EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Fondé sur la dernière revue stratégique de défense et de sécurité nationale publiée le 13 octobre 2017, le projet de loi relatif à la programmation militaire pour les années 2019 à 2025, adopté par l'Assemblée nationale le 27 mars dernier après engagement de la procédure accélérée, fixe les orientations stratégiques en matière de défense pour les sept années à venir.
Ambitieux, il affiche plusieurs grandes priorités. Grâce à un rehaussement significatif de l'effort de défense à 2 % du produit intérieur brut (PIB) à l'horizon 2025, il vise tout d'abord à renouveler les capacités opérationnelles des armées et à les doter des moyens nécessaires à l'accomplissement de leurs missions. Il ambitionne également de garantir l'autonomie stratégique de la France et de contribuer à la consolidation d'une Europe de la défense. Enfin, il entend favoriser l'innovation en matière de défense pour s'adapter aux menaces du futur.
Outre une planification budgétaire pluriannuelle, il comprend un certain nombre de dispositions normatives intéressant divers champs de la politique de la défense. Il procède notamment à un renforcement significatif du cadre législatif relatif à la sécurité des systèmes d'information, domaine dans lequel votre commission a, encore récemment dans le cadre de la discussion de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, été amenée à se prononcer.
Compte tenu de son objet principal, le projet de loi a été envoyé, pour examen au fond, à votre commission des affaires étrangères, de la défense et des forces armées. Comme pour l'examen des précédentes lois de programmation militaire, votre commission des lois s'est saisie pour avis de plusieurs articles relevant de sa compétence, qu'il s'agisse des dispositions précitées renforçant la sécurité des systèmes d'information ou de celles relatives au droit de la fonction publique, au droit de la commande publique, au droit électoral, au droit pénal ainsi qu'à l'organisation de la justice.
Au total, la saisine pour avis de votre commission porte sur quinze des cinquante-cinq articles du projet de loi transmis au Sénat. Elle s'organise principalement autour de trois axes :
- le renforcement des capacités de cyberdéfense (articles 19 et 21) ;
- l'adaptation des moyens de la défense et du cadre juridique d'intervention des forces armées aux nouvelles menaces (articles 22, 23, 24, 24 bis A, 40) ;
- l'adaptation des règles de droit commun dans divers domaines (droit de la fonction publique, droit de la commande publique, droit électoral, droit de la propriété des personnes publiques, organisation judiciaire ...) aux spécificités de la défense (articles 14, 16, 18, 26, 28, 32, 34).
I. L'OBJET DU PROJET DE LOI : RENFORCER L'EFFICACITÉ DE NOS ARMÉES FACE AUX MENACES CONTEMPORAINES
L'adaptation des moyens des armées aux missions actuelles et futures de la défense ainsi qu'à l'évolution des menaces constitue le fil conducteur de la programmation militaire pour les années 2019 à 2025.
Au-delà de la programmation budgétaire, qui ne relève pas de la compétence de votre commission, plusieurs dispositions normatives du projet de loi ont pour objet d'accompagner l'évolution des forces armées et d'assurer leur adaptation aux enjeux contemporains de la défense.
A. AMÉLIORER LES CAPACITÉS DE CYBERDÉFENSE
Le modèle français de cyberdéfense, dont les premières bases ont été posées par le livre blanc de la défense de 2008 et confirmées par la précédente loi de programmation militaire 1 ( * ) , repose sur une séparation nette , au sein de l'État, entre les capacités offensives et les capacités défensives .
Le volet défensif s'appuie sur un système organisationnel piloté et coordonné par le Premier ministre, qui, en vertu de l'article L. 2321-1 du code de la défense, définit la politique et les grandes orientations en matière de cyberdéfense. Il repose, sur le plan opérationnel, sur l'Agence nationale de sécurité des systèmes d'information (ANSSI), qui assume un rôle de prévention, de détection et de réaction aux attaques informatiques.
En parallèle de ce dispositif institutionnel, le législateur a progressivement défini un cadre juridique en matière de sécurité des systèmes d'information , qui impose à plusieurs opérateurs ou entreprises considérés comme vitaux de respecter un certain nombre de prérequis en matière de sécurité informatique afin de renforcer le niveau global de protection contre les cyberattaques.
Le volet offensif couvre quant à lui l'ensemble de la capacité de réponse gouvernementale face aux agressions informatiques. Il repose sur une approche graduée, qui mobilise à la fois des moyens diplomatiques, juridiques et policiers, mais également l'emploi, notamment en cas de menaces contre les intérêts stratégiques nationaux, de moyens relevant du ministère des armées.
Comme le relève la revue stratégique cyberdéfense publiée en février 2018 : « par rapport aux quatre autres pays qui partagent avec elle des responsabilités internationales particulières (les Etats-Unis, la Russie, la Chine et le Royaume-Uni), la France accuse encore, en dépit d'un effort récemment accentué, un déficit en matière de sécurité numérique ».
Une telle situation mérite d'autant plus d'être déplorée que la menace cyber tend à s'accentuer, sous l'impact combiné de trois facteurs :
- une dangerosité accrue, notamment liée à la multiplication des acteurs, à la montée en puissance des capacités offensives de certaines puissances étrangères, et à la prolifération des armes informatiques ;
- une imbrication forte entre les enjeux de cybercriminalité et de sécurité nationale, avec un ciblage toujours plus important des systèmes d'information de l'État et des entités nationales stratégiques, avec des objectifs de déstabilisation ;
- une numérisation croissante de notre société et de notre économie qui accroît l'exposition à la menace ainsi que les conséquences des cyberattaques.
Face à ce constat, les pouvoirs publics ont récemment pris plusieurs initiatives destinées à renforcer les capacités nationales de cyberdéfense. Acteur central du dispositif de cyberdéfense, l'ANSSI a ainsi vu ses moyens, tant humains que financiers, croître de manière significative au cours des dernières années. Plus récemment, l'adoption de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité 2 ( * ) a complété le cadre juridique de prévention en matière de cybersécurité, en instituant de nouvelles obligations pour les opérateurs de services considérés comme essentiels au fonctionnement de l'économie et de la société ainsi que pour les fournisseurs de services numériques. Enfin, pour augmenter les capacités offensives de l'État a été mis en place en 2017, au sein du ministère des armées, un officier général « commandant de la cyberdéfense » (COMCYBER) chargé, avec son état-major, de la conception, de la planification et de la conduite d'opérations militaires de cyberdéfense 3 ( * ) .
Dans le but de poursuivre ce mouvement, le projet de loi de programmation militaire comporte plusieurs dispositions visant à renforcer les capacités nationales de cyberdéfense, tant dans leur volet défensif qu'offensif.
L' article 19 vise ainsi à consolider le dispositif de prévention, en renforçant la sécurité des réseaux et infrastructures informatiques des opérateurs de communications électroniques et en dotant l'ANSSI de nouveaux outils de détection et de prévention, le plus en amont possible, des attaques informatiques visant les systèmes d'information de l'Etat et des opérateurs d'importance vitale.
L' article 21 étend quant à lui le principe de l'excuse pénale aux actions numériques, de manière à prévoir un nouveau cas d'irresponsabilité pour les personnels militaires intervenant dans les actions offensives de cyberdéfense, notamment au sein du COMCYBER.
* 1 Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
* 2 Cette loi a transposé la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dite directive « NIS ».
* 3 Décret n° 2017-743 du 4 mai 2017 relatif aux attributions du chef d'état-major des armées et arrêté du 4 mai 2017 modifiant l'organisation de l'état-major des armées.