Intervention de Stéphane Bouillon

Je dis souvent à mes collaborateurs et à mes interlocuteurs que nous sommes payés pour être paranoïaques. Nous développons notre paranoïa en essayant de savoir ce qui ne va pas et ce qui va mal aller, ce qui est aussi un réflexe de préfet.

Les effectifs de l'ANSSI seront de 575 agents à la fin de l'année et, chaque année, ceux-ci augmentent d'une cinquantaine. Nous allons essayer d'accélérer ce rythme pour faire face aux évolutions, notamment à l'arrivée prochaine de la directive NIS (Network and Information System Security). Je vous communiquerai les chiffres exacts depuis les débuts de l'année (joints en annexe). En matière de rançongiciels, les grands fleurons économiques mais aussi les PME sont toujours ciblés.

Des cyberattaques par la criminalité organisée touchent de très grosses entreprises. Ce fut le cas d'un gros armateur qui a son siège sur la Côte d'Azur. Les rançons sont très fortes, mais on se protège. Certains groupes de criminalité organisée commencent à s'intéresser davantage à des entreprises moins protégées, comme des PME et des TPE. Nous avons observé un petit creux après le début de la guerre en Ukraine. Ils se sont employés à se frapper de chaque côté de la frontière, donc un peu moins sur nous. Moins d'hôpitaux ont été visés, parce que les cybercriminels se sont rendu compte que les hôpitaux n'ont ni le droit ni la capacité de payer.

Des menaces importantes continuent de peser sur les grandes infrastructures étatiques, administratives. Il s'agit souvent d'attaques d'État à État, visant à nuire et à placer des chevaux de Troie. La plus grosse difficulté dans ce domaine, c'est l'installation, dans les grands services publics ou ailleurs, de dispositifs que personne ne décèle et, le jour venu, on appuie sur un bouton et tout s'arrête. C'est un point sur lequel nous essayons vivement de réagir.

Les épidémies étaient exclues de la stratégie nationale de renseignement, parce que le renseignement s'intéresse d'abord aux risques d'attaques par certains États. Bien que nous travaillions beaucoup sur le risque nucléaire, bactériologique, chimique et radiologique, nous étions loin d'imaginer une telle épidémie. Nous essayons d'être paranoïaques, mais quand on parvient à anticiper un risque, par définition, on n'en parle pas, mais parfois, nous n'y arrivons pas.

L'ANSSI avec le MEFSIN travaillent à mettre en place des « Clouds de confiance », c'est-à-dire des Clouds qualifiés et répondant à des critères de sécurité et de protection détaillés dans un référentiel produit par l'ANSSI (SecNumCloud). Nous négocions et travaillons avec de gros opérateurs comme Microsoft et avec des entreprises françaises afin qu'ils mettent en place des offres « hybrides » qualifiées par l'ANSSI et supportant certains outils développés par des acteurs étrangers France France sans permettre aux pays d'origine d'avoir accès à des données sensibles (pour la sécurité économique, pour la protection des données à caractère personnel, etc.). Nous progressons avec certains, prenons du retard avec d'autres. Pour les Jeux olympiques de 2024, une négociation est en cours avec Alibaba, fournisseur officiel de Cloud pour les Jeux olympiques. Nous avons imposé d'avoir un Cloud souverain en France, qui nous permettra d'héberger et donc protéger en France toutes les données sensibles.

Concernant les risques de dissémination d'armements livrés à l'Ukraine, le SGDSN agit en coordination interministérielle et internationale. Nous essayons de mettre en place un dispositif pour assurer un meilleur contrôle. Nous encourageons la mise en place de ce dispositif, possiblement au niveau européen, en vue d'engager des discussions avec l'État ukrainien, les États voisins, l'ensemble des services de police et les autorités ukrainiennes pour organiser un traçage et un suivi de ces armements. Il ne faudrait pas que des éléments livrés puissent être utilisés contre nos intérêts. Je peux vous assurer que ce point est abordé chaque fois que nous parlons de l'Ukraine.

Nous sommes inquiets de l'évolution vers des cyberattaques diffuses et simultanées. Grâce à ses moyens renforcés, l'ANSSI, serait certes capable de faire face à quelques attaques simultanées menées par quatre ou cinq grandes unités identifiées, mais après, ce serait beaucoup plus complexe. Nous prévoyons de travailler plus efficacement avec des sociétés privées comme Orange, Thales, Atos ou Sopra Steria, qui proposent des services qualifiés et donc vérifiés par l'ANSSI sur différents segments. En fonction de leur expertise, elles peuvent agir au profit de différentes entreprises et les soutenir sur les questions de cybersécurité et cyberdéfense. Nous mettons en place avec les conseils régionaux des accords visant à créer des centres de réponse aux attaques dans chacune des régions, afin de développer un dispositif de cybersécurité au profit des PME, TPE, des entreprises locales et petites entreprises.

Pour les JO de 2024, selon l'accord passé entre la France et le comité international olympique, le ministre de l'intérieur est en charge de tous les aspects de sécurité, dans le cadre de ses responsabilités globales, ce qui ne nous n'empêche pas de travailler sur des sujets comme la protection face aux drones et aux attaques par drone, y compris sur le plan juridique. Un texte de loi a été adopté et nous nous penchons sur les décrets. Sur les sujets cyber, nous assurerons la coordination nationale de l'ensemble des actions à mener. Bien entendu, nous travaillons aussi avec la délégation interministérielle aux jeux olympiques et paralympiques (DIJOP) et le comité d'organisation des Jeux olympiques (COJO).

Vous avez raison de souligner que les exportations de matériel de guerre sont, par principe, interdites. Nous ne le faisons que lorsqu'une qu'une autorisation ou une licence a été accordée ou renouvelée par l'État au profit de tel ou tel État, en tenant compte des engagements internationaux auxquels nous sommes soumis, des traités que nous avons signés, des risques d'utilisation de certains matériels. Par exemple, est exclue la vente de matériels pouvant servir, dans certains pays, au maintien de l'ordre public. Nous ne vendons plus rien qui puisse concerner le Yémen. Il y a un certain nombre d'autres États auxquels nous ne vendons pas ou sur lesquels nous mettons des réserves obligatoires pour faire en sorte que l'armement ne soit pas utilisé à autre chose que ce à quoi il est destiné.

Notre pays a une base industrielle de défense qui lui permet de ne pas dépendre d'États étrangers pour sa propre défense. La France essaie d'être un État autonome et indépendant.