Mardi 25 juin 2019
- Présidence de M. Franck Montaugé, président -
La réunion est ouverte à 14 h 30.
Audition de M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État au ministère de l'action et des comptes publics
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État au ministère de l'action et des comptes publics.
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, M. Nadi Bou Hanna prête serment.
M. Franck Montaugé, président. - Voilà quelques mois, vous avez pris la tête de la direction interministérielle du numérique et du système d'information et de communication de l'État, ou Dinsic, poste qu'occupait avant vous Henri Verdier, que nous avons également reçu dans le cadre de ses nouvelles fonctions.
Votre direction, placée sous l'autoritéì du ministre en charge du numérique et rattachée au secrétariat général du Gouvernement, a de très nombreuses missions. Ces dernières vont bien au-delà de celles d'une simple « DSI » de l'État, comme la Dinsic est parfois surnommée.
Le décret définissant ces missions la charge, par exemple, « par les réponses apportées aux besoins propres de l'État en matière de technologies de l'information et de la communication, de promouvoir l'innovation et la compétitivitéì dans ce secteur de l'économie nationale ».
Elle abrite également la mission Étalab, chargée de gérer la politique d'ouverture des données de l'État, ou encore l'incubateur des start-ups d'État.
Monsieur le directeur, l'informatique de l'État est au coeur du sujet de notre commission d'enquête relative à la souveraineté numérique. Je vous propose donc de nous présenter les actions de votre direction qui concourent au recouvrement, par notre pays, de sa souverainetéì numérique.
Dans la présentation de votre stratégie intitulée « Tech. Gouv », vous écrivez que « l'État doit retrouver la maîtrise de son environnement numérique ». Il l'aurait donc perdue... Dans cette situation dégradée, quelle action l'État et votre direction conduisent-ils pour recouvrer cette maîtrise ?
M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État. - Comme vous l'avez rappelé, monsieur le président, j'ai pris la tête de la Dinsic voilà six mois.
Au cours de ma carrière, j'ai eu l'occasion de diriger les communications du Quai d'Orsay, de prendre en charge la stratégie des douanes électroniques et également, en tant qu'entrepreneur, de créer des PME spécialisées dans le numérique.
Ces trois expériences m'ont permis d'appréhender les problématiques de compétitivité et d'autonomie, mais également de comprendre le rôle des grands acteurs du marché du numérique et les déséquilibres qu'ils peuvent engendrer. Ces problématiques me semblent essentielles au moment de développer une stratégie de l'État dans le domaine du numérique.
Nous nous appuyons notamment sur quatre indicateurs pour conduire notre action : il s'agit tout d'abord du baromètre européen DESI relatif à l'économie et à la société numériques. Sur le segment du service public numérique, la France a gagné une place par rapport à l'année dernière, mais n'occupe que la quinzième sur vingt-huit...
Le deuxième indicateur que nous regardons est en lien avec le grand débat national. Il s'agit de la perception du service public numérique par les usagers. Comme l'a souligné à plusieurs reprises le secrétaire d'État chargé du numérique, Cédric O, une demande claire s'exprime pour davantage de procédures numériques simples et accessibles et pour ne pas laisser sur le bord du chemin une partie de la population.
Le regard des agents publics constitue notre troisième indicateur. Les baromètres permettant de mesurer régulièrement les irritants placent systématiquement le numérique dans le top 3. Les agents publics expriment une véritable attente en matière d'évolution des méthodes de travail et d'élaboration de nouveaux outils.
J'en viens au quatrième indicateur. Il me semble d'ailleurs que le Sénat a récemment saisi la Cour des comptes pour mener une mission d'audit sur le pilotage des grands projets de l'État. Depuis des années, le taux de glissement calendaire ou budgétaire de ces grands projets oscille, pour des raisons variées, entre 30 et 35 %, contre 18 à 20 % dans les grands groupes.
La dynamique que nous voulons mettre en place doit jouer sur ces quatre indicateurs. Il s'agit d'améliorer la performance de l'État, de conseiller les ministères, de soutenir l'innovation - par exemple, à travers les start-ups d'État - et de développer et d'animer les partenariats. L'État ne peut pas et ne veut plus tout faire : le numérique est un secteur extrêmement compétitif, ne serait-ce qu'en matière de recrutement des bons talents.
Nous menons également une mission de contrôle de l'exécution des politiques des ministères. La Dinsic est clairement dans un rôle de subsidiarité : les ministères sont en charge de leur politique numérique verticale. Notre rôle est d'animer, de soutenir, d'orienter et de susciter les ruptures et l'innovation nécessaires sur l'ensemble du champ du numérique - infrastructures, systèmes d'information, usagers et données.
Il existe deux formes de souveraineté : celle des pays autoritaires et celle des démocraties. À partir du moment où nous choisissons l'approche démocratique, la souveraineté passe nécessairement par la performance. On ne peut envisager de souveraineté numérique sans une capacité à piloter performante. Il faut pouvoir fournir aux usagers - citoyens et agents publics - les solutions attendues.
Aujourd'hui, tout le monde possède un ordinateur dans sa poche et donc un accès immédiat à tout un tas de services, la plupart du temps gratuits. Si l'État n'est pas en mesure de fournir des services de confiance avec le même niveau d'ergonomie et de qualité que ceux des grandes plateformes, la souveraineté numérique en restera au stade de l'ambition.
La souveraineté numérique est la capacité de l'État à définir sans entrave les bons choix de court, moyen et long termes pour la société et à assurer la réversibilité des orientations - quelques années après avoir pris une décision, il faut en effet être capable de changer de prisme si les priorités ont évolué. À défaut, nous sommes pieds et poings liés, nous restons dépendants. Et la dépendance est le contraire de la souveraineté.
L'État doit également garantir les libertés fondamentales des usagers : accès au service public, libre arbitre, intimité numérique... Nous devons veiller à préserver ces îlots de liberté.
La souveraineté est-elle menacée aujourd'hui ? Je considère que oui, ne serait-ce que parce que nous sommes entrés dans une course contre la montre. Comme l'a souligné le secrétaire d'État en charge du numérique, la tendance est bonne en matière de champions du numérique : voilà quelques années, notre pays ne comptait que trois licornes ; il en compte aujourd'hui quasiment une dizaine.
Toutefois, notre retard reste considérable au regard des 150 licornes américaines et des 80 licornes chinoises. Si nous ne disposons pas d'acteurs capables de produire les infrastructures, de construire les services, de gérer la relation de premier niveau avec les usagers et de maîtriser les interfaces, nous serons probablement relégués en deuxième division en matière de souveraineté.
Il y a tout de même de vrais espoirs : la qualité de nos écoles est très bonne. Le dernier baromètre du Medef et du BCG les classe à la sixième ou septième place mondiale.
De même, nous continuons d'attirer énormément d'investissements, notamment grâce à notre politique en matière de crédit impôt recherche.
Par ailleurs, l'action de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, en matière de cybersécurité permet de renforcer encore notre souveraineté.
Comment faire pour conserver et développer cette souveraineté numérique ? Le premier levier sur lequel agir est celui de l'adaptation à la réalité.
La société Michelin, par exemple, existe depuis 130 ans. Cette entreprise est passée de la vente de pneus à la vente de services de mobilité à la demande. Cette évolution correspond à une tendance de fond : la « servicisation » de l'économie. Les technologies numériques nous permettent aujourd'hui de souscrire à un service plutôt que de l'acquérir.
Si l'on veut développer notre autonomie, il faut nous appuyer sur des champions du numérique et pas seulement sur des infrastructures.
Le week-end dernier, Thierry Breton déclarait que seuls 55 % des salariés de son entreprise étaient embauchés en CDI. Les plus jeunes, et notamment les talents du numérique, cherchent davantage à se focaliser sur le sens des projets qu'à se lier de manière durable à une entreprise. Il s'agit d'une tendance de fond dénommée « uberisation » de l'économie. S'adapter à cette société qui évolue est un des moyens pour l'État de monter en puissance.
Nous disposons d'un autre levier : l'achat public. Je pense à l'autorisation de souscrire des achats en direct jusqu'à 100 000 euros pour toutes les actions d'investissement. Cette disposition, en vigueur depuis le début de l'année, permet à des acheteurs publics, à des porteurs de projets, de prendre davantage de risques que par le passé, de traiter en direct avec des acteurs qui vont porter l'innovation et expérimenter.
Si nous ne développons pas cette culture de l'expérimentation, nous ne trouverons pas les bonnes réponses aux problèmes d'aujourd'hui. Nous continuerons de reproduire les schémas de pensée et les solutions d'hier. La culture de l'innovation me paraît donc essentielle pour défendre notre souveraineté nationale numérique.
Lors de ma prise de fonction, j'ai constaté que la dynamique interministérielle et l'ambition collective pour construire une stratégie, méritaient d'être réaffirmées. Il s'agit donc, à travers Tech.Gouv, de remobiliser les capacités de chacun des ministères sur des objectifs communs, sur des chantiers transversaux, raison pour laquelle nous avons consacré les premiers mois de cette année à clarifier les enjeux du numérique.
Le premier enjeu consiste à simplifier la vie des gens.
Le deuxième enjeu, c'est l'inclusion : une partie de la population est aujourd'hui à l'écart non du volet numérique, mais de l'inclusion administrative. Il s'agit de personnes très à l'aise avec leur smartphone, mais qui ont du mal à comprendre la manière dont l'État leur parle. Ils ne sont pas capables, par exemple, de remplir un Cerfa. L'État se doit donc de changer la manière de projeter les services publics et les obligations incombant aux uns et aux autres.
Le troisième enjeu réside dans l'attractivité. Si l'État n'est pas capable d'attirer les meilleurs talents, il n'y aura pas de souveraineté. Il faut changer les pratiques managériales, fluidifier la circulation de l'information, associer les agents publics à la décision à travers des solutions numériques. Il s'agit d'un changement de paradigme managérial.
Comme vous l'avez souligné, monsieur le président, le quatrième enjeu concerne la maîtrise. J'ai effectivement pu déclarer que la maîtrise des infrastructures, des projets, des solutions entre les mains des usagers et des agents s'était effritée au fil des années. Lors de chaque audit de pilotage, on s'aperçoit que les grands projets sont externalisés à hauteur de 90 %. Or je ne connais pas un directeur capable de piloter un projet externalisé à 90 % chez un tiers, voire chez plusieurs tiers - cabinet de conseil, éditeur, intégrateur...
Le fait d'internaliser de nouveau une partie de ces compétences me paraît indispensable pour s'assurer de l'exécution des grands projets et de la fluidité du parcours des usagers.
Le cinquième enjeu consiste à générer les économies qui seront les investissements de demain en matière d'innovation.
La question des alliances constitue le dernier enjeu. Il s'agit de constituer, autour de l'État, un écosystème d'acteurs de confiance afin de démultiplier notre capacité à faire. Je pense, par exemple, à l'identité numérique. Mes services portent ce projet à travers le dispositif France connect qui rassemble aujourd'hui 10 millions de Français. Nous dénombrons quasiment 500 000 utilisateurs supplémentaires chaque mois. Pourquoi ce dispositif fonctionne-t-il aussi bien ?
M. Jérôme Bascher. - Parce que les Français n'ont pas le choix !
M. Nadi Bou Hanna. - Au contraire, ils peuvent choisir d'autres dispositifs.
Si France connect fonctionne aussi bien, c'est justement qu'il n'est pas obligatoire et qu'il permet de rassembler un grand nombre de services en ligne - fournisseurs d'identités, fournisseurs de services privés... Nous voulons qu'utiliser France connect devienne un réflexe pour les Français, chaque fois qu'ils auront une démarche administrative à entreprendre, qu'ils se rendront sur le site d'une collectivité territoriale ou qu'ils voudront, par exemple, ouvrir un compte en banque...
Si nous parvenons à constituer cet écosystème autour d'une ambition commune de respect de l'usager, nous pourrons renforcer encore notre souveraineté numérique.
M. Gérard Longuet, rapporteur. - Je partage totalement votre analyse : la performance est la condition première de la souveraineté numérique.
Au regard de votre expérience du secteur privé et du secteur public, pensez-vous possible d'être performant sans mobiliser de capitaux privés pour porter des projets, sur le marché français comme sur les marchés internationaux ?
Vous avez récemment lancé la messagerie sécurisée « Tchap » pour les agents de l'État. Qu'en attendez-vous ?
Vous avez évoqué les grands projets publics externalisés à 90 %. Que pensez-vous de nos grands échecs ? J'ai été en partie responsable de celui du logiciel Louvois et j'ai dénoncé, en tant que rapporteur du budget de l'éducation nationale, le système d'information des ressources humaines de l'Éducation nationale, dénommé Sirhen, qui s'est révélé catastrophique. L'extrême externalisation que vous avez évoquée peut-elle expliquer ces échecs ?
M. Nadi Bou Hanna. - À titre personnel, je considère qu'il n'existe aucune difficulté pour trouver des capitaux en France.
Pour avoir approché d'assez près les start-ups et les acteurs de l'innovation, je pense que les difficultés apparaissent seulement pour les grands tickets de plusieurs centaines de millions d'euros. Les entreprises qui s'appuient sur une bonne idée n'ont aucun souci pour trouver des financements.
Il est plus difficile de trouver des porteurs ayant une ambition. Or sans ambition démesurée on ne peut créer de géant du numérique. Le point commun de toutes les grandes entreprises du numérique, et notamment celles de la Silicon Valley, est de vouloir changer le monde, voire de prendre possession d'une partie du monde.
L'Assemblée nationale, le Sénat et un grand nombre de collectivités territoriales nous ont demandé d'ouvrir Tchap. Nous espérons pouvoir bientôt répondre favorablement à cette demande.
La création d'une messagerie instantanée garantissant que les données échangées entre agents publics, cabinets ministériels ou parlementaires ne se baladent pas aux quatre coins du monde nous a semblé indispensable. Nous avons donc noué un partenariat avec une PME franco-anglaise. Après nous être assurés que l'accès au code source était ouvert, afin de favoriser son développement, nous avons investi en mobilisant des développeurs de l'État aux côtés de ceux de l'entreprise. Au final, avec un budget relativement limité, nous avons produit une application de messagerie instantanée sécurisée qui semble très appréciée des usagers. Sans publicité, nous dénombrons quasiment 35 000 agents publics utilisateurs en moins de deux mois.
M. Gérard Longuet, rapporteur. - Pouvez-vous nous donner des précisions sur l'économie du projet ?
M. Nadi Bou Hanna. - Il s'agit d'un investissement pur, assez léger en termes de coûts de fonctionnement, si ce n'est pour l'hébergement des machines. Il n'y a aucune licence. Nous avons voulu offrir aux agents l'équivalent de WhatsApp ou de Telegram sans leurs inconvénients.
Il est assez difficile de mesurer le retour sur investissement de ce dispositif dont le coût global s'élève environ à 1 million d'euros et qui devrait, à terme, concerner l'ensemble des agents publics et une grande partie des collectivités territoriales. À l'aune des grands projets de l'État, nous sommes donc très en-deçà des périmètres habituels.
Nous sommes en train de faire de même avec la web-conférence et avec les solutions collaboratives. Nous voulons favoriser la gestion des grands projets en transcendant les clivages administratifs classiques.
Comme l'a annoncé le Premier ministre, nous déploierons demain 300 maisons « France service » supplémentaires sur l'ensemble du territoire. Si nous ne mettons pas à disposition de ces maisons les outils de travail nécessaires pour échanger avec le reste de l'administration, elles ne pourront qu'expliquer à leurs usagers le contenu du site service-public.fr sans entreprendre aucune démarche d'accompagnement ni les renseigner sur l'avancement de leurs demandes. Sans outils efficaces, nous passerons à côté de la constitution d'un lien durable et de qualité avec les usagers.
Il serait trop facile de tenir leur large externalisation pour responsable de l'échec des grands projets. Certains grands projets externalisés dont on a su maîtriser le pilotage ont réussi. Une autre clé de lecture tient à la difficulté de savoir arrêter un projet. Lancer un projet, tout le monde sait le faire. Tenir des points réguliers d'avancement et d'interrogation sur la trajectoire suivie est tout autre chose. J'essaie d'insuffler une telle dynamique en développant davantage les rendez-vous réguliers avec les ministères.
Ces interventions plus en amont nous font défaut depuis des années. Nous voulons agir comme un cabinet de conseil interne à l'État dont les priorités et les orientations sont parfaitement alignées avec les siennes.
Je souhaite que les ministères puissent saisir cette force de frappe au sein de la Dinsic bien avant que les trajectoires ne soient dessinées, les cahiers des charges écrits et les prestataires retenus. Si nous arrivons à développer ce partenariat de confiance interne à l'État, nous devrions voir le taux de glissement baisser dans les prochaines années.
M. Franck Montaugé, président. - Avec tout notre savoir technologique, j'ai du mal à comprendre que l'on avance aussi peu sur la question du dossier médical partagé, ou DMP. Les enjeux sont pourtant considérables...
M. Nadi Bou Hanna. - Jusqu'à présent, les grands projets de la sphère santé n'étaient pas complètement supervisés par la Dinsic.
En ce qui concerne le DMP, un élément me semble très important : on est passé d'un dossier médical « patient » à un dossier médical pour les « professionnels » de santé. Le fait d'avoir une gouvernance et une orientation non pérennes n'a pas facilité les choses. Je ne pourrais pas vous en dire beaucoup plus, n'ayant pas du tout suivi cette question.
Sur les grands projets, si l'on manque de constance, si l'on essaie de toucher une cible mouvante dans le temps, il y a de fortes chances de la rater. Le pilotage du numérique de santé vient d'être remis en place au sein du ministère, avec une équipe constituée de spécialistes, de praticiens. La stratégie mise en place part des usagers, des parcours que suivent les citoyens, ce qui me paraît particulièrement prometteur et convaincant. J'ai fait une offre de services et d'appui à cette équipe. Je pense que nous allons avancer en étroite coopération pour développer le numérique de santé au plus près des besoins des utilisateurs.
Mme Catherine Morin-Desailly.- J'aimerais comprendre comment vous fonctionnez avec les différents ministères qui restent maîtres de leur secteur. J'imagine que vous intervenez de manière transversale, sans doute dans le cadre de certaines réunions stratégiques.
Comment se fait-il que l'on assiste parfois à des discordances en matière de stratégie ? Je pense notamment à un ministre de l'économie et des finances qui annonce vouloir lutter contre les abus de position dominante des entreprises extra-européennes du numérique, alors que le ministère de l'éducation nationale, par exemple, souscrit des contrats sans appel d'offre avec Google ou Microsoft, faute de doctrine arrêtée en la matière. Comment améliorer les choses et mieux coordonner les stratégies ?
Que faites-vous pour répondre concrètement aux attentes des agents publics en matière de formation et d'information ? En plein débat sur le projet de loi portant transformation de la fonction publique, ces sujets mériteraient d'être très clairement évoqués.
Existe-t-il une réflexion en matière de formation des ingénieurs réseau ? À quel type d'entreprise fait-on appel sur cette question ?
M. Nadi Bou Hanna. - Il peut en effet exister une certaine dualité entre les orientations politiques visant à favoriser le développement de champions nationaux et européens - c'est notamment le rôle de la Direction générale des entreprises et du ministère de l'économie et des finances - et l'activité au quotidien des ministères pour se doter de solutions de travail.
Comme je l`ai souligné, la vraie question est celle de la performance des solutions retenues. Si l'on ne trouve pas sur le marché d'alternative aux grandes suites bureautiques auxquelles vous faisiez allusion et que l'on oblige les usagers à utiliser des solutions non ergonomiques, ils iront chercher des solutions gratuites sur internet, au mépris de toute protection et de toute souveraineté en matière de données.
Nous développons une approche pragmatique à même de garantir que l'usage attendu est au rendez-vous, que les solutions retenues permettent d'accéder aux données et que la réversibilité est possible. Une des missions de Tech.Gouv concerne ainsi la labellisation des solutions de confiance. Il s'agit de définir les règles du jeu permettant de distinguer entre une bonne et une mauvaise solution parmi le panel de produits que l'on trouve sur l'étagère.
Nous serons ravis de pouvoir labelliser des éditeurs français sur les critères d'interopérabilité, de réversibilité, d'accès aux données... On n'interdira pas non plus aux autres éditeurs, européens ou non, de candidater. Ce qui est important, c'est le respect des référentiels des bonnes pratiques pour garantir l'autonomie de l'État dans la durée.
Mme Catherine Morin-Desailly. - Avez-vous identifié une problématique de souveraineté par rapport à certaines solutions auxquelles l'État a recours, à défaut d'autres solutions potentiellement labellisables ?
Voilà quelques années, la Bibliothèque nationale de France, la BNF, avait renoncé à une offre très séduisante de Google pour développer d'autres solutions. De quels moyens dispose-t-on pour encourager les administrations à recourir à d'autres solutions que celles entrant en contradiction avec l'affirmation de notre souveraineté ?
M. Nadi Bou Hanna. - Nous n'avons pas d'approche idéologique en la matière.
Nous avons choisi, avec Tchap, de développer en propre une solution qui n'existait pas sur le marché. Tout ce que le marché avait à nous offrir compromettait la sécurité des communications, en particulier celles des cadres dirigeants de l'État.
Une suite bureautique doit essentiellement permettre aux agents de travailler. Privilégier l'une ou l'autre solution ne relève pas d'une problématique de souveraineté. Nous sommes dans le domaine de la commodité, non dans celui de l'information sensible.
Chaque fois que c'est possible, nous choisissons une solution de marché qui garantisse une certaine forme d'autonomie. Lorsque ce n'est pas possible, mais que le risque de compromission est faible, nous choisissons la meilleure solution existante. Enfin, lorsqu'aucune solution du marché ne permet de répondre à l'enjeu en question, nous la développons.
En matière d'archivage électronique, par exemple, l'État a choisi de développer une plateforme dénommée Vitam, faute de solution de marché répondant aux enjeux de volumétrie dans de bonnes conditions. Nous choisissons les solutions au cas par cas, en fonction des problématiques.
La mission « talents » de Tech.Gouv vise à développer la culture numérique dans l'encadrement supérieur et à développer l'émergence d'un vivier du numérique au sein de l'État. Ce vivier peut être constitué non seulement de fonctionnaires du numérique, de cadres qui vont accomplir une grande partie de leur carrière au sein de l'État, mais aussi des meilleurs éléments que nous essayons de recruter, ne serait-ce que pour quelques années. Le projet de loi de transformation de la fonction publique devrait justement permettre de favoriser les allers et retour entre secteur public et secteur privé. C'est un des leviers sur lesquels nous voulons nous appuyer pour renforcer la capacité de l'État de piloter en propre sa stratégie numérique.
M. Franck Montaugé, président. - Pourriez-vous nous donner quelques précisions sur la mission Etalab et sur la politique d'ouverture des données ?
M. Pierre Ouzoulias. - J'ai bien compris que c'est la sécurité qu'il apportait et le recours à des codes sources ouverts qui vous avaient convaincu de développer Tchap. Qu'en est-il des autres logiciels utilisant des codes source libres ?
Vous avez évoqué à plusieurs reprises les suites bureautiques. On a le sentiment que l'État, et notamment en son sein les ministères de la défense et de l'éducation nationale, a préféré les suites développées par les Gafam à celles des logiciels libres, lesquelles offraient pourtant les garanties que vous avez identifiées.
Dans l'attente de votre instrument de labellisation, il semble que l'État nous encourage à acquérir des systèmes privés, payants, plutôt que les solutions libres offrant les mêmes garanties que Tchap. On a du mal à comprendre cette logique...
M. Jérôme Bascher. - J'ai été chef de projet « statistiques » à l'époque où il existait encore des chefs de projet « informatique ». Les choses fonctionnaient plutôt bien : les statisticiens étaient formés à comprendre les informaticiens, ils leur donnaient les spécifications et savaient arrêter un projet. L'État sait-il encore suffisamment spécifier ses projets pour éviter les échecs ? Informaticiens et donneurs d'ordre savent-ils se comprendre et clairement identifier qui doit décider quoi ?
M. Nadi Bou Hanna. - Chaque fois que l'usage est bon, le logiciel libre a sa place.
Un certain nombre de ministères a choisi des suites bureautiques open source avant de faire marche arrière, une partie des fonctionnalités espérées n'étant pas au rendez-vous. D'autres ministères ont continué à utiliser ces suites bureautiques. Je fais partie de ceux qui ont lancé, voilà un peu plus de quinze ans, la suite Open office au sein des douanes.
Si l'on force la main des agents pour des raisons de modèle économique, ils utiliseront probablement Google docs en ligne.
De plus, cela fait bien longtemps que plus personne ne croit que l'open source est gratuit. On regarde aujourd'hui les coûts de maintenance et les écosystèmes constitués avant de choisir telle ou telle solution open source. Chaque fois que l'on a la certitude de l'existence d'un écosystème, et non d'un acteur unique fonctionnant sur un autre mode que la licence, on regarde de plus près pour voir si cette solution est adéquate sur le segment concerné.
Enfin, le coût complet des logiciels libres n'est pas si éloigné de celui des logiciels propriétaires...
Une des constantes de l'échec des grands projets réside dans leur durée : entre cinq et quinze ans. Une grande inflexion consiste à conduire des projets avec la méthode « Agile », c'est-à-dire adopter une approche beaucoup plus itérative. Plutôt que de viser tout de suite la cible exhaustive avec l'ensemble des fonctionnalités attendues par l'ensemble des parties prenantes, il faut être capable d'avoir des temps d'atterrissage beaucoup plus courts, à six, à douze, à dix-huit mois. Il s'agit des points de rendez-vous que j'évoquais voilà quelques instants pour être capable d'infléchir, voire d'arrêter des projets. C'est cette méthode qui nous permettra, demain, d'améliorer le pilotage des projets de l'État.
M. Franck Montaugé, président. - Pouvez-vous répondre à ma question sur la mission Etalab et la mise à disposition des données, au risque d'affaiblir notre souveraineté numérique ? La loi pour une République numérique impose la mise à disposition des données. Sommes-nous capables d'en tirer davantage profit que les grands groupes qui ont des capacités que nous n'avons pas aujourd'hui ?
M. Nadi Bou Hanna. - On a tendance à accoler le terme « ouverture » à chaque fois qu'il est question de données, notamment au sein de l'État.
La loi pour une République numérique a généralisé l'ouverture des données. En évoquant la performance, je soulignais que le numérique devait nous permettre d'exploiter les données pour produire le meilleur service possible. La question de la circulation de la donnée au sein de l'État et entre l'État et les collectivités territoriales a sans doute été sous-priorisée ces dernières années. Si l'on veut vraiment simplifier, il faut arrêter de demander plusieurs fois les mêmes choses aux Français et généraliser enfin l'interconnexion des données tout en préservant les libertés individuelles. La question de la circulation me paraît plus importante que celle de l'ouverture des données.
À qui profite l'ouverture et qui va s'en saisir ? Voilà quelques semaines, les données des transactions immobilières ont été ouvertes. Une PME française s'en est alors saisie pour proposer un service à valeur ajoutée. On peut également craindre que les grandes plateformes qui disposent des ingénieurs et des volumes financiers ne captent d'autres données pour les exploiter au mieux et créer leurs propres services à valeur ajoutée.
Cette crainte s'exprime dans certains territoires. J'y suis réceptif. C'est la raison pour laquelle je préfère focaliser l'énergie de la Dinsic sur la circulation de la donnée et la simplification induite pour les services rendus aux usagers et sur la construction des nouvelles politiques publiques.
Nous avons ainsi mis en place un pôle « intelligence artificielle » au sein de la Dinsic, recruté des Data scientists, recruté des entrepreneurs d'intérêt général pour relever un défi porté par un ministère ou un autre... Nous devons arriver à diffuser largement cette culture de la donnée au sein de l'État.
M. Jérôme Bascher. - Créer une identité numérique relève-t-il de votre rôle ?
M. Nadi Bou Hanna. - La Dinsic a pour rôle aujourd'hui de porter France connect, dispositif fédérateur d'identités.
M. Jérôme Bascher. - Il s'agit alors d'« identités » au pluriel, non d'une identité.
M. Nadi Bou Hanna. - La promesse n'en reste pas moins vertueuse pour l'usager. Il s'agit de lui donner le choix de l'identité qu'il souhaite utiliser pour toutes ses démarches et ne pas lui imposer une solution plutôt qu'une autre.
Un certain nombre de pays, de plus petite taille que le nôtre et émanant de l'ancien bloc soviétique, ont fait le choix d'une identité généralisée. Aujourd'hui le compromis trouvé consiste à simplifier la vie des usagers tout en leur permettant de choisir parmi les identités agrégées dans France connect.
M. Gérard Longuet, rapporteur. - De quels moyens humains disposez-vous ?
M. Nadi Bou Hanna. - La Dinsic dispose de 144 équivalents temps plein, dont une quarantaine dédiée au fonctionnement du réseau interministériel de l'État.
M. Franck Montaugé, président. - Pouvez-vous nous dire un mot de la formation des ingénieurs réseau évoquée par Mme Morin-Desailly ?
M. Nadi Bou Hanna. - La Dinsic anime la pérennisation et la montée en puissance de la filière des ingénieurs des systèmes d'information et de communication. Il est essentiel que l'État se dote d'une force en propre de cadres A et qu'il renforce sa filière de cadres « A+ » dans le domaine du numérique. Ses effectifs ne me semblent aujourd'hui pas suffisamment étoffés pour pouvoir reprendre la main sur une partie de la stratégie et du pilotage des grands projets. Si nous n'y arrivons pas, nous risquons de compromettre notre capacité à assurer notre souveraineté numérique.
Mme Catherine Morin-Desailly. - Qui forme actuellement les ingénieurs réseau ? S'agit-il d'entreprises privées ?
M. Nadi Bou Hanna. - Nous nous appuyons sur les centres de formation de la fonction publique - IGPDE, écoles de fonctionnaires développant des cursus en la matière...
Mme Catherine Morin-Desailly. - Cisco est impliquée dans la formation des ingénieurs réseau. Que pouvez-vous en dire ?
M. Nadi Bou Hanna. - Tous les industriels peuvent prendre en main certaines formations thématiques. Lorsque vous voulez développer une compétence en matière d'exploitation des routeurs, ce que l'on fait de moins en moins au sein de l'État, mieux vaut se tourner vers ceux qui créent et qui disposent aujourd'hui de la plus grande part de marché...
Toutefois, la formation des ingénieurs n'est pas assurée par les entreprises privées.
M. Franck Montaugé, président. - Vous avez parlé de mise en circulation des données dans la sphère publique. Existe-il des projets de modélisation des politiques publiques pouvant aboutir à des outils d'évaluation de ces mêmes politiques ?
M. Nadi Bou Hanna. - Pas à ma connaissance.
M. Franck Montaugé, président. - Nous vous remercions.
Audition du Général François Lecointre, chef d'État-Major des armées (CEMA)
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition du Général François Lecointre, chef d'état-major des armées. Il est accompagné du général de division Olivier Bonnet de Paillerets, commandant cyber de l'état-major des armées et du général de brigade Jean-Jacques Pellerin, chef de la division de l'état-major des armées, en charge du numérique et de la cohérence des programmes interarmées.
Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Une commission d'enquête fait l'objet d'un encadrement juridique strict. Je vous informe qu'un faux témoignage devant notre commission serait passible des peines prévues aux articles 434-13 à 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, MM. François Lecointre, Olivier Bonnet de Paillerets et Jean-Jacques Pellerin prêtent serment.
M. Franck Montaugé, président. - La revue stratégique de défense et de sécurité nationale de 2017 et la revue stratégique de cyberdéfense de février 2018 ont reconnu le rôle majeur de la cyberdéfense militaire. Notre pays s'est doté d'une doctrine militaire en lutte informatique offensive tout en renforçant la politique de lutte informatique défensive du ministère des Armées. La capacité à se protéger contre les attaques informatiques, à les détecter, à en identifier les auteurs mais également à riposter, est devenue l'un des éléments clefs de notre souveraineté.
Je commencerai donc, général Lecointre, par vous demander comment vous appréhendez la notion de souveraineté numérique. Distinguez-vous la souveraineté classique, de défense du territoire, de la souveraineté numérique, par nature dématérialisée ? Pouvez-vous nous présenter la doctrine prenant en compte et les modifications de la souveraineté classique par le monde numérique : quelle est la place du numérique dans ce cadre ?
Un pays ne peut être souverain s'il ne parvient pas d'une part à contrôler les activités numériques qui affectent son territoire, et s'il ne dispose pas d'autre part des technologies clés et des infrastructures critiques. Un pays ne peut être souverain sans les armes lui permettant de garantir son autonomie et sans la maîtrise des théâtres opérationnels affectés par de nouvelles menaces numériques. Avons-nous aujourd'hui les moyens de nos ambitions dans tous ces domaines ?
Général François Lecointre, chef d'état-major des armées. - Ma mission est d'assurer à la France la capacité d'une part à agir de manière souveraine dans l'espace numérique, d'autre part de conserver une capacité autonome d'appréciation, de décision et d'action, et de préserver également les composantes les plus traditionnelles de sa souveraineté vis-à-vis de menaces nouvelles, qui tirent parti de la numérisation croissante de la société. Les menaces et les risques s'accroissent, en témoignent les graves incidents tels que Wanacry ou Notpetya, ou celui observé lors des élections américaines. Les opérations de désinformation sont difficiles à contrer car nous sommes ouverts au niveau européen, l'article 10 de la convention européenne des droits de l'homme nous y oblige. Le débat, en outre, est permanent entre sécurité collective et droits individuels...
Un certain nombre de réponses ont visé à réduire les tensions et les menaces, en particulier par la régulation internationale et la création de normes, je songe au Règlement général sur la protection des données ou au Cloud act du 23 mars 2018.
Les armées sont la cible d'attaques informatiques particulièrement nombreuses. Ainsi, en 2018, 831 événements significatifs ont été recensés par le commandement de la cyberdéfense (Comcyber), soit une augmentation de l'ordre de 20% par rapport à 2017. Une centaine consiste en des attaques informatiques avérées, dont six sont caractéristiques de modes d'action de groupes structurés affiliés à des États. Toutes ces attaques ont été menées à des fins d'espionnage de hauts responsables du ministère ou de fonctions opérationnelles.
En 2018, le ministère des armées a été la cible d'attaques par un mode d'action connu de nos services, que certains attribuent à Turla, groupe affilié au service fédéral de sécurité russe. Les cibles identifiées sont des membres du ministère ayant des responsabilités dans le domaine des relations internationales, ou des fonctions opérationnelles d'intérêt, comme l'approvisionnement en carburant des bâtiments de la marine nationale, afin de suivre les escales de nos bâtiments. Aucune attaque de groupe affilié à la Chine n'a été observée ; les cybermenaces iranienne et nord-coréenne ne semblent pas non plus, à ce stade, viser les armées ou le ministère.
En tant que chef d'état-major des armées (CEMA), j'assume des responsabilités et des prérogatives - de nature défensive - définies dans la revue nationale cyber de février 2018. Cette revue organise la gouvernance cyber de l'État autour de quatre piliers aux gouvernances spécifiques : la prévention, sous la responsabilité de l'Agence nationale de la sécurité des systèmes d'information et du Premier ministre ; le renseignement, avec la DGSE, la DGSI et les ministères de tutelle ; l'action judiciaire qui relève à la chancellerie, et l'action militaire, conduite par le chef d'état-major des armées et le Président de la République.
Chaque pilier a une gouvernance autonome et tous se coordonnent autour d'un comité de coordination des crises cyber ou « C4 », qui articule le cycle de la cyber défense - détection, attribution, réponses, car il s'agit de définir les stratégie de réponse qui sont soumises au politique.
Les orientations prises par la revue fonctionnent très bien ; le CEMA dépositaire de la conduite des opérations militaires a été renforcé dans sa responsabilité de cyber défense sur le périmètre du ministère des armées, et pour la conduite des opérations numériques. Le commandement cyber a été créé il y a moins de deux ans, il me seconde dans cette double responsabilité. Le rôle stratégique, central, de la cyberdéfense militaire a été parfaitement reconnu.
Dans mon périmètre de responsabilités, je vise une numérisation maîtrisée, qui doit profiter des opportunités offertes par les technologies émergentes tout en maintenant les systèmes à un très haut niveau de sécurité. La souveraineté numérique est dans l'ADN du ministère et des armées ! Nous sommes parfaitement conscients des vulnérabilités de nos systèmes et nous avons le souci constant de préserver à la fois l'intégrité, la confidentialité et la disponibilité des données. Celles-ci sont la matière première de nos systèmes d'information. Elles sont maîtrisées sur toute la durée de leur utilisation, dans la collecte comme dans le stockage, en fonction de leurs niveaux de sensibilité. Les données opérationnelles sont les plus sensibles, mais les données médicales ou relatives aux ressources humaines, par exemple, sont sensibles également. Leur exploitation exige un personnel habilité et des systèmes homologués par les armées, elles transitent sur des réseaux maîtrisés et chiffrés.
La direction interarmées des réseaux d'infrastructures et des systèmes d'information de la défense (Dirisi), opérateur du ministère, assure la gestion des réseaux qui lui sont dédiés, administre plus de 1500 systèmes d'information et héberge les données du ministère au sein d'infrastructure réparties sur tout le territoire.
L'utilisation de l'internet par les armées fait l'objet d'une attention particulière : surveillance permanente des échanges de fichiers, sécurisation des sites, anonymisation des recherches sur source ouverte.
Enfin, tous, du cadre au soldat, sont sensibilisés et formés à l'hygiène numérique.
Il demeure que nous traversons une période charnière de fragilité : l'utilisation des dernières technologies disponibles doit être intégrée à nos systèmes pour garantir notre supériorité informationnelle ; mais ce, avec une grande prudence lors de l'intégration, afin de conserver un haut niveau de sécurité.
C'est pourquoi nous poursuivons nos efforts en termes de big data et d'intelligence artificielle, pour développer le traitement et l'analyse de quantités de données qui ne sont pas humainement exploitables afin de produire une information valorisée à partir de la très grande masse de données disponibles. La ministre a annoncé un investissement de 100 millions d'euros par an dans ce domaine. Le point le plus crucial est celui du recrutement de spécialistes.
Il s'agit aussi de mener une stratégie cloud robuste. Les armées vont devoir appuyer leur transformation numérique, désormais permanente, sur un opérateur de confiance en mesure de garantir la souveraineté numérique du ministère. La stratégie industrielle doit nous permettre de construire un écosystème national de confiance, s'appuyant sur des niveaux de cloud différenciés, selon le niveau de confidentialité des données. Cela exige, j'y insiste, une sensibilisation de tous, soldats et cadres, quant aux risques : il nous revient d'instruire nos soldats sur la grammaire et l'orthographe de l'espace numérique, objets connectés compris. L'ensemble du personnel du ministère de la défense doit maîtriser l'utilisation d'internet, au plan professionnel ou privé, tous étant présents sur les réseaux sociaux, en France comme sur les théâtres d'opération... Enfin, il faut adapter les organisations à la gouvernance du risque cyber.
La collecte et l'exploitation des données doivent évoluer pour que nous profitions de la pleine capacité offerte par les nouveaux capteurs spatiaux et numériques, inscrits dans la loi de programmation. La direction du renseignement militaire (DRM) s'appuiera ainsi sur le programme Demeter pour exploiter efficacement les giga-octets de données techniques issues des programmes électromagnétiques. Cela implique de recourir à l'intelligence artificielle.
Il faut également maîtriser la projection de puissance en tout point du globe - une des caractéristique de l'armée française - avec une sécurité des raccordements des systèmes d'information et de communication projetés aux réseaux d'infrastructure : le « bout en bout » numérique, depuis Balard jusqu'aux échelons tactiques de base, sur le terrain, est fondamental. Les réseaux doivent donc augmenter leurs capacités et consolider leur fiabilité, en maîtrisant la cryptologie. La Dirisi assure le chiffrement des réseaux, y compris pour le déclenchement de la dissuasion nucléaire.
Dans le cadre de ma mission cyber, je dois disposer d'une autonomie d'appréciation, pour proposer au pouvoir politique des options dans le champ de mes responsabilités, et d'une capacité automne d'opérations cyber, au profit des opérations en cours. Le cyber est en effet considérée comme une arme d'emploi, pour la défense de nos intérêts et de notre souveraineté.
Cela exige de maîtriser la détection, la caractérisation et l'attribution d'une attaque - donc de disposer d'un équipement en sondes souveraines. D'où la montée en puissance des capacités cyber du Comcyber et des services de renseignement, avec une mutualisation entre les deux.
Il est impératif de pouvoir proposer au pouvoir politique une option de réponse en cas de crise majeure, y compris dans le champ cyber, par l'engagement de moyens militaires autonomes, en particulier la capacité à produire des effets cyber à partir de moyens militaires.
Il convient aussi sur le champ de bataille de développer une capacité d'actions numérique propre, intégrée à la manoeuvre militaire. Cela est de plus en plus nécessaire sur des champs de bataille qui se numérisent de plus en plus. Notre supériorité opérationnelle passe par la capacité à protéger nos moyens et à démultiplier les effets que nous produisons : obtention de renseignement opérationnel, neutralisation d'un système de commandement adverse, désorganisation de centres de propagande adverses,...
Il nous faut aussi développer des partenariats pour consolider notre appréciation de situation et nos coalitions. Mais peu de pays disposent de la maturité conceptuelle, organisationnelle et opérationnelle suffisante pour nous permettre de nouer des échanges de confiance.
Il importe de jouer un rôle moteur dans la promotion d'une culture militaire cyber partagée entre partenaires européens, au sein de l'OTAN ou de l'Union européenne : nous y travaillons notamment à travers l'initiative européenne d'intervention (IEI). Autre exigence, promouvoir au plan international un comportement responsable, facteur de stabilité.
Enfin, il s'agit d'opérer un rapprochement avec le monde industriel numérique, pour que nos armées restent connectées au progrès et pour garantir les ressources humaines dont nous avons besoin. C'est notre premier défi, car contrairement à ce que nous avons connu au sortir de la Deuxième guerre mondiale et jusqu'à la fin de la guerre froide, aujourd'hui, c'est de moins en moins la recherche militaire qui tire la recherche civile. Les technologies civiles, duales, nous imposent de rester étroitement connectés à ce monde industriel qui innove sans cesse. En janvier dernier, le ministère a signé une convention avec les industriels de défense.
Il nous faut une famille professionnelle RH SIC armée et structurée, or nous avons enregistré à fin 2018 un déficit de 1 300 emplois militaires et civils, en retrait de 8% par rapport aux besoins, compte tenu de la menace cyber, de la transformation numérique et du plein emploi des cadres dans le secteur civil des systèmes d'information. Nous avons de plus en plus de mal à fidéliser une main d'oeuvre qui est très recherchée. Nous nous efforçons donc à favoriser les recrutements d'agents civils sous contrats (ASC), voie qui n'est pas entièrement satisfaisante.
En matière d'intelligence artificielle et de big data, des compétences spécifiques sont nécessaires également au plus près des opérationnels pour répondre au besoin des armées selon des « approches agiles ». Dans le domaine cyber, l'objectif est de disposer de 1000 cyber-combattants supplémentaires d'ici à 2025. La ressource humaine en sortie des écoles et sur le marché du travail n'est pas suffisante. Il faut donc développer une politique spécifique pour le recrutement, la fidélisation, la formation. Cela nous amène également à réfléchir sur le rôle du personnel civil dans l'action militaire cyber.
Le numérique a envahi toute les activités humaines, dans les sphères étatiques, professionnelles, privées. Il gomme toutes les frontières physiques sans pour autant les faire disparaître, autorise une circulation quasi instantanée de l'information et permet un niveau d'interaction jamais atteint. Il peut remettre en question la notion d'État, de souveraineté. Il inquiète par ses potentialités vertigineuses et ses conséquences sur nos sociétés et organisations étatiques.
Mais les armées, investies de la responsabilité de préserver la souveraineté nationale, sont plutôt en avance. La donnée occupe depuis longtemps une place centrale ; sa protection et son utilisation ont toujours été une préoccupation. Dans ce champ comme ailleurs, l'autonomie stratégique, garante de la souveraineté, est l'objectif que nous nous fixons.
Aujourd'hui, notre organisation, qui repose sur la Dirisi et le Comcyber, est mature. Nos capacités d'action et de protection sont de très bon niveau, comme le montre notre victoire récente lors de l'exercice international Locked shields.
Il nous faut rester à la pointe de l'innovation technologique ; et recruter, former et fidéliser les meilleurs cyber-combattants. Tels sont nos défis actuels.
M. Gérard Longuet, rapporteur. - Il est passionnant de vous entendre. Notre audition est captée, j'essaierai de ne pas vous mettre dans une situation difficile par mes questions.
La guerre est chose connue. Les cyberattaques le sont moins. Vous parlez des problèmes de détection, caractérisation, identification : c'est une question majeure, qui n'est pas facile à traiter, car il s'agit de manoeuvres autour du conflit, qui ne sont pas en elles-mêmes le conflit, tout en étant conflictuelles...
Vous avez parlé avec beaucoup de pudeur des pays qui ne nous ont pas attaqués. Vous n'avez pas cité, parmi eux, l'Islande, Andorre, Monaco ou Saint-Martin. Je m'interroge !
Plus sérieusement, selon vous, les outils cyber, l'espace numérique facilitent-ils les conflits dissymétriques ? Le monde numérique est à dominante civile, où les technologies civiles ont un effet d'entraînement. La taille est-elle un facteur essentiel d'autorité, ou au contraire, la modestie des moyens à mettre en oeuvre, la subtilité voire la perversité des procédures, la difficulté pour attribuer une attaque renforcent-elles le risque de conflit dissymétrique, opposant un pays à des forces non identifiées et dotées de moyens importants ? La fragilité provient non des systèmes militaires, car vous avez la culture de la sécurité, mais de la société. Vous avez parlé à bon droit d'hygiène numérique... Le plus grand pays allié, avec lequel nous entretenons des relations anciennes, a été pris la main dans le sac, si l'on peut dire, et à plusieurs reprises, notamment avec ses bons alliés de l'OTAN, pour sa capacité à s'intéresser à ce qui n'est pas sur la place publique. Les plus petits peuvent-ils tout autant déstabiliser un système de défense ?
Les champs d'opérations extérieures sont contrôlés et commandés par l'intermédiaire des réseaux, qu'il s'agisse d'apporter un appui aérien aux combattants ou de prendre une décision politique. Tout est relié, en instantané, les temps de réaction sont minimes : dans cette chaîne, où sont les maillons faibles ? Existe-t-il des risques plus importants sur tel ou tel théâtre ? Où sont les fragilités éventuelles de notre système militaire ?
La gestion des effectifs spécialisés est une affaire difficile, en raison de la concurrence du secteur civil et des carrières que l'on y peut faire. L'actualisation des compétences et des savoirs est une exigence permanente. Quels outils vous manque-t-il ? Il y a la défense du pays, la sécurité des armées, la sécurité des particuliers, des industries de défense, des administrations étatiques. Une attaque frappant le secteur privé peut affaiblir le pays, je pense à la déstabilisation de Saint-Gobain via une filiale en Ukraine.
La défense est un tout. Quels hommes et quelle coordination avec les services de l'État, afin que vous soyez correctement informés ?
Général François Lecointre. - Voilà des questions simples ! Le champ cyber facilite-t-il des agressions dissymétriques ? Oui, mais ce n'est pas le principal sujet pour moi. Un ennemi peut capter des innovations d'usage et être inventif dans le détournement de moyens, pour nous agresser, comme sur les théâtres du Sahel ou du Levant. N'importe qui, surtout dans la génération montante, peut s'emparer de ces outils, ce qui facilite des modes d'attaque dissymétriques. Ce sont des compétences répandues, duales, qui n'exigent pas d'armée structurée. Plus ennuyeux à mon sens, cette situation favorise les conflits hybrides, combinant des attaques sur plusieurs fronts, dans plusieurs champs, dont le champ cyber, et visant aussi la désinformation et la propagande. C'est une difficulté supplémentaire dans l'art de la guerre et la défense de notre souveraineté. Au-delà de quel seuil dois-je considérer qu'il faut mener des contre-attaques, des rétorsions, et dans quel champ ?
Général de division Olivier Bonnet de Paillerets, commandant cyber de l'état-major des armées. - Il y a aussi une difficulté, pour une société très numérisée, à répondre face à une société qui l'est moins.
Aujourd'hui, les menaces et le nombre des attaquants augmentent, mais la capacité d'attaques complexes appartient encore aux États. Les investissements en organisation, doctrine d'emploi, recrutement d'experts, nécessitent une cohérence qui n'existe que dans certains États. Cela nous donne tout de même un avantage comparatif dans une guerre même dissymétrique.
Général François Lecointre. - Concernant les OPEX et le danger pour nos forces, là où l'adversaire est capable d'agir dans le champ cyber, je précise que nous utilisons l'arme cyber comme une arme du champ de bataille. La ministre et moi-même l'avons dit lorsque nous avons présenté la doctrine de lutte informatique offensive : nous savons désorganiser un ennemi, le positionner, le traiter. Nous utilisons couramment cet outil ! Il y faut des moyens et des spécialistes, mais il nous donne un avantage très net au Sahel ou au Levant.
Il n'existe aujourd'hui aucun ennemi potentiel, à part l'Iran, voire la Russie (mais nous ne sommes pas confrontés à eux), qui puisse menacer nos réseaux et notre capacité à agir dans un espace numérisé. Tous nos systèmes d'armes sont de plus en plus numérisés, mais ils intègrent nativement la nécessité d'une protection - je pense à Scorpion ou au Scaff par exemple. Sur le champ de bataille, seules des puissances très élaborées pourraient nous menacer et nous prenons bien garde à préserver une supériorité opérationnelle qui dépend essentiellement de la mise en réseau et de la capacité à agir de façon partagée avec des effets sur une même cible mais à partir de lieux différents et selon des champs et dans des domaines différents. Nous sommes très attentifs à protéger cette capacité de transmission des données.
Général Olivier Bonnet de Paillerets. - Sur les OPEX, la gouvernance du risque cyber (lequel n'est pas sous-évalué) est descendue jusqu'au décideur opérationnel, elle relève de la responsabilité pleine et entière de celui qui commande sur le terrain. Nous avons organisé une cyber défense de bout en bout, avec une coordination entre les réseaux déployés et Paris, totalement interconnectés.
Autre axe sur lequel l'état-major a progressé : l'intégration du cyber dans toutes les composantes de toute opération interarmée ou de milieu. Pas de déploiement sans processus, équipements et gouvernance particulière autour de ce risque cyber.
Général de brigade Jean-Jacques Pellerin, chef de la division de l'état-major des armées, en charge du numérique et de la cohérence des programmes interarmées. - Un mot des maillons faibles. Le risque zéro n'existe pas. Il faut donc assurer la résilience de nos systèmes, grâce à des redondances. Ce n'est pas tant l'intégrité ou la confidentialité de la donnée qui pourrait être le maillon faible que leur acheminement : nos moyens de communication satellitaire sont très fragiles : d'où la nécessaire mise en place de moyens pour la transmission de l'ordre par plusieurs chemins. Si ce maillon faible est attaqué, toutes les fonctions ne sont pas conservées, certaines seront dégradées, mais nous pourrons mener à bien la mission qui nous a été confiée.
Général François Lecointre. - Cela explique aussi toute la réflexion conduite aujourd'hui sur l'action dans l'espace pour nous protéger contre des attaques visant nos moyens satellitaires.
Quant aux ressources humaines, nous sommes face à un défi, car la ressource est rare, mais elle peut être mutualisée, nous y reviendrons. Soit dit en passant, la condition militaire reste un sujet central : le décalage par rapport à la condition civile ne se réduit pas, ce qui pose le problème du recrutement et de la fidélisation dans toutes les spécialités rares, alors que nous avons besoin de compétences de plus en plus pointues, sur des équipements de plus en plus sophistiqués. Nous conduisons une réflexion : qu'est-ce qu'être militaire, que signifie mettre en oeuvre la force de façon délibérée pour préserver la souveraineté, en quoi y a-t-il une obligation de confier la défense de la nation à des gens dont le statut comporte des obligations de disponibilité et de discipline ? Selon moi, il faut limiter le nombre de civils dans la fonction de cybercombattant, pour laquelle nous avons réellement besoin de militaires.
Général Olivier Bonnet de Paillerets. - Les métiers sont en cours de redéfinition, car on passe de métiers sur les systèmes d'information et d'administration à des métiers sur la donnée et de la cyberdéfense. Le processus n'est pas terminé et l'on s'interroge sur la meilleure façon de mener la transition.
Quant à la valorisation des parcours, c'est une bonne surprise : nombre de jeunes supertechniciens nous rejoignent, parce qu'ils cherchent du sens à leur activité professionnelle. Il faudrait pouvoir leur proposer des parcours au-delà de trois ou six ans, au-delà desquels le décrochage de rémunération est trop important, il est difficile de les retenir. Avec l'Anssi et les services de renseignement, nous avons entrepris l'an dernier une gestion croisée des parcours, sur des cycles de six à dix ans, suffisants pour nous. Et pourquoi ne pas organiser des parcours croisés avec le monde de l'entreprise ? Autre bonne surprise, les groupes privés sont intéressés, car ils trouveraient là des cadres intermédiaires capables de structurer une partie de leur organisation - et nous obtiendrions de notre côté une partie de leur expertise.
Nous sommes en train de réécrire notre politique de formation. Les armées ont un rôle à jouer dans la formation préliminaire ; il ne faut pas s'acharner en revanche, selon moi, à faire de la formation continue, mieux vaut « up-skiller » des technicités venues du monde de l'entreprise. Enfin, nous ne sous-estimons pas l'importance de la réserve, composée de professionnels qui ont envie de nous apporter leur expertise - celle-ci est à portée de nos armées, reste à organiser la rencontre optimale de l'offre et de la demande.
La réforme de la réserve cyber est engagée depuis un an : elle n'est pas une réserve de non emploi, en attente du Pearl Harbour cyber, elle est sollicitée au quotidien, y compris dans les structures opérationnelles, car ces réservistes sont dépositaires d'expertises que nous n'avons pas. Cela n'est pas facile à mettre en oeuvre mais nous nous y attelons.
M. Jérôme Bascher. - Vous avez beaucoup parlé de cyber défense, le ministère ayant pris l'habitude de ce terme. Je pense quant à moi aux cyber attaques, on a vu ce qu'il en était avec les Iraniens ou les Américains... Travaillez-vous sur les cyber combattants, afin d'éviter une ligne Maginot du numérique ? Formez-vous le personnel cyber combattant, comme autrefois les conducteurs de chars : avez-vous pris le virage ? Utilisez-vous pleinement les dispositions que le législateur vous a données en termes d'achat, par rapport au code des marchés publics, non seulement pour les forces spéciales, mais aussi pour le numérique, car les appels d'offre sont si lents qu'à leur achèvement, la technologie achetée est dépassée !
Mme Viviane Artigalas. - Vous avez évoqué l'évolution technologique. Le futur déploiement de la 5G peut avoir une grande importance pour vos activités. Il s'accompagnera d'évolution dans les structures des réseaux de télécommunications. Votre stratégie de cloud robuste s'appuiera sur un opérateur de confiance. Utiliserez-vous un système complètement dédié pour transmettre les flux de données (et quel en est le coût) ou préférerez-vous les réseaux ouverts, dans le cadre d'un abonnement peut-être, avec un niveau de sécurité amélioré ?
M. Rachel Mazuir. - Aujourd'hui les écoles d'État ont un taux de remplissage de 70% seulement. C'est un problème de fond. Votre démarche me semble intéressante. Dans l'Ain, nous avons un centre de météorologie qui semble employer de nombreux civils, et ceux-ci se reclassent ensuite facilement. Que vous apporte la 5G dans vos démarches extérieures ? Un schéma vertical de chiffrement sera possible, il intéresse aussi les entreprises.
M. Franck Montaugé, président. - Les armées françaises pourraient utiliser un cloud sécurisé opéré par Thales : Microsoft en est partie prenante, de manière non négligeable. Comment avez-vous appréhendé cette situation, et le risque induit, surtout après l'adoption du Cloud act ?
Général François Lecointre. - Nous sommes susceptibles dès aujourd'hui de lancer des cyber attaques sur le champ de bataille, pour neutraliser un adversaire ; et nous nous préparons à agir dans le champ cyber - nous serons prêts lorsque le politique nous le demandera. Je vous rappelle que le ministère de la défense est devenu ministère des armées, ce qui illustre la dimension offensive.
Je n'ai guère de compétence sur le code des marchés publics...
Général Olivier Bonnet de Paillerets. - Utilisons-nous suffisamment les régimes que vous évoquez ? Sans doute pas, mais nous les utilisons. Tout l'effort fait avec la DGA consiste précisément à revoir la relation entre le besoin opérationnel et la réponse programmatique - qui n'est pas synchronisée dans le monde cyber, c'est certain. Nous mettons en place des mécanismes qui permettent à la DGA d'intervenir en maîtrise d'oeuvre et non seulement en maîtrise d'ouvrage, donc avec une ingénierie propre, capable d'innover sur les réseaux du Comcyber : cela nous donne une vraie souveraineté de développement, même en adaptation de ce qui existe dans le public, mais en en maîtrisant les codes. C'est fondamental. Nous permettrons aussi dans l'avenir à des entreprises d'accéder à une partie de nos données pour faire de l'expérimentation sur nos besoins : il s'agit là encore d'une souveraineté autour de l'innovation adaptée aux opérations militaires. Ce n'est pas tant aux règles des marchés publics qu'il faut déroger, mais aux processus actuels. La DGA lance des défis, injecte par ce biais de l'argent dans les entreprises pour la recherche-développement ou pour parvenir rapidement à la preuve de concept, en six mois, temps acceptable pour la cyber défense. Nous multiplions les process pour répondre au temps court, au temps moyen, au temps long.
Sur la 5G, j'ai réuni des réservistes spécialistes, auxquels j'ai demandé de nous dire en quoi la 5G va modifier la cyber défense. La relation entre le monde de l'expertise et le monde militaire est indispensable pour préparer une réponse aux questions stratégiques.
Général Jean-Jacques Pellerin. - La 5G va faire évoluer l'environnement. On se souvient comment la Tour Eiffel fut équipée par les premiers transmetteurs : les armées étaient en avance ! Aujourd'hui, c'est le monde civil qui tire la défense, mais les militaires sont vigilants pour préparer l'utilisation des nouvelles technologies à des fins de défense. La 5G pourra être utilisée au niveau tactique, et sur le théâtre national, pour Vigipirate par exemple. C'est un domaine maîtrisé et maîtrisable, et nous aurons le temps de nous adapter, dès lors que la technologie existante, la 4G, satisfait les besoins actuels.
Quant au cloud, nous avons entamé une réflexion sur ce qui pourrait être fait et à quel coût. Cloud n'est pas synonyme de « ouvert ». Nous avons identifié trois niveaux de cloud : privé, correspondant à des éléments actifs qui seraient maîtrisés par la Dirisi ; dédié, accessible à un opérateur de confiance ; et celui accessible à un opérateur plus public. Les données transiteraient sur l'un ou l'autre niveau selon le niveau de confidentialité et selon les besoins.
Thales s'est allié à Microsoft pour présenter une offre de cloud. C'est une proposition qu'ils nous font. Nous réfléchissons sur la pertinence de nous orienter vers cette technologie. Il faudra en tout état de cause faire une analyse de la valeur et savoir si le cloud, qui paraît effectivement une voie d'avenir, est la meilleure réponse aux besoins.
M. Jérôme Bascher. - Le numérique ne peut-il être une nouvelle composante de la dissuasion ?
Général François Lecointre. - J'ai en charge la planification des frappes et la validation des plans de frappe par le Président de la République. La destruction garantie par l'arme nucléaire en fait un outil de dissuasion extra-ordinaire. Je n'identifie pas de capacité numérique susceptible de provoquer autant de dégâts...
M. Rachel Mazuir. - Pour l'opinion publique, le numérique, c'est la guerre dans les étoiles. N'accrédite-on pas l'idée que des robots s'en chargeront, et que plus personne ne sera confronté aux dégâts ? Pourtant, une cyber attaque peut neutraliser les ambulances britanniques, on l'a vu, ou arrêter un pacemaker, Dick Cheney avait été sensibilisé à cela. La cyber guerre ne se passera ni au cinéma, ni dans les étoiles, pourtant rares sont les personnes aujourd'hui qui imaginent le danger numérique, considérable.
Général François Lecointre. - Nous intégrons dans les scénarios des attaques dans le domaine cyber ou sur des systèmes très numérisés. Un adversaire par définition peu scrupuleux agirait sur tous les champs, y compris les réseaux et les transmissions, mais aussi les hôpitaux, les aéroports, etc. Ce ne serait pas l'équivalent d'une attaque nucléaire. Mais les militaires, eux, le savent : la guerre fait mal aux hommes.
M. Franck Montaugé, président. - Nous vous remercions de cette contribution.
La réunion est close à 16 h 50.