Intervention de Guillaume Poupard

Ces machines sont forcément connectées à un moment, ne serait-ce que pour les paramétrer et ensuite pour récupérer l'information. Avec un peu de chance, ce n'est pas plus risqué qu'une manipulation dans une urne. Pour être franc, nous ne sommes pas totalement à l'aise avec ces machines, qui sont anecdotiques sans l'être. Environ un million de votants les utilisent. Elles font toutefois l'objet d'un moratoire depuis 2007, qui interdit de mettre en service de nouvelles machines, preuve que des doutes existaient déjà à l'époque sur la sécurité.

Les autres systèmes qui peuvent être ciblés – c'est le retour d'expérience de la campagne américaine –, ce sont les systèmes d'information des partis politiques eux-mêmes. Pour nous, c'est beaucoup plus complexe à traiter : il est hors de question que l'ANSSI pénètre directement dans ces systèmes. Nous avons donc organisé un séminaire pour sensibiliser les partis – ils l'étaient déjà – à la nécessité de se protéger. Nous connaissons les solutions, ce sont celles que nous préconisons pour les PME ; un parti politique, du point de vue informatique, est une grosse PME. Nous ne sommes pas sereins. Le scénario consistant à aller voler des courriels pour faire de la désinformation ensuite ou porter atteinte à l'image pose problème, non pas que tout le monde détienne des choses délictueuses dans ses boîtes aux lettres mais le contenu de ces courriers relève de la correspondance privée ; il n'a pas vocation à se retrouver sur internet. S'y ajoute le risque ultime de modification : des faux peuvent se glisser dans ces correspondances. Dans ce cas, la falsification est très difficile à prouver, avec des conséquences que l'on ne sait pas quantifier aujourd'hui.

Dernier risque, ce sont les réseaux sociaux. Sans parler de cyberattaque, on observe des manipulations – la campagne américaine en a connues. Des internautes font remonter sur Youtube, de manière anormale, des vidéos complotistes ou extrémistes notamment qui n'ont rien à faire là. Certains acteurs – on ne sait pas où ils sont – jouent avec les règles, à la limite de la légalité, pour essayer de manipuler l'information en utilisant les propriétés des réseaux sociaux.

Il est vrai que, depuis la loi Lemaire, les personnes de bonne foi peuvent nous signaler des failles informatiques. Nous recevions déjà des signalements, et, de mémoire, nous n'avons jamais appliqué l'article 40 du code de procédure pénale et avisé le procureur. Toute forme d'intrusion informatique est délictueuse. Mais le débat est de savoir où est l'intrusion informatique. Ce débat n'est pas simple.

L'adoption de cet article a rassuré un certain nombre de personnes qui nous signalent des choses, ce qu'elles ne faisaient pas par le passé, parfois des choses importantes. C'est un capteur de plus que j'accepte avec plaisir.

À propos des risques pouvant toucher l'industrie, il existe des systèmes de contrôle de processus dont l'interface de commande est directement accessible depuis Internet. L'exemple le plus glauque que je connaisse est celui d'un crématorium : des internautes, sans capacité de cyberattaque, pouvaient modifier les paramètres du crématorium. C'est incroyable, le système était à la portée de n'importe quel plaisantin. Les exemples de ce type sont assez nombreux. C'est plutôt ce genre de signalement que nous recevons. L'article de loi a rassuré, on ne voit pas aujourd'hui d'effets pervers dans cette démarche. Au contraire, il contribue plutôt à responsabiliser des citoyens numériques, ce qui est probablement une très bonne chose.

Concernant la coopération européenne, elle constitue un de nos axes de travail importants pour 2017 et 2018 : notre objectif est de trouver une dynamique au niveau européen et de ne pas rester uniquement au niveau franco-français. La directive NIS et sa transposition seront une étape importante. Nous aurons besoin d'un « véhicule » législatif – peut-être une loi autonome, pour ne pas devoir attendre – pour transposer cette directive et étendre la réglementation à d'autres acteurs que les opérateurs d'importance vitale. Vous aurez évidemment un rôle fondamental à jouer.

Cette directive encourage la coopération européenne. Celle-ci est aujourd'hui d'une double nature : d'une part, la coopération sur les principes, les règles de sécurité, voire sur des questions industrielles ; elle se développe, c'est très positif ; d'autre part, des coopérations extrêmement sensibles dans lesquelles nous traitons de victimes et d'attaquants, des coopérations opérationnelles pour lesquelles nous resterons encore longtemps dans un cadre bilatéral parce que les éléments manipulés sont extrêmement sensibles ; les sources d'information, ce sont soit les victimes elles-mêmes que l'on veut protéger, soit les services de renseignement avec toute la précaution que nécessite la manipulation de ce genre d'informations. Nous pouvons le faire avec les pays avec lesquels la confiance est établie. Nous ne sommes pas prêts à le faire à vingt-huit.