EXAMEN EN COMMISSION
La Commission a examiné les crédits du programme 129 de la mission « Direction de l'action du Gouvernement, lors de sa réunion du 13 novembre. Après l'exposé des rapporteurs pour avis, un débat s'est engagé entre les commissaires.
M. Ladislas Poniatowski . - J'ai bien entendu les chiffres que vous avez cités Peut-on en savoir plus sur le classement des attaques, sur la nature des attaques et l'importance des dommages ? L'autorité de sûreté nucléaire a une échelle de risque pour classer les incidents intervenus dans les centrales. Dispose-t-on d'un outil équivalent et sinon ne devrait-on pas s'en doter ?
Mme Hélène Conway-Mouret . - Je regrette la suppression de l'INHESJ. Cette suppression est incompréhensible. Elle dégageait des recettes, elle formait des personnes venant du public et du privé. Elle a formé 3000 cadres. On crée des structures similaires dans d'autres ministères comme les Affaires étrangères, c'est donc qu'elles sont utiles. L'INHESJ répondait à un besoin, par quoi va-t-il être remplacé ? J'ai l'impression que l'on supprime et que l'on réfléchit ensuite.
M. Jean-Marie Bockel . - Je n'arrive pas à comprendre. L'INHESJ est monté en puissance. Il a trouvé sa place. J'avais été impressionné par la qualité de ses travaux et de ses équipements qui permettaient de se former à toutes sortes de situation de crise. Je suis dans un degré total d'incompréhension. Cela m'inquiète pour l'avenir de l'IHEDN.
Mme Joëlle Garriaud-Maylam . - Je partage les inquiétudes de nos collègues. Ce n'est hélas pas la première fois qu'on supprime pour recréer, quelques années plus tard, de nouvelles structures ex-nihilo. S'agissant de l'IHEDN, je siège à son conseil d'administration. Je suis inquiète des souhaits de sa tutelle de réduire les orientations internationales de l'IHEDN. C'est une erreur stratégique. Elle est un outil de rayonnement international et d'influence auprès des auditeurs étrangers. Cette dimension doit être absolument maintenue. Il y a aussi des menaces sur le cycle des hautes études européennes de l'ENA. Nos collègues Ronan Le Gleut et Hélène Conway-Mouret, dans leur rapport sur la défense européenne, ont d'ailleurs proposé la création d'une structure comparable à l'IHEDN au niveau européen, cela montre l'utilité de ces structures pour promouvoir la culture et l'esprit de défense et de sécurité.
M. Olivier Cadic , co-rapporteur pour avis . - Le tableau ne retrace que les incidents ayant rendu nécessaire l'intervention de l'ANSSI. La très grande majorité des attaques sont prises en compte au niveau des DSI ministérielles. Il fait ressortir des incidents majeurs sur une échelle de 3 (mineurs, notables et majeurs) en fonction des moyens d'expertise et de la durée d'engagement requis pour leur traitement. Nous nous informerons plus avant sur cette échelle de risque.
Souvent les dommages résultent d'une faille non traitée parce que la DSI n'avait pas les ressources humaines disponibles immédiatement comme nous l'avons vu dans la cyberattaque contre l'application Ariane. Petite cause, grand effet. Nous avons constaté que le ministère des finances avait été attaqué cet été sur la plateforme de déclarations de l'impôt sur le revenu. L'ANSSI nous a assuré que la DSI du ministère avait traité cette attaque avec beaucoup de compétences. Il n'empêche que cela montre la vulnérabilité croissante de nos administrations. Il faut abaisser les coûts de fonctionnement, réduire les effectifs, donc on digitalise, mais fait-on toujours l'effort de sécurité nécessaire ? Avec quel budget ? Combien est mis pour la sécurité dans les nouvelles applications ?
Il sera intéressant de suivre l'évolution de ce tableau dans le temps, car il illustre bien le niveau des menaces. Mais il faudra aller au-delà, de temps à autres, pour apprécier les dommages et voir comment ont été gérés les incidents.
J'ajoute qu'il y a un effort de formation à produire car souvent les responsables « métiers » n'ont pas cet objectif en priorité. Un directeur d'hôpital responsable aujourd'hui doit apprécier les risques de cybersécurité au même niveau que les risques sanitaires dans son établissement. Aujourd'hui, on a besoin de l'informatique pour faire fonctionner un hôpital.
M. Rachel Mazuir , co-rapporteur pour avis . - Si Bercy, qui est un des ministères les plus en pointe dans ce domaine, peut être attaqué, quid des ministères moins protégés qui disposent de moins de moyens comme la santé ? D'autant qu'en cette matière, les attaquants ont par construction un avantage sur les défenseurs.
S'agissant de la reprise des activités de l'INHESJ, nous n'avons guère d'informations, si ce n'est que le ministère de la justice et le ministère de l'intérieur disposent de cycles supérieurs de formations susceptibles de reprendre certaines de celles réalisées jusqu'ici par l'INHESJ ; l'IHEDN est en mesure de reprendre les formations sur la cybersécurité et quelques formations dans la sphère de la sécurité, sous réserve que les emplois soient transférés. Pour l'Observatoire national de la délinquance et des réponses pénales, il est envisagé, semble-t-il, son rattachement à l'INSEE. Mais aujourd'hui rien n'est vraiment arrêté, ni pour la formation, ni pour la recherche avec, à la clef, 1,9 M€ de ressources propres à consolider si l'on veut maintenir les activités à l'identique. On peut faire confiance aux deux ministères, mais quid de la coordination et du travail commun qui était un élément important du dispositif actuel.
Sous le bénéfice de ces observations, lors de sa réunion du 13 novembre 2019, la commission des affaires étrangères, de la défense et des forces armées, pour ce qui concerne le programme 129, a donné, à l'unanimité, un avis favorable à l'adoption des crédits de la mission « Direction de l'action du Gouvernement » dans le projet de loi de finances pour 2020. |