Intervention de Stéphane Bouillon

Monsieur le président, Mesdames et Messieurs, je suis heureux de faire la connaissance de la plupart d'entre vous, et de retrouver d'autres d'entre vous que j'ai connus dans différents départements et à l'Assemblée. Le SGDSN est à votre disposition pour vous rendre compte de son action, vous informer et travailler avec vous sur l'ensemble des enjeux qui vont nous concerner dans les prochaines années.

À l'origine, structure de coordination des moyens des ministères en charge de la défense nationale, c'est devenu, dans les années 1930, une sorte d'état-major des armées, au sein duquel le commandant de Gaulle avait d'ailleurs séjourné. À la suite d'un livre blanc sur la sécurité intérieure, c'est devenu le secrétariat général de la défense et de la sécurité nationale, évolution marquante, puisqu'un préfet est actuellement à sa tête et qu'il est amené à prendre en compte à la fois les sujets intérieurs et extérieurs.

Le SGDSN comprend environ 1 300 agents, dont une petite moitié pour l'ANSSI. Il est en charge du secrétariat du conseil de défense et de sécurité nationale (CDSN), de la protection du secret de la défense nationale, incluant la classification et la déclassification qui représentent un lourd travail. Il est chargé de la planification de sécurité et de quinze plans, dont Vigipirate, Piratair, Piratmer, Piranet, des risques nucléaires, radiologiques, biologiques et chimiques (NRBC), des drones, dans la perspective des Jeux olympiques de 2024, ainsi que du suivi des crises internationales et de la sécurité économique des entreprises sensibles. Nous agissons au côté de la direction générale des entreprises (DGE) pour protéger notre patrimoine scientifique et technique mais aussi, en liaison avec les préfets de régions, les entreprises plus ou moins grosses comme celles qui se trouvent dans vos départements, lorsqu'elles sont menacées par des investisseurs étrangers hostiles ou des prédateurs de matière grise : nous essayons de les aider, de les protéger et de mettre en place au niveau interministériel un dispositif à même de les soutenir pour préserver nos intérêts.

Nous suivons quelques sujets spécialisés à teneur interministérielle comme le nucléaire, le spatial, qui prend de plus en plus de force, ou les câbles sous-marins, sujet porteur en développement.

Je reviendrai sur les trois services à compétence nationale placés sous mon autorité.

Nous gérons le groupement interministériel de contrôle (GIC), mais nous ne le dirigeons pas, puisque le Premier ministre et son cabinet dirigent l'ensemble des techniques de renseignement que les services de renseignement mettent en œuvre sous le contrôle de la commission nationale de contrôle des techniques de renseignement (CNCTR). Par conséquent, même si je peux être entendu par la délégation parlementaire au renseignement (DPR), nous ne sommes pas un service de renseignement, mais une structure interministérielle qui coordonne, fait faire et fait lorsque la mission ne peut être rattachée à un seul ministère ou nécessite l'autorité du Premier ministre.

Nous nous situons à cheval entre le Président de la République et le Premier ministre, en vertu de l'article 21 de la Constitution qui dispose que le Premier ministre est responsable de la défense nationale, ce qui va au-delà de la défense militaire et est complémentaire de l'article 15 de la Constitution qui dispose que le chef de l'État est chef des armées.

Cela relève aussi du rôle de direction du gouvernement par le Premier ministre. L'article 114-1 du code de la défense dispose : « Chaque ministre est responsable, sous l'autorité du Premier ministre, de la préparation et de l'exécution des mesures de défense et de sécurité nationale incombant au département dont il a la charge ». Autrement dit, chaque ministère doit participer à la défense globale et chaque ministère a en son sein un haut fonctionnaire de défense et de sécurité qui travaille avec nous, pour nous, sous notre direction pour l'interministériel et est amené à œuvrer quotidiennement sur les difficultés qui peuvent se poser. La notion de défense globale est valorisée, puisque chaque ministre y participe et que ce n'est, en aucun cas, la seule affaire du ministre des armées.

Cela va au-delà de la distinction entre militaire et civil. Le Livre blanc sur la défense et la sécurité nationale de 2008 avait souligné les multiples interconnexions entre les stratégies et les politiques de la France pour la sécurité des Français dans tous les domaines. En droit, nous disposons d'un outil pour assumer et soutenir la défense globale, c'est le concept des intérêts fondamentaux de la nation. Je l'évoque en début de propos parce que vous faites le droit et que nous ne pouvons agir qu'à partir d'un cadre juridique, conformément au principe démocratique.

Ce concept apparaît dans le Code pénal en 1994, à l'article 410-1, qui en donne une définition large et non exhaustive : « Les intérêts fondamentaux de la nation s'entendent au sens du présent titre de son indépendance, de l'intégrité de son territoire, de sa sécurité, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l'étranger, de l'équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel. » Cela mêle la défense du pays, de ses institutions, les moyens de son action, ce qui fait le patrimoine de la France dans tous les domaines et, d'une certaine manière, la protection des intérêts fondamentaux de la nation est la vie de la nation.

Cela a été repris en 2009 dans le code de la défense, qui dispose que « L'ensemble des politiques publiques concourt à la sécurité nationale ».

En novembre 2011, le Conseil constitutionnel a jugé que la défense des intérêts fondamentaux de la nation était une exigence constitutionnelle.

En complément, la loi de juillet 2015 relative au renseignement a intégré dans la liste précédemment indiquée la lutte contre le terrorisme, la lutte contre la prolifération des armes de destruction massive et la prévention des atteintes à la sécurité publique, le tout sous le contrôle des juges et du Parlement.

Quelle en est la traduction concrète ?

La menace a changé. Vous avez reçu, la semaine dernière, le ministre des armées. Je m'occupe plus particulièrement des crises, lesquelles ont changé de dimension. Auparavant localisées et courtes, dites « à cinétique courte », les plans étaient faciles, cela ressemblait parfois à un film américain avec une happy end : une crise survenait, les moyens de renfort arrivaient, les vaccins arrivaient, tout le monde était guéri et la vie reprenait son cours normal. La crise du Covid a bouleversé ce schéma. Les crises sont devenues de longue durée, généralisées, leurs effets sont très étendus sur nos territoires et au-delà. Dès lors, la planification est remise en cause. Lors de la crise du Covid, nous avons appliqué à 95 % le plan de lutte contre la pandémie grippale, mais au bout d'une dizaine de jours, il était devenu inapplicable faute de vaccins et d'autres moyens. Nous étions débordés, en dépit du bon fonctionnement des structures, et de la mobilisation intense de tous les personnels concernés.

En outre, la mondialisation est remise en cause. On a longtemps considéré que, faute de moyens à tel endroit, on pouvait en importer de tel autre. Les plans sanitaires et autres prévoient de faire venir des matières premières ou des médicaments d'autres pays. Mais durant la crise, l'Inde ne livrait plus de curare, la Chine ne livrait plus de masques. La guerre en Ukraine provoque la pénurie de certaines matières premières et en matière d'énergie. La mondialisation, telle que pensée après la chute du rideau de fer, a disparu. On est revenu à un système d'égoïsmes d'État et de fermeture des frontières auquel nous devons nous adapter en termes de planification.

Le droit international qui permettait de résoudre les crises et de discuter avec les uns et les autres est remis en cause. La réponse est désormais apportée d'État à État, par alliances et par groupes d'États. Elle doit donc être systémique en prenant en compte toutes les conséquences dans tous les domaines. Nous nous y employons en matière de planification pour faire face aux crises sanitaires, aux crises climatiques et à la guerre en Ukraine, dont les conséquences sont à la fois militaires, économiques et géopolitiques, eu égard à la pénurie alimentaire.

Le SGDSN se penche aussi sur les nouvelles formes de conflictualité, dites menaces hybrides, et sur le concept « comment gagner la guerre sans avoir à combattre », théorisé par le chef d'état-major des forces armées russes, le général Guerassimov, qui reprenait la théorie ancienne de Sun Tzu (même si celui-ci ignorait les attaques cyber).

Les attaques cyber sont les plus connues puisqu'elles nous touchent tous : citoyens, petites entreprises, entreprises moyennes, grands groupes sont victimes des rançongiciels via le chiffrage des données et des escroqueries. Nous assistons à l'explosion du nombre d'attaques et d'extractions de fichiers, d'espionnage, d'attaques en sabotage par des États et des proxies d'État. En 2021, l'ANSSI a constaté 1 082 intrusions avérées, soit une augmentation de 37 % par rapport à 2020. Et encore, en 2020, en raison du Covid et du recours accru à des moyens numériques, cela avait-il déjà beaucoup augmenté par rapport à l'année précédente. Nous avons en mémoire des affaires célèbres, comme le blocage des systèmes informatiques des hôpitaux, le blocage des services publics et des collectivités locales, l'impossibilité d'émettre ou d'imprimer des journaux pour les grands médias, l'interruption de l'activité des entreprises et des transports. Les smartphones sont de plus en plus touchés. On se souvient de l'affaire Pegasus. Sur les messageries chiffrées comme Telegram ou Whatsapp, il devient alors facile de s'emparer des données d'un smartphone piégé, y compris celles en mémoire et dans le Cloud qui transiteraient sur le smartphone en question. Certains groupes et certains États sont capables d'utiliser ces vulnérabilités contre les uns et les autres. D'ailleurs, avant la campagne pour l'élection présidentielle, nous avions réuni les représentants de tous vos partis pour les mettre en garde sur ces menaces.

Les attaques en désinformation, c'est-à-dire les manipulations de l'information, sont un autre type d'attaques non conventionnelles. Lors de la préparation du service de lutte contre les ingérences numériques d'origine étrangère Viginum, nous avions rencontré les présidents de commissions et les chefs des principaux partis politiques. Il ne s'agissait nullement de s'intéresser à la vie politique française, mais d'observer les attaques numériques de l'étranger ou de proxies de l'étranger visant à porter atteinte à l'ordre public, à la sincérité des élections ou à la stabilité de la société. Après l'attentat contre Samuel Paty, nous avons subi des attaques venant d'un État étranger, qui ont eu pour objectif de déstabiliser la population et de permettre au dirigeant de ce pays de réassoir son autorité sur sa communauté. Lors des élections, nous avons été attentifs à des attaques de l'ultra-droite américaine visant à mettre en cause la sincérité de nos scrutins et de notre système électoral. Nous subissons aussi de fortes attaques de la Russie contre la présence française en Afrique.

D'autres attaques peuvent viser les entreprises. Danone avait fait l'objet d'attaques fortes sur les médias et plateformes en ligne, fomentées par un pays étranger à l'aide de concurrents, qui avaient nui à son chiffre d'affaires et à sa capacité à réagir. Je reviendrai sur le dispositif que nous avons mis en œuvre, sachant encore une fois que nous ne nous intéressons qu'aux ingérences numériques d'origine étrangère.

Le troisième type de menace hybride est les attaques par détournement du droit, ou « Law Fare », à l'encontre de nos entreprises. Il s'agit de l'application par un État étranger de sa loi dans notre pays. Les Américains sont experts en ce domaine, au moyen de différentes règles comme l'ITAR ou l'EAR. La présence d'un composant américain, ne serait-ce qu'une puce, dans le produit d'un État étranger, ouvre le droit aux Américains de demander des explications sur la manière dont il est produit, même si cela relève du secret professionnel, voire de poursuivre l'entreprise et ses dirigeants. En outre, le Cloud Act permet aux services de renseignement américains de plonger dans les Clouds fournis par des entreprises installées aux États-Unis, les cloud pouvant être n'importe où dans le monde, pour y rechercher des informations sans que personne n'en soit informé et sans autorisation. Le Defence Act permet de bloquer des exportations contraires aux intérêts des États-Unis. Les Chinois sont en train de copier ces lois presque mot pour mot. Tout cela complexifie une partie de nos exportations.

Nous faisons face à l'édiction de normes défendant les intérêts d'un seul État.Nombre de pays essaient d'imposer leurs propres normes dans les instances internationales afin de favoriser leurs entreprises ou leur économie ou prendre le contrôle sur d'autres. À quoi s'ajoutent la judiciarisation des relations commerciales et les possibilités de poursuites.

Une autre menace hybride est les attaques contre la sécurité économique. Cela va du stagiaire qui traîne après la fermeture des bureaux pour copier des dossiers, à la visite d'une délégation étrangère qui oublie des petits objets sous la table ou prend des photos. Si les très grandes entreprises y sont sensibilisées, en revanche, les petites et moyennes, qui sont parfois des pépites sans le savoir, sont d'une grande vulnérabilité. Ajoutons la prédation par la captation de matière grise, les attaques réputationnelles et les attaques en Bourse.

Les attaques cyber et en désinformation sont celles du faible au fort. Face à des attaques de pays petits ou moyens, nous n'avons guère de capacité de réponse. Confronté à des autocraties sans presse libre, où les accidents sont couverts par la censure, il est difficile de réagir. En France, une attaque cyber dirigée contre des moyens de transport est connue immédiatement, tandis que dans les pays à régime autoritaire, elle restera inconnue. Par ailleurs, l'organisation des médias dans ces pays interdit toute réaction à la désinformation !

Enfin, le principe est d'agir sous le seuil de conflictualité, afin que l'attribution d'une attaque ne puisse être associée à tel État ou à telle organisation.

La guerre au terrorisme n'a cependant pas disparu. Nous rencontrons toujours des menaces en Afrique, dans le Nord-Est syrien. Al-Qaïda et l'EIS veulent toujours se tailler des domaines, prendre le contrôle d'États, imposer leurs règles, envoyer des commandos dans nos pays, manipuler les esprits fragiles, au travers d'internet, pour les inciter à commettre des attentats.

Je ne m'étendrai pas sur le retour des conflits de haute intensité. La guerre en Ukraine est une forme de retour aux conflits du XXe siècle avec leurs horreurs, la guerre mécanisée et l'utilité de la dissuasion nucléaire pour éviter qu'aucun État ne puisse imposer sa volonté aux autres en les menaçant de destruction totale.

Il faut se préparer aux conflits du XXIe siècle et au réchauffement climatique. L'accès à l'eau et à la nourriture, l'accès aux matières premières entraîneront une forme de conflictualité qui aura des conséquences dans notre vie quotidienne, et pas uniquement sous l'angle militaire.

Que faisons-nous face à ces menaces ? Je ne reviendrai pas sur les réponses militaires. Le délégué général de l'armement vous a parlé de nos fortes attentes vis-à-vis de la base industrielle et technologique de défense. Le SGDSN étant responsable des exportations de matériels de guerre, et nous avons des rapports à vous faire sur ce sujet, nous sommes très vigilants à nos livraisons et la possible dissémination qui pourrait en résulter, non seulement au regard des traités internationaux, de nos engagements, mais aussi de notre propre sécurité. Nous sommes attentifs à la situation en Ukraine et aux armes qui y sont livrées.

Face aux nouvelles formes de conflictualité, l'ANSSI, qui dispose de 176 millions d'euros au titre du plan de relance, a aidé 600 entités. Des projets de loi viseront à renforcer ses prérogatives pour obliger les plateformes à signaler à leurs clients les vulnérabilités et les attaques. Si, à partir de 130 km/h, la direction de la voiture que je viens d'acheter se met à faseiller, le constructeur a l'obligation de me prévenir. Mais si j'utilise un système informatique vulnérable, exposé à une prise de contrôle extérieur ou au sabotage, l'entreprise n'a pas obligation de me le dire.

Nous allons multiplier le nombre de centres agréés pour aider les entreprises et les particuliers à faire face aux attaques. Nous avons déjà développé des centres dans les régions. Nous allons accroître le contrôle sur les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) afin de les obliger à réaliser les investissements nécessaires pour protéger leur sécurité informatique et à renforcer leur sécurité en tant qu'établissements recevant du public. Cela implique une progression des moyens de l'ANSSI, si vous en décidez ainsi lors de l'examen du prochain projet de loi de finances.

La création du service Viginum marque une étape importante. Par deux décrets pris en Conseil d'État, nous avons créé un dispositif, placé sous le contrôle du Parlement, et doté d'un comité éthique et scientifique veillant à la fois à une bonne exploitation scientifique des recherches et au strict respect des textes. Viginum ne fait que de la détection, de la veille, de la caractérisation. Il transmet les menaces recensées aux autorités, auxquelles il revient de saisir la justice, de faire du contre-discours et, le cas échéant, de réagir auprès d'un État étranger. Pendant les campagnes électorales pour l'élection présidentielle et pour les élections législatives, Viginum a travaillé activement et exclusivement pour le compte et sous l'autorité du Conseil constitutionnel, de la commission nationale de contrôle de la campagne électorale en vue de l'élection présidentielle et de l'autorité de régulation de la communication audiovisuelle et numérique (ARCOM). L'ensemble des éléments que nous avons relevés leur ont été transmis.

En matière de law-fare, nous essayons, aux niveaux national et européen, de faire de la contre-législation et de mieux défendre les entreprises soumises à des enquêtes extérieures.

Nous conduisons le comité de liaison en matière de sécurité économique (Colisé) avec le ministère de l'économie et des finances pour protéger nos entreprises. Nous avons mis en place des groupes de travail pour trouver des solutions face aux restrictions en énergie, en matières premières, en céréales.

La réponse aux crises généralisées passe par la refonte de la planification. Après la planification grippale, nous travaillons sur une planification pandémique générique prenant en compte l'ensemble des problèmes.

Nous sommes attentifs au risque de black-out de longue durée. Même lorsqu'on dispose de groupes électrogènes, pour les faire fonctionner, il faut s'assurer que les dépôts pétroliers principaux et secondaires disposent d'électricité pour remplir les camions.

Nous préparons à la gestion de crise des dirigeants d'administration centrale et des dirigeants des cabinets ministériels. Lors de la survenue d'une crise, le ministre ou son directeur de cabinet n'est pas forcément préparé. Or il doit être rapidement opérationnel et chacun doit pouvoir être relevé en cas de crise durable. Il en va de même pour les préfectures.

La stratégie nationale de résilience est un sujet que vous connaissez bien, Monsieur le président, puisque vous avez été rapporteur de la mission d'information sur la résilience nationale. Permettez-moi de vous citer : « La résilience de la nation est d'abord celle de ses citoyens unis autour d'un projet collectif ». Nous devons être capables d'anticiper, d'imaginer les crises inimaginables, de rechercher nos vulnérabilités, s'y préparer, se mettre en état de réagir et d'organiser un retour à la normale.

Nous préparons un plan au niveau de l'État, par des études de vulnérabilités structurelles, en vérifiant les plans de continuité pour s'assurer qu'ils soient véritablement opérationnels. Nous nous penchons sur la formation des agents de l'État et réalisons des exercices. Nous prévoyons une démarche capacitaire interministérielle, en termes de recherche, d'innovation et de stocks stratégiques. En matière agricole et énergétique, les « stocks de la SAGESS » fonctionnent bien. Concernant le gaz, nous avançons. Nous nous penchons sur les stocks sanitaires et d'autres, y compris ceux nécessaires à la vie quotidienne.

Nous souhaitons associer les collectivités locales. Des contacts ont été pris avec les présidents d'association, comme nous l'avons fait au cours de la crise du Covid, afin de mieux travailler avec les communes, les départements et les régions, dans le cadre de leurs responsabilités, utiliser leurs moyens, répondre à leurs attentes et agir avec la population.

Il convient de renforcer la communication vers la population et le grand public. Il faut réimpliquer le citoyen comme acteur de sa propre résilience. Cela existe déjà. Dans le Var, les comités communaux de protection contre les feux de forêt sont sur le terrain. Les plans communaux de sauvegarde pour aider les populations à évacuer lorsque le feu menace fonctionnent bien. Il en va de même, dans d'autres départements, en cas d'inondation. Ce dispositif fonctionne avec les associations agréées de protection civile, les citoyens et d'abord les municipalités. Nous devons systématiser ce domaine, afin, lors de la survenue d'une prochaine crise, d'agir avec tout le monde, de l'État à la collectivité locale en passant par les entreprises spécialisées dans la gestion de crise et le citoyen.

En conclusion, tout cela fait la défense globale, en quelque sorte, le glaive et le bouclier. Au SGDSN, nous mettons en œuvre le bouclier, c'est-à-dire la capacité de la nation à faire face aux difficultés. Nous travaillons sur les principes juridiques, les moyens matériels, les professionnels et le citoyen. C'est ainsi que nous nous préparons aux crises et manifestons le concept de défense globale sur lequel vous m'avez interrogé.