Intervention de Stéphane Bouillon

Le SGDSN contribue, au sein de l'État, à la protection du pays non seulement contre les menaces ouvertes et affirmées, sur lesquelles vous êtes amenés à travailler également, mais aussi contre celles, plus discrètes, sournoises, qui visent à nous affaiblir sans que le seuil de conflictualité ne soit franchi, et parfois même sans que leurs auteurs ne puissent être identifiés.

Le champ de ces menaces s'est étendu et complexifié au cours des dernières années, compte tenu de la situation internationale, et leur impact est de plus en plus perceptible sur notre sol. Parmi ces menaces, figurent celles qui sont qualifiées d'« hybrides ». Nous les avons classées en plusieurs catégories.

Il y a d'abord les attaques dans le cyberespace, dont l'ampleur devient considérable. Si elles sont souvent de nature criminelle, visant à extorquer une rançon ou à vendre des données préalablement pillées – c'est ce qui s'est passé avec nos hôpitaux –, elles peuvent aussi répondre à des objectifs d'espionnage et se traduire par la prise de contrôle ou le sabotage de systèmes informatiques. Dans ce domaine, ce sont très souvent des États qui sont à la manœuvre, ou les opérations utilisent des proxys situés de manière privilégiée dans certains États.

C'est ce qui s'est passé lors de l'affaire Sandworm : des attaques informatiques organisées en Russie ont visé des administrations françaises. J'ai alors rencontré mon homologue, M. Patrouchev, dans le cadre d'un canal de déconfliction, et je lui ai indiqué que nous avions constaté qu'un service russe nous attaquait. Dans ce genre de situation, en général, l'adversaire répond : « Très bien. Prouvez le moi. » Or si nous lui fournissons les preuves, il a ainsi le moyen de corriger son système et de ne plus être détecté la fois suivante. L'efficacité de telles démarches est donc limitée.

L'attribution d'une attaque à un pays est complexe, voire risquée : nous annonçons qu'une attaque a eu lieu, dont le mode d'action est imputable, de source ouverte, à tel ou tel pays – en l'occurrence, la Russie, mais la Chine est l'autre acteur principal dans ce domaine. Nous le faisons assez régulièrement, soit de manière autonome, soit en partenariat avec l'Union européenne lorsque plusieurs États membres ont été attaqués, soit en coordination avec les Américains. Il arrive aussi qu'un attaquant utilise par exemple les outils d'APT31, autrement dit un système chinois de cyberattaque bien connu sur le dark web. Pour autant, attribuer formellement une attaque à un État est difficile car les faux-semblants sont permanents : un État peut utiliser APT31 pour faire porter le chapeau à Chine, par exemple. Les pièges sont nombreux.

Il y a également les ingérences numériques étrangères que l'on pourrait qualifier de manipulations de l'information. Il s'agit d'« opérations impliquant […] un État étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d'un service de communication au public en ligne, d'allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à nuire aux intérêts fondamentaux de la Nation », selon les termes du décret pris en Conseil d'État portant création de Viginum. Le Conseil d'État et la Commission nationale de l'informatique et des libertés (CNIL) ont veillé à ce que le dispositif soit précis et n'attente pas aux libertés individuelles. Nous avons bénéficié d'un précieux éclairage du Conseil d'État : celui-ci a considéré qu'au regard de l'objectif constitutionnel de sincérité de l'information délivrée à nos concitoyens, Viginum avait la possibilité d'accéder à certaines données, de manière à vérifier que les internautes français dialoguaient sur les réseaux sociaux avec de vrais internautes et non avec une ferme à trolls située dans une banlieue de Saint-Pétersbourg ou avec des robots se contentant de relayer des informations produites ici ou là.

Dans ce domaine, l'attribution est souvent facile, grâce au travail effectué par Viginum. Elle est également nécessaire, non pas pour dénoncer le fait que tel pays ou telle entité s'est livré à de la désinformation, mais pour expliquer à nos concitoyens qu'ils se sont fait manipuler, qu'on leur a mis dans la tête des idées conformes à ce qu'un dirigeant ou une organisation étrangers souhaitaient qu'ils pensent alors même qu'ils croyaient participer à un débat serein et authentique. Il est très important pour nous de donner à nos concitoyens, sous une forme pédagogique, les éléments d'information leur permettant de juger. À cet égard, les aveux de M. Prigojine concernant sa fameuse ferme à trolls de Saint-Pétersbourg, ou des articles comme ceux que Le Monde a publiés aujourd'hui sur une entreprise israélienne spécialisée dans les manipulations des réseaux sociaux sont très utiles : ils permettent de démontrer qu'une machinerie est à l'œuvre, à l'étranger, dont l'objectif est de nuire à nos intérêts, à la sincérité des débats et, potentiellement, à celle des scrutins.

Le troisième type de menace hybride concerne les atteintes à notre patrimoine scientifique et technique, les tentatives de capter nos savoir-faire dans les entreprises les plus sensibles pour notre souveraineté économique. Cela passe par l'espionnage, le sabotage, la prise de contrôle capitalistique, ou encore le débauchage de talents. Ces manœuvres peuvent être précédées par le démontage réputationnel de l'entreprise à travers des attaques informationnelles. C'est un enjeu auquel nous sommes très sensibles. Chaque année, avec la direction générale des entreprises (DGE) du ministère de l'économie et des finances, nous examinons plusieurs centaines de dossiers concernant ce que l'on appelle des « pépites industrielles », nécessaires à notre économie, faisant l'objet d'attaques ou de tentatives de prédation. Des interdictions d'exportation ou de vente d'une entreprise à un État étranger sont parfois décidées. Il arrive également que Bpifrance et des fonds amis en prennent le contrôle.

Le lawfare est une quatrième forme de menace hybride et d'ingérence étrangère. Il s'agit de l'utilisation du droit international ou de l'application extraterritoriale du droit d'un État. Cela passe aussi par l'imposition de normes internationales telles que des taxonomies, par du lobbying ou par la judiciarisation de certaines activités économiques et sociales à l'international. Le fait pour un État étranger d'engager des poursuites contre le dirigeant d'une entreprise au motif qu'il a vendu du matériel à tel ou tel pays, qui vise ainsi à neutraliser ce dirigeant ou à limiter l'activité de son entreprise, constitue une ingérence étrangère et une manière de porter atteinte à nos intérêts fondamentaux.

Quand une réglementation comme l' International Traffic in Arms Regulations (ITAR) permet aux autorités d'un État, dès lors qu'un produit vendu dans un autre pays contient un composant fabriqué sur son sol, de vérifier si la vente est conforme aux règles qu'il a édictées, il peut s'agir d'une forme d'ingérence, selon la façon dont c'est appliqué. C'est ce que font les Américains depuis plusieurs années, mais aussi les Chinois : ceux-ci ont copié, dans l'esprit, le Patriot act américain et, profitant de leur puissance économique, essaient de s'ingérer dans les économies étrangères. Dans ce contexte également, nous sommes amenés à travailler avec la DGE. Des discussions sont engagées avec l'État concerné. Lorsque les Américains ont des questions à poser aux entreprises, ils passent dorénavant par le SGDSN, avec l'appui de la DGE. Nous vérifions que ces questions sont en rapport avec l'activité de l'entreprise et évaluons l'intérêt de cette dernière. Si nous considérons que certaines de ces questions sont intrusives, qu'elles visent à connaître des secrets de fabrication, nous expliquons à nos amis américains que nous ne jugeons pas la démarche nécessaire à la manifestation de la vérité et nous la bloquons. C'est beaucoup plus compliqué avec les Chinois. Quoi qu'il en soit, nous essayons de progresser dans ce domaine pour contrer les attaques.

Il faut également protéger nos normes face à la common law. Cela suppose d'agir à l'échelon européen, sous peine de nous trouver isolés. Nous nous battons aussi, à travers les normes de l'Organisation internationale pour la normalisation (ISO), pour que soient fixées des règles qui ne soient pas uniquement favorables à des intérêts étrangers. Plus encore peut-être que les entraves aux autres formes d'ingérence, celles opposées au lawfare sont fondamentales : à terme, l'utilisation du droit pour prendre insidieusement le contrôle dans un autre pays, imposer ses propres normes et ses procédures judiciaires, apparaît comme la menace la plus sérieuse.

Au sein du SGDSN, la protection du patrimoine scientifique et technique et la lutte contre le lawfare sont traitées dans des directions qui existent depuis longtemps. Nous disposons de plusieurs autres services, dont certains de création plus récente, qui nous permettent de travailler sur l'ensemble des enjeux liés à la protection. Par exemple, dans le cadre de la procédure d'habilitation au secret de la défense nationale, nous menons des enquêtes pour nous assurer que les personnes concernées ne risquent pas d'être soumises à des pressions. Nous veillons à ce que certains dossiers soient classifiés, afin qu'ils ne soient pas dévoilés à d'autres États. Nous veillons aussi à provoquer, dans les collectivités locales et dans les entreprises, une nécessaire prise de conscience : les uns et les autres doivent comprendre que nous ne vivons pas dans un monde sympathique, où chacun respecte les règles du jeu. Certains essaient d'abuser de leur absence de méfiance et de précautions…

Même si nous avons deux services opérationnels, l'ANSSI et Viginum, nous ne sommes pas un service de renseignement. Comme toute administration, nous devons rendre des comptes au Parlement, en toute transparence, sur l'ensemble des éléments que nous traitons, même si certains sont classifiés.

Je n'entrerai pas dans le détail des textes législatifs et réglementaires, mais répondrai à vos questions éventuelles sur cet aspect. Nous œuvrons, chaque fois que c'est nécessaire, à l'élaboration de législations protectrices, notamment à destination des fonctionnaires. La loi Sapin 2, la circulaire du Premier ministre du 11 octobre 2021 et le code pénal permettent de contrer les attaques et de poursuivre les personnes coupables de tentatives d'ingérence. Nous essayons également d'encadrer les activités de lobbying. La loi Sapin 2 vise celles qui revêtent une nature professionnelle. Les autres posent problème : certaines personnes sont instrumentalisées dans le but de se livrer à ces activités. Peut-être faudrait-il faire évoluer le droit pour les prendre en compte et parvenir à plus de transparence, par exemple en confiant cette mission à la Haute Autorité pour la transparence de la vie publique (HATVP). Sur ce point également nous pourrons répondre à vos questions.

Les dispositions inscrites dans le code pénal sont assez peu utilisées en pratique par les magistrats, peut-être parce qu'elles sont très inspirées du temps de guerre et semblent moins pertinentes depuis la fin de la Guerre froide. Il n'en demeure pas moins que des sanctions sont prévues ; elles sont même sévères. S'agissant de la trahison ou de l'intelligence avec une puissance étrangère, dans la mesure où leur répression est devenue assez théorique, peut-être faudra-t-il réfléchir au quantum de peine, à la nature de l'incrimination ou encore aux conditions dans lesquelles les personnes concernées peuvent être mises en cause.