B. LES OBSERVATIONS DU RAPPORTEUR SPÉCIAL
1. Un niveau de sécurité des systèmes d'information de l'État globalement satisfaisant
Alors que la numérisation et la dématérialisation de l'action publique ont connu des développements importants au cours de la période récente, le renforcement des moyens de protection des administrations contre les risques cyber constitue une priorité absolument majeure pour les services du Premier ministre.
Placé auprès du chef du Gouvernement, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) comprend plusieurs instances compétentes en matière de cybersécurité, en particulier :
- l'Agence nationale de la sécurité des systèmes d'information (ANSSI) : autorité nationale en matière de cybersécurité et de cyberdéfense, l'action de l'ANSSI se compose de quatre grandes missions, à savoir défendre, connaître, partager et accompagner les entités publiques et privées visées par les cyberattaques ;
- l'Opérateur des systèmes d'information interministériels classifiés (OSIIC) : chargé d'assurer les communications protégées des plus hautes autorités de l'État en tout temps et en tous lieux, l'OSIIC assure également la fonction de direction des systèmes d'information pour l'ensemble des entités composant le SGDSN.
Le niveau de sécurité des systèmes d'information de l'État fait ainsi l'objet d'un indicateur synthétique.
Niveau de sécurité des systèmes d'information de l'État
(en note de 0 à 5 ou en pourcentage)
|
|
2021 Réalisation |
2022 Réalisation |
Cible 2023 |
2023 Réalisation |
Cible |
|
Maturité globale en sécurité des systèmes d'information de l'État |
3,3 |
3,1 |
3,3 |
3,3 |
3,6 |
|
Niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information |
94 |
95 |
96 |
96 |
96 |
|
Taux de réalisation du schéma directeur des systèmes d'information interministériels classifiés |
- |
100 |
100 |
83 |
100 |
Note : le sous-indicateur relatif à la maturité globale en sécurité des systèmes d'information de l'État reflète l'écart entre un niveau de maturité effectif et un niveau de maturité considéré comme adéquat en fonction de l'activité du ministère. Ces niveaux sont déterminés à l'aide d'un guide méthodologique et d'un questionnaire établis par l'ANSSI en collaboration avec les départements ministériels. Les données fournies par les ministères peuvent éventuellement être corrigées à partir des constats faits par l'ANSSI lors de ses inspections
Source : commission des finances, d'après les documents budgétaires
Pour 2023, les cibles sont atteintes aussi bien pour la maturité globale en sécurité des systèmes d'information de l'État que pour le niveau d'avancement des grands projets interministériels en la matière.
En particulier, après une baisse ponctuelle entre 2021 et 2022 (tout en demeurant au-dessus de la cible, fixée à 3,0), la maturité globale en sécurité des systèmes d'information de l'État enregistre une reprise de sa progression, pour renouer avec le niveau observé en 2021. D'après la documentation budgétaire, cette trajectoire encourageante serait liée au lancement des réunions interministérielles (RIM) Cyber dès août 2021, avec des points dédiés à la cybersécurité réguliers auprès de chaque ministère. Par ailleurs, la mise en place de conseillers cybersécurité dans les cabinets ministériels renforcerait ce suivi.
En revanche, le taux de réalisation du schéma directeur des systèmes d'information interministériels classifiés présente un écart à la cible, qui s'explique notamment par des tensions budgétaires dans les ministères concernés. Néanmoins, les besoins les plus critiques ne semblent pas avoir été affectés, à l'image des demandes liées aux Jeux olympiques et paralympiques 2024.
La mesure du taux de réalisation du
schéma directeur
des systèmes d'information
interministériels classifiés
L'OSIIC a mis en place dès sa création, en juin 2020, un schéma directeur des déploiements des systèmes d'information interministériels classifiés. Ce schéma directeur, élaboré en concertation avec l'ensemble des ministères et actualisé trimestriellement, vise à planifier le déploiement des systèmes d'information interministériels classifiés à l'échelle du trimestre sur une période de 18 mois glissants. Il permet d'aligner les objectifs et les capacités de déploiement, tant de l'OSIIC que des ministères concernés.
En 2023, les déploiements des systèmes d'information interministériels classifiés se sont poursuivis renforçant le maillage territorial, dans l'hexagone, en outre-mer et à l'étranger. Aussi toutes les demandes liées aux Jeux olympiques et paralympiques 2024, planifiées sur 2023 et qui répondaient à toutes les exigences de sécurité, ont été honorées.
Toutefois, le taux de réalisation présente, pour 2023, un écart avec l'objectif cible, avec un taux de 83 % contre une cible de 100 %. En effet, plusieurs raisons de reports ont été identifiées :
- des difficultés budgétaires pour financer des travaux lourds, notamment lorsqu'il s'agit d'un bâtiment historique ;
- la non visibilité sur les travaux de mise en conformité, en particulier liée à des délais de fournisseurs non maîtrisés ou à des problématiques de ressources humaines sur les sites bénéficiaires.
La part la plus importante des reports s'explique par les difficultés des ministères à dégager les budgets nécessaires afin de mettre en place les mesures de sécurité requises pour l'accueil des équipements permettant de traiter des informations classifiées, ces budgets pouvant représenter des montants très significatifs.
Source : commission des finances, d'après les documents budgétaires
Quant au taux de sites sensibles ayant subi un incident dont la durée globale est supérieure à 4 heures, il enregistre une amélioration de 1,2 point par rapport à l'année précédente, à 2,3 % en 2023 contre 3,5 % en 2022, sans cependant atteindre la cible prévue (2 %).
Taux de sites sensibles ayant subi un incident
dont la durée globale est supérieure à
4 heures
(en pourcentage)
|
|
2021 Réalisation |
2022 Réalisation |
Cible 2023 |
2023 Réalisation |
Cible |
|
Taux de sites sensibles ayant subi un incident supérieur à 4 heures |
2,8 |
3,5 |
2 |
2,3 |
2 |
Note : les sites sensibles couverts par cet indicateur correspondent aux sites sensibles du réseau interministériel de l'État (RIE).
Source : commission des finances, d'après les documents budgétaires
2. Des mouvements de personnel très importants qui peuvent présenter des risques pour la bonne exécution des crédits de la mission
La gestion des effectifs de la mission se distingue par l'importance des rotations de personnel :
- en sorties : 1 287,3 mouvements ont ainsi été constatés en 2023, représentant 36,3 % des emplois consommés de la mission ;
- en entrées : 1 462,1 mouvements ont été enregistrés, pour 41,2 % des emplois consommés de la mission.
Ces taux de rotation élevés peuvent s'expliquer par deux spécificités de la mission « Direction de l'action du Gouvernement », liées aux profils de compétences recherchés par les services rattachés au Premier ministre.
D'une part, le personnel des services du Premier ministre comporte une très forte proportion d'agents de catégories A et A +, lesquels exercent des fonctions d'état-major, de stratégie, de prospective, de coordination et de soutien au travail gouvernemental. Or ces fonctions peuvent connaître de nombreux mouvements annuels, reflétant l'évolution des besoins et des priorités des services interministériels.
Ainsi, pour le programme 129 « Coordination du travail gouvernemental », l'exécution 2023 a été marquée par les mouvements importants suivants, dont plusieurs (en particulier la suppression d'un cabinet de secrétaire d'État) sont intervenus en gestion sans avoir été anticipés en loi de finances initiale2(*) :
- le recrutement de 95 ETP au SGDSN, dont 34 ETP au Groupement interministériel de contrôle (GIC)3(*) pour sécuriser la nouvelle emprise du groupement ;
- le renfort de 51 ETP à l'ANSSI et à l'OSIIC pour faire face à l'accroissement de la menace cyber, ainsi que de 10 ETP pour permettre la montée en charge de VIGINUM4(*) ;
- la création de 15 ETP pour le déploiement du Secrétariat général à la planification écologique (SGPE)5(*), institué en juillet 20226(*), auxquels se sont ajoutés 10 ETP en gestion par anticipation au PLF 2024 ;
- le recrutement de 10 ETP à la direction interministérielle du numérique (DINUM) pour poursuivre la mise en oeuvre des projets de modernisation numérique des administrations ;
- la suppression du cabinet de la secrétaire d'État chargée de l'Économie sociale et solidaire et de la Vie associative, lors du remaniement ministériel intervenu en juillet 2023, se traduisant par une diminution de 25 ETP.
D'autre part, les effectifs des deux programmes
de la mission « Direction de l'action du Gouvernement »
comptent une part importante d'agents contractuels. Ces agents
représentent 60 % de la masse salariale globale et
connaissent une augmentation continue. Cette
proportion diffère selon les métiers, avec une
part prédominante pour les informaticiens (notamment au
sein de l'ANSSI et de la DINUM), lesquels
sont
quasi-exclusivement recrutés par la voie
contractuelle.
À cet égard, et comme il avait déjà pu le relever dans son rapport budgétaire sur la mission pour le projet de loi de finances pour 20247(*), le rapporteur spécial souligne la nécessité de cartographier et d'anticiper les besoins des administrations concernées, afin d'éviter une trop forte volatilité des agents contractuels sur certaines fonctions.
* 2 Note d'exécution budgétaire 2023 de la Cour des comptes, mission « Direction de l'action du Gouvernement ».
* 3 Service à compétence nationale chargé de centraliser les demandes d'autorisation pour la mise en oeuvre de techniques de renseignement émises par les services.
* 4 Service technique et opérationnel de l'État chargé de la vigilance et de la protection contre les ingérences numériques étrangères.
* 5 Chargé de la coordination de la planification écologique, le SGPE a pour mission d'assurer la cohérence et le suivi des politiques à visée écologique, d'initier et de cadrer la mobilisation des ministères et parties prenantes, de coordonner toutes les négociations et enfin de mesurer la performance des actions menées.
* 6 Décret n° 2022-990 du 7 juillet 2022 relatif au secrétariat général à la planification écologique.
* 7 Rapport de M. Christopher SZCZUREK, au nom de la commission des finances du Sénat, sur le projet de loi de finances pour 2024, mission « Direction de l'action du Gouvernement » - Rapport général n° 128 (2023-2024), tome III, annexe 10, novembre 2023.