Nathalie Da Conceicao Carvalho
Question N° 10947 au Ministère du première ministre
Question soumise le 22 août 2023
Mme Nathalie Da Conceicao Carvalho appelle l'attention de Mme la Première ministre sur l'ambition annoncée de la France dans sa loi de programmation militaire de renforcer la cybersécurité et d'améliorer la résilience des entreprises et organismes publics sensibles. En effet, à ce stade, cette loi ne permet pas d'appréhender clairement comment les enjeux liés à la protection cyber seront traités par les autres ministères de l'État. Aussi, elle lui demande comment le Gouvernement compte coordonner les efforts entre les différentes entités et ministères pour assurer une approche globale, cohérente et efficace en matière de protection des infrastructures et des données sensibles et dans la mesure où, l'Autorité nationale en matière de sécurité et de défense des systèmes d'information (ANSSI) n'est pas aujourd'hui dimensionnée pour répondre à elle seule à cette problématique. Enfin, elle souhaite savoir quelles sont les mesures prévues pour renforcer les compétences en matière de cybersécurité au sein des différents ministères et des organismes publics, afin de faire face aux cybermenaces en constante évolution et qui ne manqueraient pas de toucher le pays en cas de conflit.
Réponse émise le 31 octobre 2023
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) assure la mission d'autorité nationale de défense et de sécurité des systèmes d'information. Dans ce cadre, elle assure un service de veille, de détection, d'alerte et de réponse aux attaques informatiques constituant une menace pour la sécurité nationale. L'ANSSI coordonne l'ensemble de la gouvernance de l'Etat en matière de lutte informatique défensive et de politique publique de cybersécurité. L'agence apporte également son expertise aux opérateurs d'importance vitale et aux opérateurs de services essentiels via des missions d'assistance technique. La gouvernance de l'Etat en matière de lutte informatique défensive et de politique publique de cybersécurité s'organise autour des trois piliers. Le premier intitulé « l'Etat se sécurise », a pour objectif de travailler à la cybersécurisation des ministères avec la mise en place de dispositifs d'accompagnement adaptés à chaque administration. Parmi les enjeux notables, on peut mentionner l'amélioration de la connaissance des enjeux cybersécuritaires, une meilleure conscience des responsabilités en la matière, la mutualisation des efforts et le gain d'une meilleure autonomie. Cette action d'ensemble est le produit d'une coopération étroite entre l'ANSSI et la direction interministérielle du numérique. Le deuxième pilier, intitulé « l'Etat protège », a pour objet le pilotage des travaux interministériels de sécurité numérique dans les politiques publiques. L'ANSSI contribue notamment à la mise en place de politiques en matière de sécurité des entreprises et des citoyens, d'emploi et de compétences, de recherche et d'innovation et de coopération et de régulation européennes et internationales. Le troisième pilier, intitulé « l'Etat répond aux agressions », permet d'organiser la réponse interministérielle de l'Etat aux cyber-agressions dans le cadre du Centre de coordination des crises cybernétiques, le C4. Cette instance interministérielle vise à assurer, au profit des plus hautes autorités de l'Etat, l'analyse de la menace et la préparation des stratégies globales de réponse. Au niveau opérationnel, elle conduit les travaux opérationnels de qualification et de traitement des incidents d'ampleur. Elle assure l'articulation des services administratifs avec l'autorités judiciaires et les services enquêteurs. L'ANSSI intervient sur le volet défensif de la « stratégie de réponse » en matière de cyberdéfense. Par ailleurs, le cadre de gouvernance de la sécurité numérique de l'Etat renforce la prise en compte du risque numérique dans la mise en œuvre et l'exploitation des systèmes d'information et de communication de l'Etat par les ministères et les établissements publics. L'ANSSI est chargée de la mise en place et de l'animation de cette structuration de l'action de l'Etat en matière de cybersécurité. L'agence participe à la définition des orientations stratégiques du conseil stratégique interministériel pour un numérique sécurisé, et préside le comité interministériel de suivi de la sécurité du numérique pour assurer la mise en œuvre de ces orientations. Elle produit un effort particulier en matière de renforcement des compétences de cybersécurité au sein des différents ministères et organismes divers. L'agence assure directement des missions de formation de personnels, au travers du Centre de formation à la sécurité des systèmes d'information (CFSSI). Le CFSSI propose une trentaine de formations en cybersécurité, d'une durée pouvant varier entre une journée pour certaines formations à quatre semaines pour d'autres. Les formations délivrées par des experts de haut niveau de l'ANSSI sont ouvertes gratuitement aux personnels du secteur public. En 2022, le CFSSI avait recensé 2 949 demandes de formations en cybersécurité et 3904 demandes ont déjà été recensées au seul premier semestre 2023. Le gain de compétence des agents de l'Etat passe également par la sensibilisation à la menace et aux bonnes pratiques. Cette sensibilisation est réalisée par les experts de l'ANSSI. L'ANSSI apporte aussi son soutien technique à de nombreux projets informatiques sensibles (système d'information des élections, Coupe du monde de rugby 2023, jeux Olympiques et Paralympiques de Paris 2024…). La formation et l'accompagnement des agents de l'Etat contribuent ainsi à élever le niveau de sécurité de l'ensemble de la sphère gouvernementale.
Aucun commentaire n'a encore été formulé sur cette question.