Intervention de Louis Gautier

Monsieur Rouillard, nous sommes évidemment mobilisés, aux côtés de M. David Martinon, ambassadeur pour le numérique, dans la discussion de tout traité, accord ou convention qui permettrait de mieux réguler le cyberespace. Le SGDSN et l'ANSSI avaient d'ailleurs organisé à l'année dernière à l'UNESCO le colloque « La paix dans le cyberespace ». La France milite pour cette régulation, même si elle semble mal engagée pour le moment car le groupe d'experts gouvernementaux de l'ONU s'est dissous sans parvenir à conclure à la nécessité d'importer dans le domaine du numérique un certain nombre de normes applicables en droit international, sauf pour l'article 51 de la Charte des Nations unies sur la légitime défense que j'évoquais précédemment, qui s'applique dans le domaine cyber, tout comme l'ensemble de la Charte.

Les pays ont pendant longtemps travaillé de concert, avant que les Chinois et les Russes ne se désolidarisent, in fine. De gros efforts restent à fournir dans ce domaine, si l'on veut éviter que cet espace ne devienne le lieu d'une conflictualité systématique. Il ne faut pas oublier qu'à l'origine, c'est un formidable espace d'échange d'informations, de communication, de brassage culturel. Il faut veiller à ce que la multiplication du hack back – la vente d'outils agressifs que tout le monde utilisera en cas d'agression – n'aboutisse à une forme de Far-West numérique…

Monsieur Rouillard, vous évoquez également la bataille des normes. Le SGDSN prend des arrêtés et fixe des normes, en relation avec l'ANSSI. Cette dernière prend par ailleurs différentes dispositions impliquant des agréments et l'acceptation du développement de certains artefacts. Elle contrôle ce qui est vendu en France et valide des offres de confiance. Il s'agit donc déjà de normalisation. Mais vous avez raison, dans le domaine économique et surtout dans celui des normes industrielles, les Américains vont chercher à reproduire ce qu'ils ont réussi à imposer en matière comptable : les règles de conformité – compliance – qu'ils veulent nous faire adopter leur permettront de maîtriser encore mieux nos sociétés… Si les Européens ne s'empressent pas de fixer leurs propres normes professionnelles, ne créent pas leurs agences de notations du cyber-risque, n'impliquent pas des diligences comptables, le système sera déséquilibré…

Les Européens doivent donc produire de la norme, non pas seulement parce que c'est efficace en matière de cybersécurité, mais aussi afin d'éviter de se faire imposer par d'autres des normes ensuite possiblement détournées comme biais anticoncurrentiels.

S'agissant de la neutralité d'internet, Madame Trastour-Isnart, le système proposé à l'article 19 est avant tout coopératif. À preuve, le verbe employé dans le libellé de l'article : « les opérateurs de communications électroniques peuvent recourir… » ; autrement dit, ils ne le feront pas s'ils ne le veulent pas. Je crois cependant qu'ils rechercheront cette possibilité parce que l'article 19 vise non seulement à assurer la cyberdéfense de la Nation, mais il est aussi bénéfique pour tous les usagers et constitue un élément de la fiabilité des prestations et services fournis par les opérateurs. L'idée nous en est venue suite à un déplacement aux États-Unis, dont l'organisation diffère de la nôtre avec l'ANSSI. Pour imposer des formes d'obligation de ce type dans les contrats publics ou ailleurs, nous disaient nos interlocuteurs, il faut que les opérateurs s'y retrouvent ; pourquoi, dès lors, ne pas leur laisser la possibilité de proposer des contrats de base – respectant la neutralité totale du réseau, en laissant notamment passer tous les virus et autres spams – et, moyennant deux euros supplémentaires, par exemple, des contrats aux termes desquels ils auraient la possibilité d'assurer une sorte de police sur la circulation sans toucher aux contenus mais seulement à la signature électronique, à l'enveloppe et aux métadonnées techniques des messages ?

En réalité, c'est un système coopératif entre les opérateurs de télécommunication et l'ANSSI qui leur fournira les signatures malveillantes complémentaires à celles que les acteurs privés peuvent également connaître car elles sont publiques. L'ANSSI ne prend pas directement la main en plaçant ses propres marqueurs ou ses sondes qu'en cas de risque d'attaque grave pour la sécurité de l'État ou celle des OIV. Ainsi, non seulement nous renforcerons notre système de détection mais aussi la prévention, puisque l'ANSSI informe régulièrement les opérateurs et entreprises des incidents repérés ou signalés. Si nous avons échappé à la première attaque du logiciel malveillant WannaCry qui a mis le système de santé britannique en panne, c'est sans doute grâce aux actualisations qui avaient été effectuées – parfois de manière très simple, grâce à des mots d'ordre et conseils donnés par l'ANSSI à l'ensemble de ses réseaux. À ceux qui s'interrogent, je dirai donc ceci : le fait que l'Agence soit impliquée aux côtés des opérateurs, que le dispositif ne touche en rien aux contenus mais seulement à des données techniques et que l'ARCEP soit autorité de contrôle, donne plus de garanties qu'aucun autre système. De surcroît, nul n'est contraint – sauf en cas de risque pesant sur la sécurité des systèmes de l'État et des opérateurs d'importance vitale.

Pour vous répondre, Monsieur Lachaud, il me faudra me pencher en détail sur les articles 33, 38 et 41 et sur les ordonnances. Le ministère des Armées vous fournira l'ensemble des informations et je suis prêt à regarder avec vous le détail technique de ces dispositions texte en main.