans le cadre de ses compétences, devait pouvoir disposer d'une structure d'informations et de décisions opérationnelles. Mais il fallait aussi éviter les redondances,
06:20les concurrences entre les différents centres de commandement. Et il y en avait beaucoup. Et pire, une mauvaise coopération. Bref, des trous dans la raquette.
06:29Nous avons monté un exercice dans ce but au printemps qui a permis de valider le dispositif qui avait été mis en œuvre. Et de fait, ces centres Paris 2024,
06:38les collectivités territoriales, les services publics, l'État, bien sûr, ont travaillé ensemble de façon fluide, bien coordonnée, sous l'égide du délégué interministériel aux Jeux,
06:48du préfet de police, des préfets de Paris et des départements concernés et du CNSJ au niveau ministériel. Ils ont été efficaces.
06:58Et c'est une leçon utile pour nous, pour le futur. Mes services ont aussi élaboré un bilan des actions menées pour ce qui concerne le SGDSA dans lui-même.
07:06S'agissant de la protection et de la sécurité de l'État, la direction en charge a conduit très en amont une politique de préparation des acteurs à la gestion de crise et à l'anticipation.
07:17Elle a conçu des outils d'aide à la décision avec une doctrine, des scénarios de crise, un mémento pour travailler efficacement en cas de crise.
07:27Elle a organisé des exercices pour les valider. Et elle a managé également la sécurisation à tous les niveaux des réseaux, les réseaux électriques,
07:36les réseaux de télécommunications, y compris par satellite, les réseaux de distribution d'eau, de moyens de paiement électroniques, puisque beaucoup de choses se faisaient par carte de paiement.
07:46Elle a organisé également des expérimentations technologiques, notamment dans la détection de matières NRBC, dans la surveillance des drones.
07:54Et elle a surveillé la formation de centaines de chiens à la détection d'explosifs. Pendant les Jeux, elle a assuré la veille et était prête, en cas de besoin,
08:03à contribuer à une cellule interministérielle de crise au service du Premier ministre.
08:08Lancie, en tant que chef de file nationale de la cybersécurité, a mené un important travail de diagnostic et de prévention pour la protection des systèmes d'information
08:17des principaux acteurs des Jeux, très en amont. Les vulnérabilités des systèmes ont été testées. Et je dois dire heureusement, puisque malheureusement, il y avait du travail.
08:28Les vulnérabilités, donc, ont pu être corrigées. Des sondes ont été placées aux bons endroits. Des pare-feux ont permis également d'entraver de nombreuses attaques à temps.
08:39Au bilan, le relèvement de nos défenses a évité ou limité beaucoup d'attaques. Pour cela, et c'est à mettre à l'actif de Lancie, elle a veillé à l'excellente coordination
08:51entre acteurs publics et privés, nationaux, européens et internationaux. Beaucoup se connaissaient peu ou pas avant d'entrer dans la préparation des Jeux.
09:01Et cette expérience va nous permettre, grâce à la collaboration et la confiance qui ont été établies lors des Jeux, de faciliter par exemple la mise en œuvre de la directive NIS 2,
09:10dont le projet de loi de transposition aux droits français vous est désormais soumis. S'agissant de la lutte contre les manipulations de l'information,
09:17Virginie m'a démontré au public que les habituels acteurs étrangers de la désinformation ont pour certains, très en amont, tenté de nuire à nos intérêts fondamentaux
09:26en présentant une France incapable de tenir les Jeux, car en proie à des émeutes, à la sécurité, au terrorisme, envahie par les punaises de lits.
09:36Des autocraties ont aussi tenté d'instrumentaliser les Jeux pour obtenir des avantages en géopolitique dans le cadre des conflits en cours, Iran contre Israël.
09:45Et Lancie a réussi à bloquer en juillet une attaque en ce domaine qui visait à prendre le contrôle de l'ensemble de panneaux d'informations variables en France.
09:54Et des actions ont aussi été montées pour opposer les systèmes autocratiques, certes beaucoup plus organisés, beaucoup plus directifs et avec moins de place à l'initiative privée, par rapport aux nôtres.
10:08Virginie, dans ce cadre, a su travailler étroitement avec d'autres services de l'État, dont la préfecture de police de Paris, la DGSI, le ministère des Affaires étrangères,
10:17le ministère des Sports, des Transports, etc., et aussi avec beaucoup de partenaires étrangers pour faire face à ces opérations.
10:24Et nous avons dans ce domaine une excellente coopération avec les uns et les autres.
10:28Je ne veux pas non plus oublier le travail de LOSIC, l'opérateur des systèmes d'information classifiés, qui s'est employé à ce que toutes les autorités puissent à tout instant communiquer entre elles en toute discrétion et où qu'elles soient.
10:42Au bien, l'excellent bilan sécuritaire des Jeux tient sans doute tant à cette préparation très en amont qu'à la mobilisation exceptionnelle, historique, de notre pays avec le concours de ses alliés face à nos adversaires,
10:56pas seulement pour la sécurité, mais pour l'accueil et l'hébergement des athlètes et des spectateurs, leur transport, leur santé.
11:03Et je mesure ce succès aux félicitations sincères reçues de nos amis britanniques, qui ont organisé les Jeux en 2012, et américains, qui les organiseront en 2028.
11:13Ces Jeux sont ainsi l'illustration de ce que notre pays, qui doute si souvent de lui-même, est capable de construire et de réaliser. Et en ces temps difficiles, cela peut donner confiance.
11:26S'agissant de l'état de la menace, pour préparer mon propos, j'ai relu le compte-rendu de mon audition l'année dernière, en 2023.
11:33Je n'ai hélas pas grand-chose à retrancher. Et au contraire, les menaces s'accroissent et nous sommes mobilisés face à elles.
11:40Et bien sûr, l'élection de Donald Trump aux États-Unis, cette nuit, va rebattre toutes les cartes.
11:46La Russie impérialiste gagne des points dans sa guerre en Ukraine sur le plan militaire, sur le plan diplomatique grâce aux BRICS qui ont rompu son isolement,
11:54sur le plan économique grâce au contournement des sanctions et à sa résilience. Dans ce domaine, que va faire Trump ?
12:01Comment et quand cette guerre va-t-elle finir ? Quelles en seront les conséquences pour l'Europe ? Nous entrons évidemment dans une période qui va être très complexe.
12:08J'ajoute qu'en Afrique, la Russie continue à conquérir de l'influence, ou à tenter en tout cas de la conquérir, grâce à la manipulation de l'information et à sa présence militaire.
12:18Même si elle est inefficace contre le terrorisme, elle protège en tout cas les jeunes qui sont arrivés au pouvoir.
12:24Au Proche-Orient, il y a toujours un risque d'embrasement de toute la région autour de l'Iran et d'Israël.
12:29Outre le retour de Donald Trump, l'éviction hier du ministère israélien de la Défense aux Afghans auront des conséquences.
12:35Et tout ceci amène un risque de prolifération nucléaire dans bon nombre de pays, un risque de multiplication des conflits régionaux, qui évidemment ne peut que nous inquiéter pour les années à venir.
12:47La COP 29 à Bakou se présente mal, alors que les manifestations du réchauffement de la planète s'accroissent.
12:54Incendies, inondations, cyclones de plus en plus ravageurs, pénuries d'eau. Et nous en sommes et en serons victimes.
13:02Les pénuries d'eau aujourd'hui en Guyane le démontrent amplement après celles qui ont touché Mayotte l'année dernière.
13:09Nous travaillons en conséquence plus ardemment, si je puis dire, sur la réforme de la planification de nos réactions aux crises et aux catastrophes pour la rendre plus lisible et opérante.
13:20Et nous travaillons sur la stratégie nationale de résilience pour amener l'État, les collectivités territoriales, les entreprises et les citoyens à collectivement s'y préparer.
13:30Nous en parlerons évidemment là encore dans le cadre du projet de loi sur la résilience des entités critiques en application de la directive européenne sur ce sujet.
13:38Aux États-Unis, les résultats de l'élection présidentielle vont changer leur relation au monde autour de quelques déterminants.
13:45Les États-Unis sont engagés dans une compétition agressive avec la Chine pour conserver leur leadership mondial économique et militaire.
13:53Dans ce contexte, le sort des Européens, si j'en crois ce que disait le candidat qui vient d'être élu, semble être moins leur priorité.
14:02Nous sommes même engagés dans une forme de rivalité économique, comme Donald Trump l'a souligné.
14:07L'adoption de l'Inflation Reduction Act par l'administration Biden en était déjà une première traduction.
14:13L'annonce par Trump de nouveaux droits de douane sur les importations européennes, sa méfiance envers l'OTAN,
14:19notre dépendance par ailleurs pour nos approvisionnements en énergie vers les États-Unis et en matières premières, en métaux rares,
14:27tout cela laisse prévoir pour nous et pour l'Europe des temps agités.
14:32Évidemment, le SGDSN est très engagé sur ces sujets de sécurité économique en liaison avec le ministère de l'Économie et des Finances.
14:40L'Europe, elle se partage entre ceux qui pensent qu'elle doit se renforcer et ceux qui considèrent que, hors de l'atlantisme, il n'y a point de salut.
14:49Le Parlement européen et la nouvelle Commission vont être confrontés à la recherche d'un nouveau modèle économique, moins naïf, plus souverain,
14:57d'autant que l'économie européenne souffre des prises de position passées.
15:02Je pense entre autres à la fin des véhicules thermiques en 2035, au projet de traité de Mercosur, aux taxonomies, certes vertueuses, mais qui entravent nos entreprises.
15:13Le rapport Draghi est un signal d'alarme, en même temps un signal d'espoir dans la mesure où il évoque les pistes pour rétablir notre compétitivité.
15:20Mais pour l'instant, nous sommes bel et bien en train de perdre les batailles de l'innovation, de l'intelligence artificielle, du spatial, de l'autonomie alimentaire,
15:29de l'autonomie stratégique, alors que le monde se repolarise en blocs et nous perdons donc progressivement notre souveraineté.
15:37Dans ce contexte, les menaces hybrides se sont renforcées.
15:41Attaques cyber, désinformation sont des armes pour que les autocraties gagnent la guerre sans avoir à combattre.
15:48Le SGDSN veillera encore en 2025 à une solide coopération interministielle pour nous en protéger.
15:53Et les deux stratégies qui sont lancées, l'une en matière cyber, l'autre en matière de lutte contre les manipulations d'informations,
15:59ont pour objectif à la fois de renforcer le travail de l'administration, l'organisation de notre gouvernance,
16:05de travailler aussi sur les relations que nous pouvons avoir avec nos pays alliés pour être plus forts et coordonner nos efforts dans ce domaine,
16:13et puis évidemment pour renforcer notre protection et notre efficacité dans ce domaine.
16:19Y compris en s'ouvrant vers ce que nous appelons le monde académique.
16:23En fait, l'information, j'allais presque dire l'éducation des citoyens à la sécurité cyber
16:29ou à la compréhension de ce qu'ils lisent sur les réseaux sociaux pour mieux se protéger de ces attaques telles qu'elles existent.
16:37Évidemment, nous continuerons à travailler avec nos alliés, les démocraties, qui sont les cibles premières.
16:43Hier encore, aux États-Unis, on l'a vu.
16:47Je ne saurais enfin, bien sûr, oublier le risque d'attentat.
16:50Même si nous avons levé dans Vigipirate un certain nombre de mesures de surveillance et de vigilance
16:55adaptées aux manifestations sportives et aux grands rassemblements de publics après les JO,
16:59le Premier ministre a souhaité garder le niveau le plus élevé urgence-attentat,
17:04compte tenu de la situation internationale qui peut catalyser la menace endogène.
17:09Et dans ce contexte durablement incertain, le SGDSN, vous l'avez rappelé, M. le Président, est plus que jamais concentré sur ses missions.
17:16Elles sont triples, celles qui relèvent du secrétariat des conseils présidé par le président de la République,
17:21les conseils de défense et de sécurité nationale, le conseil des armements nucléaires
17:25ou le conseil de politique nucléaire, qui est désormais rattaché, suite à la loi que vous avez votée, au SGDSN.
17:32Celles qui relèvent de l'animation de politiques interministérielles également,
17:36donc du Premier ministre, comme la planification de sécurité nationale, l'anticipation des crises.
17:41Évidemment, nous travaillons fortement sur ce qui peut se passer dans les prochaines années et dans les prochains mois.
17:46La sécurité économique, conjointement avec Bercy, ou l'instruction des demandes d'exportation de matériels de guerre et de biens à double usage.
17:53Et le rapport vous sera présenté le 26, je crois, pour vous indiquer ce qui a été fait et décidé
18:00dans le cadre de la commission interministérielle que j'ai l'honneur de présider.
18:04Et puis enfin, les dernières missions, ce sont celles des opérateurs interministériels dont j'ai parlé.
18:09Dans cette optique, nous avons beaucoup travaillé à la préparation du projet de loi qui vous est soumis
18:13et que j'ai cité devant vous à plusieurs reprises, qui transpose trois directives européennes, REC, NIS2 et DORA,
18:20et qui doit donc nous permettre de renforcer la protection de la nation et notre résilience collective.
18:25Qu'il s'agisse de la continuité d'activité des quelques 300 opérateurs d'importance vitale,
18:30c'est-à-dire des opérateurs qui sont utiles à la maîtrise d'une crise, c'est la directive résilience des entités critiques.
18:37Qu'il s'agisse avec la directive NIS2 de la cybersécurité des 15 000 entités importantes ou essentielles
18:43dont l'interruption des systèmes informatiques bloquerait les services aux usagers,
18:48et donc entraverait lourdement et durablement notre activité.
18:52Ou bien qu'il s'agisse de la directive DORA pour améliorer la résistance des institutions financières,
18:57des banques et des compagnies d'assurance.
18:59Ce projet de loi a été préparé en collant au plus près aux directives,
19:03en évitant donc la surtransposition, qui est souvent notre péché mignon dans l'administration française,
19:08et je ne suis d'ailleurs pas sûr qu'il soit mignon,
19:10qui créerait des inégalités entre nous et nos voisins.
19:14Pour autant, il nous dotera d'outils qui seront collectivement très utiles.
19:19Cependant, afin de ne pas peser brutalement sur les opérateurs,
19:23la ministre Mme Schapaz, qui défendra ce projet devant vous,
19:27vous proposera que l'application des nouvelles règles de sécurité soit proportionnée et très progressive.
19:33En particulier pour la cybersécurité des collectivités territoriales,
19:37le gouvernement souhaite les exempter de sanctions en cas de carence affirmée,
19:41puisque leur moteur n'est pas le profit, mais l'intérêt général.
19:45J'ajoute que les collectivités regroupant moins de 30 000 habitants seront exemptées d'obligations nouvelles.
19:51Nous aimerons, en liaison évidemment avec vous, à mettre en avant la pédagogie et un travail de conviction.
19:57En effet, la résilience passe par l'adhésion du plus grand nombre.
20:01Elle ne peut être fondée sur la seule contrainte,
20:04même si, à un moment, il faut bien imposer à certains de ne pas mettre en danger la sécurité de tous par leur carence.
20:12J'en terminerai, M. le Président, évidemment, par un mot sur les moyens du SGDSN prévus dans le PLF 2025.
20:19Vous le savez, le gouvernement a placé la question des finances publiques au cœur de son action.
20:23Cela se traduit par des efforts demandés au service de l'État et aux collectivités,
20:28et bien entendu au Premier chef au service du Premier ministre.
20:32Et dans ce cadre, les crédits des services du Premier ministre baisseront légèrement en 2025.
20:37S'agissant du SGDSN, les moyens de 2025 seront presque identiques à ceux de 2024.
20:43Nous devrons fonctionner avec 307,6 millions d'euros,
20:46soit 8 millions de moins qu'en 2024, dont pour le hors T2 242 millions en AE et 243 millions en crédit de paiement.
20:55Cette baisse concernera surtout les CETIM, les crédits techniques d'investissement mutualisé
21:00qui soutiennent les investissements techniques que se partagent les services de renseignement.
21:04Nous compterons 1 284,7 ETP, hors effectif militaire, qui se monte à 305.
21:12Et notre schéma d'emploi en 2025 ne prévoit pas la création de nouveaux emplois.
21:17Nous avons donc pris des mesures pour adapter notre organisation de façon à assurer la continuité des missions importantes.
21:25Nous priorisons nos missions, nous cherchons les économies,
21:28mais je peux vous l'assurer, nous ne serons pas empêchés dans notre cœur de métier.
21:33En revanche, certains projets des services, notamment en soutien à des partenaires étrangers,
21:38devront être réduits ou retardés.
21:41Le renouvellement de certains matériels, certains investissements, notamment immobiliers,
21:45devront être décalés, ce qui nous obligera à garder encore, sans doute, des locaux que nous l'avons actuellement.
21:51Mais dans tous les cas, l'ESGDSN sera au rendez-vous de 2025, comme il l'aura été en 2024.
21:58Vous avez parlé, M. le Président, de l'IHEDN. Je pourrais évidemment revenir sur ce sujet.
22:03L'IHEDN, après avoir suivi une réforme importante au début des années 2020,
22:12aujourd'hui fonctionne efficacement et avec beaucoup de succès,
22:17puisque les sessions accueillent de plus en plus d'auditeurs,
22:21et ils travaillent de plus en plus efficacement pour assurer l'information de l'ensemble des corps de la nation,
22:29et assurer également le rayonnement de notre défense, non seulement en France, mais sur l'étranger.
22:35Les efforts qui lui sont demandés cette année devront être revus l'année prochaine.
22:40Mais cela fera partie effectivement du débat que nous avons.
22:44Nous tutèlons l'IHEDN, le ministère des Armées et évidemment les services du Premier ministre.
22:50En tout état de cause, cette année, ce que m'indique le patron de l'IHEDN
22:56est que, malgré les efforts qui sont demandés, il arrivera à y faire face cette année.
23:01Pardonnez-moi d'avoir été un peu long. J'aurais pu l'être davantage,
23:05tant les sujets pour notre maison sont passionnants et vont l'être encore plus dans les prochaines années.
23:10Et si vous me le permettez, avant de me livrer à vos questions, je passe la parole à mes collègues.
23:15Et je vous remercie de votre écoute.
23:21Monsieur le Président, messieurs les rapporteurs, mesdames et messieurs les sénateurs,
23:25quelques mots complémentaires dans ma ligne de nage de la cybersécurité.
23:29J'ai un peu de mal à me défaire des métaphores sportives qui ont agrémenté les deux dernières années sur les JO.
23:35D'abord, pour vous donner quelques précisions sur la menace en matière de cybersécurité.
23:40Menace qui évolue et qui s'intensifie en termes quantitatifs,
23:45puisque la simple comparaison du nombre d'incidents significatifs traités par l'ANSI en 2022 et 2023
23:53donne une augmentation d'à peu près 30%.
23:55Passer de 832 incidents significatifs à 1112.
23:59Et je touche du bois pour prédire en m'irrisquant que l'augmentation sera du même ordre, si ce n'est plus, en 2024.
24:10Au-delà de ces chiffres bruts, la menace évolue.
24:16Elle s'intensifie dans notre cœur de métier historique qui est la réponse à la menace stratégique.
24:2112 euphémismes pour dire les attaques menées par des États contre nos intérêts les plus fondamentaux.
24:26Notre cœur de métier, ce qui nous occupe le plus, reste l'espionnage.
24:29Toujours ciblé sur des entités stratégiques, des administrations sensibles, des entreprises innovantes ou parfaitement stratégiques.
24:37Cette menace d'espionnage, elle est toujours aussi présente, elle se diversifie.
24:41Elle touche aussi de nouveaux types d'acteurs comme les think tanks.
24:44Nous avons publié un état de la menace sur ces acteurs particuliers, sur les organes de normalisation par exemple.
24:50Elle s'étend aussi à toute la chaîne de valeurs.
24:53Face à des acteurs stratégiques qui se protègent de mieux en mieux,
24:56les attaquants savent s'en prendre aux maillons faibles que sont les prestataires, les sous-traitants.
25:00Et donc nous avons une cible quelque part de plus en plus large à couvrir.
25:03L'autre composante de cette menace stratégique étatique, c'est le sabotage,
25:07qui est malheureusement quelque chose que nous anticipions depuis des années,
25:11et qui est aujourd'hui une réalité parfaitement tangible,
25:14qui est le quotidien de l'Ukraine depuis des années, et sans doute plus que trois.
25:19Qui est une réalité qu'on voit se préparer dans notre parti.
25:22Le sabotage.
25:24Concrètement, ça veut dire détruire des infrastructures, des opérateurs de l'énergie, des télécommunications.
25:30On a vu un opérateur comme Kifstar, opérateur téléphonique majeur de l'Ukraine,
25:35être totalement paralysé par une cyberattaque.
25:37Ce qu'on voit dans notre parti plus occidental, de l'Europe, c'est de la reconnaissance
25:42des acteurs qui cherchent à mieux cerner les contours de nos infrastructures critiques,
25:46voire du prépositionnement, c'est-à-dire des acteurs qui prennent le contrôle,
25:49qui s'installent au sein des réseaux de nos opérateurs critiques, sans faire de l'espionnage.
25:54Et donc, nous supposons qu'ils sont là pour pouvoir, le cas échéant, tout éteindre ou tout casser,
25:58le moment venu, quand on leur donnera l'ordre.
26:01Alors, s'il n'y avait que cette menace-là à traiter, ce serait déjà ambitieux.
26:05Malheureusement, l'autre évolution majeure des quelques dernières années,
26:09c'est l'explosion d'un autre type de menace qu'on appelle systémique.
26:12C'est celle qui n'est pas ciblée, qui n'épargne personne,
26:15qui touche en premier lieu les victimes les plus faciles,
26:18qui est liée particulièrement au crime organisé, qui cherche à faire de l'argent,
26:22à travers du rançongiciel, c'est-à-dire la paralysie d'infrastructures informatiques
26:26et l'extorsion de rançons pour les libérer.
26:29Ce crime organisé pratique depuis quelques années une pêche au chalut.
26:33Il attrape tout ce qu'il peut.
26:35Nos hôpitaux ont été les victimes les plus visibles en 2022, en 2021 même,
26:40avec des situations proprement catastrophiques.
26:43Sur ce plan-là, nous pouvons noter une certaine amélioration,
26:46même si on est loin d'être sortis de la zone de vulnérabilité de nos hôpitaux.
26:50Leur capacité à réagir efficacement face aux attaques s'est nettement améliorée.
26:53Nous n'avons eu qu'un incident réellement grave au cours de l'année écoulée,
26:58c'est celui d'Armentière, et beaucoup d'accidents qui auraient pu être graves
27:01et qui ont été évités.
27:04Malheureusement, ce ne sont pas les seules victimes,
27:08et on reste sur un plateau haut de la menace et de la victimologie
27:11pour les autres victimes récurrentes de ce type d'attaques,
27:14que sont les collectivités, avec encore des catastrophes,
27:17à Albi, à Saint-Nazaire, et j'en passe bien d'autres,
27:20avec nos entreprises, de toute nature.
27:23Je note par exemple que les médias ne sont pas à l'abri de ce genre de choses,
27:26puisque Libération se débat depuis le week-end dernier avec une attaque de ce type-là,
27:30puisque les éditions Bayard se sont vues très largement contraintes,
27:34y compris dans la publication du quotidien La Croix il y a quelques semaines.
27:37Et c'est reproductible à l'identique dans tous les secteurs d'activité.
27:41Malheureusement également, ces acteurs du crime organisé
27:46se tournent de plus en plus également, en complément ou en alternative
27:50à la paralysie des infrastructures informatiques, vers le vol de données
27:53et l'exigence de rançons contre leur non-publication.
27:56Ce qui fait qu'on a une victimologie qui évolue aussi,
27:59notamment les acteurs du domaine social, qui détiennent des données sensibles
28:02dont la publication est évidemment un événement marquant
28:07et quelque chose que les acteurs concernés cherchent à éviter.
28:10Les acteurs du tiers payant ont fait les frais en début d'année, en février,
28:14au même moment où un acteur équivalent du paiement des prestations de santé,
28:19Change Health Care, connaissait une attaque équivalente, voire pire, aux États-Unis.
28:24Et je pense que c'est la première attaque dont le chiffrement financier de l'impact
28:31dépasse le milliard de dollars, puisque le paiement des prestations de santé
28:35a été bloqué pendant plusieurs semaines aux États-Unis.
28:38On voit également cette menace se développer, malheureusement,
28:40dans le domaine de l'enseignement supérieur et de la recherche,
28:42avec l'exemple de l'université de Paris-Saclay, qui en a été victime à la fin de l'été.
28:46Dans ce domaine systémique de la menace, on voit de plus en plus également
28:50d'acteurs revendicatifs du domaine activiste, qui sont pro quelque chose
28:54ou contre quelque chose, qui ne font pas forcément des choses très graves,
28:57mais qui font des choses très visibles et malheureusement gênantes au quotidien,
29:01notamment dans le contexte géopolitique que nous connaissons, mais pas que,
29:05qui paralysent certains sites web par des attaques de déni de service
29:08qui sont de la simple saturation, c'est l'opération escargot,
29:11mais ça reste embêtant, et qui essaient de faire de manière très désinhibée
29:15de plus en plus de choses, y compris contre des infrastructures
29:18qui pourraient être critiques à grande échelle.
29:20On a vu, par exemple, certains de ces acteurs, la Cyber Army of Russia Reborn,
29:23un vaste programme, s'en prendre à des installations, des micro-installations
29:28de production d'électricité, des micro-barrages ou des éoliennes,
29:32pour détruire physiquement ces équipements à travers des attaques
29:34qui étaient d'une technicité très faible, mais que nous surveillons évidemment de près.
29:38Donc évidemment, cette évolution de la menace, c'est quelque chose
29:40qui nous amène à nous repencher sur la protection, avec le travail à venir
29:45sur NIS2, mais d'autres textes réglementaires également, que j'évoquerai rapidement.
29:49Un petit point quand même sur les Jeux Olympiques, pour vous dire
29:52que toute cette menace que je vous décris est celle à laquelle nous avons été confrontés
29:55dans la préparation et la mise en œuvre des Jeux Olympiques.
29:58L'ANSI a été désigné en juillet 2022 chef de file de la cybersécurité des Jeux,
30:03ce qui nous a donné lieu à un travail en deux phases.
30:06Un travail de chef d'orchestre de la préparation pendant deux ans,
30:10avec un travail de prévention, d'accompagnement de près de 500 identités
30:16jugées critiques pour l'organisation des Jeux, de tests de leur sécurité,
30:20d'amélioration de leur sécurité, d'entraînement également, qui est un enjeu essentiel,
30:23et de communication aussi pour arriver à toucher ces acteurs-là,
30:27qui étaient des acteurs auxquels l'ANSI ne parlait pas jusqu'à présent,
30:30des fédérations sportives par exemple, des lieux de compétition, des stades,
30:33beaucoup d'acteurs que nous avons découverts à travers la préparation.
30:37Et puis au-delà de ces deux ans de préparation, trois mois de ce que je qualifierais
30:40de la gestion de crise, même s'il n'y a pas eu de crise majeure visible,
30:43nous avons été en organisation de gestion de crise pendant trois mois,
30:46non-stop, comme d'autres services de l'État, afin de traiter en horaire étendu
30:49tout ce qui pouvait se passer du 8 mai, arrivée de la flamme,
30:52au 8 septembre, fin des Jeux paralympiques.
30:55Tout ça avec des moyens spécifiques de l'ordre de 12 millions d'euros
30:58qui nous ont permis d'industrialiser des prestations de services
31:01et des équipements en matière de cybersécurité,
31:04mais surtout la consacration de 30% peu ou prou de la capacité de l'ANSI
31:09pendant ces deux ans à la préparation des Jeux,
31:12et de 100, voire 120% de ces capacités pendant les trois mois de la période olympique,
31:16puisque l'ensemble des agents de l'ANSI étaient sur le pont,
31:19y compris ceux dont le métier quotidien n'est pas de gérer des crises cyber,
31:23ont été entraînés et mobilisés pour cette période d'accompagnement des Jeux.
31:28Le résultat est, et c'est suffisamment rare dans notre domaine pour le signaler,
31:33une victoire sans ambiguïté.
31:36Aucune cyberattaque n'a perturbé le déroulement des Jeux,
31:39ni entamé la confiance, et c'était un enjeu plus subtil et subjectif,
31:43mais important, la confiance des délégations, des spectateurs,
31:46de nos partenaires internationaux, qui étaient très préoccupés également
31:49par la sécurité des Jeux.
31:51Pour autant, il ne s'est pas rien passé.
31:53Nous avons été confrontés à une vague significative d'attaques.
31:56L'ANSI a dénombré, dans cette période olympique et sur le périmètre olympique,
32:00548 tentatives d'attaques, dont 83 ont réussi à produire des effets,
32:06la plupart du temps mineurs, mais non nuls.
32:11Ces chiffres interrogent toujours.
32:13Je précise que lorsque le comité d'organisation a sorti ses propres chiffres,
32:19à savoir 55 milliards d'attaques, il s'agit bien de la même chose
32:22que nous comptons, c'est juste que nous la comptons de manière différente.
32:25Puisque pour une attaque, un attaquant et une tentative d'attaque comptées
32:28par l'ANSI, les organisateurs, et c'est légitime de leur point de vue,
32:31et ça n'a rien de critiquable, comptent les milliers d'actions techniques
32:35individuelles qui conduisent à cette attaque.
32:37Donc on est bien dans un volume d'attaques qui a significativement
32:39progressé par rapport aux Jeux de Tokyo.
32:41Pour autant, l'énorme majorité de ces attaques a été bloquée très tôt.
32:48Quelques exemples, l'établissement public de la Villette,
32:51qui hébergait un certain nombre de délégations et le village olympique,
32:55l'accord Arena de Bercy, qui accueillait un certain nombre d'épreuves,
33:00ont vu des attaques bloquées très tôt et sans qu'elles produisent d'effet
33:05grâce à des mécanismes de détection qui avaient été mis en place par l'ANSI.
33:09On peut parler également de l'assainissement de l'eau,
33:11qui a été une cible pour un certain nombre d'acteurs,
33:13sur lequel nous avons mené un travail spécifique et qui a réussi à tenir bon.
33:17Le fait qu'on bloque très tôt les attaques fait que nous n'avons pas
33:19toujours ni l'identité de l'attaquant ni son intention.
33:22Mais ça me donne à penser qu'à l'évidence, il y avait des gens
33:25qui nous en voulaient, qui en voulaient au bon déroulement des Jeux,
33:28et il y en avait dans toutes les composantes de la menace.
33:30Des Etats qui ont cherché à saboter certaines choses,
33:34qui ont cherché à espionner.
33:36Des criminels qui ont cherché à faire de l'argent avec du rançongiciel.
33:39Le Grand Palais en a fait les frais, mais là encore sans impact sur la compétition.
33:43Et puis des activistes de tout poil, dont ceux qui avaient annoncé
33:46vouloir s'en prendre à l'assainissement des eaux de la Seine.
33:49Sans succès.
33:51Donc, au bilan, les mesures de prévention que nous avons mises en place
33:55ont été efficaces.
33:56Le collectif, l'équipe de France de la cybersécurité,
33:58a été d'une efficacité remarquable.
34:00Et c'est un vrai travail collectif et une vraie victoire collectif.
34:03Nous avons aussi fait preuve d'une transparence assez nouvelle
34:07qui a porté ses fruits dans le partage rapide de l'information
34:10avec nos partenaires étrangers, mais aussi avec les médias.
34:13Et je tiens à souligner que nous n'avons pas vu pendant ces Jeux
34:16ce que nous avions pu voir précédemment,
34:18c'est-à-dire des reprises sans esprit critique,
34:21de revendications parfois à braquades bantresques
34:23de certains groupes activistes,
34:25dont ceux qui disaient qu'ils avaient pollué la Seine.
34:27Ça, ça n'a pas été repris, ce n'était pas vrai.
34:29Et ça n'a pas été repris comme ça aurait pu l'être
34:31et ce qui nous aurait posé un problème.
34:33C'est aussi l'occasion de signaler une coopération étroite avec Viginium
34:36qui montre toute la pertinence de notre positionnement commun
34:40au sein du AGDSN, parce que ces enjeux-là
34:42sont évidemment la frontière entre le cyberattaque
34:44et la manipulation de l'information.
34:46Tout ça est très riche en enseignements pour la suite,
34:49riche en enseignements, mais aussi avec un message d'humilité,
34:53puisque finalement, dans la préparation des Jeux,
34:56nous avions une unité de temps et de lieu,
34:58nous savions quand et où les attaquants allaient chercher
35:01à nous faire du mal, et donc le problème plus général
35:03que nous avons à traiter est quelque part plus complexe.
35:06La suite, en quelques mots, c'est de passer à l'échelle,
35:10d'apporter des solutions à des petites victimes
35:12qui sortent de notre champ de mission habituel.
35:14Nous avons aujourd'hui une capacité reconnue,
35:16et je tiens à le signaler, pour faire face à la menace étatique
35:19sur notre cœur d'intérêts fondamentaux,
35:21qui sont les opérateurs critiques, les administrations sensibles.
35:24Je signale au passage que nous le faisons de manière frugale,
35:27puisque nous sommes des petits parmi les grands,
35:30dans la petite ligue 1 des nations qui savent faire face
35:33à ce type de menaces.
35:35Nous faisons ça avec un peu plus de 600 agents
35:38et un budget de l'ordre de 25 millions d'euros,
35:41là où les Allemands sont trois fois plus nombreux,
35:431 800 aujourd'hui, et ont un budget 10 fois plus important
35:46de l'ordre de 240 millions d'euros.
35:48Tout ça est au maître au crédit des agents de l'Annecy,
35:51évidemment, aussi des pouvoirs dont vous avez bien voulu
35:54nous doter à travers la loi, et d'une organisation
35:56qui a fait ses preuves en concentrant,
35:58au-dessus de la mêlée, dans une agence unique,
36:00l'ensemble du champ d'intervention de la cybersécurité,
36:03même si nous travaillons toujours en étroite coopération
36:06avec le secteur privé autant que les services de l'Etat.
36:09La suite, ça va être de transformer cette excellence
36:12pour en faire bénéficier le plus grand nombre, quelque part,
36:15répondre aux besoins d'une nature un peu différente
36:18de milliers d'acteurs qui sont aujourd'hui confrontés
36:20à la menace systémique, avec la directive NIS 2,
36:23qui en est le principal levier réglementaire,
36:25dont je signale, même si ce n'est pas évident,
36:28qu'elle n'est pas la suite logique de NIS 1.
36:30La directive NIS 1, qui est relativement récente,
36:33était concentrée sur quelques centaines
36:35d'opérateurs absolument essentiels.
36:37NIS 2, c'est la couverture de milliers d'acteurs
36:40bien plus petits contre une menace de nature différente
36:42qui est la menace systémique non ciblée.
36:44Ça va amener un changement du positionnement de l'Annecy,
36:47évidemment, un défi pour nous de trouver
36:49le juste niveau d'exigence, pas trop élevé,
36:51parce qu'on ne va pas traiter à une PME
36:53comme on traite à un Airbus ou un EDF,
36:55mais pas trop bas non plus,
36:56puisque sinon ça ne servira à rien.
36:58Ça va nous amener plus que jamais à mobiliser
37:00cette équipe de France de la cybersécurité,
37:02celle qui a remporté la médaille d'or
37:04de la cybersécurité des Jeux,
37:06qui a fait des miracles,
37:08et qui va devoir travailler,
37:09toujours dans ce même collectif,
37:10à accompagner ces milliers d'entités
37:12dont la maturité cyber reste à construire.
37:15Et puis ça va nécessiter du temps.
37:17Tout ça, faire bien les choses,
37:19j'ai eu l'occasion de le dire et je le répète,
37:22on ne fera pas ça en moins de trois ans,
37:24la mise en conformité avec Nice 2, voire plus.
37:27Et on le fera dans la pédagogie
37:30et dans la co-construction,
37:31comme on l'a fait jusqu'à présent,
37:32depuis septembre,
37:33avec la consultation de 79 fédérations professionnelles,
37:36c'est quand même une première à cette échelle
37:38pour l'Annecy,
37:39de 13 associations d'élus,
37:41et c'est une consultation qui se poursuit.
37:43Je signale dans le même champ réglementaire
37:45un autre objet,
37:46qui est le CRA, le Cyber Resilience Act,
37:48qui est un règlement européen
37:50qui sera donc d'application directe,
37:52qui est la face complémentaire de Nice 2,
37:55d'une même pièce,
37:57puisque là où Nice 2 va réguler
37:59les utilisateurs du numérique,
38:01le CRA va imposer des exigences de base
38:03à tous les producteurs de produits numériques
38:05sur le marché intérieur européen
38:07et, quelque part,
38:08équilibrer les responsabilités
38:09entre ceux qui utilisent le numérique
38:11et qui ont certaines responsabilités
38:13et ceux qui produisent les briques de base du numérique,
38:16qui portent une responsabilité éminente
38:18dans les défauts de sécurité constatés
38:20et qui ont une vraie marge de progression
38:22qui mérite qu'on les régule.
38:25Voilà pour ces auditions
38:26que vous avez pu suivre sur Public Sénat.
38:27N'hésitez pas à lire les décryptages
38:29et à voir les replays
38:30sur notre site publicsenat.fr.
38:32Le site s'affiche sur votre écran.
38:34Très belle suite des programmes sur Public Sénat.