Le rôle des opérateurs critiques que sont les OIV et les opérateurs de services essentiels (OSE) connaît de nos jours un infléchissement.
Ils sont le fruit d'une vision gaullienne, inspirée par Michel Debré, tirant les leçons de la drôle de guerre, de l'étrange défaite et de l'effondrement de 1940. En 1958, la vision globale de la défense allie défense militaire, défense civile – qui ne se réduit pas à la sécurité civile – et défense économique. Il s'agissait de disposer de toutes les ressources possibles pour pouvoir les mobiliser – je n'y inclus pas les ressources morales, l'existence d'un ennemi désigné suffisant alors à maintenir le moral de la nation.
Si les forces de la nation demeurent mobilisées, les secteurs d'activité d'importance vitale (SAIV), tels qu'ils sont définis par le décret du 23 février 2006 relatif à la sécurité des activités d'importance vitale, relèvent d'une vision et d'une organisation au sein desquelles ils sont juxtaposés. Chacun a un ministère responsable et une vision propre, en partant du principe selon lequel chacun sait délivrer sa production dans la durée. Sur la base de cet invariant, les missions de protection ont concentré l'attention, d'abord contre les actes malveillants, notamment le sabotage et le terrorisme, qui sont essentiellement des menaces internes, puis contre les risques naturels et technologiques et, depuis 2013, contre les menaces cyber, conformément à l'article 22 de la LPM 2014 – 2019.
Ce modèle a plusieurs limites : l'émergence de menaces sécuritaires de basse intensité, le terrorisme ayant pris une ampleur inattendue ; la dissociation assez forte, dans les textes et dans les mesures, entre le cyber et le physique, qui sont parfois difficiles à concilier ; l'évolution de l'économie d'une logique de production et de stocks à une logique de services et de flux ; la fin des monopoles d'État, qui induit la multiplicité des interlocuteurs, même si chaque secteur a souvent un opérateur prépondérant ; l'intrication des services entre opérateurs, qui induit leur interdépendance.
À cet égard, la vision du Livre blanc sur la défense et la sécurité nationale 2008 est intéressante, à trois titres. D'abord, elle inclut les notions de volonté et de capacité, rappelant que l'intention précède les moyens. Ensuite, elle rappelle la nécessité de résister à des agressions et à des catastrophes majeures, rehaussant la vision de la sécurité à la défense. Enfin, elle mentionne le besoin de rétablir une capacité à fonctionner normalement ou en mode dégradé socialement acceptable.
La résilience est une question de priorisation, qui doit associer la société par le biais des notions de juste nécessité et d'acceptabilité sociale. Il s'agit de définir ce qui est socialement acceptable en temps de paix, de crise et de guerre, s'agissant par exemple de l'usage d'internet.
La vision globale de la défense ne peut qu'être saluée. La perspective de disposer, dans un avenir proche, d'une loi relative à la résilience couvrant toutes les obligations afférentes, nous semble intéressante pour assurer le continuum public-privé et garantir une cohérence d'ensemble entre les sujets physiques et cyber. Au sein d'Orange, la sécurité s'inscrit dans le cadre d'une vision globale. Je suis chargé de l'anticipation des risques, de la sûreté, qui est pour l'essentiel la sécurité physique des installations, de la cybersécurité et de la gestion de crise. Si j'échoue sur les deux premiers aspects, il m'incombe d'assurer la suite et la remise en état des installations avec mon équipe.
Pour faire vivre cette cohérence d'ensemble et le continuum public-privé, nous devons créer des conditions de confiance : celle des citoyens ; celle des acteurs publics et privés, car nous devons inclure la coopération dans la régulation ; celle des autres opérateurs. Dans ce dispositif global, l'État établit les priorités tout en assurant l'égalité de traitement en matière d'exigences et la transparence assurant le partage des informations relatives au niveau de menace.
Il s'agit de faire en sorte que tous les opérateurs soient à armes égales. Dans le monde ouvert qui est le nôtre, dans l'Union européenne et au-delà, il ne faut pas que les principaux OIV soient soumis à des exigences plus fortes que celles imposées aux petits opérateurs et aux autres opérateurs européens.
Les conditions à réunir pour bâtir cette confiance peuvent sembler difficiles à faire vivre : il faut notamment associer la transparence et le niveau de secret nécessaire pour préserver nos priorités, qui sont stratégiques et régaliennes, et masquer nos faiblesses. À cet égard, nous plaçons beaucoup d'espoir dans la future loi relative à la résilience, qui concernera Orange à trois titres : la transposition du règlement DORA, car nous assurons un service financier à l'échelle mondiale grâce à l'application Orange Money ; la transposition de la directive NIS ; la transposition de la directive REC. Une loi unique offrira une forte visibilité et permettra d'éviter l'empilement des dispositifs, lequel oblige parfois à cheminer parmi les doubles négations pour comprendre exactement l'exigence qui s'applique.
Orange est présent dans 200 territoires, aux régimes juridiques distincts – tel est le cas des outre-mer en France –, essentiellement pour des activités de services aux entreprises (B2B), dont certaines sont des multinationales et des OIV. Nous avons environ 140 000 salariés, dont la plupart travaillent dans vingt-six pays d'Europe, Russie comprise, du Moyen-Orient, d'Afrique du nord, centrale et de l'ouest, jusqu'à Madagascar. Tout cela forme une énorme palette de risques quotidiens. Nous avons conservé la propriété de nos grandes infrastructures de communication, que nous gérons ou cogérons dans le cadre de syndics, soit environ 450 000 kilomètres de câbles sous-marins.
Les risques que nous traitons sont de quatre ordres : l'intégrité de nos salariés ; la protection des données de nos clients, dont plusieurs sont des États et des ministères des affaires étrangères ; la continuité de nos réseaux face au risque cyber et au risque de sabotage ; le risque d'espionnage pesant sur le patrimoine, d'entreprise ou d'État, de nos clients. Le rapport de l'Anssi intitulé Panorama de la cybermenace 2023 indique que les opérateurs de télécommunication sont ceux qui font le plus souvent appel à elle.
En matière de résilience, nous agissons selon quatre axes. L'anticipation est assurée par une équipe de prospective et de veille à court terme, et par la mise à jour régulière de notre analyse des risques et des menaces. La prévention est assurée par la mise en œuvre d'une politique de prévention incluant des contrôles, des exercices, des mesures techniques telles que la redondance et la supersécurisation de certains systèmes, des mesures humaines, notamment la formation des salariés, et des mesures d'organisation et de planification.
La gestion de crise repose sur des plans de continuité d'activité (PCA) et sur des plans de reprise d'activité (PRA). Toutefois, chaque crise nous fait aller de surprise stratégique en surprise stratégique. Les plans sont utiles et nécessaires, mais malheureusement pas suffisants. Le Retex permet de boucler la boucle, en exploitant les exercices et les crises pour faire évoluer notre système de veille, notre système d'analyse et nos politiques de prévention et de sécurisation.
J'en viens aux difficultés majeures que nous rencontrons, qu'il importe de signaler dans le cadre d'une audition consacrée à la défense globale et dans la perspective de la future loi relative à la résilience.
La première est de définir ce qui est socialement acceptable. Internet est indispensable au télétravail, qui s'est développé depuis la crise du covid, mais est-il indispensable d'avoir accès à des plateformes de vidéos telles que YouTube ? A-t-on le droit de supprimer ce service si l'énergie vient à manquer ?
Les opérateurs ne peuvent en décider seuls. Une fois un réseau déployé, il fonde une architecture pour une soixantaine d'années, voire pour quatre-vingts ans. Le réseau cuivre, qui est ancien, sera fermé au grand public d'ici 2030. Nous n'avons pas l'agilité pour faire évoluer rapidement nos architectures. Nous modifions les réseaux mobiles tous les dix ans, pas les grandes infrastructures dont le déploiement coûte plusieurs milliards à l'échelle de la France.
La deuxième difficulté est l'interdépendance entre secteurs et entre opérateurs, qui doivent se connaître. En cas de délestage, Réseau de transport d'électricité (RTE) a besoin des opérateurs de télécommunication pour actionner les postes à haute tension (HTA). La fin du monopole oblige à développer le travail entre secteurs et entre opérateurs. Il faut se connaître, tenir compte du besoin d'en connaître – je ne peux pas partager les documents classifiés transmis par l'État, d'autant que je ne sais pas quels opérateurs sont des OIV – et s'exercer ensemble.
La troisième difficulté réside dans les enquêtes administratives préalables à la délivrance d'une habilitation de sécurité, qui soulèvent de nombreux problèmes en matière de ressources humaines, dans la mesure où tous nos salariés ne sont pas français, qu'ils travaillent ou non en France. Que faire si l'enquête n'autorise pas la délivrance d'une habilitation ? Un salarié intervenant le matin sur un site du ministère des armées et l'après-midi sur un site de TotalEnergies fait l'objet de deux enquêtes distinctes, dont la conclusion n'est pas nécessairement identique.
La quatrième difficulté réside dans la chaîne d'approvisionnement. Nos sous-traitants et nos fournisseurs, notamment les équipementiers en matériels et en logiciels, ne sont pas tous soumis aux directives qui nous sont applicables. Beaucoup sont asiatiques ou américains ; les textes français et européens, tels que la législation européenne sur la cyberrésilience (CRA), ne font pas partie de leurs préoccupations.
La cinquième difficulté découle du fait que nous sommes dans un monde en crise multiforme et permanente. Depuis deux semaines, j'ai traité cinq crises : la rupture de câbles sous-marins au large de l'Afrique ; une crise au Sahel ; une faille de sécurité dans le réseau privé virtuel (VPN) de l'éditeur américain Ivanti ; les conséquences des événements du Moyen-Orient en Égypte et en Jordanie ; les conséquences de la guerre sur l'Ukraine et la Russie. Si l'on ajoute à tout cela la préparation des JOP, on prend la mesure de la tension à laquelle sont soumises nos organisations et de la fatigue qui en résulte pour nos salariés, ce qui les expose au risque de ne pas avoir le bon réflexe, de ne pas se conformer aux plans, de ne pas prendre la bonne décision et de commettre des erreurs.