Intervention de Louis Gautier

Merci pour votre accueil. Les travaux sur la revue stratégique de cyberdéfense, qui est d'ores et déjà accessible en ligne, et sur la loi de programmation militaire (LPM) ont été conduits dans le même cycle temporel. Le projet de LPM a été approuvé en conseil de défense juste avant la revue de cyberdéfense, et ces deux exercices ont été présentés en conseil des ministres le 8 février dernier. Il y a eu une concordance de temps, notamment dans la préparation interministérielle conduite par le secrétariat général de la défense et de la sécurité nationale (SGDSN), mais aussi un croisement entre les travaux puisque l'article 19 du projet de LPM est consacré à un dispositif intéressant notre cyberdéfense – c'est la reprise juridique des préconisations visant à renforcer la détection des incidents et des cyber-attaques.

Je ne reviendrai peut-être pas très longuement sur la LPM, car je crois que vous avez d'autres occasions de travailler sur ce sujet.

À périmètre constant, la mission « Défense » bénéficiera d'un effort budgétaire de 197,8 milliards d'euros entre 2019 et 2023, ce qui permettra une remise à niveau et une amélioration de la cohérence d'ensemble. Dans ses voeux, le président de la République a souligné le risque que ce soit un peu une loi « d'ingratitude » dans la mesure où une partie de l'effort consenti vise à corriger des déficits ou des défaillances, notamment dans la cohésion opérationnelle des moyens des armées, et où l'on répond à la nécessité d'améliorer la disponibilité des matériels. Néanmoins, le modèle retenu à l'issue des travaux interministériels met également l'accent sur la technologie et la création d'un contexte propice au développement de l'Europe de la défense.

C'est une loi de remise à niveau et de cohérence, je l'ai dit, mais aussi de sincérisation : au-delà des hausses de crédits, importantes, qui sont prévues chaque année en vue d'atteindre, à l'horizon 2025, l'objectif de 2 % du PIB allant à notre effort de défense, la LPM prévoit une meilleure prévision du financement des opérations extérieures (OPEX) directement à la charge du ministère des Armées, et une réduction des reports de charges, qui se sont accumulés ces dernières années et représentent, d'une certaine manière, autant de dettes pesant sur l'avenir.

Enfin, c'est une loi de programmation qui a pour caractéristique d'insister sur la problématique humaine : c'est le premier axe de cette LPM « à hauteur d'homme ». La condition des personnels était prise en compte par ailleurs, naturellement, mais c'est la première fois qu'elle est traitée comme un objectif de la programmation.

La LPM vise au renouvellement de certaines capacités, notamment là où il y a des impasses ou des difficultés liées au maintien en condition opérationnelle (MCO), ainsi que pour certains équipements faisant partie des plus usés – je pense en particulier aux blindés médians, aux patrouilleurs et aux ravitailleurs. Cet effort permettra de continuer à garantir notre autonomie stratégique et de contribuer à une autonomie européenne qui reste à consolider. Autre aspect important, les crédits pour la recherche connaîtront une hausse progressive : afin de préparer l'avenir, ils passeront de 730 millions d'euros à plus d'un milliard à la fin de la période considérée.

Sauf si vous le souhaitez, je n'en dirai pas davantage pour le moment : je crois que vous réalisez par ailleurs beaucoup d'auditions sur la LPM.

Comme je l'ai indiqué, cette loi comporte un article relatif à la cybersécurité. C'est un point sur lequel nous nous sommes interrogés. Il y a historiquement une forme de continuité, puisque les premières dispositions concernant l'Agence nationale de la sécurité des systèmes d'information (ANSSI), en particulier l'extension aux opérateurs d'importance vitale d'un certain nombre d'obligations dans le domaine cybernétique, ont été introduites dans la précédente loi de programmation militaire. Il y avait aussi des considérations liées à l'urgence : on cherchait un véhicule législatif. Une loi spécifique aurait pu être envisagée, car la revue de cyberdéfense comporte beaucoup de mesures appelées à avoir un prolongement, notamment dans le champ sociétal : on aurait donc pu proposer une sorte de grande loi couvrant à la fois la cyberdéfense de la Nation et celle de la société, mais on a privilégié la rapidité en utilisant la LPM comme véhicule législatif. L'urgence était de renforcer nos capacités de détection pour faire face à des attaques majeures. L'article 19 de la LPM, qui concerne surtout la protection de l'État et des opérateurs d'importance vitale, a toute sa place dans les débats au sein de votre commission. D'autres développements pourront avoir lieu à la faveur d'autres textes, notamment dans le champ économique.

La revue de cyberdéfense a été élaborée à la demande du président de la République, dans le cadre d'un mandat confié au SGDSN par le Premier ministre à la fin du mois de juillet dernier. Les travaux, conduits pendant environ six mois, ont permis de très larges débats : plus de 200 personnalités ont directement apporté leur contribution ou ont été entendues. Nous avons notamment organisé plusieurs séminaires, dont l'un a été l'occasion d'échanger avec la Représentation nationale, en particulier vos rapporteurs en charge d'une mission d'information sur des sujets connexes. Des échanges importants ont également eu lieu au plan international : je me suis rendu à deux reprises aux États-Unis dans ce cadre, et nous avons beaucoup consulté nos partenaires britanniques et allemands, mais aussi australiens, japonais ou encore singapouriens....

Ces échanges ont permis de constater que la France accusait un certain retard en ce qui concerne la formalisation de sa politique de cyberdéfense. La présente revue est en quelque sorte le premier Livre blanc dans ce domaine : on peut faire une comparaison avec celui de 1972, qui a incorporé la dissuasion nucléaire dans la doctrine de défense française. Différents éléments existaient antérieurement – je pense en particulier aux essais nucléaires conduits à Reggane dans les années 1960 –, mais c'est en 1972, dans le cadre du premier Livre blanc, que l'incorporation doctrinale a eu lieu. De même, il y avait déjà des éléments concernant le domaine cybernétique dans les Livres blancs de la défense nationale de 2008 et de 2013, ainsi que dans la stratégie nationale pour la sécurité du numérique, élaborée par l'ANSSI en 2015, mais le modèle n'était pas consolidé et, surtout, la doctrine n'était pas définie. Cette revue stratégique inscrit dans le champ de la doctrine et dans celui des politiques publiques notre stratégie pour les aspects cyber, qui sont désormais une dimension de la conflictualité à prendre en compte.

Nous avions trois objectifs pour cette revue. Politiquement, il s'agissait d'assurer une mobilisation des responsables et de l'opinion sur ces questions. Sur le plan stratégique, l'idée était de stabiliser un modèle et une doctrine adéquate pour mieux nous défendre. Il y avait aussi une dimension pédagogique, qu'illustre notamment la première partie du document, consacrée à l'évaluation de la menace. On s'est aperçu, en effet, qu'il existe très peu de documents officiels dans ce domaine, que ce soit en France ou à l'étranger, en français ou en anglais : la description de la menace engage déjà, notamment en ce qui concerne les sources et l'attribution des attaques – mais je pourrai vous expliquer comment nous avons surmonté cette difficulté. Par ailleurs, on ne trouve même pas nécessairement des ouvrages académiques généraux qui permettraient de comprendre aisément la menace à laquelle nous sommes confrontés. La documentation existante est destinée à des experts et elle est alors très technique ou bien elle n'a pas d'une précision suffisante.

Nous avons en effet affaire à une aggravation de la menace, comme j'ai pu le constater très vite dès que j'ai été nommé, en 2014. Depuis, on assiste à la généralisation, l'intensification et la sophistication des attaques.

Ainsi internet est utilisé comme vecteur pour des trafics illicites, des fraudes ou des attaques beaucoup plus ciblées contre des intérêts publics et privés.

Les menaces sont de quatre types.

La plus commune et la plus simple, qui était déjà dans toutes les têtes il y a dix ans, est l'espionnage, la captation de données – par des États ou des acteurs industriels – à des fins concurrentielles ou de pillage de brevets, voire le « défacement » de sites.

La deuxième menace est la cybercriminalité. Avec le développement du bitcoin et des cryptomonnaies, on est face à un océan de trafics divers. À une économie noire, qui se chiffre en milliards de dollars, sous des formes allant des petits trafics à la vraie criminalité, dans le dark web, en passant par le financement d'acteurs qui peuvent être étatiques – lors de la dernière vague de « rançongiciels », on a ainsi pointé du doigt la Corée du Nord, qui était à la recherche de sommes importantes pour financer sa prolifération. Malgré toute l'attention dont la cybercriminalité doit faire l'objet, il y a très peu de moyens du côté de la justice, très peu de moyens spécialisés pour la police également, et une très grande difficulté à coopérer au plan international pour attribuer les faits et sanctionner les infractions.

La troisième menace est le sabotage. Avec le virus Stuxnet en Iran et l'exemple de la neutralisation de terminaux pétroliers, on a vu depuis plusieurs années qu'il est possible de causer des dégâts dans le monde physique par une prise de contrôle dans le cyberespace. Il n'est plus seulement question de provoquer des pannes informatiques ou des black-out, mais de s'infiltrer par exemple au moyen d'une simple clef USB, ou d'un accès à partir d'un système administratif, et de remonter ensuite jusqu'à des systèmes de sécurité, ce qui peut permettre de prendre la main, par exemple, si le dispositif est insuffisamment protégé sur l'ouverture des portes d'une ligne de métro automatique, un sas de sécurité, un circuit de signalisation routière. Il y a un réel danger dans des sociétés de plus en plus numérisées qui ont d'abord et avant tout utilisé l'informatique pour ses formidables potentialités d'échange et de mise en relation, sans que l'architecture des systèmes informatiques ait été pensée en intégrant d'emblée la question de la cybersécurité. Avec le développement des automates, de l'intelligence artificielle et des objets connectés, cela doit impérativement être fait dès la conception de tels équipements.

La dernière évolution de la menace, qui est aujourd'hui relatée dans tous les journaux parce qu'elle se trouve au coeur de l'enquête menée aux États-Unis par le procureur spécial Robert Mueller, est la déstabilisation. En 2016, étant informé de ce qui se passait aux États-Unis, j'ai obtenu que l'on applique en France des méthodes permettant de mieux sécuriser la campagne présidentielle et les élections de 2017, de façon générale et, au-delà de la seule question du vote électronique, pour nos ressortissants à l'étranger.

Ce choix a suscité un certain nombre de questions, comme le savent bien les représentants des Français de l'étranger, mais nous avons pris cette décision au regard de l'évaluation du risque. En outre, devant la vague de propagande, de fake news et de référencement abusif de contrevérités à laquelle on assistait, j'ai demandé à l'ANSSI de réaliser une veille sur internet et, en cas d'attaque, ce qui est arrivé, de mettre les résultats à la disposition du président de la commission nationale de contrôle de la campagne électorale et du juge de l'élection, à savoir le Conseil constitutionnel. Un effort de pédagogie a par ailleurs été réalisé en direction des équipes des candidats, afin qu'elles soient davantage en mesure de faire face aux risques. L'ANSSI est intervenue à la demande de la commission de contrôle après une attaque contre l'équipe d'un candidat.

Cette dernière menace pose une vraie question dans nos démocraties. Alors que, dans le cas de la plupart des cyberattaques, pour les empêcher ou les contrer, l'on peut se limiter à une analyse des contenants et des données d'enveloppe des messages toxiques, il faut en l'occurrence, s'agissant des actions de déstabilisation, réaliser une analyse du contenu – celui des fausses nouvelles, par exemple –, ce qui constitue un sujet extrêmement difficile dans une démocratie.

Au-delà de la caractérisation des menaces par rapport à leur finalité, il faut aussi les distinguer selon leur caractère ciblé ou au contraire indiscriminé.

Dans le premier cas, les menaces émanent d'États ou d'organisations qui peuvent être liées à eux, notamment les groupes connus – depuis 2006 – sous le nom d'advanced persistant threats (APT). Des systèmes d'attaque et des logiciels malveillants extrêmement élaborés sont alors utilisés à des fins de pénétration et d'infiltration, souvent sur la longue durée. L'attaque subie par TV5 Monde a ainsi été préparée entre trois et quatre mois à l'avance. Les opérations qui ont touché l'Ukraine, notamment NotPetya, concernaient un logiciel utilisé par près de 80 % de l'administration, et dont une faille avait été détectée deux ou trois mois plus tôt. On n'a donc pas affaire à des hackers s'amusant depuis leur garage. Pour réaliser de telles opérations il faut avoir une capacité d'infiltration et de pénétration, savoir rester tapi dans les systèmes, clandestinement, afin de ne pas se faire détecter, et disposer des infrastructures nécessaires, notamment pour le commandement et le contrôle de l'attaque, mais aussi pour l'exploitation des milliers ou des centaines de milliers de données collectées, en vue d'extraire celles qui sont les plus pertinentes. Une telle sophistication n'est pas à la portée de n'importe qui.

Certaines menaces sont ciblées, alors que d'autres ont des effets indiscriminés, l'intention pouvant être, au demeurant, de produire un effet systémique. Des virus tels que les rançongiciels peuvent cibler un pays, à l'origine, mais échapper ensuite à leur inventeur, ce qui produit des effets de bord – l'Ukraine est visée mais Saint-Gobain est également touché, par le biais d'une filiale ukrainienne. Il arrive que les virus échappent à tout contrôle, se multiplient et prolifèrent, ce qui provoque un effet « tsunami ».

La seconde partie de la revue stratégique est probablement celle qui vous concerne le plus directement, car elle est relative à la responsabilité de l'État dans l'organisation de la cyberdéfense de la Nation.

Cela nous a conduits, dans un premier temps, à définir un périmètre : le coeur, le cerveau et les fonctions vitales que l'on doit impérativement renforcer pour permettre à l'État de résister à un choc, de disposer de moyens de résilience si une partie des murailles s'est effondrée, et d'assurer la continuité d'un certain nombre de fonctions sans lesquelles on serait réduit à la passivité face à d'autres chocs, ayant d'autres origines, éventuellement de nature militaire. Ce périmètre inclut des systèmes informatiques relevant directement de l'État – au sein des armées et des services de sécurité ou de secours – mais également de services aussi essentiels que la distribution de l'énergie et les télécommunications. Le SGDSN et l'ANSSI ont considéré que l'on devait renforcer la main de l'État afin de protéger l'ensemble des fonctions essentielles et des infrastructures critiques ainsi définies.

L'étape suivante a été de préciser un modèle qui faisait jusque-là l'objet d'une simple approche empirique. Nous avons fait le choix, judicieux à mon avis, d'une cyberdéfense reposant sur deux piliers : d'une part, les services de renseignement et le commandement de la cyberdéfense (ComCyber), qui sont en charge du renseignement et des actions de riposte ou d'attaque, y compris par des actions clandestines, et, d'autre part, l'ANSSI, agence interministérielle qui n'appartient pas à la communauté du renseignement et dont la mission consiste à définir des systèmes de protection d'une manière assez large, puisqu'elle agit à la fois pour le compte de l'État et en lien avec un certain nombre d'opérateurs vitaux.

Dans le cas de TV5 Monde que j'ai évoqué tout à l'heure, pourrait-on accepter facilement qu'un service de renseignement intervienne au sein d'un média public, ou privé, faisant l'objet d'une attaque ? L'ANSSI est une agence technique neutre, n'exploitant en aucun cas les contenus – ce n'est pas un service de renseignement – mais s'intéressant aux contenants, ce qui lui a permis, mis à disposition de l'autorité de contrôle de la campagne présidentielle et du juge constitutionnel, de jouer sans difficulté son rôle dans la sécurisation de nos dernières élections. La problématique apparaît rétrospectivement plus compliquée aux États-Unis, où les moyens de cyberdéfense sont réunis au sein de la communauté du renseignement, dont la NSA spécifiquement en charge du domaine. Ce système bute sur des conflits de principes et des risques d'interférence : À quel moment l'attaque contre le Parti démocrate a-t-elle été détectée et « attribuée » ? Si les services de renseignement l'ont vue, pourquoi n'en ont-ils pas fait part aussitôt ? Mais pouvaient-ils le faire eux-mêmes sans saisine d'un juge dès lors que l'opération se déroulait sur le territoire américain ?

Je pense que notre propre système est vertueux : il assure un équilibre démocratique en distinguant bien les missions, et il favorise une très forte coopération avec les opérateurs en ce qui concerne la détection – j'y reviendrai. Certains de nos grands partenaires ont choisi le même modèle que le nôtre, notamment les Allemands, et nous pensons que ce choix devrait également prospérer ailleurs en Europe.

Sur la base de ce modèle, nous avons considéré qu'il était nécessaire de bien définir les chaînes opérationnelles et, surtout, de mieux les faire travailler ensemble.

La revue stratégique a ainsi distingué quatre chaînes : celle de la protection, qui est largement confiée à l'ANSSI, sous la responsabilité du SGDSN et du Premier ministre ; l'action militaire ou clandestine, qui relève du ComCyber et de la direction générale de la sécurité extérieure (DGSE), pour l'essentiel, et qui remonte jusqu'au président de la République, par exemple quand une opération extérieure est décidée ; l'action en matière de renseignement, notamment pour l'anticipation et l'attribution, qui implique les services spécialisés, en particulier la direction générale de la sécurité intérieure (DGSI) ; l'investigation judiciaire – j'ai rappelé tout à l'heure la nécessité de renforcer l'action de la justice contre la cybercriminalité.

En ce qui concerne la chaîne du renseignement, le travail de Robert Mueller aux États-Unis montre bien que l'attribution ne peut pas résulter d'un simple travail de police scientifique – celui que fait l'ANSSI dans notre pays. Quand elle intervient à TV5 Monde ou à Saint-Gobain, cette agence se concentre sur la « scène du crime » : elle décrit techniquement l'attaque avant de procéder à des remédiations. Le constat et le diagnostic sont transmis aux services de renseignement ou à la justice, s'il y a une enquête. Très souvent, la caractérisation technique ne permet pas une attribution : on a reconnu tel APT, telle signature informatique ressemble à ce que font les Russes, les Coréens du Nord ou le groupe de hackers Lazarus, mais on doit se méfier de tout le monde dans ce domaine. Nous n'avons pas vraiment d'alliés et les faux nez existent : on peut laisser derrière soi les traces de doigts des autres. Il faut donc un travail de renseignement, qui ne peut pas relever de l'ANSSI. Cela implique d'aller au contact et de réaliser, par exemple, des écoutes. On le voit bien dans ce que les journaux rapportent du travail réalisé par le Federal Bureau of Investigations (FBI) pour caractériser selon leurs conclusions l'origine russe des attaques qui ont été commises aux États-Unis. Nos services de renseignement étant placés sous une autorité ministérielle, ces investigations à fins d'attribution se placent dans le cadre de la loi de 2015 sur le renseignement et ne posent pas de problème de mise en oeuvre.

La revue stratégique décrit ces quatre chaînes opérationnelles, en précisant que l'ensemble des missions – l'anticipation, la détection, l'attribution, la riposte ou la réaction et les contre-mesures – doivent être exercées dans le cadre d'une coopération entre tous les acteurs. Nos moyens ne sont pas à la hauteur de ceux des États-Unis, à savoir des milliards de dollars et des dizaines de milliers de personnes travaillant sur les questions de cybersécurité. Il n'y a pas non plus encore une équivalence de moyens avec ceux des Britanniques ni même avec ceux des Allemands. À titre d'exemple, l'ANSSI compte environ 550 agents, contre 800 pour le service équivalent en Allemagne, le Bundesamt für Sicherheit in der Informationstechnik (BSI). C'est pourquoi il est absolument nécessaire d'assurer une très forte coopération entre tous les moyens réunis, notamment ceux du ministère des Armées et de l'ANSSI, dans une consolidation capacitaire prenant en compte les moyens de la direction générale de l'armement (DGA), DE la direction technique de la DGSE DU ComCyber, et de l'ANSSI.

C'est sur ce socle de compétences techniques, et notamment sur des fonctionnalités extrêmement importantes en termes de fabrication de sondes, d'outils de détection ou de chiffrement des données, que sont focalisés les moyens les plus importants.

La DGSI qui emploie une centaine de personnes, qui ne sont pas toutes ingénieurs spécialisés en cybersécurité, doit mieux trouver sa place dans cet écosystème notamment pour réaliser les attributions et prévenir la menace.

Le ComCyber monte en puissance, tandis que la majorité des moyens sont actuellement répartis en trois blocs de taille comparable à la DGA, à la DGSE ainsi qu'à l'ANSSI. Nous souhaitons consolider ce socle technologique.

La revue s'est ensuite interrogée sur la problématique de la doctrine. Certains d'entre vous m'avaient d'ailleurs interrogé : doit-on publier une doctrine ou faut-il conserver l'ambiguïté ? J'ai toujours eu le sentiment qu'un pays comme le nôtre devait disposer d'une doctrine, mais ne pas intégralement la dévoiler. En effet, d'une certaine manière, quand les États-Unis font de l'attribution, ils sont en situation de supériorité. Ils vont jusqu'au bout de leur logique. Ils peuvent parfois se tromper aussi. Quand bien même, ils agissent à des fins purement politiques. Mais la France trouve plus d'avantages à conserver cette flexibilité, cette plasticité dans ses réactions : il ne faut pas rigidifier nos réactions ni les automatiser dans une doctrine.

Pour autant – le parallèle avec la doctrine de la dissuasion se révèle ici partiellement pertinent –, nous devons pouvoir affirmer que nous allons nous défendre et que nous ne nous laissons pas faire. C'est d'ailleurs ce qui se passe : nous ne nous laissons pas faire, même si nous n'affichons pas nos réactions.

La revue dans sa version publique, même si elle ne les décrit pas par le menu, assume clairement une logique de riposte. À partir de l'établissement d'un schéma de classement des agressions qui figure dans ce document, nous avons consolidé des méthodes d'analyse et de réaction et avons établi des passerelles, comprenant des niveaux de définition des seuils d'agressivité d'attaque. Ces seuils sont cohérents avec ceux des Américains et nous permettent d'échanger avec nos grands partenaires. Il ne s'agit pas cependant d'une doctrine de dissuasion car, qui dit dissuasion, dit automaticité de la réponse et absence de doute sur la réplique en cas d'atteinte à nos intérêts vitaux ; et même s'il reste une ambiguïté sur la définition de l'intérêt vital et le moment où l'on considère qu'il est touché, la réplique est automatique dès ce constat.

Nous souhaitons au contraire maintenir de la réversibilité et de la graduation dans le domaine de la cyberdissuasion ; cela va d'une simple démarche diplomatique, confidentielle – il m'est ainsi arrivé d'indiquer à d'autres pays que nous avions détecté leurs agissements et qu'ils devaient cesser –, à l'action militaire – si l'on considère que l'article 51 de la Charte des Nations unies doit être actionné, pour des raisons de légitime défense. L'escalade est donc possible dans le domaine de la cybersécurité.

En outre, l'effet dissuasif n'est pas le même que dans le monde réel. Nous l'avons appelé « découragement » dans la revue : notre posture doit être ferme et faire comprendre à ceux qui voudraient s'en prendre à nous que, de toutes les façons, quel que soit le mode de réaction, il y aura une réaction qui fera qu'en fonction de son niveau, l'agression sera sanctionnée… Il s'agit, aussi, par l'affirmation de cette posture réactive, de décourager les attaques.

Cette deuxième partie de la Revue est au coeur des problématiques de votre commission de la Défense et de la réflexion sur l'organisation de l'État.

La troisième partie est aussi extrêmement intéressante, mais plutôt tournée vers l'État en tant que garant de la cybersécurité de la société. Elle appelle l'ensemble des acteurs à travailler conjointement, afin d'augmenter le niveau général de cybersécurité de notre pays. Seule la problématique de la souveraineté numérique vous intéresse directement dans cette partie. En effet, à la différence des Américains ou des Chinois, la France ne dispose pas de grands équipementiers. Nous sommes plus vulnérables. Nous n'avons pas non plus Google, Apple, Facebook, Amazon et Microsoft – les GAFAM –, donc moins de possibilités de coopération ou d'influence . C'est pour cela qu'il est essentiel que nous conservions certaines capacités technologiques indispensables à notre souveraineté – chiffrement, outils de détection et d'attaque de sondes, etc.

C'est également tout l'intérêt d'un cloud européen ou, au minimum, de grandes banques de données permettant de conserver et de protéger correctement les données de l'État. Ce dernier doit également conserver la compétence de définition de systèmes de communication étanches, sur lesquels certains équipementiers ne peuvent pas intervenir. Cela implique que nous conservions de grands acteurs en France, autour d'Orange, d'Atos, d'Airbus et de Thales – nous avons encore récemment perdu Alcatel… Autour de ce noyau, nous pourrons développer des opérateurs de standard européen, voire international, nous permettant de conserver des briques – ou des niches – essentielles, sans parler du rôle de toutes les start-up européennes innovantes.

Plutôt que de prolonger cette intervention, je pense qu'il est plus intéressant maintenant d'échanger avec vous. En conclusion, j'ajouterai que beaucoup d'évolutions vont passer par la mise à jour des normes professionnelles, les diligences comptables, l'évaluation et la notation des cyber-risques. Dès l'école, nous devons également sensibiliser davantage les Français à cette problématique. Vous trouverez ces éléments de politique publique décrits dans la revue stratégique.

Pour finir, j'en viens à l'article 19 du projet de loi sur lequel nous pourrons également échanger. Il prévoit une coopération entre l'ANSSI et les opérateurs de communications. Si l'on pense tout de suite aux grands – Orange, SFR, Free –, en réalité, une centaine d'acteurs – opérateurs ou hébergeurs – pourra mettre en place un système préventif sur ses flux de communication, afin de détecter des virus, des attaques ou de possibles incidents. L'ANSSI communiquera à ces opérateurs un certain nombre de signatures de logiciels malveillants ou de marqueurs d'attaque. Enfin, dans certains cas, l'ANSSI sera plus directive en orientant la « pêche ». Elle pourra demander aux opérateurs de réaliser certains tests et interviendra même directement s'agissant des flux de données des opérateurs d'importance vitale ou de l'État.

Le système initialement prévu par la loi de programmation militaire de 2014 prévoyait que l'ANSSI intervienne seulement sur les réseaux de l'État et des opérateurs d'importance vitale, éventuellement sur les branchements entre les réseaux de communication et ces opérateurs ou l'État, mais pas sur l'ensemble de ces flux de données, alors que, pourtant, les risques d'attaques, de malwares et de virus sont omniprésents. Avec les nouvelles dispositions de l'article 19, la détection des attaques sera à la fois plus complète et mieux anticipée.