Texte intégral
Mme la présidente
L'ordre du jour appelle les questions sur le bilan de la stratégie nationale de sécurité numérique. La conférence des présidents a fixé à deux minutes la durée maximale de chaque question et de chaque réponse, sans droit de réplique.
La parole est à M. Mounir Belhamiti.
M. Mounir Belhamiti (RE)
La menace cyber est plus élevée que jamais. Nous vivons dans un monde où les cyberattaques sont devenues monnaie courante, mettant en péril non seulement des infrastructures critiques, mais aussi la démocratie et les libertés individuelles. À ce titre, je tiens à souligner l'importance de la qualification SecNumCloud, une initiative de l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui est un véritable gage de qualité à la française, offrant une protection robuste contre les cyberattaques grâce à des normes de sécurité rigoureuses. Nous disposons là d'un outil indispensable pour garantir la sécurité des données sensibles et renforcer la confiance de nos concitoyens dans le numérique.
Le défi ne se limite toutefois pas aux frontières de notre pays : il prend désormais une dimension européenne. Converger vers un modèle de certification commun au sein de l'Union européenne est une nécessité, car seule une telle harmonisation pourra garantir à nos systèmes d'information une sécurité à la hauteur. Notre objectif doit être l'adoption d'un niveau commun de protection plus élevé.
Ma question est donc double. Où en sont les négociations avec nos partenaires européens sur le schéma commun de certification pour les services cloud ? Plus spécifiquement, où en est l'adoption d'un tel niveau de sécurité dans les services publics numériques sensibles et stratégiques ? C'est grâce à une commande publique exemplaire et à un État et des délégataires exemplaires que nous parviendrons à nos fins. (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à Mme la secrétaire d'État chargée du numérique.
Mme Marina Ferrari, secrétaire d'État chargée du numérique
Les négociations sur le schéma européen de certification des services cloud EUCS se poursuivent au niveau européen. Ce n'est un secret pour personne : comme vous l'avez dit, la France plaide pour le schéma EUCS le plus ambitieux possible. Il offrira aux organisations privées et publiques de l'Union européenne une protection robuste et adéquate des données les plus sensibles.
Soyons clairs : nous voulons garantir l'immunité des données les plus sensibles. Nous voulons également répondre à la demande des entreprises de l'Union européenne d'identifier facilement des offres de cloud de confiance qui soient adaptées à leurs besoins et offrir aux administrations et aux entreprises de notre pays la sécurité juridique nécessaire à la poursuite de leur transformation numérique.
Pourtant, je dois vous dire que nous sommes inquiets devant la direction récemment prise par les négociations sur ce schéma. En effet, elle pourrait fragiliser la capacité de l'Union européenne et de la France à assurer une réelle souveraineté numérique, alors même que la souveraineté européenne est au cœur de nos objectifs et de l'ambition collective européenne, comme le Président de la République l'a fermement rappelé lors de son discours de la Sorbonne le 25 avril 2024.
En tout état de cause, l'abandon des critères d'immunité contre l'accès via des lois à portée extraterritoriale dans le dernier schéma EUCS proposé n'est absolument pas le choix de la France. Vous l'avez dit, les clients des services cloud ont besoin d'assurance sur le fait que leurs données, qu'elles soient personnelles ou stratégiques, sont parfaitement protégées, et pas uniquement sur le plan technique. Je rappelle que les données les plus sensibles représentent une part très limitée de l'ensemble des données sur le marché.
Cependant, le schéma EUCS n'est à ce jour pas obligatoire pour les États membres. Je comprends le souhait légitime de clore ces discussions techniques engagées depuis longtemps. Néanmoins, la position de la France est claire : elle n'entend pas que le référentiel SecNumCloud soit menacé. Nous en faisons un préalable aux négociations. (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à Mme Mireille Clapot.
Mme Mireille Clapot (RE)
Le numérique est au cœur des enjeux français et européens et pose un défi de sécurité, d'autant plus que l'intelligence artificielle facilite les attaques et démultiplie les usages du numérique dans tous les domaines de la société. La majorité a su prendre des mesures défensives et offensives. Elle a ainsi lancé en février 2021 la stratégie nationale d'accélération pour la cybersécurité, qui s'inscrit désormais dans le plan France 2030 et couvre toutes les facettes d'une politique publique ambitieuse : l'aide à l'émergence de solutions innovantes ; le renforcement de l'écosystème ; le soutien de la demande intérieure des individus, des entreprises, des collectivités et de l'État ; la formation des talents de demain.
L'objectif assigné à cette stratégie à l'horizon 2025 était d'atteindre un chiffre d'affaires de 25 milliards d'euros pour la filière, soit un triplement du chiffre d'affaires de 2021, de doubler le nombre des emplois dans le secteur en le faisant passer de 37 000 à 75 000, et de permettre l'émergence de trois licornes françaises en cybersécurité. Ce plan a bénéficié de plus de 1 milliard d'euros, à comparer avec les 200 milliards de dollars investis par les géants du numérique aux États-Unis et en Chine – les ordres de grandeur sont différents.
Que s'est-il passé depuis trois ans ? Les défis se sont accrus : les attaques sont plus nombreuses, la situation géopolitique plus dangereuse ; le monde du cloud s'est concentré ; l'intelligence artificielle s'est développée de manière exponentielle ; la régulation européenne s'est renforcée, notamment avec le règlement européen sur l'intelligence artificielle, dit IA Act, et la directive européenne sur la sécurité des réseaux et de l'information 2, dite NIS 2. Hors d'Europe, le monde ne manque ni d'énergie à bas coût, ni de données, et ne se préoccupe guère de régulation et de respect des droits fondamentaux.
Devant ce décalage qui ne fait que s'accroître, quel est aujourd'hui le bilan ? Atteindrons-nous nos objectifs, grâce aux talents et aux capacités d'innovation dont nous disposons ? Comment la France et l'Europe peuvent-elles rivaliser avec les géants américains et le rouleau compresseur chinois ? Comment gagner cette bataille de la sécurité numérique, protéger nos intérêts et poursuivre une stratégie gagnante ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Merci pour cette question sur le bilan de la stratégie nationale d'accélération en matière de cybersécurité. Je tiens d'abord à rassurer l'Assemblée sur le fait que cette stratégie dotée d'un budget de 1 milliard d'euros – vous avez rappelé ce montant – se poursuit et produit des résultats très positifs sur notre écosystème et notre capacité à nous défendre. Les moyens déployés et les différentes opérations que nous menons sont amenés à s'amplifier dans le cadre de cette stratégie.
Cette stratégie nous permet une ouverture complète du cycle d'innovation en matière de cybersécurité par la compréhension et la maîtrise des mécanismes informatiques sous-jacents à travers un programme de recherche ambitieux qui a permis de lancer sept actions en 2022. Trois nouveaux projets d'ampleur ont été lancés en 2023. Nous continuons donc à avancer dans le domaine de la recherche.
Ensuite, nous avons mis en place un programme de transfert de technologies et de connaissances hébergé par le campus cyber situé à La Défense. Celui-ci a été lancé en mars 2023 pour fédérer et créer un écosystème pour accélérer le transfert de technologies. Le programme de maturation de la stratégie nationale a vu la publication à l'été 2023 de l'appel à projets " développement de technologies cyber innovantes critiques " pour sa phase 3 de levée de fonds. Cet appel vise à mobiliser tout notre écosystème pour préparer l'application de la directive NIS 2 et du règlement européen sur la résilience opérationnelle numérique, dit Dora, notamment sur le volet financier.
Enfin, le grand défi " Automatiser la cybersécurité ", qui est un outil unique, a démontré sa capacité à générer de l'innovation de rupture. Après une première phase où vingt-sept projets lauréats ont exploré des approches technologiques risquées, la seconde phase a été lancée en retenant parmi eux cinq projets qui se concentrent autour des problématiques de sécurité des réseaux et de la protection des petites structures comme les PME. Enfin, nous avons créé le cyber booster, qui est le premier incubateur dédié à la cybersécurité. Il porte ses fruits et nous permet d'ores et déjà d'épauler trente-trois start-up dans ce domaine. Le lancement du cyber campus que j'ai évoqué produit également ses effets.
Mme la présidente
La parole est à M. Denis Masséglia.
M. Denis Masséglia (RE)
Qu'ils proposent de régulariser une amende, de récupérer le solde du compte personnel de formation (CPF) en cash ou encore de compléter le dossier pour les impôts, les SMS ou e-mails de hameçonnage abondent. En un clic, des milliers d'euros ou de courriers personnels peuvent être soudainement usurpés. Nous sommes tous alertés régulièrement par nos concitoyens au sujet de ce phénomène terriblement simple mais redoutablement efficace. Les usagers ont la possibilité de signaler ces messages malveillants en alimentant un répertoire qui recense ces sites frauduleux.
C'est sur cette base que fonctionnera le filtre anti-arnaque instauré par la loi visant à sécuriser et réguler l'espace numérique, dite loi Sren, que nous avons adoptée le 10 avril dernier. Il permettra aux internautes d'être avertis dès qu'ils sont redirigés vers l'un de ces sites.
Plus récemment, une nouvelle forme d'arnaque en ligne est apparue. Sur les réseaux sociaux, de fausses publicités mettent en scène des personnalités publiques et renvoient le plus souvent les internautes vers des sites illégaux de trading de cryptoactifs. Concrètement, alors que vous " scrollez " sur Facebook, vous voyez une publication, présentée comme un article du Monde, qui montre Jamel Debbouze vantant une méthode d'enrichissement facile et rapide. Bien évidemment, tenté par l'astuce, vous cliquez sur le lien. Malheureusement, vous êtes redirigé vers un site non réglementé d'achat et de revente de bitcoins et d'autres cryptoactifs.
Le hameçonnage innove en recourant aux réseaux sociaux et à leurs services qui permettent de booster des publications. En d'autres termes, les plateformes sont payées pour rendre ces arnaques plus virales. Pouvez-vous nous préciser ce qui est envisagé pour mieux protéger nos concitoyens de ces fausses offres illégales ? (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Je vous remercie pour votre question. Malheureusement, comme vous l'avez relevé, nos concitoyens sont de plus en plus exposés à ces risques et à ces tentatives d'arnaque en ligne. Vous avez évoqué le filtre anti-arnaque adopté dans le cadre de la loi Sren. Je tiens à vous dire que le groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma) travaille à le déployer dans les meilleurs délais.
S'agissant des offres illégales de cryptomonnaies auxquelles vous faites allusion, la France a été le fer de lance de l'adoption du Digital Services Act ou règlement relatif à un marché unique des services numériques (DSA), qui nous donnera les moyens d'agir. Le DSA a un réel impact sur notre capacité collective – État, régulateurs, entreprises, chercheurs – à nous saisir de ces nouveaux outils législatifs. L'affaire des cryptoarnaques constitue un cas d'école qui nous permettra d'éprouver la puissance de ce règlement sur les services en ligne.
Nous avons constaté plusieurs tentatives d'escroquerie et d'usurpation d'identité de personnalités, qui renvoient sur des sites visant à détourner de l'argent au moyen des cryptomonnaies. À la suite de ce signalement, nous avons eu des échanges soutenus avec les régulateurs concernés par cette affaire : l'Autorité des marchés financiers, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) et la Commission européenne.
Des plaintes ont été déposées par les personnalités publiques ou les structures qui les représentent, afin de faire cesser ces usurpations d'identité et de mener une action judiciaire sur le sujet. Les autorités françaises ont soutenu la place centrale de la Commission européenne dans l'application du DSA ; je me félicite que des enquêtes diligentées par celle-ci soient en cours.
Une fois de plus, l'affaire des cryptoarnaques témoigne de l'importance de la coopération européenne pour contrer les menaces pesant sur nos concitoyens. Le succès du DSA sera jugé à la lumière de ses apports concrets pour nos concitoyens. Je sais pouvoir compter sur l'engagement de la Commission européenne à veiller à la mise en conformité des très grands moteurs de recherche et plateformes. Nous veillerons à ce que celle-ci soit efficace et exigeante. (Applaudissements sur quelques bancs du groupe RE.)
Mme la présidente
La parole est à Mme Violette Spillebout.
Mme Violette Spillebout (RE)
En mars dernier, j'ai eu le plaisir de vous accueillir à Lille qui, grâce au Forum international de la cybersécurité, est devenue le carrefour européen du cyber. Là-bas, dans ma ville, nous savons ce qu'est la cybersécurité. Il y a tout juste un an, nous avons été victimes d'une cyberattaque d'ampleur qui a visé les systèmes d'information : piratage des données des parents d'enfants inscrits dans les cantines ou dans les piscines, indisponibilité des documents d'urbanisme ou d'aide sociale, impossibilité de délivrer les documents d'état civil, blocage des délibérations du conseil municipal et impossibilité de payer les agents. Cette cyberattaque a coûté près de 1 million d'euros à la mairie de Lille : aux coûts de réparation informatique – avec des délais de retour à la normale de plusieurs mois – se sont ajoutés les coûts nécessaires pour assurer la continuité du service public pendant cette période.
Les cyberattaques se multiplient. Nous devons absolument nous armer contre la cyberdélinquance, afin de protéger nos mairies, nos services sociaux, nos hôpitaux et nos entreprises. En effet, la cybersécurité est devenue un élément majeur de la compétitivité de nos entreprises, de la souveraineté de nos recherches et de nos savoir-faire et de la défense de nos intérêts publics nationaux, dans un monde où les ingérences étrangères, les escroqueries et le vol de données nous imposent désormais un combat quotidien.
Ce combat ne concerne pas seulement les tentatives de vol ou de piratage : il s'incarne aussi dans le combat d'influence que nous menons contre les ingérences étrangères dans les sphères économique, politique et informationnelle. La désinformation sur les réseaux sociaux est l'un des principaux sujets de mon travail parlementaire. La cybersécurité consiste aussi à identifier ceux qui fabriquent la désinformation massive, répandent la haine et créent les peurs et la division en France.
Après les trente recommandations du rapport de la commission Bronner remis en 2022 et les trente-six propositions de mon rapport intitulé " Armer chacun dans la guerre de l'information ", les parlementaires restent très mobilisés sur le sujet. Une mission flash se penche sur les ingérences étrangères dans les médias et nous avons examiné récemment une proposition de loi visant à prévenir les ingérences étrangères. Pouvez-vous nous expliquer les actions qui sont menées pour lutter contre ce fléau ? (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Il faut bien distinguer deux cas de figure : d'une part, la réponse de l'État aux cyberattaques et aux incidents informatiques ; d'autre part, les dispositifs publics de lutte contre les formes d'ingérence étrangère et la menace informationnelle.
Les cybermenaces, en croissance continue, concernent désormais un grand nombre d'acteurs : les collectivités, les très petites, petites et moyennes entreprises (TPE et PME) et tout le spectre économique et public. L'Anssi a un rôle essentiel à jouer dans notre dispositif national ; nous l'avons donc renforcée. Elle intervient sur trois volets : la supervision et le contrôle des obligations juridiques dans le domaine cyber, applicable aux entités les plus stratégiques ; l'accompagnement des administrations, qui sera renforcé en vue des Jeux olympiques ; des efforts de sensibilisation à la sécurité numérique, coordonnés sur l'ensemble du territoire.
Dans le cadre de France Relance, le Gouvernement a en outre alloué 176 millions d'euros à un plan de renforcement de la cybersécurité des établissements publics, des hôpitaux et des collectivités, piloté par l'Anssi. Des parcours de cybersécurité ont été déployés à destination de près de 1 000 organismes publics, pour un budget de 100 millions d'euros. Des projets cohérents et ambitieux de cybersécurité pour les collectivités territoriales ont reçu un soutien financier, avec un dispositif d'acquisition de produits et de licences pour un montant de 27 millions d'euros.
Enfin, j'ai entamé un tour de France des collectivités et des entreprises afin de les sensibiliser à la transposition de la directive NIS 2 qui nous occupera prochainement.
S'agissant de la lutte contre le risque de désinformation et les ingérences étrangères, nous conduisons plusieurs initiatives. Nous avons réuni aujourd'hui même, avec Jean-Noël Barrot, les acteurs des plateformes afin de veiller à la bonne tenue du scrutin européen et à limiter les ingérences étrangères. Nous avons également mis en place le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum). Son rapport, publié récemment, prouve que notre action en matière de détection et de réponse peut être efficace. Je pense enfin à la loi Sren, en particulier à ses articles 34, 35 et 36.
Mme la présidente
La parole est à M. Stéphane Vojetta.
M. Stéphane Vojetta (RE)
Avec la stratégie nationale pour la sécurité du numérique, l'État s'est engagé à favoriser une confiance numérique propice à la stabilité de l'État, au développement économique et à la protection des citoyens.
Penchons-nous sur la protection des citoyens vis-à-vis des écrans et des contenus. Le réseau social Instagram a reconnu qu'il empirait le rapport à son corps d'une adolescente sur trois. La dépression, l'anxiété, le manque de sommeil, le retard d'acquisition du langage et les troubles de l'apprentissage sont les effets, désormais avérés par la science, d'une exposition excessive aux écrans. Les conduites violentes sont de plus en plus répandues chez les adolescents et la reconstitution des drames implique d'éplucher les messageries des réseaux sociaux. Lors de sa déclaration de politique générale, Gabriel Attal avait annoncé sa volonté de résister à la catastrophe éducative et sanitaire qui pointe derrière l'usage excessif et inapproprié des écrans par les mineurs.
Mercredi dernier, la commission d'experts sur les écrans installée par le Président de la République – et qui m'a auditionné – a publié un rapport qui confirme les préoccupations partagées par de nombreux Français. Ce rapport émet de nombreuses recommandations, dont des mesures concrètes pour limiter l'usage des écrans chez les plus jeunes et promouvoir des interactions plus saines avec la technologie.
Le Président de la République a donné un mois au Gouvernement pour examiner ces recommandations et les traduire en actions. Au-delà des clivages politiques, la protection de notre jeunesse face aux dérives du numérique est une priorité pour nombre d'entre nous – peu importe les bancs sur lesquels nous siégeons.
Soyez audacieux, soyez même radicaux s'il le faut. Proposez-nous un équilibre efficace entre protection et contrôle. Je suis convaincu que nous pourrons avancer ensemble, comme nous l'avons fait pour la loi du 9 juin 2023 visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux, dont le gouvernement espagnol vient de s'inspirer directement.
Comment envisagez-vous d'intégrer les propositions de ce rapport dans les politiques publiques actuelles et futures pour assurer un équilibre entre les bénéfices et les risques associés à l'utilisation des écrans par les jeunes ? (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Je vous remercie pour votre question, qui porte sur un sujet qui nous intéresse tous : le rapport des jeunes aux écrans et la protection de leur santé. La commission d'experts a rappelé les effets négatifs des écrans sur nos enfants.
Plusieurs moyens sont déjà à notre disposition. Certaines propositions de la commission ont déjà fait l'objet d'un travail législatif. La loi Sren comporte ainsi des mesures fortes visant à renforcer significativement la protection des Français en ligne, notamment pour les mineurs. Je pense en particulier au filtre anti-arnaque et à l'arsenal juridique mis à la disposition de nos juges pour prononcer des peines de bannissement numérique en cas de cyberharcèlement. Ce texte offre aussi un cadre de protection numérique, très attendu, contre l'exposition à la pornographie.
Après la remise du rapport de la commission, le Président de la République a donné un mois aux ministères pour étudier la déclinaison opérationnelle de ses propositions. Trois d'entre elles ont retenu mon attention. La première concerne le design des plateformes : nous devons prêter une grande attention aux éléments algorithmiques. La deuxième porte sur la formation des élèves, qui est essentielle pour leur donner les bonnes clés de compréhension, et sur l'accompagnement des parents dans la sphère privée. La troisième proposition, très intéressante, vise à assurer la soutenabilité des moyens nécessaires à cette lutte pour la protection de nos enfants, grâce à la déclinaison du principe du pollueur-payeur : les plateformes doivent contribuer à la recherche et au développement en matière de protection des mineurs. (Applaudissements sur les bancs du groupe RE.)
Mme la présidente
La parole est à M. Aurélien Lopez-Liguori.
M. Aurélien Lopez-Liguori (RN)
En 2023, les cyberattaques ont augmenté de 30%. Hôpitaux, administrations, collectivités territoriales et entreprises sont sous le feu d'une menace qui ne cesse de croître. Les cybercriminels chinois, russes et nord-coréens s'en donnent à cœur joie.
De janvier à juin 2023, les autorités américaines ont demandé et obtenu des informations sur 115 000 comptes Google, dont de nombreux comptes européens et français. Cerise sur le gâteau, nous avons appris hier que les autorités chinoises ont cyberespionné au moins huit députés et sénateurs français. Pire, l'État français, averti par les autorités américaines, était au courant depuis 2022 mais n'en avait pas informé les victimes. Était-ce par impuissance, par lâcheté, par désintérêt ? Telle est la question.
Ces faits ne sont qu'une goutte d'eau dans la cyberguerre qui nous est livrée et qui ne fera que s'intensifier à l'arrivée des Jeux olympiques. En 2015, le gouvernement Valls, dont M. Macron faisait partie, a mis en place la stratégie nationale de sécurité numérique. Celle-ci aurait dû être un bouclier contre ces ingérences, en protégeant notre souveraineté et en sécurisant nos données.
Les faits démontrent pourtant qu'elle n'a servi à rien. Elle n'a pas permis de favoriser les entreprises françaises et européennes dans la commande publique, ni d'augmenter les moyens de l'Anssi, à qui on donne de plus en plus de missions. Elle n'a pas protégé nos pépites cyber de la prédation étrangère. Ces dernières années, les rachats d'entreprises comme Alsid, Sqreen et Sentryo par des sociétés américaines et la situation dramatique d'Atos sont des preuves éclatantes de votre inconséquence.
Au regard de ce bilan peu reluisant, mes questions sont simples. Quand donnerez-vous la priorité aux entreprises françaises et européennes dans la commande publique ? Quand renforcerez-vous les moyens de l'Anssi ? Quand nos pépites françaises cesseront-elles de nous glisser entre les mains, rachetées par des entreprises étrangères ? (Applaudissements sur les bancs du groupe RN.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Sans minimiser l'importance du sujet, je me permets d'apporter une précision : l'augmentation de 30% des attaques dont l'Anssi fait état dans son dernier rapport sur les cybermenaces concerne uniquement les attaques par rançongiciels, dont 34% ciblent nos TPE, PME et entreprises de taille intermédiaire (ETI), 24% les collectivités territoriales et 10% les entreprises stratégiques. L'intégralité du spectre est donc concernée par ce type d'attaque.
Face à cette situation, l'État ne reste pas inactif – vous avez d'ailleurs rappelé notre stratégie. Nous continuons à sensibiliser massivement la population, les administrations, les entreprises, les collectivités territoriales et tous les établissements de santé, grâce à plusieurs dispositifs, comme le volet cybersécurité du plan France relance, que j'ai déjà évoqué, le programme Care (Cybersécurité accélération et résilience des établissements), conçu spécifiquement pour les établissements de santé, le programme Cyber PME, que nous avons lancé dernièrement et qui a déjà permis d'accompagner 750 TPE et PME, ou encore la plateforme France Num, qui a permis de dispenser plus de 3 000 formations à destination des chefs d'entreprise. En s'impliquant dans la plateforme cybermalveillance.gouv.fr, qui permet à nos concitoyens de trouver toutes les informations nécessaires, le GIP Acyma mène également une action très importante.
Par ailleurs, vous nous accusez de subventionner des solutions étrangères à travers le plan de relance. Mais contrairement à ce que vous prétendez, 92% de ces crédits financent bel et bien des solutions françaises ou européennes.
Ni impuissance, ni lâcheté, ni désintérêt de notre part, donc : nous sommes bien à la tâche pour atteindre nos objectifs – à savoir protéger nos concitoyens et, surtout, soutenir la filière de cybersécurité française et européenne.
Mme la présidente
La parole est à M. Alexandre Sabatou.
M. Alexandre Sabatou (RN)
Fondée pour permettre à l'État d'assurer la pérennité de la dissuasion française, la société Bull, rachetée par Atos, avait pour objectif le développement de supercalculateurs nécessaires au nucléaire civil et militaire, à divers autres programmes stratégiques de défense ainsi qu'à de nombreuses applications civiles. Cette filière nationale de fabrication et d'exploitation de supercalculateurs a notamment permis à la France de mener à bien sa politique nucléaire, en particulier depuis la fin des essais en 1996. Pour des raisons sur lesquelles nous ne nous étendrons pas, l'entreprise traverse aujourd'hui, après une séquence de forte expansion et de croissance externe, une période compliquée, tant en matière de gouvernance industrielle que de gouvernance financière. Sa valorisation boursière a été divisée par quarante en cinq ans et elle est à la fois en manque de capitaux et à la merci d'un rachat.
Qu'Atos soit vendue en groupe ou à la découpe, nous nous trouvons donc face à un vrai dilemme en matière de sécurité numérique. Comment résoudre ce problème de sécurité nationale ? À mon sens, seule une nationalisation partielle ou totale permettrait d'éviter de brader nos technologies de calculs et de simulations nucléaires.
Plus largement, depuis la stratégie nationale pour la sécurité du numérique déployée à l'initiative de Manuel Valls, plusieurs questions se posent avec acuité. Où sont les outils de veille qui sanctuarisent nos entreprises stratégiques ? Où sont les outils financiers souverains qui garantissent leur indépendance ? Comment se fait-il que l'État ait attendu le dernier moment pour s'occuper du dossier Atos ? Au-delà, quelles sont les autres entreprises d'excellence qui soutiennent nos besoins stratégiques et quels sont les moyens mobilisés pour s'assurer qu'elles restent dans le giron national ?
Quand la nécessité vitale de préserver notre souveraineté numérique se traduira-t-elle enfin par une politique digne de ce nom, dotée des moyens financiers adéquats et d'une vision à moyen et long terme qui fait malheureusement défaut au Gouvernement aujourd'hui ? (Applaudissements sur les bancs du groupe RN.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Contrairement à ce que vous prétendez, l'État n'a pas attendu le dernier moment pour se préoccuper de la situation du groupe Atos. Voilà plusieurs mois qu'avec le cabinet du Premier ministre et Bruno Le Maire, nous sommes à la manœuvre : dès la fin de l'année 2023, le comité interministériel de restructuration industrielle (Ciri) a été saisi pour accompagner l'ensemble du groupe et tenter d'identifier des solutions. Ce processus suit son cours. Plusieurs offres de reprise ont été déposées le 3 mai : c'est une bonne nouvelle pour l'entreprise, qui doit désormais les examiner. L'État, à travers le Ciri, sera bien évidemment très vigilant sur les conséquences sociales des offres proposées et veillera au respect de ses intérêts. Le ministre de l'économie, des finances et de la souveraineté industrielle et numérique, Bruno Le Maire, a d'ailleurs déclaré que l'État était prêt à s'engager sur les activités les plus stratégiques d'Atos.
Soyez assuré, monsieur le député, que nous serons particulièrement vigilants à ce que la souveraineté numérique de la France soit préservée.
Mme la présidente
La parole est à M. Nicolas Dragon.
M. Nicolas Dragon (RN)
Le 22 mars, vous annonciez la création de trois dispositifs visant à renforcer l'offre française et européenne de services cloud, au profit de la souveraineté numérique et de l'intelligence artificielle – une annonce cohérente avec la future certification européenne EUCS, qui vise à harmoniser les exigences en matière de sécurité des cloud à l'échelle de l'Union européenne.
Le texte en question, qui fixe de nombreuses exigences en matière de cybersécurité, notamment celle de la sécurité juridique des données les plus sensibles, a deux objectifs : garantir la sécurité des données d'importance stratégique face au risque d'extraterritorialité d'acteurs non européens, et soutenir une logique de souveraineté numérique, afin que les pays européens ne dépendent plus de solutions techniques non européennes et puissent développer leurs champions, comme OVHcloud ou Scaleway, sachant que le secteur dépend à plus de 75% des offres américaines et chinoises et que les entreprises européennes y ont perdu près de la moitié de leurs parts de marché en cinq ans.
Malheureusement, nous apprenons que ces objectifs de souveraineté sont totalement remis en cause dans la dernière version du projet, dans lequel l'Allemagne et le lobby américain Computer and Communications Industry Association (CCIA) voient une mesure anticoncurrentielle et protectionniste. N'oublions pas qu'en son temps, le plan Calcul du général de Gaulle avait déjà été accusé par les Américains de relever d'une démarche protectionniste.
Madame la secrétaire d'État, comment comptez-vous assurer la sécurité numérique si vous ne pouvez pas garantir aux Français la sécurité de leurs données sensibles ? Alors que nos partenaires européens souhaitent se condamner à n'être que des revendeurs de solutions logicielles américaines et chinoises, comment comptez-vous par ailleurs assurer la souveraineté numérique de la France ? (Applaudissements sur les bancs du groupe RN.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Comme je l'ai expliqué tout l'heure, dans le cadre des discussions conduites avec la Commission européenne au sujet de la certification EUCS, qui vise à développer un cloud souverain, la France a imposé le référentiel SecNumCloud comme un préalable indispensable pour garantir la sécurité de nos données les plus critiques. Si ces données ne représentent qu'une part assez réduite de la masse de données générales, soyez assuré que la position de la France sera constante : l'immunité du référentiel au droit non communautaire n'est pas négociable.
Parallèlement à ce volet réglementaire, nous conduisons une politique visant à créer les conditions du marché pour que le référentiel SecNumCloud puisse s'adresser à un grand nombre d'entreprises. Vous en avez d'ailleurs conscience, puisque vous avez effleuré ce sujet dans votre intervention.
Dans ce cadre, j'ai récemment lancé, lors d'un déplacement à Strasbourg, un appel à projets pour renforcer l'offre de services cloud, dont l'objectif est de soutenir nos entreprises dans le développement des briques technologiques manquantes pour assurer des solutions de cloud souveraines. En outre, la loi Sren prévoit la migration de la plateforme des données de santé, le Health Data Hub (HDH), vers un cloud souverain respectant le référentiel SecNumCloud.
M. Aurélien Lopez-Liguori
Ce n'est pas tout à fait ça.
Mme Marina Ferrari, secrétaire d'État
Enfin, nous conduisons des discussions étroites avec les acteurs français et européens pour les encourager à développer des offres labellisées SecNumCloud, afin de répondre aux besoins de nos entreprises et de nos concitoyens.
Mme la présidente
La parole est à M. Emeric Salmon.
M. Emeric Salmon (RN)
Je veux aborder un sujet qui affecte profondément nos territoires, en particulier les territoires ruraux, comme chez moi, en Haute-Saône. L'ère numérique offre des opportunités formidables, mais hélas, beaucoup de nos compatriotes restent en marge de cette évolution. Ils font face à des difficultés d'accès au numérique, pour des raisons techniques – zones blanches – ou parce qu'ils manquent de compétences personnelles, faute de formation. Phénomène affectant des millions de Français, l'illectronisme, c'est-à-dire l'incapacité à maîtriser les outils numériques, est source de chômage, de précarité et de marginalisation, en particulier pour ceux qui vivent en milieu rural.
Il ne faudrait pas qu'à cette fracture numérique s'ajoute une fracture de la sécurité numérique. Faute de pouvoir utiliser France identité, qui nécessite d'avoir une carte d'identité de nouvelle génération, nos compatriotes, en particulier en milieu rural, sont parfois dans l'impossibilité d'effectuer certaines démarches dématérialisées. Alors que le Gouvernement avait promis que l'on pourrait donner procuration pour les élections européennes sans avoir à quitter son domicile – ce qui est une bonne chose, je le reconnais –, il est par exemple impossible d'aller au bout de la démarche en ligne sans France identité. Le demandeur doit donc se rendre physiquement dans une gendarmerie pour justifier de son identité.
Quelles mesures comptez-vous prendre pour réduire la fracture numérique dans les territoires ruraux et empêcher l'apparition d'une nouvelle fracture en matière de sécurité numérique ? (Applaudissements sur les bancs du groupe RN.)
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Étant moi-même élue d'un territoire rural, j'ai fait de l'inclusion numérique le cœur de mon action. Nous travaillons à la fois sur le développement des infrastructures, afin d'accélérer le déploiement de la fibre et la couverture du territoire en téléphonie mobile dans le cadre du New Deal mobile, et sur l'accompagnement de nos concitoyens.
Dans la droite ligne des engagements qui avaient été pris et des discussions conduites avec l'opérateur historique par mon prédécesseur, Jean-Noël Barrot, j'ai récemment renégocié avec Orange l'accord relatif au déploiement de la fibre. Afin de combler le retard qui a été pris et de relancer rapidement ce déploiement, le nouvel accord entérine un changement de paradigme en passant à une logique de raccordement à la demande qui devrait permettre d'atteindre plus rapidement l'objectif de raccordement de tous les foyers. Parallèlement, le New Deal mobile a permis de réduire drastiquement le nombre de zones blanches, et nous sommes aujourd'hui en phase de complétude. Nous nous interrogeons désormais sur l'opportunité de maintenir ce dispositif, qui a fait ses preuves, notamment pour améliorer la couverture sur les axes de communication et de transport, domaine dans lequel nous avons encore des efforts à faire.
Par ailleurs, vous avez raison, monsieur le député : le numérique peut exclure certains de nos concitoyens, ou susciter chez eux un sentiment d'exclusion. Pour les accompagner vers l'autonomie dans la pratique du numérique, plus de 4 000 conseillers numériques sont déployés dans l'ensemble du territoire, secondés par des aidants numériques qui, dans une logique de double étage, peuvent réaliser les premières démarches.
En outre, je pense que, bien employée, l'intelligence artificielle générative (IAG) sera un merveilleux facteur d'inclusion pour nos concitoyens : en simplifiant le travail de nos agents, elle leur laissera davantage de temps pour des rapports directs avec nos concitoyens, tandis que le déploiement de robots conversationnels facilitera l'accès au numérique.
Enfin, le déploiement de France identité n'en est qu'à ses débuts : au fur et à mesure du renouvellement des cartes, de plus en plus de Français auront accès à ce dispositif très important, qui facilitera leurs démarches. À terme, les procurations pourront bien se faire en ligne, quelle que soit l'élection concernée. Nous n'en sommes qu'au point de départ, et nous mettons tout en œuvre pour déployer cette application le plus rapidement possible.
Mme la présidente
La parole est à M. Andy Kerbrat.
M. Andy Kerbrat (LFI-NUPES)
Plutôt que de tirer le bilan d'une stratégie de sécurité numérique qui consiste surtout à naviguer à vue, je préfère vous poser une question beaucoup plus simple, madame la ministre : dans l'espace numérique, qu'est-ce qui nous protège contre vous ? Avec la loi portant prétendument sur les Jeux olympiques et paralympiques (JOP) de 2024, vous avez légalisé la reconnaissance biométrique et son traitement par des algorithmes – une technologie interdite partout ailleurs en Europe, qui nécessite de collecter une quantité folle de données et implique de définir arbitrairement quels comportements humains seraient suspects. Cela va rendre la sécurité des Jeux complètement absurde.
Cette mesure est un cheval de Troie : non seulement le but avoué – en dehors de cet hémicycle – de ce qui est présenté comme une expérimentation est clairement la généralisation du système, mais en plus, comme il est prévu – justement à titre expérimental – que les données seront conservées par les entreprises, nous n'aurons plus aucune emprise ni sur leur usage, ni sur leur destination. Pourquoi êtes-vous d'aussi grands promoteurs des caméras de surveillance, de leur amélioration, de leur massification ? Elles n'ont que très rarement sauvé des personnes, mais elles servent à collecter massivement des données sur les populations pour mieux les contrôler. Avec un gouvernement honnête, ce ne serait peut-être pas un problème, mais les dégâts que feront de tels outils entre les mains d'un gouvernement fascistoïde nous glacent le sang.
La loi Sren prévoit elle aussi la collecte massive de données, ainsi que le contrôle d'identité visant à vérifier l'âge des internautes – une mesure inefficace qui ne vise là encore qu'à augmenter la masse numérique d'informations personnelles, dans toute leur précision et leur diversité. Malgré les bons sentiments que les entreprises et vous-mêmes affichez, ces données restent susceptibles de faire l'objet de cyberattaques, car il y aura toujours des brise-glace capables d'y accéder. Les hacks réguliers de nos services publics ou des banques le prouvent : augmenter la quantité de données en ligne, c'est augmenter les risques pour la sécurité de tous.
En démocratie, les citoyens ont droit à l'intimité et à une part d'anonymat ; seul l'État est contraint à la transparence. Votre logique est exactement inverse : un pouvoir toujours plus opaque, des citoyens observés sous toutes leurs coutures, une société de la suspicion où, par défaut, on est présumé délinquant. La première des sécurités, c'est notre liberté : votre manie du contrôle, en ligne comme dans l'espace public, nous met de plus en plus en danger. Alors, qu'est-ce qui nous protège de votre stratégie de sécurité numérique ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Vous nous reprochez à la fois de naviguer à vue et de vouloir définir un cadre réglementaire plus protecteur pour nos concitoyens : vous me permettrez de voir là une incohérence.
Votre question porte d'abord sur les mesures adoptées dans le cadre de la loi relative aux Jeux olympiques et paralympiques de 2024. Vous savez que cette loi, qui encadre le recours à la vidéoprotection, constitue l'un des vecteurs d'optimisation de la mobilisation des forces de sécurité intérieure. Comme vous l'avez rappelé, quoique insuffisamment, ces dispositions s'appliqueront à titre expérimental et pour une durée limitée. Compte tenu du risque que représente l'organisation des Jeux olympiques, il est bien normal que nos concitoyens soient protégés correctement.
Je m'étonne également de votre question sur la loi Sren, qui vise à protéger nos concitoyens dans l'espace numérique, notamment les mineurs contre l'exposition aux contenus à caractère pornographique – c'est le cœur du texte. Certaines de ses dispositions n'ont pas été prévues par le Gouvernement, mais adoptées de façon souveraine par la commission mixte paritaire (CMP) – étant une ancienne députée, je respecte trop le travail du Parlement pour faire des commentaires sur ce sujet. Votre groupe a saisi le Conseil constitutionnel ; nous verrons ce qu'il adviendra.
Mme la présidente
La parole est à M. Vincent Rolland.
M. Vincent Rolland (LR)
La sécurité est fondamentale pour nos compatriotes, notamment celle du quotidien – nous nous en faisons régulièrement le relais dans cet hémicycle. Il est bien normal qu'à l'approche des Jeux olympiques et paralympiques, l'inquiétude monte d'un cran. Dans moins de cent jours, le monde entier aura les yeux rivés sur notre pays. Si nous pouvons pleinement faire confiance à nos forces de l'ordre, pompiers et agents de sécurité civile, la sécurité numérique ne doit pas non plus être sous-estimée. Nous pouvons compter sur des solutions innovantes et souveraines, déployées notamment par Advens ou Tehtris, pour ne citer qu'elles.
Le risque d'ingérences étrangères par des cyberattaques sur notre sol n'a jamais été aussi élevé. De nombreux médias et entreprises sont concernés par cette vague de désinformation et de déstabilisation. La stratégie bien rodée consiste à dégrader l'image d'une personne donnée ou d'un secteur économique pour empêcher un investissement, ou à révéler des informations confidentielles ; cela a des répercussions sur la vie courante de l'ensemble de nos concitoyens. Par le biais de ces ingérences étrangères, dont nous connaissons souvent l'origine, ce sont nos instances démocratiques qui sont attaquées.
Je vous pose donc trois questions. Alors que nos entreprises devront respecter dans six mois le nouveau cadre défini par la directive NIS 2, elles n'ont toujours aucun texte pour s'y préparer. Pouvez-vous nous en dire plus à ce sujet ?
Quelles garanties comptez-vous apporter à nos concitoyens et à nos PME et TPE, qui ne disposent pas toujours des ressources adéquates pour bénéficier d'un système de protection satisfaisant ? Les Français ont besoin d'être rassurés sur ce point.
Enfin, quelles sanctions l'État est-il prêt à prendre contre un État étranger qui soutiendrait des groupes de hackeurs ?
Mme la présidente
La parole est à Mme la secrétaire d'état.
Mme Marina Ferrari, secrétaire d'État
Votre question étant très large, je crains de ne pouvoir y répondre tout à fait. Elle concerne en effet à la fois les cyberattaques, les ingérences et la transposition de la directive NIS 2.
S'agissant des cyberattaques et des ingérences, vous avez raison, les Jeux olympiques et paralympiques font l'objet de toute notre attention, car nous savons que les grands événements donnent lieu à des tentatives de déstabilisation – en l'occurrence, plutôt à de la désinformation – et à des cyberattaques ciblant les acteurs économiques ou la billetterie. Nos équipes sont extrêmement mobilisées sur ces deux volets – je salue le travail de l'Anssi.
Concernant la transposition de la directive NIS 2, le projet de loi sera prochainement déposé au Parlement, puisqu'il vient d'être soumis au Conseil d'État. J'ai entamé la semaine dernière, à Toulouse, un tour de France pour rencontrer les entreprises et les collectivités. Le nombre de secteurs concernés par la directive augmente – il y en aura désormais dix-huit. Elle prendra en compte la taille des acteurs, s'appliquant aux entités essentielles ou importantes pour le milieu économique ainsi qu'aux communes de plus de 30 000 habitants et aux structures supérieures.
Je suis allée à la rencontre des différents acteurs pour les auditionner sur cette question. L'Anssi mène également un travail de concertation depuis plusieurs mois : elle a rencontré l'intégralité des associations d'élus et auditionne des associations professionnelles – Medef, Confédération des petites et moyennes entreprises (CPME), etc.
Le texte arrivera bientôt au Parlement ; nous aurons donc l'occasion de revenir sur le sujet. Sachez que nous veillons à ce que cette transposition s'opère de la meilleure façon possible, sans alourdir les charges qui pèsent sur nos acteurs économiques, et de manière uniforme à l'échelle européenne afin de ne pas créer un système de concurrence entre les États membres – nous y serons extrêmement vigilants. Enfin, elle doit s'inscrire dans une optique proportionnée, selon les risques auxquels nos entités seront exposées.
Mme la présidente
La parole est à Mme Virginie Duby-Muller.
Mme Virginie Duby-Muller (LR)
Dans un monde de plus en plus dangereux, marqué par des crises successives, nous devons collectivement préparer notre pays face aux menaces cyber venant du crime organisé, d'activistes ou d'États malveillants à notre égard. Dans son rapport de février dernier consacré aux grandes tendances de la menace cyber, l'Anssi signale : " Le niveau de la menace informatique continue d'augmenter, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d'événements internationaux sur le sol français. "
Cela se manifeste par une recrudescence des attaques à but lucratif – les attaques par rançongiciel sont en hausse de 30% par rapport à 2022 –, des opérations de déstabilisation, ou encore de l'espionnage stratégique et industriel. Lutter contre ces menaces protéiformes est donc un enjeu de souveraineté majeur pour notre pays.
Ma première question concerne donc l'Anssi : comment le Gouvernement compte-t-il renforcer les moyens humains et financiers de cette agence stratégique pour lutter contre les actions de cybermalveillance ?
Ma deuxième question concerne la gouvernance des multiples acteurs de la cybersécurité. Une clarification des rôles s'impose entre l'Anssi, les CSIRT – Computer security incident response teams, ou centres de réponse à incident cyber – régionaux ou sectoriels, et le GIP Acyma, notamment dans la perspective de l'application de la directive NIS 2. Pourquoi l'Anssi ne monterait-elle pas en puissance afin de coordonner directement les capacités cyberdéfensives publiques et privées du pays pour faire face à l'amplification et à la sophistication des attaques ?
Ma dernière question porte sur la lutte cyber lors d'événements mondiaux ponctuels. La France accueillera cet été les Jeux olympiques et paralympiques. Si c'est une formidable opportunité, cela fera aussi de nous une cible. Je renouvelle ma confiance aux forces de l'ordre et aux militaires qui lutteront contre cette menace. Il y aura cependant également une menace cyber : alors que les JO de Tokyo avaient donné lieu à 450 millions de cyberattaques recensées, nous en attendons 4 milliards pour les JO de Paris. Quel arsenal cyber le Gouvernement entend-il déployer pour limiter ces cyberattaques qui pourraient avoir un impact préjudiciable sur le déroulement de l'événement comme sur l'image de notre pays ?
Mme la présidente
La parole est à Mme la secrétaire d'état.
Mme Marina Ferrari, secrétaire d'État
S'agissant des moyens que nous allouons à l'Anssi, nous sommes conscients du rôle central que remplit l'agence. L'Anssi connaît une hausse continue de son budget, arrêté à 25 millions d'euros en 2024 ; ses effectifs, actuellement de 700 équivalent temps plein (ETP), seront portés à 800 à l'horizon 2027. Nous sommes donc bien dans une logique d'accompagnement, pour répondre au mieux aux menaces qui pèsent sur nous.
La stratégie assignée à l'Anssi repose sur quatre points : investir dans des équipements techniques ; investir dans la recherche ; poursuivre la dynamique de faire face, conformément à la stratégie nationale que nous coordonnons ; conforter le positionnement de l'agence au plus près des territoires, l'Anssi s'appuyant sur des réseaux en région pour accompagner les entreprises et les collectivités et pouvoir réagir au plus vite en cas d'attaque. Cette stratégie est consolidée par le corpus juridique, notamment par la directive NIS 2.
Concernant les Jeux olympiques et paralympiques de 2024, le pilotage de la stratégie en matière de prévention des cyberattaques a également été confié à l'Anssi. Nous poursuivons un double objectif : sécuriser les systèmes d'information critiques afin de s'assurer que tout se passe bien ; mettre en place un dispositif opérationnel dédié et éprouver la gestion de crise cyber.
Des actions de sécurisation seront menées pour accompagner les entités impliquées de façon adaptée et proportionnée à leurs besoins. L'Anssi a mis en place un dispositif renforcé de veille, d'alerte et de traitement des incidents de sécurité informatique – la Coupe du monde de rugby que nous avons organisée a constitué une forme d'entraînement. Comme vous l'avez rappelé, nous nous attendons à une menace exponentielle, mais l'Anssi s'entraîne régulièrement avec toutes les parties prenantes pour éprouver ce système.
Vous avez enfin évoqué le trouble ou l'incompréhension que peut susciter la coexistence de différentes organisations quand il s'agit de savoir qui fait quoi. Un travail de rationalisation est en cours afin de donner une meilleure lisibilité à nos concitoyens sur les moyens dont ils peuvent bénéficier.
Mme la présidente
La parole est à M. Philippe Latombe.
M. Philippe Latombe (Dem)
Je souhaite vous interroger sur la mutualisation des antennes relais, à même d'assurer leur acceptation par la population ainsi que leur protection, dans le cadre du New Deal mobile. J'associe mon collègue Philippe Vigier à cette question, qu'il n'a pas pu poser lui-même.
Prenons l'exemple de L'Oie, en Vendée, dans ma circonscription. Alors que la commune dispose déjà d'un mât avec deux opérateurs, l'implantation d'un nouveau mât est prévue par deux autres opérateurs pour couvrir une zone blanche, à 100 mètres du mât actuel. Évidemment, un collectif se mobilise. Le mât devant être installé sur un terrain privé, le maire peut difficilement rejeter la demande d'autorisation ; il ne peut pas non plus imposer la mutualisation du mât existant entre les différents opérateurs. Comment pourrait-on favoriser l'optimisation des mâts ? Nous nous poserons d'autant plus ces questions lors de l'arrivée de la 6G.
Pour faire le lien avec le thème de la sécurité numérique, cette mutualisation permettrait de sécuriser les mâts, d'assurer leur résilience, notamment en cas de coupure de courant. L'Oie est une commune rurale ; la plupart des habitants de la circonscription, n'ayant plus de ligne fixe, utilisent leur téléphone mobile pour contacter les secours : en cas de panne de courant, les services d'urgence se trouvent engorgés, faute de pouvoir faire venir les secours. Il en va donc aussi de la sécurisation de la population.
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Nous avons évoqué tout à l'heure l'importance de la couverture mobile pour nos concitoyens. Votre question appelle deux remarques. Le New Deal mobile, que vous connaissez parfaitement, impose la mutualisation des tours aux opérateurs. Ce plan, déployé par l'État, est une politique décentralisée qui illustre la qualité des relations que nous entretenons avec les collectivités et les opérateurs. Vous avez néanmoins raison : dans le cadre du déploiement auquel procèdent certains opérateurs pour aménager leur propre réseau, en dehors du New Deal mobile, on assiste sur certains territoires à une prolifération d'antennes. Les élus locaux nous font fréquemment part des difficultés qu'ils rencontrent pour échanger avec les opérateurs.
La proposition de loi du sénateur Patrick Chaize prévoit d'imposer aux opérateurs de justifier auprès du maire le choix de ne pas recourir à une solution de partage. J'ai eu l'occasion, la semaine dernière, de rencontrer une sénatrice qui a déposé une autre proposition de loi, visant à favoriser une meilleure concertation entre les élus locaux et les opérateurs. Je pense que nous devons améliorer ce point précis.
Dans le cadre du projet de loi de simplification de la vie économique, nous souhaitons empêcher la pratique de certains opérateurs d'infrastructures mobiles passives, ou TowerCo, qui ont tendance à sanctuariser des emplacements sans avoir d'engagement d'antennes, ce qui prive les maires de la possibilité d'installer des antennes et fait monter le prix des baux. L'une des dispositions du texte vise à éviter ce genre de comportement pour faire en sorte que les emplacements dédiés à la mutualisation le soient réellement, ce qui réduira les effets de bord que vous évoquez.
Mme la présidente
La parole est à M. Philippe Latombe, pour une seconde question.
M. Philippe Latombe (Dem)
Je souhaite évoquer la transposition de la directive NIS 2, à laquelle tous les États de l'Union européenne devront avoir procédé au plus tard le 17 octobre prochain. Révisant la directive du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dite NIS, la directive NIS 2, publiée le 27 décembre 2022 au Journal officiel de l'Union européenne, a un champ d'application beaucoup plus étendu, car elle concerne onze secteurs jugés essentiels et sept secteurs importants, regroupant 600 types d'organisations.
Elle va notamment leur imposer des obligations minimales de cybersécurité et de déclaration d'incident. La majorité des entités concernées n'étant jusque-là pas soumises à la directive NIS, de très nombreux acteurs publics et privés vont devoir mettre à jour leur protocole cyber. C'est l'occasion de reconsidérer leur approche de la cybersécurité, ce dont les nombreuses cyberattaques actuelles montrent la nécessité et l'urgence, mais c'est en même temps, pour beaucoup d'entre eux, un cap difficile à franchir et donc angoissant. Il va leur falloir en urgence mettre à niveau leur dispositif cyber, les sanctions prévues en cas de non-conformité étant particulièrement élevées.
L'échéance du 17 octobre va arriver très vite en raison du faible nombre de possibilités offertes par l'agenda parlementaire des mois à venir et des délais de publication des décrets d'application. Pouvez-vous nous préciser le calendrier prévu pour que s'accomplisse un travail législatif sérieux, efficace et pertinent et surtout, pour qu'on ne se contente pas d'une loi de transposition minimale qui renverrait systématiquement à des décrets ultérieurs ? Il s'agit de permettre aux organisations concernées de voir l'avenir avec sérénité. Comment faire preuve de pédagogie à leur égard dans le cadre d'une transposition effective à la fin du mois de septembre ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Votre question porte sur la transposition de la directive NIS 2, qui va passer par le projet de loi dit résilience. Ce texte arrivera en première lecture au Parlement au début du mois de juillet, pour une seconde lecture en septembre, après la suspension estivale des travaux. Cela devrait nous permettre d'être dans les temps d'une transposition à la mi-octobre.
Comme je l'ai déjà indiqué, le texte vient d'être finalisé, après de nombreuses discussions et analyses dans les différents ministères concernés, et transmis au Conseil d'État. Je veillerai à ce qu'il limite tout risque de mauvaise interprétation ou de surtransposition qui pourrait inquiéter les acteurs économiques ou distordre la concurrence entre eux.
Nous devrons avoir à cœur d'être utiles et pragmatiques, de tenir compte des spécificités de chacune des entités régulées, afin d'élever notre niveau de cybersécurité et de résilience collective sans faire peser sur elles des contraintes trop importantes qui pourraient les effrayer.
Ce texte ne doit pas être perçu seulement comme une contrainte ou une source de coûts, mais également comme une occasion de mieux sécuriser les actifs stratégiques essentiels à la bonne conduite de nos activités économiques. À l'issue des consultations qu'il a conduites, le directeur de l'Anssi a été très clair : la mise en œuvre de la directive sera progressive et s'étalera sur trois ans.
Nous sommes tenus juridiquement d'appliquer ce texte, mais nous voulons le faire progressivement. Aucun contrôle susceptible d'aboutir à des sanctions ne sera déclenché pour les entités les moins préparées. Nous serons dans une logique non de contrainte, mais d'accompagnement, pour aider les structures concernées par la directive à améliorer leur cybersécurité.
Mme la présidente
La parole est à M. Philippe Pradal.
M. Philippe Pradal (HOR)
Je tiens tout d'abord à remercier Mme la ministre pour la précision de ses réponses dans ce débat.
Dans son rapport annuel de 2023, l'Anssi estime que la cybermenace se diversifie et change d'échelle. En effet, le nombre d'attaques contre des systèmes d'information, publics ou privés, ne cesse de croître et des entités jusque-là épargnées sont désormais menacées.
L'année dernière, dans le cadre de la loi d'orientation et de programmation du ministère de l'intérieur (Lopmi), nous avons pu renforcer les sanctions envers les auteurs d'attaques contre des établissements de santé. Il semble toutefois que nous ne légiférons toujours qu'après coup, car nous avons à cœur de respecter et de soutenir la liberté d'innover.
Comme je l'ai souligné dans le rapport de la mission d'information sur les défis de l'intelligence artificielle générative en matière de protection des données personnelles et d'utilisation du contenu généré, la technologie est neutre, elle n'est pas malveillante par nature. Néanmoins, l'IA en général et l'IAG en particulier constituent des moyens supplémentaires pour ceux qui veulent nous attaquer ou nous dominer. Qu'ils soient en France ou à l'étranger, l'IA est aujourd'hui à la portée de criminels qui n'ont pas besoin de la comprendre pour l'utiliser. Nous devons adopter une position proactive d'anticipation pour nous protéger et nous défendre. L'IA concerne aussi notre souveraineté, tant à propos de nos connaissances que des technologies que nous utilisons. Nous devons être conscients que pour l'essentiel, les algorithmes employés par les grands modèles d'intelligence artificielle ne sont pas européens, et encore moins français.
L'Union européenne a adopté il y a quelques mois l'IA Act. Ce premier règlement à un échelon politique et commercial cohérent en la matière tend à imposer nos règles et nos valeurs à l'intérieur de notre espace commun. Face à des technologies dont les développements et les impacts sont globaux, comment être sûrs que nous aurons accès, en Europe et en France, à une IA digne de confiance et sécurisée ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Permettez-moi tout d'abord de vous féliciter pour la qualité de votre rapport concernant l'intelligence artificielle. Vous avez raison de souligner que l'émergence de l'intelligence artificielle – notamment le phénomène de l'IAG – suscite de nombreuses craintes chez nos concitoyens. Ces peurs sont pour une part alimentées par certains acteurs, qui aiment à faire croire que l'intelligence artificielle pourrait créer de nouvelles armes bactériologiques, prendre le dessus par rapport aux êtres humains ou que sais-je encore. On voit bien que certains accentuent voire instrumentalisent de telles inquiétudes.
Les progrès rapides de l'IA ont conduit nombre d'organisations multilatérales à se saisir du sujet sans tarder. Manquent pour l'instant une articulation et une cohérence entre ces initiatives – les créer est le travail qui nous attend. On peut citer le partenariat mondial sur l'intelligence artificielle (PMIA) ; le Comité consultatif des Nations unies sur l'IA ; le processus d'Hiroshima du G7, dont la France est une partie prenante très active ; les principes sur l'intelligence artificielle énoncés par le G20 ; les principes éthiques de l'Unesco sur le sujet, très intéressants ; la convention-cadre du Conseil de l'Europe sur l'intelligence artificielle et les droits de l'homme, la démocratie et l'État de droit ; la déclaration de Bletchley Park sur la sécurité de l'IA, signée lors d'un sommet organisé en 2023 au Royaume-Uni.
On peut donc distinguer plusieurs types d'initiatives : la définition de grands principes politiques, généralement applicables aux États ; les textes qui visent principalement le secteur privé, comme l'IA Act que vous avez cité ; les réflexions visant à développer une IA éthique – j'ai évoqué celle de l'Unesco, mais je pourrais également parler de celle de l'Organisation de coopération et de développement économiques (OCDE) ; la volonté de produire une expertise scientifique pour mieux connaître l'intelligence artificielle – c'est notamment le but du PMIA ou du groupe d'experts en IA de l'OCDE (Aigo).
Par ailleurs, plusieurs pays ont déployé des instituts pour la sécurité de l'IA, comme le Safety Institute britannique, dont la création a été annoncée lors du sommet de Bletchley Park et qui, entre autres missions, évaluera les systèmes d'IA avancés. Enfin, je rappelle que la France organisera le prochain sommet international sur l'intelligence artificielle, en début d'année prochaine, et que toutes ces questions seront à l'ordre du jour.
Mme la présidente
La parole est à M. Gérard Leseul.
M. Gérard Leseul (SOC)
Le numérique fait maintenant partie de tous les aspects de notre vie, que ce soit pour le travail, pour les démarches du quotidien ou pour les loisirs. Aussi est-il essentiel d'assurer la sécurité numérique des entreprises et de nos concitoyens dans ce nouvel espace social. C'était la première ambition du plan stratégique de 2015 développé sous la présidence de François Hollande.
Cette nécessité de sécurité vaut également pour les institutions et les collectivités territoriales, qui sont régulièrement la cible de cyberattaques. La délinquance numérique n'est pas sans conséquences pour l'ensemble de la société. De nombreux hôpitaux ou autres établissements de santé sont la cible d'attaques, d'hameçonnages, de rançonnages entraînant une déstabilisation des services, incapables pendant parfois plusieurs semaines de remplir leurs missions.
Dans mon département, la Seine-Maritime, le conseil départemental a été touché le 10 octobre 2022 par une cyberattaque de grande ampleur entraînant une paralysie de tous ses systèmes d'information. Ainsi, malheureusement, la maison départementale des personnes handicapées (MDPH) a fonctionné au ralenti durant plusieurs semaines. Il était impossible de traiter les demandes d'allocation personnalisée d'autonomie ou de prestation de compensation du handicap comme d'examiner les dossiers d'attribution des accompagnants des élèves en situation de handicap. Les premières victimes de cette paralysie ont été les personnes âgées et celles en situation de handicap, qui ont connu des retards importants dans la prise en charge de leurs besoins.
Il est insupportable de constater que le cyberbanditisme peut avoir des conséquences aussi importantes sur la vie de nos concitoyens, notamment les plus fragiles. En complément de la stratégie nationale de sécurité numérique, il apparaît nécessaire de prévoir des fonds d'urgence pour aider les structures d'intérêt critique à retrouver une activité normale le plus rapidement possible. Je souhaite donc prendre connaissance des moyens qui pourraient être mis en place afin d'accompagner les services publics, notamment sociaux ou hospitaliers, quand ils sont touchés par une cyberattaque, pour en compenser les effets et retrouver le plus rapidement possible un niveau de service optimal.
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Votre question porte sur la sécurité des hôpitaux et des collectivités locales. Je vais m'arrêter un instant sur la cyberattaque contre le conseil départemental de Seine-Maritime que vous avez évoquée. Il s'agissait sans doute d'une attaque par déni de service. Nous maîtrisons de mieux en mieux les attaques de ce type, même s'il est vrai qu'elles ralentissent beaucoup les processus dans les organisations touchées. La transposition prochaine de la directive NIS 2 vise précisément à préparer les collectivités à faire face à ce risque.
Nous constatons par ailleurs un accroissement significatif de la menace de cyberattaques contre les hôpitaux, dans une logique de " pêche au chalut ". Cela signifie que les attaques d'hameçonnage sont menées de manière aveugle. L'hôpital d'Armentières a ainsi été durement touché. Aujourd'hui, nous participons au renforcement du socle cyber dans 133 hôpitaux. On a beaucoup travaillé là-dessus pendant la période Covid, avec un financement à hauteur de 100 millions d'euros par le plan France relance des parcours de cybersécurité de l'Anssi, ainsi que j'ai déjà eu l'occasion de le dire.
Nous avons également mis en œuvre le programme Cybersécurité accélération et résilience des établissements (Care) du ministère de la santé pour inscrire cette exigence dans la durée, au travers d'une enveloppe de 175 millions d'euros ouverte jusqu'en 2027. Le programme Care comporte quatre axes. Le premier est l'intégration du cyber dans la gouvernance et dans les systèmes de qualité des hôpitaux. Le deuxième porte sur les ressources, avec la nécessaire augmentation du budget des établissements. Le troisième est un plan de sensibilisation annuelle de tous les professionnels travaillant en établissement puisque, si j'ose dire, le numérique est de plus en plus dans la poche même des soignants. Le quatrième vise à améliorer la sécurité opérationnelle des établissements, avec un soutien financier pour atteindre des résultats tangibles et mesurables.
Dans le cadre de Care, fin 2022, plus de 700 exercices de crise avaient été menés dans des établissements et 451 audits de cybersurveillance avaient été conduits. Par ailleurs, un kit de plan de continuité d'activité a été conçu, pour que les établissements attaqués puissent toujours prodiguer des soins. Enfin, en 2023, 65 millions d'euros ont été engagés sur des appels à projets visant à renforcer la cybersécurité des hôpitaux.
Mme la présidente
La parole est à M. Gérard Leseul, pour une seconde question.
M. Gérard Leseul (SOC)
Je vous remercie de votre réponse. Toutefois, le care appelant le soin, ma première question portait également sur la création d'un fonds d'intervention…
La deuxième concerne la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, dite loi cyberscore, qui a introduit une obligation d'information des consommateurs quant au niveau de sécurité des opérateurs de plateformes et des données qu'ils hébergent.
Ce texte est intéressant et ambitieux, car il doit permettre d'améliorer l'information sur le niveau de sécurité des systèmes numériques par une évaluation externe à l'entreprise concernée. Alors que nous utilisons tous dans notre quotidien des outils de stockage de données numériques, que ce soit pour nos activités professionnelles ou personnelles, le plus souvent, malheureusement, nous ne savons ni où sont stockées nos données ni si elles sont en sécurité.
Je rappelle les mots de votre prédécesseur, prononcés lors de la dernière séance d'examen du texte au Sénat, en février 2022 : " Le législateur renvoie à l'exécutif le soin de préciser certains éléments plus subsidiaires. Nous nous y emploierons dans la continuité de l'état d'esprit constructif ayant présidé aux différentes lectures de cette proposition de loi – j'en remercie d'ailleurs les deux assemblées. "
Malheureusement, deux ans après la promulgation de ce texte qui posait une brique intéressante pour améliorer la sécurité des usages du numérique, les décrets d'application ne sont toujours pas publiés, selon les informations du baromètre de l'application des lois mis en place par notre assemblée. Je le regrette vivement et souhaite connaître la date de publication des textes réglementaires qui permettront la mise en place concrète de ce cyberscore.
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Vous m'interrogez sur le cyberscore, qui vise à mieux informer et mieux protéger les consommateurs dans un environnement numérique de plus en plus complexe. Ce dispositif a recueilli un très large assentiment de nos concitoyens, raison pour laquelle le gouvernement de l'époque avait accueilli favorablement le principe de sa création, dans le cadre de la proposition de loi Lafon adoptée en février 2022.
Ce texte prévoit une certification de type nutri-score mais applicable au cyber. Son application nécessite la publication de deux textes réglementaires : un décret fixant le champ d'application du dispositif et, notamment, le seuil de visiteurs sur chaque service numérique concerné, ainsi qu'un arrêté répertoriant l'ensemble des critères de notation devant faire l'objet d'audits par un prestataire agréé par l'Anssi.
La direction générale des entreprises (DGE) a conduit une consultation publique pour parfaire la rédaction des deux textes, et des analyses juridiques complémentaires sont en cours. En effet, nous nous interrogeons sur la fiabilité juridique du dispositif et sur notre capacité à le faire respecter par les grandes plateformes. Le limiter aux seuls sites établis en France ne serait pas judicieux tant cela en restreindrait le champ d'application. Par ailleurs, une application extraterritoriale pourrait contrevenir à la directive sur le commerce électronique. Voilà pourquoi nous travaillons sur l'expertise juridique.
C'est bien à une solution européenne qu'il faut tendre. J'invite tous ceux qui le souhaitent à défendre cette idée à nos côtés afin de la faire prospérer rapidement.
Mme la présidente
La parole est à M. Pierre Dharréville.
M. Pierre Dharréville (GDR-NUPES)
Lors de son lancement en 2015, la stratégie nationale pour la sécurité du numérique avait pour premier objectif de garantir la souveraineté nationale. Force est de constater, depuis, que cet objectif prioritaire n'a pas été atteint – nous en avons l'illustration avec l'échec à bâtir un cloud souverain en France et en Europe.
Si le cloud améliore sensiblement la cybersécurité des systèmes d'information, il est détenu très majoritairement par des fournisseurs américains, à commencer par Amazon Web Services. Cette mainmise américaine sur le cloud soulève des interrogations. Plutôt que de chercher à rattraper les retards technologiques accumulés afin d'offrir des services français ou européens comparables à ceux fournis par les acteurs américains du secteur, le choix a été fait de recourir à des solutions technologiques et juridiques telles que le visa de sécurité SecNumCloud délivré par l'Agence nationale de la sécurité des systèmes d'information.
C'est un choix rationnel : les menaces en matière de cybersécurité ne cessent d'augmenter, rendant absolument nécessaire le recours aux technologies les plus avancées. Ce n'est toutefois pas un motif pour renoncer aux investissements qui permettraient de passer de la souveraineté formelle à une souveraineté réelle. Nous avons besoin d'une puissance publique numérique. L'ampleur de notre dépendance au privé dans un secteur devenu aussi stratégique pour l'intérêt général est un problème considérable.
Au-delà des dispositifs de soutien à l'innovation visant le développement d'acteurs français de fourniture de services, quelles initiatives entendez-vous prendre pour favoriser l'émergence d'acteurs, notamment publics, français et européens, à même de garantir à échéance raisonnable l'autonomie stratégique de notre pays et du continent ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
La question du cloud souverain est au cœur de nos travaux. Nous avons, comme vous le savez, engagé des discussions avec la Commission sur ce sujet, notamment pour promouvoir notre référentiel SecNumCloud qui vise à sécuriser les données les plus sensibles et les plus critiques. Il s'agit, je le rappelais tout à l'heure, d'un spectre de données assez réduit, mais je suis convaincue, surtout vu ce qui se passe en ce moment, que nous devons garantir à nos concitoyens et à nos entreprises que ces données-là bénéficient d'une forme d'immunité.
Vous avez raison : il y a d'un côté le travail réglementaire et de négociation que nous conduisons – la France, je le redis solennellement devant vous, fait de la conservation du référentiel SecNumCloud une priorité absolue –, et de l'autre côté les conditions du marché, qui doivent fournir à nos acteurs des solutions pour sécuriser leurs données.
Nous avons lancé plusieurs appels à projets. Le dernier, dont j'ai annoncé le lancement à Strasbourg il y a quelque trois semaines, concerne les solutions de cloud souverain et vise à développer des briques technologiques qui nous manquent dans les offres françaises ou européennes. L'idée est de soutenir l'émergence d'une offre souveraine de cloud européen, et ce travail est également conduit au niveau de l'Union.
Les dispositions qui ont été prises dernièrement dans le cadre du projet de loi Sren obéissent à la même logique : l'État assume son rôle, notamment en demandant au Health Data Hub de faire migrer les données de santé vers une solution labellisée SecNumCloud. Nous avons, je crois, la responsabilité d'encadrer ce marché pour soutenir nos acteurs.
Mme la présidente
La parole est à M. Pierre Dharréville, pour une seconde question.
M. Pierre Dharréville (GDR-NUPES)
Le groupe Atos est, nous le savons tous, un acteur pivot de la souveraineté numérique de la France et de l'Union européenne, avec un rôle essentiel dans les secteurs stratégiques tels que la défense, la santé, la recherche scientifique, le nucléaire et bien d'autres. L'entreprise est en effet l'un des leaders européens du cloud ; elle propose aussi des services de cybersécurité, et est le seul constructeur de supercalculateurs, souvent utilisés pour des programmes d'intelligence artificielle en Europe.
Face aux graves difficultés du groupe, le rapport publié il y a quelques semaines par la mission d'information sénatoriale sur l'avenir d'Atos a mis en avant une série de recommandations. Les sénateurs ont en particulier regretté que l'hypothèse d'un maintien du groupe en entier n'ait pas été considérée sérieusement par les services de l'État. Ils n'ont pas non plus jugé satisfaisante l'annonce d'une offre de l'État visant l'acquisition des seules activités souveraines logées dans la branche Big Data & Security (BDS) au détriment de Tech Foundations, dont les activités sont également stratégiques. La mission d'information a souligné l'absolue nécessité, en cas de cession, d'au minimum préserver l'emploi et l'outil industriel, et de contrôler avec une particulière vigilance les investisseurs étrangers intéressés.
Nous partageons ces critiques et ces préventions. Dès lors, compte tenu de l'intervention bien tardive de l'État sur ce dossier, le Gouvernement est-il prêt à reconsidérer les options minimalistes qui sont pour l'heure les siennes pour enfin, en concertation avec les élus et les salariés, bâtir un projet de reprise plus ambitieux de ce fleuron stratégique ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Le dossier Atos, contrairement à ce que vous dites, occupe le Gouvernement depuis plusieurs mois – nous avions saisi le comité interministériel de restructuration industrielle dès novembre. Nous avons déjà eu l'occasion, à plusieurs reprises, de nous exprimer sur ce sujet ; le Premier ministre l'a également évoqué aujourd'hui. Nous suivons la situation du groupe jour après jour. L'État a pris ses responsabilités en lui accordant un prêt, qui était attendu ; dans les jours qui ont suivi, l'action d'Atos est d'ailleurs repartie à la hausse.
Nous avons obtenu des droits spécifiques sur la gestion des activités stratégiques du groupe et lancé les travaux en vue de leur acquisition. Ces activités – je tiens à vous rassurer sur ce point – resteront bien sous pavillon français, comme nous nous y étions engagés.
Le ministère de l'économie, des finances et de la souveraineté industrielle et numérique a d'ailleurs adressé à Atos, la semaine dernière, une lettre d'intention qui définit précisément les activités visées. Il s'agit des activités les plus sensibles pour notre souveraineté nationale, notamment en raison de leur rôle au sein de nos armées : les supercalculateurs et les serveurs utilisés pour le développement dans l'IA et le quantique, les systèmes critiques pour les communications et l'échange de données, et les produits dédiés à la protection cyber.
Dans le cadre de cette restructuration, plusieurs entreprises, vous le savez, ont marqué leur intérêt pour une reprise d'Atos. Nous nous en félicitons car cela démontre que le groupe dispose de solutions pour préparer son avenir. Vous avez raison, c'est un fleuron, et il est heureux que plusieurs investisseurs s'y intéressent. Les séances de négociation s'ouvriront dans les prochains jours à Bercy. L'État y participera activement au travers du Ciri, et examinera chacune des offres avec le plus grand intérêt. Nous serons bien sûr très vigilants quant à l'impact social des plans qui seront proposés et au respect des intérêts de l'État.
Mme la présidente
La parole est à M. Paul-André Colombani.
M. Paul-André Colombani (LIOT)
Dans un contexte d'augmentation exponentielle du nombre de cyberattaques et alors que la date d'ouverture des Jeux olympiques 2024 approche à grands pas, la question de la sécurité numérique est désormais sur toutes les lèvres. Il faut dire que chaque faille sera exploitée par les cybercriminels, et que les menaces qui pèsent sur ces Jeux sont nombreuses et protéiformes. Cela va des groupes criminels et mafieux qui utilisent des rançongiciels pour obtenir des profits rapides et faciles, qu'ils réinjectent dans le crime organisé ou le terrorisme, aux puissances étrangères qui ont pour objectif une déstabilisation politique majeure – je pense notamment aux hackers russes qui s'en sont encore pris ces derniers jours à des opérateurs allemands et tchèques.
La protection des systèmes d'information et donc un enjeu crucial, aussi bien économique que sécuritaire. Je sais bien que les pouvoirs publics ont pris la mesure de ces menaces et qu'un arsenal défensif a été déployé pour y faire face. Cependant, le directeur général de l'Anssi a lui-même concédé qu'il ne fallait pas se faire d'illusions et que l'on ne pourrait pas empêcher toutes les attaques pendant les Jeux.
Face à ce constat, je vous soumets quelques interrogations. J'ai pris connaissance par la presse de nombreux vols d'ordinateurs et de disques durs contenant des données sensibles relatives à l'organisation des Jeux. Ces vols sont-ils de nature à compromettre la sécurité de la défense numérique ? Leurs commanditaires ont-ils été identifiés ? De manière plus générale, au-delà de la stratégie nationale, le niveau de coopération et de coordination européennes est-il suffisant pour répondre à ces attaques ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Vous m'interrogez sur la cybersécurité des Jeux olympiques et paralympiques de 2024. C'est la Première ministre Élisabeth Borne qui avait confié à l'Anssi le pilotage et la stratégie de prévention des cyberattaques. Le Gouvernement vise un double objectif : sécuriser les systèmes d'information critiques pour la bonne tenue de l'événement et maîtriser un dispositif opérationnel dédié et éprouvé – d'où l'entraînement que j'évoquais tout à l'heure, auquel travaillent nos équipes.
Le dispositif mis en place par l'Anssi, en étroite collaboration avec les différentes structures, s'articule autour de cinq axes principaux : parfaire la connaissance des menaces qui risquent de peser sur les Jeux ; sécuriser nos systèmes d'information critiques ; protéger nos données sensibles ; sensibiliser tout l'écosystème des Jeux – les billetteries, par exemple, pourraient faire l'objet d'attaques ; se préparer à intervenir en cas d'attaque. Je tiens à souligner que l'écosystème des Jeux comprend plus de 350 entités, que l'Anssi a classées en fonction de leur niveau de criticité pour travailler dans une logique proportionnée.
Pour ce qui est de la question que vous me posez après avoir lu des articles de presse, une enquête judiciaire est en cours et, sans vouloir botter en touche, il ne m'appartient pas de la commenter. Notez cependant qu'un plan de sensibilisation a été mis en œuvre au bénéfice de plusieurs centaines d'acteurs de l'écosystème des Jeux. Ce plan, qui concerne la cybersécurité mais aussi la protection du matériel, permet notamment d'informer sur la menace à l'encontre des grands événements sportifs et de diffuser les bonnes pratiques. Dans cette optique, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (Cert-fr), que vous connaissez, a publié en août 2023 une première évaluation de la menace informatique contre les événements sportifs, formulant des recommandations auxquelles les acteurs peuvent se rapporter.
Le dispositif renforcé de veille, d'alerte et de traitement des incidents de sécurité informatique est déployé, et nous l'éprouvons chaque jour. Nous serons prêts à assurer la sécurité de nos systèmes pour les Jeux olympiques.
Mme la présidente
La parole est à Mme Lisa Belluco.
Mme Lisa Belluco (Écolo-NUPES)
La stratégie nationale pour la sécurité du numérique, dont nous devons, près de dix ans après son lancement, tirer le bilan comportait cinq axes de priorité, dont un s'intitulait " Intérêts fondamentaux, défense et sécurité des systèmes d'information de l'État et des infrastructures critiques, crise informatique majeure " et un autre " Europe, souveraineté numérique, stabilité du cyberespace ". Malgré ces axes de travail prometteurs, nombreux sont encore les services de gestion ou de traitement de données sensibles, par exemple relatives à la défense nationale, pris en charge par des entreprises étrangères, parfois extra-européennes, ou dont les actifs ne sont pas français. Autrement dit, le traitement de ces données extrêmement sensibles échappe à la main des politiques et des citoyens, et peut être piloté par des acteurs étrangers.
La question a récemment été soulevée par l'affaire Atos, qui a déjà été évoquée par plusieurs de mes collègues. Atos avait annoncé être en pourparlers avec Daniel Kretinsky dans le cadre d'une vente de ses activités historiques. Cette cession aurait pu faire passer un ensemble d'activités relatives à la défense nationale sous contrôle étranger. Sous la pression de députés de plusieurs groupes d'opposition, le ministre Bruno Le Maire a finalement annoncé, vous l'avez dit, il y a quelques jours, le rachat des activités sensibles d'Atos par l'État. C'est bien mais ce n'est pas tout à fait la nationalisation et la protection que nous espérions pour ce fleuron.
Lors de l'étude du projet de loi visant à sécuriser et réguler l'espace numérique, j'avais fait une proposition plus ambitieuse : les entreprises stratégiques devraient être détenues obligatoirement par des personnes ou des entreprises françaises ou, à défaut, européennes. Pour l'instant, le référentiel d'exigence de l'Anssi ne prend pas en compte cette dimension. Le cas Atos n'étant malheureusement pas isolé, pensez-vous que cette proposition permettrait de réussir là où la stratégie nationale pour la souveraineté du numérique a manifestement été impuissante, et comptez-vous faire avancer cette idée ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Puisque vous m'interrogez sur la question de la souveraineté numérique, française ou européenne, je m'arrêterai tout d'abord sur les dispositions qui régissent ce domaine. Vous dites que beaucoup de nos données sensibles sont aujourd'hui confiées à des opérateurs étrangers ; je m'inscris en faux contre cette affirmation. En effet, plusieurs dispositifs – la loi de programmation militaire, la directive NIS 1 ou très prochainement la directive NIS 2 – nous permettent de garantir que nos données les plus sensibles ne sont pas hébergées par des opérateurs étrangers.
Par ailleurs, nous avons évoqué le cloud et la conservation des données dites sensibles : comme vous le savez, la France défend SecNumCloud, référentiel très important, objet d'une discussion en cours avec la Commission européenne.
Sachez, madame la députée, que la France sera très exigeante quant au fait de conserver ce référentiel garantissant l'immunité de nos données les plus sensibles. Nous en avons fait un préalable aux discussions que nous conduisons – nous nous rejoindrons, je pense, sur ce point particulier.
Vous m'interrogez ensuite sur la situation d'Atos ; ayant eu l'occasion de répondre à votre collègue Pierre Dharréville à ce sujet, je ne me répéterai pas, à moins que vous le souhaitiez, et je vous dirai seulement que nous serons très vigilants à ce qu'il adviendra du groupe. Concernant les activités dont vous soulignez le caractère sensible, l'État prendra ses responsabilités.
Mme la présidente
La parole est à Mme Lisa Belluco, pour une seconde question.
Mme Lisa Belluco (Écolo-NUPES)
Quelles sont, madame la ministre, vos priorités en matière numérique ? Ma question fera écho à celle de mon collègue Andy Kerbrat. S'agit-il de nous protéger des ingérences étrangères ou de protéger les citoyens ?
Les stratégies, plans et annonces ont tous conduit aux mêmes résultats : la multiplication des données collectées – le nombre de caméras de voie publique contrôlées par la police ou la gendarmerie aurait crû de 50% en dix ans – et la sophistication de la surveillance de masse, ces caméras étant devenues des armes plus redoutables encore. Lors des débats sur le projet de loi relative aux Jeux olympiques et paralympique, vous avez en effet introduit la possibilité d'embarquer des caméras associées à de l'intelligence artificielle à bord de drones – cheval de Troie menaçant aussi bien nos libertés individuelles que notre intimité : croisées avec d'autres fichiers, les données ainsi collectées permettront sans peine d'identifier des individus lors de manifestations, en particulier si un gouvernement plus illibéral que le vôtre arrive un jour au pouvoir.
Il ne s'agit pas de fiction : cela se passe déjà dans d'autres pays. Sachant que le ministre de l'intérieur demandait sans honte aux parlementaires, il y a à peine un an, les mêmes moyens pour surveiller des militants que pour lutter contre le trafic de drogue ou contre le terrorisme, il y a de quoi d'inquiéter pour nos libertés politiques.
La vidéosurveillance nous expose en outre à une surveillance étrangère. Je cite à ce sujet la Commission nationale de l'informatique et des libertés (Cnil) : " En 2015 plus d'un tiers des équipements de vidéoprotection […] étaient importés de Chine, mais des acteurs états-uniens, allemands et suédois sont également présents. De fait, si plusieurs leaders mondiaux en matière de sécurité électronique, de gestion des identités d'accès et de cybersécurité sont français, notre pays ne dispose pas d'acteurs de cette taille pour les équipements vidéo. " Pour se protéger d'ingérences étrangères, il y a mieux !
Madame la ministre, quand renoncerez-vous à déployer des techniques qui nous aliènent et restreignent nos libertés plus qu'elles ne nous protègent ?
Mme la présidente
La parole est à Mme la secrétaire d'État.
Mme Marina Ferrari, secrétaire d'État
Madame la députée, vous me posez une question éminemment politique, à laquelle je réponds avec plaisir. Nous garder des ingérences étrangères et protéger nos concitoyens, voilà deux priorités que vous semblez opposer, auxquelles pour ma part je souscris conjointement.
Concernant le dispositif mis en œuvre pour les Jeux olympiques et paralympiques, les caméras faisant appel à l'intelligence artificielle sont dépourvues de système de reconnaissance faciale, le dispositif visant à identifier des comportements, comme un mouvement de foule ou celui d'une personne à l'abord d'un stade.
Mme Élisa Martin
Cela ne marche pas !
Mme Marina Ferrari, secrétaire d'État
Je tiens à souligner qu'il ne s'agit en aucun cas de reconnaissance faciale, car il nous faut être clairs touchant les moyens de protection déployés, pour ne pas effrayer nos concitoyens, et leur garantir que ces moyens sont de nature à garantir leur sécurité sans porter atteinte à leurs libertés. Je ne veux pas opposer, mais concilier la sécurité et les libertés individuelles, auxquelles je suis très sensible.
Quant à la loi Sren, également visée par votre question, je tiens à rappeler comme je l'ai fait lors d'une précédente réponse, que certaines dispositions en ont été adoptées, non pas sur proposition du Gouvernement, madame la députée, mais sur proposition des députés et de la CMP, qui a travaillé en toute indépendance. Plusieurs groupes parlementaires ont d'ailleurs saisi le Conseil constitutionnel ; nous attendons donc ses réponses.
Mme la présidente
La séance de questions est terminée.
source https://www.assemblee-nationale.fr, le 13 mai 2024