Intervention de Louis Gautier

Monsieur Chalumeau, les mille emplois seront fléchés sur les trois pôles spécialisés du ministère des Armées : la DGA, le ComCyber et la DGSE. Par ailleurs, je pense que le ComCyber va évoluer et se densifier.

Toutes nos opérations militaires intègrent désormais cette problématique. Prendre le contrôle de l'espace aérien d'un pays implique de bombarder systématiquement les centres de défense anti-aérienne et les tours de contrôle des aéroports militaires. Il peut suffire de trouver des failles de sécurité, et avant même que notre adversaire l'ait compris, de mettre le pays à terre. Ces investissements répondent donc aux besoins du ministère des Armées – notamment à la nécessité d'intégrer les cyberattaques dans la problématique militaire – mais aussi à l'impératif d'auto-protection de nos moyens. Si des vulnérabilités existent chez les autres, nous devons éviter que nos propres équipements ne soient eux-mêmes exposés à des fragilités, au risque d'une possible neutralisation.

Nous avons essayé de trouver un bon équilibre concernant l'article 19. Il a été présenté au Conseil d'État, qui a approuvé le système. Le dispositif est, je le rappelle, sous le contrôle de l'Autorité de régulation des communications électroniques et des postes (ARCEP). Cela n'empêchera par ailleurs pas le débat et les discussions au Parlement.

Monsieur Pueyo, vous évoquiez cet adolescent d'Alençon qui s'est suicidé. Nous sommes confrontés à ces difficultés et à ces drames dès l'école et le collège. Nos concitoyens doivent avoir conscience qu'un manque de protection de leurs données les expose, leur vie entière. Dans le domaine public, cela nous renvoie en outre à notre responsabilité en matière de protection du dossier médical ou judiciaire. En effet, la dématérialisation des grands services publics, comme ceux de la justice et de la santé, essentiellement pensée pour favoriser l'échange, doit désormais prendre en compte cette problématique de sécurité des données personnelles.

Madame Mirallès, l'OTAN prévoit une réaction collective aux cyberattaques, telle celle qu'a connue l'Estonie en 2007. Mais elle ne prévoit pas de répliques pour tout le reste. Ce n'est de toute façon pas souhaitable, car il s'agit d'un domaine de souveraineté. Je ne vous ai par ailleurs pas fait état de tous les cas plus ou moins exotiques que nous avons eus à traiter – certains mettent très directement en cause l'indiscrétion d'alliés… Rappelez-vous, à la suite de certaines révélations, les prises de position diplomatiques françaises certes feutrées mais fermes à l'égard de notre partenaire américain, après qu'on l'a détecté – un peu trop régulièrement parfois – en train de visiter nos sites étatiques… Dans ce domaine, on ne départage pas facilement nos amis et nos ennemis, sauf lorsqu'il s'agit de nos intérêts de sécurité : nos alliés ne s'y attaquent pas. Ils ne provoquent pas d'accident ou ne déstabilisent pas nos élections. C'est tout l'intérêt de la gradation des réponses.

Monsieur de Ganay, je n'entrerai pas dans cette logique de l'invulnérabilité. Notre discussion est franche. Il est important de faire passer le message concernant la nature de la menace. Mais il ne s'agit pas non plus de créer des angoisses inutiles dans la population. Nous avons tout de même une longueur d'avance « dans la consolidation de la cuirasse » – dans toutes les formes de conflictualité, on retrouve cette dialectique de l'épée et de la cuirasse. En effet, il y a un certain temps, nous avons créé la catégorie des opérateurs d'importance vitale (OIV) pour des raisons de sécurité physique – protéger les centrales nucléaires et, plus largement, Électricité de France (EDF) ou la distribution de l'eau, ou les transports... Depuis la dernière loi de programmation de 2014, l'ANSSI peut imposer des obligations pour sécuriser les réseaux informatiques des OIV. Cela nous a donné une formidable avance sur nos partenaires européens, pour travailler avec ces opérateurs et renforcer leur cybersécurité.

Les autres pays européens ne pouvaient pas le faire. Ce n'est que maintenant qu'ils rattrapent ce retard, par le biais des dispositions prévues par la directive du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union – Network and information security (NIS). Ces dispositions européennes concernent des activités essentielles, mais elles n'ouvrent pas la possibilité d'audits, que l'ANSSI réalise déjà directement, imposant ensuite des remédiations immédiates. Nous disposons donc d'un énorme avantage… Beaucoup cependant reste à faire. L'actualisation des défenses des systèmes informatiques des systèmes de l'État ou des OIV est un travail permanent.

Vous avez raison, nous envisageons de réformer les niveaux de secrets de la défense nationale, par parallélisme avec les niveaux de secrets de nos alliés, en particulier anglo-saxons. Le SGDSN négocie des accords généraux de sécurité. L'an passé, j'en ai négocié un avec l'Australie pour protéger les échanges de données, notamment dans le cadre du contrat de vente de sous-marins. Ces négociations étaient jusqu'à présent toujours extrêmement compliquées : nous n'étions jamais au « bon étage » avec nos partenaires. Cette réforme permettra de remettre nos niveaux de secrets d'équerre avec ceux de nos partenaires, en prévoyant un niveau « secret de la défense et de la sécurité nationale » et un niveau « très secret ».

Par ailleurs, le rapport sur le secret de la défense nationale a souligné l'inflation de classification dans le bas de l'actuel « confidentiel défense » : des millions de données parfois sans importance ont été classifiées… Or, pour bien protéger le secret de la défense nationale, il ne faut pas faire de classifications inutiles. À l'avenir, le « secret » va reprendre uniquement la tranche haute du « confidentiel défense ». À ce niveau de secret va en outre correspondre une génération nouvelle de moyens électroniques, dématérialisés ou de communication – autour des outils existants que sont l'intranet sécurisé interministériel pour la synergie gouvernementale (ISIS), OSIRIS ou HORUS pour les visioconférences.

Le niveau « très secret » pourra quant à lui être décliné en « X secret », pour les dossiers les plus sensibles, liés à des enjeux de souveraineté, qui ne sont donc pas partagés avec nos alliés. C'est, par exemple, le cas de la dissuasion nucléaire.

Cette réforme va nous permettre de disposer d'un système plus homogène. Nous prendrons notre temps, afin que tout s'adapte convenablement. Par ailleurs, dans tous les codes, un travail légistique sera nécessaire. Pour autant, cela ne changera rien au passé, le « confidentiel défense » devenant « secret ». Nous n'allons pas tout reclassifier, cela n'aurait pas de sens ! Certes, la partie basse des documents d'ores et déjà classifiés « Confidentiel Défense » demeurera peut-être un peu trop protégée, mais la délégation parlementaire au renseignement ou les missions spécifiques de la commission de la Défense ne rencontreront pas, du fait de cette réforme, de difficultés particulières d'accès ou de conversion.

Monsieur Becht, vous avez raison concernant la résilience. L'exemple des élections est parlant. Comme le faisait remarquer le président du Conseil constitutionnel M. Fabius, il est parfois bon de s'appuyer sur des procédures physiques – de revenir à la préhistoire ! –, sauf à vouloir prendre des risques inconsidérés. Or, dans certains cas, on ne peut pas prendre ces risques, notamment quand il s'agit d'une élection : lorsqu'une urne est bourrée dans un bureau de vote, la commission se réunit, pondère, voire élimine les bulletins contestés pour le bureau concerné. Mais un défaut dans un système informatique pollue l'intégralité du vote, en créant un effet d'insincérité sur l'ensemble du processus…

De la même façon, dans certains domaines de la sécurité, il faut mettre en place des systèmes hermétiques entre eux : ainsi, dans le domaine informatique, les services d'administration générale d'une centrale nucléaire ou d'un barrage hydraulique ne doivent pas pouvoir dialoguer avec les dispositifs de sécurité. C'est le B.A.-BA. Cela implique aussi des redondances et de l'étanchéité, afin d'assurer la résilience de ces équipements de sécurité.