EXAMEN EN COMMISSION
La commission, sous la présidence de M. Jean-Pierre Raffarin, a examiné le présent rapport pour avis lors de sa réunion du 26 novembre 2014.
Après l'exposé des rapporteurs, un débat s'est engagé.
Mme Marie-Françoise Perol-Dumont. - Quelles mesures prendre pour faire face à la pénurie que vous évoquez d'ingénieurs formés en cyber sécurité ?
M. Jean-Marie Bockel co-rapporteur. - L'Etat peut et doit donner une impulsion, faire passer des messages aux différentes écoles et lieux de formation concernés sur l'intérêt qu'ils ont à former des ingénieurs dans ce secteur, compte tenu des besoins et des débouchés. Sachons saisir cette opportunité.
M. Robert del Picchia, - Certains anciens « hackers » peuvent parfois présenter un profil intéressant pour le recrutement...
M. Jean-Marie Bockel co-rapporteur. - L'ANSSI a besoin de profils très qualifiés.
M. Jean-Pierre Masseret, co-rapporteur. - Le ministère de la défense constitue un pôle cyber en Bretagne, 1 milliard d'euros de crédits y seront consacrés sur la durée de la programmation. En tant que Président de la région Lorraine, je mesure tout l'intérêt de disposer d'un centre d'excellence comme le LORIA, dans le domaine civil, dont la région est d'ailleurs partenaire.
M. André Trillard. - Il est parfois difficile à certains services du ministère de la défense d'attirer des talents en cyber sécurité, avec des salaires qui sont parfois en dessous des offres dans le privé ou dans d'autres administrations.
M. Jean-Marie Bockel co-rapporteur. - L'ANSSI est attractive sur le marché des jeunes talents ; la fidélisation est plus difficile, mais, après tout, cela favorise l'essaimage d'une culture cyber dans l'économie. La création d'une filière, avec des allers-retours entre privé et public, n'a que des avantages. Pour les Ecoles et Universités, c'est un jeu gagnant-gagnant d'enrichir leur offre de formation en la matière car, encore une fois, il y a des débouchés.
M. Daniel Reiner. - La loi de programmation militaire a permis des avancées importantes pour progresser dans cette culture de la confiance qui est indispensable. Il était nécessaire en particulier de prévoir de partager l'information sur les attaques. Quel est le rôle de l'OTAN en matière de cyber défense ? Un partage entre alliés est-il envisageable ? Quel est le rôle du Centre d'excellence de cyberdéfense de l'OTAN (CCDCOE) déployé en Estonie ?
M. Jean-Marie Bockel, co-rapporteur. - Nous nous heurtons à un problème de mentalités. Hier, quand un problème était décelé, la réaction était de ne pas en parler, en pensant -ce qui était d'ailleurs parfois vrai- que le révéler serait se pénaliser. Il faut raisonner à l'inverse : être attaqué, c'est avoir de la valeur ; détecter l'attaque, c'est être en capacité de le faire, dans un monde où l'attaque se banalise. Plusieurs attaques récentes chez des industriels ont duré des mois, voire des années, avant qu'on ne s'en aperçoive ! Plus vite on réagit, plus on limite les dégâts.
Le centre de l'OTAN de Tallin pourrait en quelque sorte être comparé à un « think tank » : il faut y participer, il est très utile d'établir des règles du jeu, d'impulser un état d'esprit commun, y compris d'ailleurs dans la dimension juridique. Dans notre rapport de 2012 nous avions toutefois relevé quelques anecdotes qui montraient que la culture de la protection n'était pas très élevée au sein même du Secrétariat général de l'Alliance ! La situation s'améliore, mais la principale difficulté reste le nombre de pays concernés. Certains de nos partenaires européens ne sont pas encore assez sensibilisés sur cette question. La difficulté du partage dans ce cas est que la sécurité de l'ensemble dépend de celle du maillon le plus faible...
Je pense personnellement qu'il sera nécessaire d'établir des règles internationales -pourquoi pas sous l'égide de l'ONU ?- car, même si elles ne sont pas appliquées immédiatement, elles auront tracé les limites. Tout pays les franchissant sera alors exposé à la sanction de l'opinion publique, car nous sommes dans un monde où tout finit toujours par se savoir : ce n'est pas neutre.
M. Jean-Pierre Raffarin, président. - La loi de programmation militaire a instauré une obligation de déclaration pour les opérateurs d'importance vitale : c'est une étape importante.
M. André Trillard. - La DPSD, direction de la protection au ministère de la défense, est dans la même problématique. On parle rarement de nos entreprises pourtant ultra-compétentes dans ce domaine, je pense à Dassault Systèmes par exemple...
M. Jean-Marie Bockel, co-rapporteur. - J'évoque quant à moi fréquemment nos grands champions -car nous avons la chance d'en avoir encore !- et qui contribuent d'ailleurs parfois à l'émergence de PME. Dassault Systèmes est un exemple, on pourrait aussi parler d'Alcatel Lucent, ou encore de Thalès.
À l'issue de ce débat, la commission décide, à l'unanimité, de donner un avis favorable à l'adoption des crédits de la mission « Direction de l'action du Gouvernement » dans le projet de loi de finances pour 2015.