Intervention de Louis Gautier

L'effort consacré au cyber s'élève à peu près à 1,6 milliard d'euros sur toute la période de programmation. C'est la ministre des Armées qui pourra vous donner la ventilation entre les infrastructures, les dépenses d'équipement ou les investissements en recherche et formation.

S'agissant de l'Union européenne et de l'OTAN, la question soulevée précédemment m'a permis d'apporter des réponses. L'OTAN est un mécanisme de sécurité collective, l'Union européenne, c'est autre chose. Cela a aussi été évoqué par d'autres intervenants, notamment s'agissant de l'externalisation de la détection, l'Union européenne a un champ de protection numérique, de souveraineté européenne, beaucoup plus vaste. Dans nos quatre chaînes opérationnelles, l'OTAN correspond à la mobilisation de l'action militaire.

Mais, pour répondre à la question posée sur les juges, la police et la gendarmerie, nous avons un parquet financier, un parquet antiterroriste, nous pourrions avoir des juges cyber. Et les enquêtes ne peuvent pas être menées uniquement en France ; il faudrait un parquet européen ; c'est à ce niveau d'agrégation que l'on pourrait faire quelque chose, y compris pour les sanctions. Les États ne sont pas seuls à se livrer à la captation de données. Dans le champ économique, c'est aussi le fait d'entreprises qui veulent racheter un concurrent, avoir accès à un brevet ou à une information privilégiée éventuellement utile dans le cadre d'une négociation commerciale, d'une transaction ou d'une procédure judiciaire. Dans ce domaine, qui relève plus de la sécurité numérique que du champ économique, ce n'est pas l'OTAN qui est pertinente.

Comment se fait la différenciation ? L'OTAN a en charge la sécurité collective, pour répondre à des situations comme celle de l'Estonie. La question est celle de notre réaction, et notamment des contre-mesures éventuelles, voire des intrusions et des actions agressives dans le champ cyber. Répliquerons-nous de cette manière, voire même au-delà ?

Monsieur Kervran, votre question va me permettre de décrire une voie alternative, qui n'a pas été choisie. Rappelez-vous l'article L. 851-3 du code de la sécurité intérieure, qui concerne le terrorisme. Cet article très particulier a été voté dans un contexte précis, d'urgence, pour lutter contre le terrorisme. Et rappelez-vous la manière dont le Conseil constitutionnel a approuvé cette exception en raison de la nature de la menace terroriste et en posant certains considérants constitutionnels préalables impliquant de pouvoir circonscrire et contrôler l'exploitation des données collectées dans le cadre de la lutte contre le terrorisme. Or la menace cyber est, de manière globale, assez peu discriminée. Elle va de la compromission de données sur un téléphone portable aux actions de longue main que j'ai évoquées plus tôt, et qui impliquent toute une stratégie sur plusieurs mois pour s'infiltrer et capter les données.

On ne peut pas imaginer la fabrication d'un algorithme pertinent permettant de procéder à un tri dans des volumes massifs de métadonnées stockées jusqu'à leur exploitation.

En outre, la loi relative au renseignement concerne un travail des services, impliquant une temporalité séquencée : une enquête de terrain ; la demande d'interception de sécurité ; la consultation de la CNCTR ; l'autorisation du Premier ministre ; l'interception et l'analyse des données. S'agissant de la lutte contre le terrorisme, si l'on sait qu'une personne donnée est partie en Syrie, il est possible de collecter des informations auprès de sa parentèle, d'analyser des communications. C'est un travail qui peut prendre le temps nécessaire pour que l'enquête permette de purger toutes les dangerosités, par exemple à partir d'un numéro trouvé dans le téléphone d'un terroriste après l'attentat du Bataclan.

Nous ne sommes pas du tout dans cette logique, ni dans cette temporalité s'agissant du risque cybernétique. Nous devons faire une détection immédiate, de façon à intervenir en temps réel, pour empêcher l'attaque. Agir au plus près et au plus vite. D'où cet article 19 de la LPM qui met en place un système de tamisage des flux et qui ne porte que sur la détection et l'analyse de données techniques de communication.

Dans le domaine du renseignement et de la lutte contre le terrorisme, c'est un travail d'enquête dont le but est de tracer une filière pour la démanteler ou de rechercher l'origine d'une action hostile. Quelque chose de troublant a déjà été identifié, Des indices ont été relevés et les services cherchent à en découvrir l'origine.

D'une certaine manière, c'est le travail que réalise ex post le procureur spécial Robert Mueller dans son enquête sur les ingérences dans l'élection américaine de novembre 2016. Il en est au stade où il analyse dans son rapport la campagne de déstabilisation et de « fake news ». Il progresse mais n'est pas encore parvenu à caractériser les attaques contre le parti démocrate.

En matière de cyberdéfense, nous ne sommes pas du tout dans cette temporalité-là : nous devons détecter l'attaque pour la prévenir ou la contrer le plus vite possible, nous devons repérer le malware ou le virus, de façon à protéger la victime et à empêcher que cette attaque vienne contaminer les systèmes d'information de l'État ou des opérateurs d'importance vitale.

Ces deux raisons, à la fois opératoires et logiques, s'ajoutent au fait que nous voulons rester cohérents avec notre modèle, qui prévoit que la détection et la remédiation SONT du ressort de l'ANSSI, et non pas des services de renseignement. L'ANSSI est en effet une agence interministérielle qui ne s'intéresse pas aux contenus, et n'aurait d'ailleurs pas les moyens de les exploiter : il n'y a pas d'analystes à l'ANSSI qui s'intéressent à la nature des messages. Ce sont des métadonnées qui sont conservées, puis détruites, quand des virus ont été détectés sur des systèmes d'importance vitale. Prévoir un contrôle de l'ANSSI par la CNCTR aurait introduit de la confusion : cela serait revenu à dire que la même organisation était censée contrôler à la fois les interceptions de sécurité des services de renseignement et des détections qui, justement, ne sont pas des interceptions de sécurité dans la mesure où elles ne s'intéressent pas au contenu. C'est pourquoi nous avons préféré en charger l'ARCEP : d'abord parce dans le système collaboratif mis en place, il est de la compétence de l'ARCEP de contrôler ce que font les opérateurs conformément au code des communications électroniques ; ensuite parce selon les dispositions de l'article 19. Il lui reviendra de vérifier que l'action de l'ANSSI ne déborde du cadre précisé par la loi.

Ce système va dans le sens de la consolidation de notre modèle, de la claire distinction des missions entre celles de l'ANSSI et celles des services spécialisés de renseignement. Le portage est très différent de celui prévu par la loi de 2015 sur le renseignement ; le contrôle doit l'être aussi. Je rappelle que ce qui a été fait sur l'article L. 851-3 du code de la sécurité intérieure a été fait dans un cadre très utile pour les services de renseignement, mais qui n'est pas de même nature.

Il est vrai que nous allons devoir renforcer les moyens des services de renseignement, notamment pour procéder aux attributions. Il y a de l'enquête humaine, mais il y a aussi une partie scientifique, qui doit aller au-delà de ce que fait l'ANSSI. Cette dernière n'est d'ailleurs pas toujours directement impliquée : elle n'intervient que s'il s'agit d'opérateurs d'importance vitale ou de services de l'État. Il se peut qu'un service de renseignement, pour une raison de sécurité économique ou de cybercriminalité, ait à travailler sur cette matière, notamment pour localiser le commanditaire de l'action. Ce champ du renseignement doit être développé, dans le cadre de la loi sur le renseignement, qui fixe par ailleurs les objets de chacun de ces services.

Sur la cyberdéfense, je pense avoir globalement répondu. Il est nécessaire de réévaluer les politiques de cyberdéfense, en conservant l'idée que nous y parviendrons bien si nous discriminons ce que chacun doit faire opérationnellement. La protection est une fonction, le renseignement ou l'action militaire sont d'autres fonctions.

S'agissant de la cyberdélinquance et des limites de la coopération européenne, il est nécessaire de renforcer l'Europe à ce niveau. Il faut au moins un réseau de juges compétents en la matière.

Sur la Corée du Nord, je suis d'accord ; si nous pouvions obtenir une régulation ou une législation internationale permettant de dissuader l'usage de certaines cryptomonnaies, ce serait une bonne chose. Lors du séminaire de lancement de la Revue organisée à l'École militaire, en septembre dernier, nous avons appris d'un intervenant qu'au Japon, il était possible jusqu'à il y a peu de payer ses impôts en bitcoins, ce qui revient à légaliser le bitcoin. Il n'y a donc pas de consensus entre pays pour décider si le bitcoin est toléré, légal illégal. Il faut à cet égard faire la différence entre les différents types de cryptomonnaies.