B. LE SGDSN : UNE VIGILANCE A GARDER SUR L'ORGANISATION DES FONCTIONS DE SOUTIEN

Le SGDSN est devenu la structure de portage d'un ensemble d'entités plus ou moins autonomes qui aujourd'hui, tant en crédits qu'en effectifs, dépasse largement son « coeur historique ».

Dans son précédent rapport, votre Commission s'était inquiétée de la diminution des effectifs de la fonction support du SGDSN dans un contexte de développement de structures supportées et estimait qu'il devra, en conséquence, veiller à renforcer cette fonction pour assurer efficacement le pilotage et la coordination de l'ensemble. Le ratio est passé de 15,6% en 2009 à 7,43% en 2016. Ce faisant une partie des fonctions supports ont été développées au sein des entités elles-mêmes.

Dans le projet de loi de finances pour 2018 les renforts en personnel étant fléchés en direction de l'ANSSI et du GIC, le SGDSN stricto sensu conserve le même schéma d'emploi.

Vos rapporteurs estiment que cette situation doit faire l'objet d'une attention vigilante . Pour assurer un renforcement du support, deux solutions peuvent être envisagées, soit un renforcement au sein du service de l'administration générale du SGDSN, soit, comme c'est le cas depuis plusieurs années, celui des fonctions supports au sein des entités soutenues, ce qui présente l'avantage d'une simplification dans la gestion quotidienne, tout en conservant le niveau de supervision stratégique du SGDSN.

C. L'ANSSI : POURSUIVRE LA MONTÉE EN PUISSANCE EN CONSERVANT LE NIVEAU DE COMPÉTENCE ET D'EXPERTISE

L'effort en faveur de la croissance des effectifs de l'agence doit être poursuivi en 2018. En effet, elle doit non seulement assurer ses missions habituelles dont la charge est en croissance permanente, notamment en matière de traitement des attaques informatiques, mais également répondre à l'évolution de la menace, à la mise en oeuvre de la loi de programmation militaire (LPM) et de la directive européenne NIS sur la sécurité des réseaux des opérateurs essentiels. Elle doit enfin contribuer aux réponses apportées aux besoins croissants de sécurisation des entreprises et des particuliers.

Sans anticiper sur les conclusions de la Revue de la stratégie Cyber, actuellement conduite par le SGDSN, et au vu des conclusions de la Revue stratégique de défense et de sécurité nationale publiée en octobre 2017, le renforcement des moyens de l'ANSSI sera à l'ordre du jour des prochaines années, compte tenu du développement des menaces et de la croissance des enjeux en raison de la numérisation croissante des activités humaines.

La croissance des effectifs a d'ores et déjà permis à l'agence de passer de 122 ETP en 2009 à 547 ETP fin 2017. Les évolutions opérationnelles prévisibles à l'horizon 2022 conduisent à autoriser le recrutement de 25 ETP an sur le schéma d'emplois. A la fin de l'année prochaine, l'agence devrait ainsi compter à 572 ETP. L'ANSSI considère toutefois que son effectif devrait être d'une centaine d'agents supplémentaires pour être en mesure de réaliser l'ensemble de ses missions. Cet objectif ne sera atteint qu'en 2022 (675 ETP) ce qui n'est sans doute pas à la hauteur des enjeux.

Vos rapporteurs espèrent que la revue de stratégie cyber constituera un levier efficace pour solidifier le schéma d'emploi de l'ANSSI compte tenu de l'intensification de la menace et du développement attendu de ses missions.

Sous-directions

Effectifs fin 2017

Effectifs fin 2018

Centre opérationnel de la SSI (COSSI)

176

184

Sous-direction expertise (SDE)

148

155

Systèmes d'information sécurisés (SIS)

101

106

Relations extérieures et coordination (RELEC)

72

75

Sous-direction affaires générales (SDAG)

27

28

Autres

23

24

Effectif total ANSSI

547

572

Source : SGDSN - réponse au questionnaire parlementaire

Dans son précédent rapport 102 ( * ) , votre commission a présenté la structure d'emploi de l'ANSSI, faisant ressortir la jeunesse des personnels employés (2/3 de moins de 40 ans) et la présence très largement majoritaire (77% de contractuels). En effet, les profils recherchés par l'ANSSI sont rares dans la fonction publique. Les orientations stratégiques de l'agence précisées dans un document annuel de politique des ressources humaines sont :

• le renforcement de l'attractivité et la fidélisation des agents ;

• l'optimisation de la gestion des ressources humaines ;

• l'amélioration de la lisibilité et de la cohérence des parcours professionnels.

La montée en puissance reste un défi structurel de l'agence qui doit également pourvoir au turn over (15,5% en 2016 103 ( * ) ) important de ses agents dont nombre sont des contractuels. Elle doit à la fois recruter en nombre et maintenir la qualité de ce recrutement.

Le recrutement à la sortie des grandes écoles et des universités demeure relativement aisé, malgré la faiblesse du vivier de formation, en raison de la bonne réputation de l'ANSSI dans le domaine de la cybersécurité. Le maintien de cadres et de techniciens expérimentés est plus problématique compte tenu des rémunérations offertes par le secteur privé, malgré l'existence de procédure permettant la transformation des CDD en CDI et la relative souplesse dont elle bénéficie pour fixer le niveau de rémunération. Le départ d'agents de l'ANSSI permet également l'émergence d'un réseau lorsque les industriels qui embauchent ces personnels sont considérés comme de confiance. Ceci constitue un aspect positif pour la diffusion d'un « culture » de la cybersécurité.

Vos rapporteurs estiment que les problèmes de recrutement qu'a pu rencontrer l'ANSSI lors de sa première phase de montée en puissance sont en partie résolus. Néanmoins, une attention vigilante doit être maintenue parce que le vivier de formation initiale reste faible au regard des besoins d'ingénieurs spécialistes de la sécurité informatique et du cyber tant de l'ANSSI, que de l'ensemble des administrations publiques et du secteur privé et parce que le ralentissement des créations de postes au sein de l'ANSSI ne paraît pas cohérent avec le développement probable de ses missions dans les prochaines années. Enfin il demeure souhaitable qu'une certaine souplesse continue à être recherchée au niveau des rémunérations susceptibles d'être servies pour des contrats à durée indéterminée lorsque la qualité du recrutement ou de la pérennisation dans l'emploi le justifie. De ce point de vue, la circulaire du Premier ministre en date du 21 mars 2017, qui invite notamment chaque employeur à conduire « une politique indemnitaire permettant de valoriser les métiers numériques et SIC pour fidéliser les compétences rares » constitue une avancée importante.

À plus long terme, une politique active de développement de filières de formation en écoles d'ingénieurs et en universités doit être conduite. Dans son précédent rapport, votre commission a salué l'engagement de l'ANSSI dans une politique de labellisation des formations universitaires, mais estimait que cet effort devait être conforté par une action plus intense du ministère de l'enseignement supérieur et de la recherche pour orienter les universités et les grandes écoles à développer ces filières d'avenir. La formation est aussi un investissement d'avenir. Ils espèrent que cet objectif sera développé dans le cadre de la Revue stratégique cyber et décliné sous forme d'orientations concrètes à conduire dans les prochaines années.


* 102 Sénat - Projet de loi de finances pour 2017 Avis n° 142 (2016-2017) du 24 novembre 2016, Tome IX - par MM. Jean-Marie Bockel et Jean-Pierre Masseret p.66 à69

* 103 Un taux légèrement inférieur à ceux observés dans le domaine d'activité dans le secteur privé.

Page mise à jour le

Partager cette page