Intervention de Guillaume Poupard

Probablement oui, mais je ne suis pas un expert. Nous connaissons l'exemple de la région des Hauts-de-France qui vient de lancer un fonds permettant aux entreprises de mener des audits de sécurité. Cela me paraît une démarche très élégante : on ne prend pas en charge la sécurité de l'entreprise, on l'aide à prendre conscience du travail à accomplir. Nous disposons d'un programme de qualification de prestataires d'audit, comme pour le cloud computing. Quelqu'un qui veut faire appel à un prestataire compétent et de confiance pour établir un diagnostic de la sécurité de son réseau informatique peut consulter la liste de prestataires qui figure sur notre site internet et qui lui garantit que ces entreprises fourniront un service de qualité et de confiance.

La formation est un des cinq axes de la stratégie nationale. Elle est indispensable car la France manque d'experts. L'ANSSI est accusée de tous les recruter – ce n'est pas exact. Le nombre d'experts est insuffisant au regard des besoins, dans le public et dans le privé.

La question de la formation se pose pour toutes les personnes qui vont travailler dans les métiers du numérique. Je vois beaucoup de bac + 5, ceux qu'on appelait les informaticiens, qui n'ont pas eu une minute de formation sur la sécurité au cours de leur cursus. Si ces personnes ne sont pas rattrapées ou ne s'y intéressent pas par elles-mêmes, pendant toute leur vie, elles vont coder des informations qui ne seront pas sécurisées. Nous travaillons beaucoup avec les formations supérieures et avec les écoles d'ingénieurs. Là encore, nous avons mis en place un programme de labellisation, appelé SecNumedu qui a été lancé au Forum international de la cybersécurité (FIC) la semaine dernière. Nous avons déjà labellisé 26 formations supérieures, plutôt pour des experts, pour lesquelles nous garantissons qu'elles respectent des critères et vont former de bons ingénieurs ou de bons experts dans le domaine cyber. En dépit de notre retard, on trouve de très bons experts en France. Nous souffrons d'un problème non pas qualitatif mais quantitatif en matière de formation.

Quant aux moyens, l'ANSSI en a. Il faudra veiller dans les années à venir, dès 2018, à ce qu'ils demeurent. L'ANSSI n'a pas été oubliée, loin de là. Ses effectifs sont passés d'une centaine à sa création en 2009 à 500 personnes aujourd'hui. Je fais probablement partie des directeurs heureux de ce point de vue-là.

Nous avons été fortement soutenus. Nous aurons à maintenir une croissance, peut-être pas aussi rapide, pour être capable d'absorber les nouvelles missions qui nous sont confiées et pour bien faire notre travail.

S'agissant de notre travail dans les régions, nous avons fait notre autocritique. L'ANSSI était très parisienne, très centralisée – c'est le propre d'une direction centrale. Il m'arrivait de taquiner mes collègues en leur demandant : quand allez-vous passer le périphérique ? Nous avons fait le choix d'aller vers les régions car, de manière surprenante, les problématiques ne sont pas les mêmes d'une région à l'autre. Les messages qui nous semblent audibles à Paris ne le sont pas en région car, dans certaines d'entre elles, nous n'avons pas de relais. Il y a des cas particuliers comme la Bretagne, dans laquelle le ministère de la Défense est très présent, ce qui compense très largement cette absence. Dans certaines régions, les questions de cybersécurité n'étaient portées par personne. Nous avons mis en place un référent territorial par région – treize personnes, c'est à la fois peu et beaucoup à notre échelle. Ce référent a pour mission, non pas de s'occuper de la sécurité informatique de la préfecture, mais de diffuser nos messages en région et d'être un capteur pour nous faire remonter les difficultés. Cette approche régionale est très récente – elle a été mise en place en 2016. Les premiers retours sont très positifs. Nous allons probablement continuer dans ce sens. Il ne s'agit pas de devenir une administration décentralisée avec des dizaines de personnes dans chaque région, mais de renforcer notre présence pour bien couvrir l'ensemble du territoire et pour avoir un accès direct aux PME.

Concernant l'ENISA, nous suivons de près les travaux de cette agence. Au niveau européen, nous défendons l'idée d'une Europe qui traite de cyberdéfense tout en préservant la souveraineté nationale. Nous devons constamment concilier ces deux impératifs. L'ENISA n'est pas l'équivalent de l'ANSSI : elle est dépourvue de capacité opérationnelle ou de traitement d'alerte ; elle travaille sur la prévention en amont, l'identification des problématiques et le capacity building, à savoir le soutien aux États membres qui souhaitent – c'est même une obligation désormais avec la directive NIS – développer une capacité de cyberdéfense.

Le conseil d'administration de l'ENISA est présidé par un Français, Jean-Baptiste Demaison, qui est un agent de l'ANSSI. Nous souhaitons encourager l'ENISA car l'homogénéisation au niveau européen nous semble essentielle, par solidarité européenne mais aussi parce que nous ne voulons pas de pays à la traîne qui deviendraient des foyers d'infection. C'est là que les attaquants vont agir. Nous avons besoin d'une cohérence au niveau européen. La directive NIS va nous y aider, l'ENISA aussi.

Reste la question de la sécurité des institutions européennes, qui n'est pas traitée par les États membres. Nous travaillons avec les institutions, notamment sur le développement de ce que l'on appelle le CERT-EU – Computer Emergency Response Team –, un centre opérationnel consacré à leur sécurité. Il reste beaucoup à faire car les institutions sont souvent mal pourvues en termes de sécurité informatique – certains s'y retrouvant probablement... Nous suivons cela de très près en veillant à ce que cela n'empiète pas sur des questions de souveraineté nationale. C'est cet équilibre que nous devons trouver.

S'agissant du dispositif ACYMA, aujourd'hui, la victime d'une attaque informatique peut porter plainte – nous l'encourageons à le faire –, mais c'est encore très compliqué et cela n'apporte pas de solution pratique. Ce problème nous préoccupait depuis un moment. Je ne souhaite pas que l'ANSSI fasse le grand écart entre le CAC40 et les citoyens ; elle risque de s'y perdre. D'où l'idée d'un dispositif spécifique qui prend la forme d'un groupement d'intérêt public (GIP), dont les statuts ont été validés par Matignon la semaine dernière. Ce GIP doit associer les administrations – l'ANSSI, le ministère de l'Intérieur, le ministère de la Justice, le secrétariat d'État au numérique, Bercy – et des opérateurs privés qui ont intérêt à l'élévation du niveau de sécurité de nos concitoyens. Nous appelons ceux qui fournissent des services ou des produits ainsi que les associations de consommateurs à participer au GIP pour diffuser des messages de prévention. Nous avons besoin de faire de la sécurité numérique une grande cause nationale. Il faut porter des messages auprès de nos concitoyens, nous ne l'avons pas encore fait. Il faut aussi apporter des solutions pratiques en cas d'attaque afin que chacun puisse trouver une aide concrète. Les citoyens ne vont pas la trouver auprès des prestataires qualifiés par l'ANSSI, encore moins auprès de l'ANSSI elle-même qui n'en a pas les moyens, mais auprès des prestataires informatiques – la petite boutique du coin qui vend du matériel, qui est capable de réinstaller un disque dur. Ce sont eux qui peuvent apporter des solutions aux clients de petite taille. ACYMA est une plateforme informatique qui permettra aux victimes d'être mises en relation avec des personnes capables de leur apporter une aide concrète.

ACYMA nous permettra aussi de recueillir des chiffres – on parle beaucoup de cybercriminalité mais il n'existe pas d'observatoire de ce phénomène. L'absence de données est un obstacle pour les assurances qui voudraient développer des polices dans le domaine de la cybersécurité – ce que demandent les PME notamment. Aujourd'hui, les assureurs sont incapables de faire tourner leur modèle et de quantifier le risque. Nous travaillons avec eux sur ACYMA afin de pouvoir demain assurer le risque résiduel, ce qui ne doit pas dissuader de se protéger.

À la question « sommes-nous assez protégés ? », la réponse est non. Nous allons être confrontés encore longtemps à des catastrophes. Notre ambition est de les éviter au maximum. C'est la raison pour laquelle nous sommes très volontaristes, nous travaillons sur la réglementation, nous secouons, parfois un peu fort, des victimes potentielles pour leur dire qu'elles sont complètement inconscientes, toujours dans leur intérêt, et avec les opérateurs d'importance vitale, dans l'intérêt de la Nation. L'attaque conservera probablement l'avantage encore longtemps. Il ne faut pas pour autant être fataliste mais bien mettre en oeuvre des solutions efficaces, même si elles sont un peu coûteuses.

Concernant le vote électronique et les élections, il y a plusieurs types de risques. Si je devais résumer, un premier risque pèse sur les entités institutionnelles – les réseaux du ministère de l'Intérieur mobilisés notamment pour collecter les résultats et faire les additions. Nous travaillons avec le ministère de l'Intérieur pour sécuriser les réseaux ; c'est un peu notre domaine de confort puisque nous avons l'habitude de travailler avec les administrations, nous connaissons les recettes. Cela se passe bien. Nous travaillons également avec le ministère des Affaires étrangères sur la question plus complexe du vote des Français de l'étranger. Le choix a été fait de ne pas autoriser le vote électronique pour l'élection présidentielle mais seulement pour les élections législatives – en cas d'invalidation, les conséquences ne sont probablement pas les mêmes. Je suis personnellement un peu inquiet – je ne suis pas le seul, les experts partagent mon inquiétude – sur la sécurisation de ce type de vote. À la fin, le votant est devant son ordinateur et la sécurité de l'ordinateur n'est pas maîtrisée, on ne sait pas ce qu'il s'y passe. Pour des attaquants de très haut niveau, les manières de faire dysfonctionner le processus sont multiples. Il ne s'agit pas nécessairement de modifier les chiffres – c'est certainement ce qu'il y a de plus compliqué –, mais de bloquer les systèmes, de les rendre inopérants. Ces techniques sont probablement à la portée des très grands acteurs. On a vu qu'ils s'intéressaient aux élections américaines. On ne peut totalement exclure qu'ils n'aillent pas également s'intéresser aux élections françaises ou allemandes.

Autre sujet, les machines à voter. Ce sont de vieux systèmes, souvent obsolètes mais qui peuvent être connectés. C'est un domaine que nous connaissons mal car nous n'avons pas été amenés à les homologuer. Je ne veux pas porter un jugement sur des produits que nous n'avons pas examinés. Si je peux me permettre une appréciation personnelle, on se passerait bien de ces machines qui posent un vrai problème.