Intervention de Sabine Thillaye

La loi de programmation militaire (LPM) s'inscrit dans la continuité de la revue nationale stratégique que le Président de la République a présentée en novembre dernier. Un titre constitué de quatre articles étant consacré à la sécurité des systèmes d'information, il a semblé naturel que ce sujet, qui concerne les libertés publiques, soit discuté en commission des lois.

Désignée rapporteure pour avis, j'ai conduit douze auditions et j'ai entendu plus d'une quarantaine de personnes issues des administrations, des entreprises et des associations, qui m'ont fait part de leur analyse de l'état de la menace cyber et de leurs observations sur la LPM. Je les remercie de l'avoir fait dans des délais contraints. Toutes ont unanimement souligné l'importance des menaces et des enjeux liés à la cybersécurité, élément central de notre souveraineté et de notre défense.

Nos communications, nos paiements, nos loisirs et nos modes de travail dépendent de plus en plus des nouvelles technologies. Si elle simplifie notre quotidien, cette dépendance présente aussi des risques pour notre cybersécurité, que certains acteurs exploitent tant à des fins d'espionnage et de déstabilisation qu'à des fins financières, au détriment de nos entreprises, de nos collectivités ou de nos hôpitaux.

L'Anssi fait face à des attaquants dont les modes opératoires évoluent en technicité. Cette sophistication s'explique par un changement fréquent d'outils utilisés pour effectuer les attaques et par le recours de plus en plus massif aux logiciels commerciaux transformés en véritables « bombes numériques ».

Toutes les auditions ont convergé vers un même constat : la menace cyber est protéiforme, en mutation constante et en augmentation, dans notre pays et dans le monde.

Les capacités des cyberattaquants évoluent constamment. La représentation collective, quasi romantique, du hacker isolé dans son garage n'est pas conforme à la réalité. Les attaques se sont industrialisées. Les modes opératoires peuvent cibler tout un secteur d'activité et concerner tout un pays.

Le « Panorama de la cybermenace 2022 », publié par l'Anssi, révèle l'ampleur des attaques que subissent les acteurs institutionnels et économiques de notre pays. L'an dernier, l'Anssi a ainsi traité 831 attaques informatiques. C'est moins qu'en 2021, mais cette diminution doit être relativisée dans le contexte de guerre en Ukraine, qui peut conduire à une réorientation des attaques. Ce même rapport précise d'ailleurs que si l'activité liée aux rançongiciels visant des opérateurs régulés publics ou privés a diminué, la menace cyber s'est reportée vers des entités moins bien protégées, dont les collectivités territoriales, les hôpitaux et les petites et moyennes entreprises de notre pays.

Les conséquences de ces attaques sont financières. L'OCDE, l'Organisation de coopération et de développement économiques, estime que les risques liés à la sécurité numérique coûtent plus de 100 milliards de dollars à l'échelle planétaire. Ces attaques ont aussi des répercussions lourdes sur la continuité du service public et, s'agissant des hôpitaux, sur le traitement des données à caractère personnel des patients, ce qui peut constituer une atteinte généralisée au secret médical.

Techniquement, les cyberattaquants exploitent les nombreuses vulnérabilités des logiciels, y compris ceux dont l'utilisation est répandue. L'externalisation croissante de services informatiques accroît le risque d'attaques. Le nombre d'entreprises de services numériques touchées est ainsi passé de quinze à trente-sept entre 2020 et 2022. Désormais, pour maximiser l'efficacité de leurs attaques, les cyberattaquants ciblent plutôt les systèmes d'information des sous-traitants et des fournisseurs, dont le niveau de sécurité est plus faible que ceux des opérateurs stratégiques. Cela leur permet d'accéder à des informations valorisables.

La loi de programmation militaire précédente a déjà doté l'Anssi d'un premier arsenal juridique en matière de prévention des cyberattaques. Mais l'évolution constante des modes opératoires implique une réévaluation de notre cadre juridique et une adaptation des prérogatives qui lui sont dévolues.

Le chapitre V, dont nous allons débattre, prend acte de cette évolution. Il comprend quatre articles visant à renforcer notre arsenal en matière de lutte contre les attaques informatiques malveillantes, d'étude des comportements et des modes de fonctionnement des assaillants, et d'information des victimes. Les articles 32, 33 et 34 créent de nouveaux dispositifs dans notre droit, tandis que l'article 35 est un prolongement de dispositions déjà votées et éprouvées par l'Anssi et les acteurs du numérique.

L'article 32 permet à l'Anssi, en cas de menace susceptible de porter atteinte à la sécurité nationale, de prescrire plusieurs mesures graduelles affectant les noms de domaine par leur blocage ou leur suspension.

Aux fins de détection et de caractérisation des attaques informatiques, l'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées dans les serveurs des fournisseurs de système de résolution et de noms de domaine.

L'article 34 renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels et les contraint à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité et d'incidents informatiques graves.

L'article 35 prévoit plusieurs dispositions visant à renforcer les capacités de détection des cyberattaques et l'information des victimes. Il permet à l'Anssi, en cas de menace grave pour les systèmes d'information des autorités publiques et des opérateurs stratégiques, d'activer des dispositifs de recueil de données. Il rend également obligatoire, pour les opérateurs de communication électroniques stratégiques, la mise en place de systèmes de détection des attaques informatiques.

Ces nouvelles prérogatives s'accompagnent d'un élargissement des modalités de contrôle de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, l'Arcep, des opérations effectuées par l'Anssi. Je précise, à cet égard, que les dispositions dont nous débattrons sont soumises à un contrôle strict de cette autorité et du juge administratif.

L'Arcep, dont j'ai auditionné la présidente, n'a pas encore pleinement estimé les efforts humains et budgétaires supplémentaires que cette évolution implique. Elle a toutefois appelé mon attention quant au fait que les nouvelles procédures prévues, en particulier les avis conformes que l'Arcep devra rendre concernant certains dispositifs, entraîneront une réorganisation de ses services. Si nous voulons garantir des modalités de contrôle efficaces, c'est un élément que nous devrons garder à l'esprit lors des futurs débats budgétaires.

Ces mêmes prérogatives représentent un accroissement de la charge de travail de l'Anssi, que la trajectoire d'emploi à l'horizon 2027 prend en compte. Le nombre des agents de l'Anssi passera de 660 cette année à plus de 800 dans cinq ans. Cette progression est indispensable pour lui permettre de remplir les missions que le législateur lui confie. Elles représentent aussi une charge pour les acteurs privés du numérique, soumis à de nouvelles exigences. Les entreprises de notre pays comptent parmi les meilleures du monde dans le marché des solutions numériques de confiance. C'est un fait que le législateur doit garder à l'esprit quand il écrit la loi.

Un seul curseur doit nous guider dans l'examen de ces articles : l'équilibre nécessaire entre le respect de nos libertés fondamentales, les intérêts de la sécurité nationale et la préservation d'un écosystème favorable aux entreprises françaises de l'internet de confiance. Cette recherche d'équilibre m'a conduite à déposer plusieurs amendements qui permettront, je l'espère, d'aboutir à un texte prenant en compte tous les intérêts légitimes des acteurs concernés par ses dispositions.

Une ambition majeure de cette loi de programmation militaire réside dans le défi historique consistant à faire face à l'émergence de nouveaux espaces de conflictualité, dont le cyber fait partie, et à assurer à la France les moyens de sa souveraineté et de son indépendance. Je vous invite à voter largement ces articles, nécessaires à la protection de nos intérêts nationaux.