Les évolutions technologiques sont toujours ambivalentes et utilisées à la fois pour améliorer l'espace de vie des sociétés, détruire, assiéger ou récolter le butin d'un ennemi. Depuis l'Assyrie antique et la maîtrise du fer jusqu'à celle de l'atome et ses drames au XXe siècle, il a fallu s'adapter pour se protéger et comprendre les techniques façonnées pour s'en défendre. Notre temps est celui de l'information. Ce nouvel espace qui rend des services prodigieux à l'humanité est aussi un terrain de conflictualités et d'attaques. En augmentation constante, celles-ci peuvent avoir des conséquences dramatiques pour nos installations essentielles et pour la sécurité des systèmes d'information stratégiques auxquels nos acteurs économiques et vitaux sont connectés.
Face à ces menaces et à l'agilité des attaquants, la précédente LPM a fait de la lutte contre les cybermenaces une priorité en renforçant la résilience de nos systèmes, le nombre de cybercombattants et le rôle de l'Anssi pour conforter la puissance cyber française, analyser et neutraliser la menace. Le plan national de relance et de résilience instauré après la crise sanitaire a alloué 136 millions d'euros à l'Anssi pour la cybersécurisation de nos territoires, car la spécificité de la menace cyber est qu'elle peut impliquer toutes les machines, tous les opérateurs et toutes les sociétés publiques ou privées pour attaquer. C'est un défi hors norme. En 2021, une stratégie nationale pour accélérer la cybersécurité a été lancée et, à l'automne, la Lopmi a permis de voter des moyens inédits pour renforcer la lutte contre la cybercriminalité.
La LPM que nous examinons pour la période 2024-2030 consacre 4 milliards d'euros au domaine cyber. Si les équipements ne sont pas des plus coûteux, ce sont les effectifs de lutte et les procédures de détection que nous devons améliorer pour que notre défense soit plus solide et crédible, nous permettant de réagir avec précision et sévérité. L'objectif de sécurisation de nos systèmes d'information est aussi la garantie de notre souveraineté économique et administrative. L'arsenal législatif déployé grâce à la LPM votée en 2018 a permis d'expérimenter des stratégies utiles, mais qui ont aussi montré des limites face à l'adaptation rapide des attaquants. Il s'agit donc de renforcer nos moyens, en particulier la prévention, avec une meilleure connaissance préalable des modes opératoires, pour anticiper les menaces et mieux les détecter pour les contrer.
La loi prévoit quatre articles, renforçant le rôle de l'Anssi pour prescrire des mesures de filtrage ou de redirection de noms de domaine en cas d'attaque, pour recueillir des données anonymisées des serveurs DNS – système de noms de domaine –, pour obliger les éditeurs de logiciels à être transparents auprès de l'Agence et de leurs clients quant à leurs incidents et leurs vulnérabilités, et pour améliorer les capacités de détection des menaces pour mieux informer les victimes.
Je ne doute pas que nos débats feront honneur à la vigilance que nous devons avoir, en tant que législateur, pour que les moyens déployés préservent les grands principes qui organisent nos droits et libertés en matière de vie privée, de communication, d'entrepreneuriat et de neutralité d'internet. Les articles qui nous sont délégués respectent ces principes en ce qu'ils approfondissent les procédures existantes, permettant de poursuivre la sécurisation de nos systèmes d'information et la neutralisation des menaces comportant un risque pour la sécurité nationale, avec un cadre juridique et des garanties du respect de nos libertés. Cet équilibre fondamental requiert un arbitrage complexe face à des menaces nouvelles, susceptibles de toucher des secteurs stratégiques de notre économie et de nos services publics.
Nous estimons que si des améliorations sont possibles par l'apport de précisions dans le texte, les moyens proposés sont adaptés à la protection de nos intérêts fondamentaux.