Intervention de Bastien Lachaud

S'agissant du financement de cette « montée en gamme » des sous-traitants, nous suggérons la constitution d'un « fonds cyber ». Il pourrait être alimenté par des contributions des acteurs de la BITD, mais également par une partie des recettes tirées des exportations d'armement réalisées par l'industrie française. Un taux de retour pourrait ainsi être déterminé chaque année en fonction des recettes réalisées l'année précédente.

Il convient également d'établir et de mettre à jour régulièrement une cartographie fine des entreprises et compétences critiques au sein de la BITD. Cela permettrait, d'une part, de les sécuriser de manière satisfaisante au niveau « technique » et, d'autre part, de les sécuriser « économiquement », en empêchant si nécessaire les prises de participation par des capitaux étrangers. Il convient donc de faire un usage, raisonné mais assumé, des dispositions prévues par le décret de 2014 relatif aux investissements étrangers soumis à autorisation préalable. Au–delà de la seule BITD, il pourrait même être envisagé de renforcer ce dispositif s'agissant de certaines entreprises du secteur de la sécurité des systèmes d'information.

Naturellement, il est nécessaire de continuer à soutenir et investir dans l'élaboration de solutions tant défensives qu'offensives. Pour les premières, il faut notamment maintenir l'effort dans les domaines de la cryptographie et du chiffrement. C'est essentiel au regard des ruptures technologiques à venir. Nous pensons en particulier au calcul quantique et au développement de l'intelligence artificielle qui accéléreront et faciliteront les opérations de déchiffrement.

Quant aux secondes, elles sont indispensables à plus d'un titre. Le cyberespace étant un espace de confrontation, nos armées doivent être capables d'y mener des actions, comme dans les milieux traditionnels. Par ailleurs, la détention de capacités offensives produit un effet dissuasif à l'encontre de ceux qui chercheraient à agir contre la France, ses citoyens et ses intérêts. Enfin, les connaissances acquises à l'occasion du développement de solutions offensives permettent, parallèlement, d'améliorer les postures défensives.

Sans que cela soit contradictoire avec ce qui précède, nous proposons d'améliorer la régulation de certains produits pour limiter la prolifération des technologies offensives et contrer les risques cyber systémiques. Cela suppose d'abord de mieux connaître les potentielles « armes numériques ». Une analyse fine et régulièrement mise à jour devrait permettre de déterminer les produits et technologies qu'il faudrait soumettre aux régimes encadrant les exportations ou transferts d'armements et de biens à double usage.

Un autre levier de régulation consisterait à envisager, sur le modèle applicable à certains matériels de guerre, la prohibition de l'emploi, de la fabrication et du commerce de certains produits et logiciels. Seraient concernés ceux qui seraient considérés comme les plus « dangereux », notamment ceux qui pourraient engendrer des risques et des dommages systémiques. Nous sommes conscients de la difficulté technique et juridique d'une telle initiative. Néanmoins, une analyse de la faisabilité d'une telle interdiction, qui viserait les « armes informatiques à effets massifs » pourrait utilement être entreprise, en concertation avec nos partenaires européens et internationaux.

Notre quatrième champ de préconisations vise à ajuster la « ressource humaine cyber », compte tenu des besoins actuels et prévisibles. Le cyber est un domaine dual en pleine expansion, qui intéresse à la fois le secteur civil et le monde militaire. Le « marché de l'emploi cyber » est aujourd'hui extrêmement tendu, ce qui nécessite la mise en oeuvre d'actions résolues afin de renforcer, d'attirer et de fidéliser la « ressource humaine cyber », notamment au sein des autorités publiques qui en dépendent.

La première mesure consiste à faire connaître les différents métiers et formations du cyber. D'après les informations qui nous ont été communiquées, le taux de remplissage des filières faisant l'objet d'un suivi n'est que de 76 %, alors que les débouchés professionnels sont pour ainsi dire garantis. Des actions de communication ambitieuses pourraient donc être entreprises au niveau des établissements de l'enseignement secondaire, dès le lycée, et supérieur.

Une autre mesure est l'augmentation du nombre de places offertes dans les formations « cyber ». Les dernières études publiées estiment ainsi que notre pays accuse un déficit de 6 000 postes dans ce domaine.

Nous jugeons également nécessaire de renforcer les moyens humains et budgétaires de l'ANSSI, au-delà de la question de son réseau territorial précédemment évoqué. Il est vrai que l'ANSSI a déjà bénéficié d'efforts substantiels dans un contexte de réduction tendancielle de la dépense et du nombre d'agents publics. Toutefois, il est évident que les besoins vont se renforcer à l'avenir et qu'il convient donc d'anticiper cette évolution.

Il est intéressant de noter que l'agence allemande équivalent de l'ANSSI, le BSI, compte près de 55 % de personnels en plus, avec 850 agents environ. Or cette différence est sans rapport avec les écarts objectifs de population, la structure institutionnelle, la réalité socio-économique des deux pays, ou encore le niveau de menace cyber à laquelle nos deux pays sont confrontés. Dans l'idéal, l'ANSSI devrait disposer de moyens humains au moins équivalents à ceux du BSI. Cela permettrait de renforcer les capacités de réponse face à une crise majeure, d'accompagner efficacement l'ensemble des acteurs, de mener l'ensemble de ses missions sur un spectre qui aura été élargi par la LPM 2019-2025, et de constituer l'un des acteurs de premier plan aux niveaux européen et international.

Au-delà de la seule question quantitative, les autorités publiques doivent adapter leurs méthodes de gestion des ressources humaines afin de fidéliser les personnels du cyber. Toutes les personnes auditionnées l'ont souligné : si l'État n'éprouve pas de difficultés particulières à recruter et continue à attirer les talents, il lui est moins facile de les fidéliser, notamment au regard des niveaux de rémunération offerts par le secteur privé.

L'État ne sera probablement jamais en mesure de concurrencer les grandes entreprises dans ce domaine. Mais il peut s'efforcer d'offrir des perspectives de carrière plus nombreuses et plus variées. Cela passe notamment par le fait de favoriser les passerelles entre les différents services concernés. Un tel rapprochement serait bénéfique :

– aux personnels, en favorisant la mobilité et les perspectives de carrière ;

– et aux services eux-mêmes en facilitant les échanges, la diffusion d'une culture et de bonnes pratiques communes, la proximité opérationnelle, la mutualisation des outils et des équipements, etc.

À cet égard, nous pensons qu'une politique intégrée pourrait être mise en oeuvre en matière de ressources humaines et de formation entre les différents acteurs de la chaîne cyber. Nous préconisons ainsi d'étudier la création d'une École de cyberdéfense. Elle rassemblerait les capacités de formation et d'entraînement pour l'ensemble des métiers cyber et pour l'ensemble des services et ministères concernés au premier chef, voire pour l'ensemble des administrations gouvernementales. Cette école permettrait le développement d'une culture partagée et favoriserait, par la suite, les passerelles entre les différentes institutions, contribuant ainsi à la fidélisation de personnels. Il faut souligner que le Royaume-Uni s'est récemment engagé dans une voie similaire avec sa Defence Cyber School.

Enfin, notre pays doit jouer un rôle moteur pour assurer les conditions de la cybersécurité collective au niveau international. La France doit développer son influence normative à l'international afin de promouvoir son modèle et ses valeurs, et ainsi proposer des alternatives à des positions qu'elle ne partagerait pas. On peut penser au concept américain de « légitime défense préventive », totalement étranger à la pensée française. On peut également évoquer le concept de hack back. Celui-ci consiste à reconnaître à un acteur privé victime d'une cyberattaque le droit de se faire justice lui-même, et de mener en représailles des actions cyber-offensives. Or une telle reconnaissance pourrait prospérer si l'on n'y prend garde, au risque déstabiliser encore davantage le cyberespace. Sans parler du fait qu'elle contreviendrait au monopole de l'exercice de la violence légitime par les États.

Naturellement, il est important que la France continue de travailler dans les instances internationales à l'émergence d'un corpus juridique partagé. En effet, le meilleur rempart contre les cyberattaques les plus massives reste la construction d'un environnement juridique accepté par tous les acteurs du jeu international et qui s'accorderaient sur le non-recours à certaines pratiques.

Enfin, il faut continuer de promouvoir la coopération internationale en matière cyber. À cet égard, il semble nécessaire d'envisager la cyberdéfense de la même manière qu'a été envisagé le contre-terrorisme, à savoir par le partage des données et de l'analyse des menaces. Cela passe par la conclusion ou l'approfondissement d'alliances pour partager, en temps réel ou quasi-réel, les caractéristiques des principales attaques. Dans le domaine cyber comme dans les autres, la coopération doit être conduite de manière lucide, sans naïveté. Mais face à un phénomène global, la coopération entre États n'est pas une option. C'est une nécessité.

Le cyber transcende les secteurs et les frontières nationales. Nous sommes la preuve qu'il transcende également les frontières politiques, puisqu'une rapporteure de la République en Marche et un rapporteur de la France Insoumise ont réussi à élaborer un rapport consensuel, tant au niveau des constats que des préconisations !

Telles sont les lignes directrices qui ressortent de nos travaux. Nous vous remercions.