Rapport d'information n° 297 (2021-2022) de M. Patrick CHAIZE , Mme Françoise DUMONT , MM. Loïc HERVÉ , Jean-Michel HOULLEGATTE , Patrick KANNER , Mme Marie-Pierre RICHER et M. Jean Pierre VOGEL , fait au nom de la commission de l'aménagement du territoire et du développement durable, de la commission des affaires économiques, de la commission des finances, de la commission des lois et de la commission des affaires sociales, déposé le 15 décembre 2021
Disponible au format PDF (743 Koctets)
Synthèse du rapport (273 Koctets)
-
I. LES COMMUNICATIONS D'URGENCE : DES
COMMUNICATIONS AU RÉGIME JURIDIQUE SPÉCIFIQUE MAIS DONT LA
TECHNOLOGIE DE TRANSMISSION DEMEURE RELATIVEMENT CLASSIQUE
-
II. LA PANNE DU 2 JUIN 2021 : UNE ERREUR LORS
D'UNE OPÉRATION DE MAINTENANCE AYANT DES CONSÉQUENCES
LOURDES
-
III. APRÈS LA PANNE : PLUSIEURS ACTIONS
D'ÉVALUATION ET DES PRÉCONISATIONS AYANT ABOUTI À UNE
MODIFICATION DU CADRE LÉGISLATIF
-
IV. LES RECOMMANDATIONS DE LA MISSION : UN
CONTRÔLE ÉTROIT ET UNE MISE EN GARDE
-
EXAMEN EN COMMISSION
-
COMPTES RENDUS
DES AUDITIONS EN COMMISSION
-
Audition de M. Didier Vidal, administrateur
interministériel
des communications électroniques de défense
(Mardi 6 juillet 2021)
-
Audition de M. Stéphane Richard,
président-directeur général d'Orange
(Mardi 5 octobre 2021)
-
Audition de M. Guillaume Poupard, directeur
général
de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
(Mercredi 6 octobre 2021)
-
Audition de M. Didier Vidal, administrateur
interministériel
N° 297
SÉNAT
SESSION ORDINAIRE DE 2021-2022
Enregistré à la Présidence du Sénat le 15 décembre 2021
RAPPORT D'INFORMATION
FAIT
au nom de la commission des affaires économiques (1), de la commission des affaires sociales (2), de la commission de l'aménagement du territoire et du développement durable (3), de la commission des finances (4) et de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (5) sur la sécurité d' acheminement des communications d' urgence ,
Par M. Patrick CHAIZE, Mme Françoise DUMONT, MM.
Loïc HERVÉ, Jean-Michel HOULLEGATTE, Patrick KANNER, Mme
Marie-Pierre RICHER
et M. Jean Pierre VOGEL,
Sénateurs et Sénatrices
(1) Cette commission est composée de : Mme Sophie Primas , présidente ; M. Alain Chatillon, Mme Dominique Estrosi Sassone, M. Patrick Chaize, Mme Viviane Artigalas, M. Franck Montaugé, Mme Anne-Catherine Loisier, MM. Jean-Pierre Moga, Bernard Buis, Fabien Gay, Henri Cabanel, Franck Menonville, Joël Labbé , vice-présidents ; MM. Laurent Duplomb, Daniel Laurent, Mme Sylviane Noël, MM. Rémi Cardon, Pierre Louault , secrétaires ; MM. Serge Babary, Jean-Pierre Bansard, Mmes Martine Berthet, Florence Blatrix Contat, MM. Michel Bonnus, Denis Bouad, Yves Bouloux, Jean-Marc Boyer, Alain Cadec, Mme Anne Chain-Larché, M. Patrick Chauvet, Mme Marie-Christine Chauvin, M. Pierre Cuypers, Mmes Marie Evrard, Françoise Férat, M. Daniel Gremillet, Mme Micheline Jacques, M. Jean-Marie Janssens, Mmes Valérie Létard, Marie-Noëlle Lienemann, MM. Claude Malhuret, Serge Mérillou, Jean-Jacques Michau, Mme Guylène Pantel, MM. Sebastien Pla, Christian Redon-Sarrazy, Mme Évelyne Renaud-Garabedian, MM. Olivier Rietmann, Daniel Salmon, Mme Patricia Schillinger, MM. Laurent Somon, Jean-Claude Tissot .
(2) Cette commission est composée de : Mme Catherine Deroche , présidente ; Mme Élisabeth Doineau , rapporteure générale ; M. Philippe Mouiller, Mme Chantal Deseyne, MM. Alain Milon, Bernard Jomier, Mme Monique Lubin, MM. Olivier Henno, Martin Lévrier, Mmes Laurence Cohen, Véronique Guillotin, M. Daniel Chasseing, Mme Raymonde Poncet Monge , vice-présidents ; Mmes Florence Lassarade, Frédérique Puissat, M. Jean Sol, Mmes Corinne Féret, Jocelyne Guidez , secrétaires ; Mme Cathy Apourceau-Poly, M. Stéphane Artano, Mme Christine Bonfanti-Dossat, MM. Bernard Bonne, Laurent Burgoa, Jean-Noël Cardoux, Mmes Catherine Conconne, Annie Delmont-Koropoulis, Brigitte Devésa, MM. Alain Duffourg, Jean-Luc Fichet, Mmes Laurence Garnier, Frédérique Gerbaud, Pascale Gruny, M. Xavier Iacovelli, Mmes Corinne Imbert, Annick Jacquemet, Victoire Jasmin, Annie Le Houerou, M. Olivier Léonhardt, Mmes Viviane Malet, Colette Mélot, Michelle Meunier, Brigitte Micouleau, Annick Petrus, Émilienne Poumirol, Catherine Procaccia, Marie-Pierre Richer, Laurence Rossignol, M. René-Paul Savary, Mme Nadia Sollogoub, MM. Dominique Théophile, Jean-Marie Vanlerenberghe .
(3) Cette commission est composée de : M. Jean-François Longeot , président ; M. Didier Mandelli, Mmes Nicole Bonnefoy, Marta de Cidrac, MM. Joël Bigot, Rémy Pointereau, Frédéric Marchand, Guillaume Chevrollier, Mme Marie-Claude Varaillas, MM. Jean-Pierre Corbisez, Pierre Médevielle, Ronan Dantec , vice-présidents ; M. Cyril Pellevat, Mme Angèle Préville, MM. Pascal Martin, Bruno Belin , secrétaires ; MM. Jean-Claude Anglars, Jean Bacci, Étienne Blanc, François Calvet, Michel Dagbert, Mme Patricia Demas, MM. Stéphane Demilly, Michel Dennemont, Gilbert-Luc Devinaz, Mme Nassimah Dindar, MM. Gilbert Favreau, Jacques Fernique, Mme Martine Filleul, MM. Fabien Genet, Hervé Gillé, Éric Gold, Daniel Gueret, Mmes Nadège Havet, Christine Herzog, MM. Jean-Michel Houllegatte, Olivier Jacquin, Gérard Lahellec, Mme Laurence Muller-Bronn, MM. Louis-Jean de Nicolaÿ, Philippe Pemezec, Mmes Évelyne Perrot, Marie-Laure Phinera-Horth, Kristina Pluchet, MM. Jean-Paul Prince, Bruno Rojouan, Mme Denise Saint-Pé, MM. Philippe Tabarot, Pierre-Jean Verzelen .
(4) Cette commission est composée de : M. Claude Raynal , président ; M. Jean-François Husson , rapporteur général ; MM. Éric Bocquet, Emmanuel Capus, Bernard Delcros, Vincent Éblé, Charles Guené, Mme Christine Lavarde, MM. Dominique de Legge, Albéric de Montgolfier, Didier Rambaud, Jean-Claude Requier, Mmes Sophie Taillé-Polian, Sylvie Vermeillet , vice-présidents ; MM. Jérôme Bascher, Rémi Féraud, Marc Laménie, Stéphane Sautarel , secrétaires ; MM. Jean-Michel Arnaud, Arnaud Bazin, Christian Bilhac, Jean-Baptiste Blanc, Mme Isabelle Briquet, MM. Michel Canévet, Vincent Capo-Canellas, Thierry Cozic, Vincent Delahaye, Philippe Dominati, Mme Frédérique Espagnac, MM. Éric Jeansannetas, Patrice Joly, Roger Karoutchi, Christian Klinger, Antoine Lefèvre, Gérard Longuet, Victorin Lurel, Hervé Maurey, Thierry Meignen, Sébastien Meurant, Jean-Marie Mizzon, Claude Nougein, Mme Vanina Paoli-Gagin, MM. Paul Toussaint Parigi, Georges Patient, Jean-François Rapin, Teva Rohfritsch, Pascal Savoldelli, Vincent Segouin, Jean Pierre Vogel .
(5) Cette commission est composée de : M. François-Noël Buffet , président ; Mmes Catherine Di Folco, Marie-Pierre de La Gontrie, MM. Christophe-André Frassa, Jérôme Durain, Marc-Philippe Daubresse, Philippe Bonnecarrère, Mme Nathalie Goulet, M. Alain Richard, Mmes Cécile Cukierman, Maryse Carrère, MM. Alain Marc, Guy Benarroche , vice-présidents ; M. André Reichardt, Mmes Laurence Harribey, Muriel Jourda, Agnès Canayer , secrétaires ; Mme Éliane Assassi, MM. Philippe Bas, Arnaud de Belenet, Mmes Nadine Bellurot, Catherine Belrhiti, Esther Benbassa, MM. François Bonhomme, Hussein Bourgi, Mme Valérie Boyer, M. Mathieu Darnaud, Mmes Françoise Dumont, Jacqueline Eustache-Brinio, M. Pierre Frogier, Mme Françoise Gatel, MM. Ludovic Haye, Loïc Hervé, Patrick Kanner, Éric Kerrouche, Jean-Yves Leconte, Henri Leroy, Stéphane Le Rudulier, Mme Brigitte Lherbier, MM. Didier Marie, Hervé Marseille, Mme Marie Mercier, MM. Thani Mohamed Soilihi, Jean-Yves Roux, Jean-Pierre Sueur, Mmes Lana Tetuanui, Claudine Thomas, Dominique Vérien, M. Dany Wattebled .
Le mercredi 15 décembre 2021, la mission de contrôle sur la sécurité d'acheminement des communications d'urgence, conjointe à cinq des commissions permanentes du Sénat, a adopté le rapport de Françoise Dumont, Loïc Hervé et Patrick Kanner, rapporteurs pour la commission des lois, Patrick Chaize, rapporteur pour la commission des affaires économiques, Jean Pierre Vogel, rapporteur pour la commission des finances, Marie-Pierre Richer, rapporteure pour la commission des affaires sociales, et Jean-Michel Houllegatte, rapporteur pour la commission de l'aménagement du territoire et du développement durable.
Cette mission conjointe fait suite à la panne significative survenue les 2 et 3 juin 2021 sur le réseau de l'opérateur Orange ayant entrainé l'impossibilité d'acheminer près de 10 000 communications d'urgence aux services concernés sur le territoire national.
I. LES COMMUNICATIONS D'URGENCE : DES COMMUNICATIONS AU RÉGIME JURIDIQUE SPÉCIFIQUE MAIS DONT LA TECHNOLOGIE DE TRANSMISSION DEMEURE RELATIVEMENT CLASSIQUE
A. LE RÉGIME JURIDIQUE SPÉCIFIQUE AUX 13 NUMÉROS D'URGENCE
Les communications d'urgence sont définies au paragraphe 28 de l'article L. 32 du code des postes et des communications électroniques (CPCE) comme « les communications effectuées au moyen de services de communications interpersonnelles, entre un utilisateur final et le centre de réception des communications d'urgence, dont le but est de demander et de recevoir des secours d'urgence de la part des services d'urgence » qui sont chargés « de la sauvegarde des vies humaines, des interventions de police, de la lutte contre l'incendie et de l'urgence sociale » 1 ( * ) . En France, les numéros d'urgence sont au nombre de treize :
- Numéro d'appel d'urgence européen (112) ;
- Urgences médicales (15) ;
- Police-secours (17) ;
- Services d'incendie et de secours (18) ;
- Samu social (115) ;
- Service d'urgence pour les personnes à déficience auditive (114) ;
- Enfance maltraitée (119) ;
- Urgences aéronautiques (191) ;
- Urgences maritimes (196) ;
- Alertes attentat / enlèvement (197) ;
- Enfant disparu (116 000) ;
- Permanence des soins (116 117) ;
- Enfance en danger (116 111) ;
Entendu par la mission conjointe de contrôle, Didier Vidal, administrateur interministériel des communications électroniques de défense (AICED), a rappelé les obligations des opérateurs de télécommunications en matière d'acheminement des communications d'urgence.
Dans une rédaction antérieure, l'article L. 33-1 du CPCE fixait diverses obligations à la charge des opérateurs , telles que « les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement » ou « l'acheminement gratuit des communications d'urgence ».
En outre, l'article D. 98-5 de ce même code précise que « dès qu'il en a connaissance, l'opérateur informe le ministre de l'Intérieur de toute atteinte à la sécurité ou perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux et services ». L'ensemble des obligations à la charge des opérateurs est rappelé dans un guide élaboré en 2012 par le Commissariat aux communications électroniques de défense (CCED) en collaboration avec le haut fonctionnaire de défense et de sécurité (HFDS).
Toutefois, l'article L. 33-1 du CPCE a été réécrit à la suite de l'adoption de la directive du 11 décembre 2018 établissant le code des communications électroniques européen, transposée en droit interne par la loi n° 2020-1508 du 3 décembre 2020 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique et financière et par l'ordonnance n° 2021-650 du 26 mai 2021. Dans la rédaction issue de cette transposition par ordonnance, seul un critère de gratuité de l'acheminement des communications d'urgence a été retenu et il n'est plus fait mention des conditions de permanence, de qualité, de disponibilité et d'intégrité du réseau.
Hasard du calendrier, seulement quelques jours après l'entrée en vigueur de cette nouvelle rédaction de l'article L. 33-1 du CPCE, une panne significative est intervenue sur le réseau de l'opérateur Orange, mettant en évidence la nécessité pour les opérateurs d'assurer la continuité de l'acheminement des communications d'urgence en toute circonstance.
L'article L. 33-1 précité a finalement été complété, à la suite de cette panne, par l'article 17 de la loi n° 2021-1520 du 25 novembre 2021 visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels dite « loi Matras » (cf. infra) .
B. DES COMMUNICATIONS D'URGENCE ENCORE TRÈS DÉPENDANTES DU RÉSEAU « CUIVRE » DONT L'EXTINCTION PROGRESSIVE EST PROGRAMMÉE D'ICI 2030
D'un point de vue technique, ces treize numéros d'urgence formulés sous forme courte, tels que le 17, le 18 ou le 15 ( cf. supra ), sont, en réalité, convertis par des public safety answering points (PSAP) en un numéro « long », à dix chiffres , attribué au centre de traitement de l'appel d'urgence correspondant le plus proche géographiquement du lieu d'émission de l'appel. Cette précision technique a été rappelée aux rapporteurs par Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) : « J'ai appris à cette occasion, avec étonnement, que les numéros d'urgence sont des numéros comme les autres, au sens où les numéros courts - par exemple le 18 - sont transcrits vers des numéros longs par l'opérateur, sans procédure particulière de sécurité, ni réseau dédié. Ces numéros d'urgence ne font pas non plus l'objet d'une supervision dédiée, ni par l'État ni par les opérateurs » 2 ( * ) .
Ainsi, une victime souhaitant joindre les pompiers à la suite d'un accident se produisant à Bordeaux verra son appel au « 18 » transmis, en réalité, au service départemental d'incendie et de secours de la Gironde via un numéro à 10 chiffres à plusieurs égards semblable au numéro attribué à un particulier par un opérateur.
Schéma simplifié d'un appel d'urgence
Source : Rapport Anssi/IGA/CGE/CCED/IGAS du 19 juillet 2021
Didier Vidal a indiqué aux rapporteurs que la majorité des appels d'urgence « est dirigé vers le 17 (22 millions d'appels) ainsi que vers le 15, le 115 et le 18 (environ 18 millions d'appels chacun, en incluant les appels reçus par le 112 qui sont ensuite réorientés vers le 18 ou vers le 15) » 3 ( * ) , les autres numéros d'urgence ne recevant que quelques dizaines ou centaines de milliers d'appels. Il note également que « 60 % des appels vers les numéros d'urgence sont émis à partir des mobiles et 40 % à partir de lignes fixes » 4 ( * ) .
La transmission des appels composés via les numéros d'urgence est assurée grâce à différentes technologies. Comme le rappelle le rapport du 19 juillet 2021 précité, 781 numéros d'urgence à 10 chiffres, soit 85 % d'entre eux, sont utilisés par des centres qui ont un raccordement en RTC, c'est-à-dire via le réseau téléphonique commuté qui assure historiquement le service de téléphonie par un réseau « cuivre » . Neuf autres numéros d'urgence à dix chiffres sont utilisés par des centres raccordés en VoiP, c'est-à-dire via un réseau utilisant le protocole IP tel qu'Internet « mais aussi la plupart des réseaux d'opérateurs modernes » 5 ( * ) . Enfin, 120 numéros d'urgence à 10 chiffres sont utilisés par des centres qui « ont une offre "San BTIP" dite mixte » .
Les rapporteurs souhaitent attirer l'attention sur le fait que l'acheminement de la grande majorité des communications d'urgence par le réseau cuivre, dont l'opérateur historique est Orange, présente des fragilités.
Premièrement, il existe des fragilités inhérentes à la phase de transition du réseau cuivre, qui permet notamment le raccordement de la téléphonie fixe, vers les réseaux en VoIP, qui assurent notamment l'accès à une offre Internet à haut débit.
L'année 2021 constitue une année historique de « croisement des courbes » dans la mesure où le nombre d'abonnés utilisant les réseaux de fibre optique a dépassé le nombre d'abonnés utilisant le réseau cuivre. Dans une perspective de mutation technologique et d'amélioration de la connectivité sur notre territoire, un plan stratégique d'extinction progressive du réseau cuivre à horizon 2030 a été mis en place par l'opérateur.
Dans son rapport d'information du 24 novembre 2021 relatif à l'examen des crédits dédiés au numérique et aux télécommunications de la mission « Économie » du projet de loi de finances pour 2022, la commission des affaires économiques insistait sur le fait que l'extinction progressive du réseau cuivre et les investissements réalisés dans le déploiement des réseaux de fibre optique ne devaient pas se traduire par un désengagement de l'opérateur en matière de qualité de service et d'entretien des réseaux pour les très nombreux abonnés dont la connexion dépend encore du réseau cuivre.
Au regard de l'importance des enjeux considérés, le Gouvernement a annoncé un « plan cuivre » au mois de mai dernier, qui précise les engagements supplémentaires qui doivent être pris par Orange, notamment le maintien d'un investissement annuel de 500 millions d'euros pour l'entretien du réseau sur l'ensemble du territoire.
Toutefois, à la connaissance de cette mission d'information, le « plan cuivre » du Gouvernement, tout comme le plan stratégique d'extinction du réseau cuivre d'Orange, ne contiennent pas de dispositions spécifiques relatives aux centres de traitement des appels d'urgence et à la transition de leur raccordement du réseau cuivre vers les réseaux en VoIP. En effet, la majorité des appels téléphoniques d'urgence proviennent de réseaux en VoIP et doivent obligatoirement passer par la plateforme d'interconnexion d'Orange pour être traités, notamment si l'utilisateur est abonné auprès d'un opérateur tiers (SFR, Free, Bouygues Télécom, etc. ).
Demain, la grande majorité des centres de traitement des appels d'urgence seront raccordés sur les réseaux en VoIP.
Or, des appels téléphoniques d'urgence continueront de provenir d'utilisateurs raccordés au réseau cuivre. Pour être traités, ces appels devront obligatoirement passer par la plateforme d'interconnexion d'Orange.
Jean-Michel Houllegatte, rapporteur pour avis des crédits relatifs à l'aménagement numérique du territoire du projet de loi de finances pour 2022, insiste également sur l'importance de l'entretien du réseau cuivre et estime que des injonctions pourraient être adressées à Orange « pour rappeler que le réseau cuivre a toute son utilité et qu'il est important de continuer à s'y intéresser » 6 ( * ) . En effet, il est indispensable que les appels téléphoniques des utilisateurs du réseau cuivre puissent continuer d'être transmis par les centres de traitement des appels d'urgence : l'interconnexion doit être assurée en toute circonstance jusqu'à l'extinction définitive du réseau cuivre, qui continue à être utilisé par près de 24 millions de personnes en France et qui demeure parfois le seul réseau disponible dans certains territoires.
Les rapporteurs considèrent donc que des engagements spécifiques et supplémentaires doivent être pris afin que les interventions sur le réseau cuivre ne conduisent pas de nouveau à des dysfonctionnements significatifs dans l'acheminement des appels d'urgence. Ces préoccupations sont accentuées dans les territoires ruraux dans lesquels on constate des difficultés d'accès géographique aux soins - du fait d'un éloignement de l'offre médicale - et un temps d'intervention des services de secours en moyenne plus élevé qu'en zone urbaine. Les rapporteurs soulignent l'importance de garantir la sûreté de l'acheminement des communications d'urgence sur l'ensemble du territoire, afin d'éviter un sentiment de « double peine » dans les territoires au sein desquels les défaillances du réseau viendraient s'ajouter aux inégalités d'accès aux soins.
Les rapporteurs considèrent également que le calendrier de raccordement des centres de traitement des appels d'urgence aux réseaux en VoIP doit être mieux articulé avec celui des fermetures commerciales et techniques des lignes téléphoniques raccordées au réseau cuivre.
Deuxièmement, il existe des fragilités et des incertitudes liées à la période suivant l'extinction du réseau cuivre .
Alors qu'un réseau historique géré par un propriétaire unique, la société Orange, permettait l'acheminement de l'essentiel des appels d'urgence, il y aura désormais des réseaux multiples, gérés par des opérateurs de télécommunications différents, qui permettront d'assurer l'acheminement de ces appels.
En cas d'incident, les rapporteurs s'interrogent sur la responsabilité des opérateurs de télécommunications, dont l'identification sera moins aisée qu'aujourd'hui, car il y aura plusieurs gestionnaires de réseaux. Dans cette perspective, les rapporteurs appellent à une meilleure prise en compte de ces incertitudes par les pouvoirs publics et à une clarification du régime de responsabilité applicable en cas d'incident dans l'acheminement des communications d'urgence.
II. LA PANNE DU 2 JUIN 2021 : UNE ERREUR LORS D'UNE OPÉRATION DE MAINTENANCE AYANT DES CONSÉQUENCES LOURDES
A. UNE PANNE CONSÉCUTIVE À UNE OPÉRATION DE MAINTENANCE
Les conditions de survenance de la panne ont été rappelées aux rapporteurs par Stéphane Richard, président-directeur général d'Orange : « La panne est survenue à la suite d'une opération de modernisation et d'extension d'un équipement critique. Elle n'a donc pas pour cause un mauvais entretien de certaines parties du réseau fibre ou l'obsolescence, bien au contraire. Ayant constaté une augmentation des trafics "voix" et "data" lors des confinements successifs en 2020, Orange a décidé d'accroître la capacité de l'équipement critique assurant l'interconnexion entre les appels dits "voix sur IP" (VoIP) c'est-à-dire ceux qui proviennent des "box", et le réseau téléphonique commuté (RTC), dont dépendent les numéros d'urgence » 7 ( * ) .
Cette version a, par ailleurs, été confirmée par le rapport du 19 juillet 2021 qui a pu établir une chronologie très précise des évènements 8 ( * ) « débutant [le 2 juin à 16 heures] par une opération de maintenance sur les équipements de VoIP (équipements constituant le noeud d'interconnexion voix en full IP pour les offres fixe, mobile, grand public, entreprise d'Orange) à Lille » 9 ( * ) à laquelle a fait suite une modification de configuration de l'ensemble des call servers d'Orange permettant l'interconnexion entre les réseaux IP et le RTC (cf. supra) .
Selon ce même rapport, cette modification de configuration a très rapidement entrainé « une hausse des échecs de communications vers les numéros des services d'urgence » sur le réseau Bouygues Télécom, une « chute soudaine » des appels entrant auprès du SAMU du Nord ainsi que des difficultés rencontrées par le SAMU de Paris et par la Brigade des sapeurs-pompiers de Paris (BSPP). Seize minutes après les modifications de configuration ayant engendré la panne, les services techniques d'Orange ont identifié le problème et mobilisé des experts en interne. Toutefois, le rapport souligne une « insuffisante réactivité lors de la crise du 2 juin » 10 ( * ) indiquant que, à partir de l'identification du problème intervenue à 17 heures, il aura fallu à Orange :
- 45 minutes pour constater un nombre élevé de plaintes sur les services concernant, notamment, les numéros courts d'urgence ;
- 1 h 06 pour effectuer un signalement interne faisant état du fait que les services d'urgence d'Ile-de-France, du Grand Est et du département du Nord étaient injoignables ;
- 1 h 41 pour signaler cet incident majeur au Centre opérationnel de gestion interministérielle des crises (COGIC) ;
- 2 h 40 pour organiser la première réunion de la cellule de crise interne à Orange ;
- 3 h 40 pour établir un « premier contact avec un des opérateurs tiers pour signaler un dysfonctionnement sur les numéros interconnectés, sans préciser l'impact particulier sur les numéros d'urgence » 11 ( * ) ;
- 17 h 30 pour organiser la première réunion avec les opérateurs tiers.
De leur côté, les services d'urgence concernés ont, selon le rapport, « réagi rapidement à une crise à laquelle ils n'étaient pas préparés, en faisant fonctionner rapidement le dispositif d'escalade. Cela a conduit à l'activation et à la mise en place du CIC [Centre interministériel de crise] moins de deux heures après le début du dysfonctionnement. Par ailleurs, les services d'urgence ont mis en place de nombreuses solutions de contournement et ce malgré l'absence de conseil du côté de l'opérateur » 12 ( * ) . La plupart des services d'urgence concernés ont spontanément diffusé des numéros à dix chiffres par différents canaux pour permettre aux populations de les joindre, sans nécessairement passer par les numéros courts habituels .
Particulièrement touchés par la panne, plusieurs SAMU ont fait preuve d'efficacité et d'initiative , comme le souligne le rapport du 19 juillet 2021. Alors que les SAMU du Nord et d'Île-de-France ont été parmi les premiers services d'urgence concernés ( cf. supra ), ces derniers ont rapidement relayé l'information à l'association nationale des SAMU, Urgence de France, afin de mettre en place une cellule de crise informelle qui a permis « d'identifier rapidement qu'il s'agi[ssai]t d'une panne nationale » 13 ( * ) . Cette association a joué un rôle clé dans la remontée d'information alertant, dans un premier temps, l'Assistance publique - Hôpitaux de Paris (AP-HP), puis, dans un second temps, les cabinets du Président de la République, du Premier ministre et du ministre de la santé 14 ( * ) .
Enfin, le SAMU du Nord a très rapidement contribué à diffuser un numéro à 10 chiffres, y consacrant jusqu'à dix postes dans le cadre de sa cellule de crise 15 ( * ) qui sera, par la suite, mise à profit pour réceptionner les appels à destination du SDIS du Nord et à destination du 17. Les numéros à 10 chiffres des SAMU de chaque département seront finalement diffusés à la population par le ministère de la santé via son site Internet et les Agences régionales de santé (ARS).
B. DES CONSÉQUENCES IMPORTANTES MALGRÉ LA RÉACTIVITÉ DES SERVICES D'URGENCE CONCERNÉS
Malgré les efforts fournis, à leurs niveaux, par les services d'urgence concernés, la panne a conduit à ce que 10 000 appels d'urgence n'aient pu aboutir, selon l'estimation fournie par Stéphane Richard à la mission . Ce dernier a d'ailleurs tenu à rappeler que « 90 % des appels ont bien été acheminés [...] Ce n'est pas une panne totale qui s'est produite, mais un dysfonctionnement. Reste que nous sommes parfaitement conscients des conséquences que cet incident a pu entraîner » 16 ( * ) .
En effet, les conséquences ont été lourdes puisque quatre décès ont été attribués à cette panne par le ministère de l'intérieur 17 ( * ) . Au-delà de ce chiffre, il semble particulièrement difficile, à l'heure actuelle, d'établir avec certitude les conséquences de cette panne tant elles peuvent être multiples, notamment en matière de perte de chance pour les victimes n'ayant pas réussi à joindre un service d'urgence ou l'ayant joint après plusieurs tentatives rendues infructueuses par la panne.
III. APRÈS LA PANNE : PLUSIEURS ACTIONS D'ÉVALUATION ET DES PRÉCONISATIONS AYANT ABOUTI À UNE MODIFICATION DU CADRE LÉGISLATIF
A. L'ÉVALUATION EFFICACE DE LA PANNE PAR LE RAPPORT DE L'ANSSI/IGA/CGE/CCED/IGAS DU 19 JUILLET 2021
La panne du 2 juin 2021 a fait l'objet de plusieurs mesures d'enquête et d'évaluation visant à en analyser les causes et les conséquences afin d'en prévenir les apparitions futures. Ainsi, l'opérateur Orange a, de lui-même, mis en place un audit interne « sans délai » , comme l'indiquait son président-directeur général Stéphane Richard aux rapporteurs de la mission.
Le rapport d'évaluation le plus complet sur la panne est le « Rapport d'évaluation de la gestion de la crise par l'opérateur Orange de la panne du 2 juin et de ses conséquences sur l'accès aux services d'urgence » rendu le 19 juillet 2021, à la demande du Premier ministre, par l'Anssi, en lien avec l'Inspection générale de l'administration (IGA), l'Inspection générale des affaires sociales (IGAS), le CCED et le Conseil général de l'économie (CGE) . Les rapporteurs tiennent à saluer la qualité de ce document. Techniquement précis, son style accessible et clair permet à chacun de comprendre les enjeux de cette panne.
Ce rapport aboutit à une série de recommandations visant, d'une part, à adapter le cadre légal, contractuel et technique de la gestion des numéros d'urgence, d'autre part, à se préparer à faire face de façon efficace et rapide à ce type de crises et, enfin, à prévenir de nouvelles pannes analogues.
Liste simplifiée des recommandations
du
rapport de l'Anssi
1. Adapter le cadre légal, contractuel et technique de la gestion des numéros d'urgence
1.1 Clarifier et renforcer les obligations de service public qui s'imposent à l'acheminement des services d'urgence ;
1.2 Établir une cartographie des réseaux de communication ;
1.3 Mettre en oeuvre chez les opérateurs un système de remontée d'alerte spécifique aux appels d'urgence ;
1.4 Mettre en place une supervision technique spécifique aux appels d'urgence ;
1.5 Réduire les délais de mise en oeuvre d'une cellule de crise et d'information des autorités publiques ;
1.6 Être en capacité de mettre en oeuvre une structure de collaboration avec les opérateurs tiers en cas d'urgence ;
2. Se préparer à faire face de façon efficace et rapide à ce type de crise
2.1 Définir un plan d'action permettant d'augmenter la résilience du système ;
2.2 Tirer parti des expériences internationales
2.3 Réaliser des exercices de crise
2.4 Prévoir dans le dispositif de gestion de crise une cellule technique d'anticipation ;
2.5 Prévenir les citoyens en cas de crise sur les numéros d'urgence disponibles ;
2.6 Développer les technologies complémentaires à la voix ;
3. Prévenir de nouvelles pannes analogues
3.1 Procéder de manière systématique à des tests sur la préproduction lors d'introduction de nouvelles méthodes ;
3.2 S'assurer qu'aucune perturbation n'apparaît suite à un changement de configuration avant de l'appliquer sur l'ensemble des équipements ;
3.3 Définir un plan de reprise d'activité ;
3.4 Tester le plan de reprise d'activité régulièrement ;
3.5 S'assurer que les exploitants des call servers d'Orange reçoivent tous, de manière régulière des formations du constructeur ;
3.6 S'assurer que le plan d'action d'Orange ira à son terme et prenne en compte les recommandations de la mission.
Source : Rapport de l'Anssi/IGA/CGE/CCED/IGAS du 19 juillet 2021
B. UNE NÉCESSAIRE MODIFICATION DU CADRE LÉGISLATIF D'ORES ET DÉJÀ ADOPTÉE PAR LE PARLEMENT
La recommandation n° 1.1. « Clarifier et renforcer les obligations de service public qui s'imposent à l'acheminement des services d'urgence » s'est déjà partiellement traduite par la modification des dispositions législatives du CPCE applicables aux opérateurs en matière de numéros d'urgence. L'examen de la proposition de loi « Matras » relative à la sécurité civile 18 ( * ) étant intervenu, au Sénat, en première lecture, à la fin du mois de septembre 2021, celui-ci a pu tenir compte de cette recommandation et a adopté en conséquence un amendement à l'initiative du Gouvernement. Figurant à l'article 17 de la loi « Matras », ces dispositions modifient l'article L. 33-1 du CPCE afin d'imposer aux opérateurs la mise en oeuvre de « toute mesure permettant de garantir la continuité de l'acheminement de ces communications. Ils sont chargés de mettre en place une supervision technique permettant d'assurer, dans les meilleurs délais, une remontée d'alerte dans les conditions définies par décret » .
L'introduction de ces dispositions était présentée par le Gouvernement comme un moyen de « renforcer, en la clarifiant, l'obligation d'acheminement des communications d'urgence, figurant au point f) du I de l'article L. 33-1 du code des postes et des communications électroniques. » et de compléter « cette obligation en imposant la mise en place d'une supervision technique des dispositifs des communications d'urgence permettant une remontée d'alerte dans les meilleurs délais » 19 ( * ) .
Le Sénat a soutenu cet amendement du Gouvernement car il permet de réintroduire à l'article L. 33-1 du CPCE une obligation de continuité de l'acheminement des communications d'urgence , une obligation qui ne figurait plus à la suite de la transposition de la directive européenne du 11 décembre 2018 par l'ordonnance du 26 mai 2021.
Cette évolution législative est à mettre en perspective avec les évolutions réglementaires récentes prises dans le cadre de la transposition de la directive européenne du 11 décembre 2018, et finalisées à la lumière de la panne des 2 et 3 juin dernier.
En effet, le décret n° 2021-1281 du 30 septembre 2021 modifiant les obligations des opérateurs de communications électroniques conformément au code européen des communications électroniques précise notamment :
- la procédure de notification des incidents de sécurité, par exemple en donnant la possibilité au ministre chargé des communications électroniques d'adresser des prescriptions techniques à un opérateur afin de remédier à un incident de sécurité ayant eu un impact significatif sur le fonctionnement des réseaux et services ;
- les obligations renforcées des opérateurs en matière de communications d'urgence, par exemple pour la mise à disposition sans délai des services de secours, agissant dans le cadre de missions d'interventions de secours, des informations de localisation de l'appelant d'un numéro d'urgence, dans des conditions qui ont été davantage détaillées.
Les évolutions législatives permises par l'examen au Sénat de la loi « Matras », complétées par un renforcement des obligations des opérateurs au niveau réglementaire, était nécessaires. Elles marquent un premier pas dans la mise en oeuvre des recommandations du rapport du 19 juillet 2021, qui mentionne la clarification des obligations de service public qui s'imposent à l'acheminement des communications d'urgence .
Or, l'article L. 33-1 du CPCE concerne les dispositions générales applicables aux opérateurs de télécommunications, mais ne concerne pas les obligations de service public applicables à ces opérateurs, qui sont définies aux articles L. 35 à L. 35-7 du même code. S'il est précisé à l'article L. 35 que les obligations de service public sont assurées dans le respect des principes d'égalité, de continuité et d'adaptabilité, l'article L. 35-1, réécrit à la suite de la transposition de la directive européenne du 11 décembre 2018 et relatif au service universel des communications électroniques, ne fait plus mention des communications d'urgence et de la gratuité de leur acheminement.
En effet, cette directive européenne ne considère pas que l'acheminement des communications d'urgence fasse partie des obligations du service universel des communications électroniques .
À cet égard, les rapporteurs soulignent toutefois que la portée d'une obligation générale applicable aux opérateurs est moindre que celle d'une obligation de service public.
Les rapporteurs rappellent également que, depuis la fin de l'année 2020, le Gouvernement n'a toujours pas désigné de nouveau prestataire du service universel pour le raccordement et la téléphonie fixe, même si la société Orange maintient ses engagements au titre du service universel jusqu'en 2023, ni amorcé la procédure d'attribution du prestataire du service universel pour l'accès Internet à haut débit.
Dans ce contexte, les rapporteurs appellent à la mise en oeuvre rapide d'une nouvelle procédure de désignation du prestataire de service universel. Le cahier des charges devra préciser des obligations renforcées en matière d'acheminement des communications d'urgence et renvoyer explicitement et a minima au respect des dispositions de l'article L. 33-1 du CPCE , qui consacre une obligation générale de continuité de l'acheminement des communications d'urgence, que ces communications proviennent d'un téléphone fixe ou mobile.
Ainsi, les évolutions législatives permises par l'examen au Sénat de la proposition de loi dite « Matras » permettent aux parlementaires d'ouvrir la voie à une réflexion plus poussée sur les obligations de service public des opérateurs de télécommunication, notamment dans la perspective de la mise en oeuvre du prochain service universel des communications électroniques .
IV. LES RECOMMANDATIONS DE LA MISSION : UN CONTRÔLE ÉTROIT ET UNE MISE EN GARDE
A. LE NÉCESSAIRE CONTRÔLE DU PARLEMENT SUR LA MISE EN oeUVRE DES PRÉCONISATIONS DE L'ANSSI
La mission de contrôle fait siennes les recommandations issues du rapport du 19 juillet 2021 qui couvrent l'ensemble du spectre de la panne. Elle constate que la seule recommandation nécessitant une intervention du législateur a été partiellement satisfaite. Le Parlement et, le Sénat en particulier, veillera, comme à son habitude, à ce que le décret d'application prévu soit, d'une part, publié dans des délais raisonnables et, d'autre part, respecte tant la lettre de la loi que la volonté du législateur.
Du fait de leur nature technique, les autres recommandations formulées par le rapport du 19 juillet 2021 relèvent, elles, d'actions et de mesures de contrôle des opérateurs à la main du Gouvernement . Le Parlement devra donc utiliser l'ensemble de ses propres pouvoirs de contrôle afin d'effectuer des bilans réguliers de la mise en oeuvre de ces recommandations. Certaines d'entre elles nécessiteront des efforts significatifs dont il conviendra d'évaluer la tenue dans le temps.
Parmi ces recommandations se dégagent trois vecteurs d'amélioration jugés intournables par la mission d'information.
Le premier tend à la prévention des pannes et se rattache à la mise en place d'une supervision technique spécifique aux appels d'urgence (recommandation 1.4). Il semble fondamental de développer des solutions technologiques permettant d'améliorer la fiabilité des transmissions des appels d'urgence afin qu'ils ne bénéficient plus seulement du traitement « de base » accordé aux appels entre particuliers.
Le troisième concerne le développement de nouvelles possibilités d'informer les populations en cas de panne des numéros d'urgence (recommandation 2.4). Une réflexion pourrait être engagée sur la mise à profit du système d'alerte et d'information des populations (SAIP) en ce sens ainsi que le système « FR Alert » (anciennement « 112 inversé ») qui permet d'alerter la population présente sur un territoire donné via les téléphones mobiles. À ce titre, les développements du rapport de Jean Pierre Vogel de 2017 sur le volet « mobile » du SAIP appelant à un réexamen de la technologie « Cell Broadcast » semblent de nouveau d'actualité 20 ( * ) .
Enfin, le dernier vecteur est consubstantiel au deuxième et tend à prédéfinir les moyens alternatifs par le biais desquels les services de secours pourraient être contactés en cas de panne des numéros d'appel d'urgence (recommandation n° 2.6). À ce titre, la mission d'information appelle à une réflexion profonde ouverte à l'ensemble des technologies disponibles (sms, Internet, numéros de contournement...).
B. UNE MISE EN GARDE QUANT AU RISQUE DE PANNES DE TRAITEMENT DES APPELS D'URGENCE AU SEIN DES SERVICES D'INCENDIE ET DE SECOURS DUE AU RETARD DU PROGRAMME NEXSIS
Alors que la panne des numéros d'appel d'urgence a permis, à juste titre, de prendre conscience des enjeux vitaux de la transmission des appels d'urgence, les rapporteurs souhaitent attirer l'attention sur un autre risque majeur qui concerne le traitement de ces appels d'urgence par les services d'incendie et de secours (SIS).
Ces appels sont traités via des systèmes de gestion des alertes - systèmes de gestion opérationnels (SGA-SGO) utilisés par les centres de traitement des appels - centres opérationnels départementaux d'incendie et de secours (CTA-CODIS). Ils permettent, en temps réel, d'identifier, de localiser et de mobiliser les moyens humains et matériels dont dispose les SIS pour répondre à une alerte donnée. La structuration des moyens humains (sapeurs-pompiers professionnels ou volontaires), la diversité des moyens matériels et leur répartition au sein des centres de secours du département font du SGA-SGO la moelle épinière des SIS et de leur capacité opérationnelle .
Or, certains SGA-SGO, devenus particulièrement obsolètes, ne sont plus mis à jour par leurs éditeurs et certains systèmes anciens ne proposent pas les fonctionnalités récentes telles que la géolocalisation des appels d'urgence.
C'est la raison pour laquelle le projet « NexSIS 18-112 » a été initié en 2016. Il est porté par l'Agence nationale de la sécurité civile (ANSC), en application de l'article R. 732-11-2 du code de la sécurité intérieure et a pour objet d'offrir aux SDIS qui le souhaitent une solution permettant le remplacement de leurs SGA-SGO.
En 2019, l'ANSC a désigné le SDIS de Seine-et-Marne comme SDIS préfigurateur pour la mise en place du système NexSIS et a établi une liste des SDIS primo-accédant pour le déploiement de ce système. Ainsi, sept SIS devaient initialement voir leurs SGA-SGO actuels remplacés par le système NexSIS en 2021, puis quatorze SIS supplémentaires ainsi que la Brigade des sapeurs-pompiers de Paris en 2022. Cependant, le conseil d'administration de l'ANSC du 7 juillet 2021 a révélé que le calendrier initial ne pourrait être tenu.
Or, l'obsolescence croissante des SGA-SGO accentuée par le retard pris dans le programme NexSIS devant assurer leurs remplacements fait craindre des pannes lourdes de SGO-SGA qui auraient des conséquences dramatiques dans les départements concernés , sans aucune commune mesure avec la panne des numéros d'appels d'urgence connue le 2 juin dernier.
Les rapporteurs souhaitent souligner l'excellence du travail et l'exemplarité de l'engagement des personnels de l'ANSC, qui ne suffisent pas à compenser le manque de moyens affectés par l'État à cette agence qui explique avant tout, avec les contraintes induites par la crise sanitaire, le retard pris . Le Sénat n'a cessé de souligner l'attitude de l'État : d'abord dans le rapport de Jean Pierre Vogel « NexSIS 18-112 : un projet de mutualisation des systèmes d'information des SDIS, dont l'intérêt sur le plan économique et opérationnel doit être garanti » 21 ( * ) , puis dans le rapport d'information de Françoise Dumont 22 ( * ) , ancienne présidente de l'ANSC, et le rapport spécial de Jean Pierre Vogel 23 ( * ) relatif au programme « Sécurité civile » de la mission « Sécurités » du projet de loi de finances pour 2022 (PLF 2022).
Ce dernier rapport a souligné que « le plafond d'emplois de l'ANSC a été maintenu à 12 ETPT [équivalents temps plein travaillé] dans le PLF 2022 , malgré les demandes de moyens humains supplémentaires formulées par l'agence » 24 ( * ) . Partageant ce constat, le rapport d'information précité de Françoise Dumont dénonce la faiblesse de la dotation de soutien aux investissements structurants des SDIS qui finance exclusivement l'ANSC à hauteur de 2 millions d'euros au sein du PLF 2022. Alors que cette dotation avait été créée, en 2016, pour redéployer les économies permises par la réforme de la prestation de fidélisation et de reconnaissance (PFR) à destination des sapeurs-pompiers volontaires, « l'écart cumulé entre les économies réalisées au titre de la nouvelle PFR et les montants redistribués via la dotation aux investissements structurants n'a cessé de croitre et était évalué, en 2020, [par la commission des lois] à plus de 62 millions d'euros » 25 ( * ) . Un redéploiement complet des économies déjà réalisées via le passage à la nouvelle PFR permettrait donc de couvrir largement les besoins de l'ANSC pour la mise en place du programme NexSIS .
Ainsi, au regard des conséquences de la panne du 2 juin dernier, du caractère vital du programme NexSIS, du retard déjà enregistré pour son déploiement, des engagements financiers significatifs portés par les SIS et de la baisse récurrente de la dotation aux investissements structurants des SDIS qui assure le financement de ce programme, les rapporteurs réitèrent leur souhait d'un effort financier conséquent de l'État pour le financement de l'ANSC .
EXAMEN EN COMMISSION
__________
M. François-Noël Buffet , président de la commission des lois . - Nous sommes réunis pour examiner le rapport d'une mission de contrôle réunissant plusieurs commissions, dont je salue les présidents. Nous entendrons leurs rapporteurs : Jean-Michel Houllegatte pour la commission de l'aménagement du territoire et du développement durable, Patrick Kanner pour la commission des lois, Patrick Chaize pour la commission des affaires économiques, Marie-Pierre Richer pour la commission des affaires sociales et Jean Pierre Vogel pour la commission des finances.
Comme vous le savez, une panne sur le réseau d'Orange, le 2 juin dernier, a fortement perturbé les communications d'urgence, causant la mort de quatre personnes. Cette mission a procédé à l'audition de Didier Vidal, administrateur interministériel des communications électroniques de défense, de Stéphane Richard, alors PDG d'Orange, et de Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Mme Marie-Pierre Richer , rapporteure au nom de la commission des affaires sociales . - Le 2 juin dernier, une panne massive sur le réseau de l'opérateur Orange a fait obstacle à l'acheminement de 10 000 communications d'urgence ayant, vraisemblablement, causé la mort d'au moins quatre personnes.
Devant les risques vitaux que font courir de telles pannes, le Sénat a souhaité prendre toute la mesure du dysfonctionnement survenu en instituant la présente mission d'information composée de MM. Jean Pierre Vogel et Patrick Chaize, de M. Jean-Michel Houllegatte et moi-même, respectivement nommés par les commissions des finances, des affaires économiques, du développement durable et des affaires sociales. La commission des lois a nommé Mme Françoise Dumont et MM. Loïc Hervé et Patrick Kanner, tous trois rapporteurs de la loi du 25 novembre 2021 visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels, dite loi « Matras », dont l'article 17 modifie les obligations à la charge des opérateurs en matière d'acheminement des communications d'urgence.
Afin d'établir la lumière sur les faits survenus, la mission a procédé aux auditions de Didier Vidal, administrateur interministériel des communications électroniques de défense, de Stéphane Richard, alors PDG d'Orange, et de Guillaume Poupard, directeur général de l'Anssi. Par ailleurs, l'Anssi a publié, le 19 juillet dernier, un rapport sur la panne du 2 juin, en lien avec l'inspection générale de l'administration, l'inspection générale des affaires sociales, le commissariat aux communications électroniques de défense et le conseil général de l'économie.
Ces auditions et la lecture de ce rapport ont été particulièrement instructives : les communications d'urgence sont certes soumises à un régime juridique spécial, mais sont transmises via une technologie relativement classique qui n'est pas distincte de celle qui est utilisée pour les appels ordinaires.
Le code des postes et des communications électroniques (CPCE) les définit comme des communications entre un utilisateur final et le centre de réception des communications d'urgence, dont le but est de demander et de recevoir des secours d'urgence de la part des services d'urgence qui sont chargés de la sauvegarde des vies humaines, des interventions de police, de la lutte contre l'incendie et de l'urgence sociale, comme le précise le même code.
En France, les numéros d'urgence sont relativement nombreux : on n'en compte pas moins de 13. Certains sont connus de tous, tels que le 17, le 15 ou le 18, mais d'autres le sont moins, comme le 114 permettant l'accès des services d'urgence aux personnes à déficience auditive ou le 191 pour les urgences aéronautiques.
Les obligations des opérateurs en matière de communications d'urgence sont prévues à l'article 33-1 du CPCE, qui a connu de nombreuses modifications en un temps relativement limité. Il prévoyait initialement des obligations en lien avec « les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement » ainsi que « l'acheminement gratuit des communications d'urgence ».
Toutefois, cet article a été réécrit par l'ordonnance du 26 mai 2021 transposant la directive du 11 décembre 2018 établissant le code des communications électroniques européen. Dans la rédaction issue de cette transposition par ordonnance, seul un critère de gratuité de l'acheminement des communications d'urgence a été retenu et il n'est plus fait mention des conditions de permanence, de qualité, de disponibilité et d'intégrité du réseau. Cet article a ensuite été modifié par la loi « Matras » à la suite de la panne.
M. Jean-Michel Houllegatte , rapporteur au nom de la commission de l'aménagement du territoire et du développement durable . - D'un point de vue technique, ces treize numéros d'urgence formulés sous forme courte, tels que le 17, le 18 ou le 15 sont, en réalité, convertis en un numéro long, à dix chiffres, attribué au centre de traitement de l'appel d'urgence correspondant le plus proche géographiquement du lieu d'émission de l'appel.
Ainsi, une victime souhaitant joindre les pompiers à la suite d'un accident se produisant à Bordeaux verra son appel au 18 transmis, en réalité, au service départemental d'incendie et de secours (SDIS) de la Gironde via un numéro à dix chiffres à plusieurs égards semblable au numéro attribué à un particulier par un opérateur.
La transmission des appels passés par le biais des numéros d'urgence est assurée grâce à différentes technologies, et 85 % d'entre eux sont utilisés par des centres qui ont un raccordement en RTC, c'est-à-dire via le réseau téléphonique commuté qui assure historiquement le service de téléphonie par un réseau « cuivre ».
L'acheminement de la grande majorité des communications d'urgence par le réseau « cuivre », dont l'opérateur historique est Orange, présente des fragilités. La première est inhérente à la phase de transition de ce réseau, qui permet le raccordement de la téléphonie fixe, vers les réseaux en VoIP, qui assurent notamment l'accès à une offre internet à haut débit.
L'année 2021 constitue une année historique de croisement des courbes : le nombre d'abonnés utilisant les réseaux de fibre optique a dépassé le nombre d'abonnés utilisant le réseau « cuivre ». Dans une perspective de mutation technologique et d'amélioration de la connectivité sur notre territoire, un plan stratégique d'extinction progressive du réseau cuivre à l'horizon de 2030 a été mis en place par l'opérateur. Des tests sont réalisés actuellement dans certaines zones.
Dans son rapport d'information relatif à l'examen des crédits dédiés au numérique et aux télécommunications du projet de loi de finances (PLF) pour 2022, la commission des affaires économiques insistait sur le fait que l'extinction progressive du réseau cuivre et les investissements réalisés dans le déploiement des réseaux de fibre optique ne devaient pas se traduire par un désengagement de l'opérateur en matière de qualité de service et d'entretien des réseaux pour les très nombreux abonnés dont la connexion dépend encore du réseau « cuivre ».
Rapporteur pour avis de ces crédits, j'ai également insisté sur l'importance de l'entretien du réseau « cuivre » ; des injonctions pourraient être adressées à Orange pour rappeler que le réseau « cuivre » a toute son utilité et qu'il est important de continuer à s'y intéresser.
Au regard de l'importance des enjeux, le Gouvernement a annoncé un « plan Cuivre » en mai dernier, qui précise les engagements supplémentaires qui doivent être pris par Orange, notamment le maintien d'un investissement annuel à hauteur de 500 millions d'euros pour l'entretien du réseau sur l'ensemble du territoire.
Toutefois, ce « plan Cuivre », tout comme le plan stratégique d'extinction du réseau « cuivre » d'Orange, ne semble pas contenir de dispositions spécifiques relatives aux centres de traitement des appels d'urgence et à la transition de leur raccordement du réseau cuivre vers les réseaux en VoIP.
Des engagements spécifiques et supplémentaires doivent être pris afin que les interventions sur le réseau « cuivre » ne conduisent pas de nouveau à des dysfonctionnements significatifs dans l'acheminement des appels d'urgence. Ces préoccupations sont accentuées dans les territoires ruraux dans lesquels on constate des difficultés d'accès géographique aux soins - du fait d'un éloignement de l'offre médicale - et un temps d'intervention des services de secours en moyenne plus élevé qu'en zone urbaine. Il faut absolument leur éviter la double peine en y ajoutant des difficultés à contacter les services d'urgence.
La seconde fragilité est liée à la période suivant l'extinction du réseau cuivre puisque la multiplication des opérateurs qui vont émerger sur le réseau risque de diluer leur responsabilité en cas de panne. Dans cette perspective, nous appelons à une clarification du régime de responsabilité.
M. Patrick Kanner , rapporteur au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale . - Je parlerai également au nom de mes collègues rapporteurs Françoise Dumont et Loïc Hervé, qui n'ont pu être présents aujourd'hui.
Le rapport de l'Anssi du 19 juillet 2021 a pu établir une chronologie très précise des évènements qui corrobore les explications fournies par le PDG d'Orange quant à la source de la panne. La panne a été initiée à 16 heures par une opération de maintenance sur les équipements de VoIP d'Orange, à Lille, à laquelle a fait suite une modification de configuration de l'ensemble des call servers d'Orange permettant l'interconnexion entre les réseaux IP et le RTC.
Selon ce même rapport, cette modification de configuration a très rapidement entraîné « une hausse des échecs de communications vers les numéros des services d'urgence » sur le réseau Bouygues Télécom, une « chute soudaine » des appels entrants auprès du SAMU du Nord ainsi que des difficultés rencontrées par le SAMU de Paris et par la brigade des sapeurs-pompiers de Paris. Seize minutes après les modifications de configuration ayant engendré la panne, les services techniques d'Orange ont identifié le problème et mobilisé des experts en interne. Toutefois, le rapport souligne une « insuffisante réactivité ».
En effet, à partir de l'identification du problème intervenue à 17 heures, il aura, par exemple, fallu à Orange : plus d'une heure pour effectuer un signalement interne faisant état du fait que les services d'urgence d'Île-de-France, du Grand Est et du département du Nord étaient injoignables ; près de deux heures pour signaler cet incident majeur au Centre opérationnel interministériel des crises ; près de trois heures pour organiser la première réunion de la cellule de crise interne à Orange ; près de quatre heures pour établir un premier contact avec un autre opérateur pour signaler un dysfonctionnement sans préciser l'impact particulier sur les numéros d'urgence et dix-sept heures trente pour organiser la première réunion avec les opérateurs tiers.
De leur côté, les différents services d'urgence concernés ont fait part d'une grande réactivité que nous tenons à saluer en diffusant, notamment, des numéros de contournement à dix chiffres permettant de les contacter.
Particulièrement touchés par la panne, plusieurs SAMU ont fait preuve d'efficacité et d'initiative. C'est notamment le cas des SAMU du Nord et d'Île-de-France, qui ont été parmi les premiers services d'urgence concernés et qui ont rapidement relayé l'information à l'association nationale des SAMU-Urgences de France, afin de mettre en place une cellule de crise informelle. Cette association a joué un rôle clé dans la remontée d'informations.
En outre, le SAMU du Nord a très rapidement contribué à diffuser un numéro à dix chiffres, y consacrant jusqu'à dix postes dans le cadre de sa cellule de crise, qui sera, par la suite, mise à profit pour réceptionner les appels à destination du SDIS du Nord et à destination du 17. Les numéros à dix chiffres des SAMU de chaque département seront finalement diffusés à la population par le ministère de la santé via son site internet et les agences régionales de santé (ARS). Ils ont aussi été relayés par les médias en continu.
Malgré les efforts fournis, à leur niveau, par les services d'urgence concernés, la panne a conduit à ce que 10 000 appels d'urgence n'aient pu aboutir, selon l'estimation fournie par Stéphane Richard.
Les conséquences ont été lourdes puisque quatre décès ont été attribués à cette panne par le ministère de l'intérieur. Au-delà de ce chiffre, il semble particulièrement difficile, à l'heure actuelle, d'établir avec certitude les conséquences réelles de cette panne tant elles peuvent être multiples, notamment en matière de perte de chance pour les victimes n'ayant pas réussi à joindre un service d'urgence ou l'ayant joint après plusieurs tentatives rendues infructueuses par la panne.
M. Patrick Chaize , rapporteur au nom de la commission des affaires économiques . - La panne du 2 juin 2021 a fait l'objet de plusieurs mesures d'enquête et d'évaluation visant à en analyser les causes et les conséquences afin d'en prévenir les apparitions futures. Ainsi, l'opérateur Orange a, de lui-même, mis en place un audit interne « sans délai », comme nous l'indiquait son PDG, Stéphane Richard.
Le rapport d'évaluation le plus complet sur la panne est le rapport de l'Anssi du 19 juillet dernier. Nous saluons la qualité de ce document qui aboutit à une série de recommandations opérationnelles.
Sa recommandation « Clarifier et renforcer les obligations de service public qui s'imposent à l'acheminement des services d'urgence » s'est déjà partiellement traduite par la modification des dispositions législatives applicables aux opérateurs en matière d'appels d'urgence. En effet, l'article 17 de la loi « Matras » réintroduit une obligation de continuité de l'acheminement des communications d'urgence, obligation qui avait été récemment supprimée.
Cette évolution législative est à mettre en perspective avec les évolutions réglementaires récentes prises dans le cadre de la transposition de la directive européenne du 11 décembre 2018. Ces deux étapes marquent donc un premier pas dans la mise en oeuvre de la recommandation du rapport précité.
Toutefois, ces avancées concernent les dispositions générales applicables aux opérateurs de télécommunications, mais pas leurs obligations de service public. En effet, cette directive européenne ne considère pas que l'acheminement des communications d'urgence fasse partie des obligations du service universel des communications électroniques.
La portée d'une obligation générale applicable aux opérateurs est moindre que celle d'une obligation de service public.
L'état actuel du droit, ainsi que la panne massive intervenue sur les réseaux d'Orange, nous conduit à nous interroger sur l'avenir du service universel des communications électroniques. Depuis la fin de l'année 2020, le Gouvernement n'a toujours pas désigné de nouveau prestataire pour assurer ce service universel. Nous appelons donc à la mise en oeuvre rapide d'une nouvelle procédure de désignation du prestataire de service universel avec des obligations renforcées en matière d'acheminement des communications d'urgence renvoyant a minima aux dispositions de l'article L. 33-1 du CPCE, qui consacre une obligation générale de continuité de l'acheminement des communications d'urgence.
Comme de coutume, le Sénat veillera à ce que le décret d'application prévu par l'article 17 de la loi « Matras » soit publié dans des délais raisonnables et qu'il respecte tant la lettre de la loi que la volonté du législateur.
Nous veillerons également à utiliser nos prérogatives en matière de contrôle pour nous assurer que le Gouvernement favorise l'émergence de solutions technologiques permettant d'améliorer la fiabilité des transmissions des appels d'urgence, comme le recommande le rapport du 19 juillet.
En tant que parlementaires, nous veillerons à contribuer à une réflexion d'ensemble sur l'avenir du secteur des télécommunications. Cette panne souligne l'ampleur des défis à relever dans ce secteur. Ces défis sont nombreux, liés et interconnectés : ils ne devraient pas être examinés séparément. Pour les années à venir, c'est d'une stratégie globale dont nous avons besoin.
S'interroger sur les raisons de la panne du 2 juin dernier, c'est poser la question des obligations de service public des opérateurs et de l'avenir du service universel des communications électroniques.
S'interroger sur ce service universel, c'est poser la question de la transition technologique du réseau « cuivre » vers les réseaux fibre pour garantir un accès internet haut débit sur l'ensemble du territoire.
Cette transition ne doit laisser personne de côté, la qualité de service doit être assurée jusqu'au dernier mètre et jusqu'au dernier abonné.
Nous voulons que le plan Cuivre du Gouvernement et que les engagements pris sur ce sujet par Orange intègrent des dispositions spécifiques relatives à la transmission des appels d'urgence et au raccordement des centres de traitement de ces appels.
M. Jean Pierre Vogel , rapporteur au nom de la commission des finances . - Il convient de développer de nouvelles possibilités d'informer les populations en cas de panne des numéros d'urgence. Les développements de mon rapport de 2017 sur le volet mobile du système d'alerte et d'information des populations (SAIP) et l'intérêt pour la technologie de Cell Broadcast sont de nouveau d'actualité.
Il convient de prédéfinir les moyens alternatifs par le biais desquels les services de secours pourraient être contactés en cas de panne des numéros d'appel d'urgence. À ce titre, la mission d'information appelle à une réflexion profonde ouverte à l'ensemble des technologies disponibles.
Enfin, nous tenons à formuler une mise en garde des plus solennelles : alors que la panne du 2 juin a permis de prendre conscience des enjeux vitaux de la transmission des appels d'urgence, nous attirons l'attention sur un autre risque majeur qui concerne le traitement de ces appels d'urgence par les services d'incendie et de secours.
Ces appels sont traités par des SDIS via des systèmes, les systèmes de gestion des alertes et de gestion opérationnelle (SGA-SGO), qui leur permettent, en temps réel, d'identifier, de localiser et de mobiliser les moyens humains et matériels dont ils disposent pour répondre à une alerte donnée. Ces systèmes sont véritablement la moelle épinière des services d'incendie et de secours et de leur capacité opérationnelle.
Or, certains SGA-SGO, devenus particulièrement obsolètes, ne sont plus mis à jour par leurs éditeurs et certains systèmes anciens ne proposent pas les fonctionnalités récentes telles que la géolocalisation des appels d'urgence.
C'est la raison pour laquelle le projet NexSIS 18-112 a été initié en 2016. Il est porté par l'Agence du numérique de la sécurité civile (ANSC), dont notre collègue Françoise Dumont a été présidente, afin d'offrir aux SDIS qui le souhaitent une solution permettant le remplacement de leurs SGA-SGO.
Sept services d'information et de secours devaient initialement voir leurs SGA-SGO actuels remplacés par le système NexSIS en 2021, puis quatorze services d'incendie et de secours supplémentaires ainsi que la brigade des sapeurs-pompiers de Paris en 2022. Cependant, le conseil d'administration de l'ANSC du 7 juillet 2021 a révélé que le calendrier initial ne pourrait être tenu.
Ce retard fait craindre des pannes lourdes des SGA-SGO obsolètes ne pouvant être remplacés dans les temps. De telles pannes auraient des conséquences dramatiques dans les départements concernés, sans aucune commune mesure avec la panne des numéros d'appels d'urgence connue le 2 juin dernier.
Ce retard n'est pas imputable aux équipes de l'ANSC dont nous tenons à souligner l'excellence du travail et l'exemplarité de l'engagement. Mais elles ne suffisent pas à compenser le manque de moyens affectés par l'État à cette agence que le Sénat n'a cessé de souligner : d'abord dans mon rapport d'information « NexSIS 18-112 : un projet de mutualisation des systèmes d'information des SDIS, dont l'intérêt sur les plans économique et opérationnel doit être garanti », puis dans les rapports que Françoise Dumont et moi-même avons commis sur les crédits affectés à la sécurité civile lors du dernier PLF.
J'ai souligné que le plafond d'emplois de l'ANSC a été maintenu à 12 équivalents temps plein travaillé (ETPT) dans le PLF pour 2022, malgré les demandes de moyens humains supplémentaires formulées par l'agence. Françoise Dumont a, elle, dénoncé la faiblesse de la dotation de soutien aux investissements structurants des SDIS qui finance exclusivement l'ANSC à hauteur de 2 millions d'euros au sein du PLF pour 2022.
Alors que cette dotation avait été créée en 2016 pour redéployer les économies permises par la réforme de la prestation de fidélisation et de reconnaissance (PFR) à destination des sapeurs-pompiers volontaires, l'écart cumulé entre les économies réalisées au titre de la nouvelle PFR et les montants redistribués via la dotation aux investissements structurants n'a cessé de croître et était évalué, en 2020, à plus de 62 millions d'euros. Un redéploiement complet des économies déjà réalisées au travers du passage à la nouvelle PFR permettrait donc de couvrir largement les besoins de l'ANSC pour la mise en place du programme NexSIS.
Au regard des conséquences de la panne du 2 juin dernier, du caractère vital du programme NexSIS, du retard déjà enregistré pour son déploiement, des engagements financiers significatifs portés par les SIS et de la baisse récurrente de la dotation aux investissements structurants des SDIS qui assure le financement de ce programme, nous réitérons le souhait d'un effort financier conséquent de l'État pour le financement de l'ANSC.
M. François-Noël Buffet , président de la commission des lois . - Je remercie l'ensemble des rapporteurs pour ce travail.
Les commissions autorisent la publication du rapport d'information.
COMPTES RENDUS
DES AUDITIONS EN COMMISSION
Audition de M. Didier Vidal, administrateur interministériel
des
communications électroniques de défense
(Mardi 6 juillet
2021)
M. François-Noël Buffet , président . - Mes chers collègues, nous recevons aujourd'hui M. Vidal, qui est administrateur interministériel des communications électroniques de défense.
Le 2 juin, une panne massive de plus de 7 heures a rendu impossible l'acheminement de près de 12 000 appels vers les numéros d'urgence : le 15 pour les SAMU, le 17 pour la police, le 18 pour les sapeurs-pompiers et le 112, numéro européen d'appel dont on saura bientôt s'il deviendra ou pas « unique ».
L'enquête interne diligentée par la société Orange conclut à un dysfonctionnement de logiciel, sans doute provoqué « par une opération de modernisation et d'augmentation capacitaire du réseau, débutée début mai, pour répondre à l'accroissement du trafic ».
Devant les risques vitaux que font courir de telles pannes, le Sénat a souhaité prendre toute la mesure du dysfonctionnement survenu en instituant une mission d'information composée de Jean Pierre Vogel, Patrick Chaize, Marie-Pierre Richer et Jean-Michel Houllegatte, respectivement nommés par les commissions des finances, des affaires économiques, des affaires sociales et du développement durable. La commission des lois a nommé Françoise Dumont, Loïc Hervé et Patrick Kanner, tous trois rapporteurs de la proposition de loi visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers.
Nous vous entendons aujourd'hui pour connaître le contour exact de votre mission et pour que vous puissiez répondre aux questions qui vous seront posées par les rapporteurs sur les difficultés rencontrées.
Sans plus attendre, je vous donne la parole.
M. Didier Vidal, administrateur interministériel des communications électroniques de défense . - Je vous remercie. Je vais tout d'abord vous expliquer le rôle de l'administrateur interministériel et celui du commissariat aux communications électroniques de défense (CCED) qu'il dirige.
Les fonctions de l'administrateur interministériel sont encadrées par un décret du 29 décembre 2017. Il est placé auprès du ministre chargé des communications électroniques, actuellement Cédric O. Il est chargé, sous l'autorité du ministre et en lien avec le haut fonctionnaire de défense et de sécurité en charge des communications électroniques, de veiller au respect des obligations légales en matière de défense et de sécurité publique par les exploitants de réseaux et les fournisseurs de services de communications électroniques du Code des postes et des communications électroniques, et de mettre en oeuvre les dispositions techniques afférentes. À ce titre, il est notamment chargé de garantir la satisfaction des besoins exprimés par le secrétariat général de la défense et de la sécurité nationale (SGDSN) et par les départements ministériels envers les exploitants de réseaux et les fournisseurs de services de communications électroniques.
L'administrateur est également président de la commission interministérielle de coordination des réseaux et des services de communications électroniques pour la défense et la sécurité publique (CICRESCE). Cette commission comprend l'ensemble des ministères, des représentants des opérateurs, de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et de divers organismes. Elle se réunit régulièrement pour exposer les besoins de communications électroniques en matière de défense non militaire, de sécurité publique et de sécurité civile.
L'administrateur dirige le CCED dont le statut est défini par un arrêté du 29 décembre 2017 l'érigeant en service à compétence nationale. Les missions du CCED, au nombre de 16, visent à coordonner l'ensemble des besoins des départements ministériels envers les opérateurs, à s'assurer que ceux-ci respectent leurs obligations légales et à présenter aux départements ministériels l'ensemble des évolutions dans le domaine des télécommunications puisqu'il participe en effet aux travaux de normalisation et standardisation européens en la matière.
Le CCED était rattaché à France Télécom jusqu'à la fin des années quatre-vingt-dix. Il est devenu un commissariat dépendant du haut fonctionnaire de défense et de sécurité (HFDS) de Bercy jusqu'à fin 2017, date à laquelle il a été rattaché à la Direction générale des entreprises (DGE) auprès du service de l'économie numérique. L'administrateur est quant à lui placé auprès du ministre.
Le réseau de communications d'urgence est un réseau d'acheminement des communications entre un abonné et un centre de réception. Ce réseau n'a rien de spécifique puisqu'il s'agit du réseau utilisé par n'importe quel abonné d'un opérateur pour communiquer. Il n'y a pas de particularité d'acheminement des communications d'urgence, mais seulement un dispositif qui permet de transformer un numéro d'urgence court, comme le 18 ou le 112, en numéro long à 10 chiffres vers les centres de réception des communications d'urgence. Par ailleurs, la France dispose de 498 centres de réception des appels d'urgence en France métropolitaine et en outre-mer qui sont abonnés pour 95 % d'entre eux à l'opérateur Orange par le biais de liaisons anciennes du réseau téléphonique commuté (RTC) et non par des réseaux de voix sur IP utilisés par les mobiles et par les box. Pour le 17 (police ou gendarmerie), le 15 (SAMU), le 18 (pompiers) les centres de réception sont départementaux. En revanche, pour les autres numéros d'urgence, le 114, le 191, le 196 ou le 197 les centres sont régionaux ou nationaux.
La France dispose de 13 numéros d'urgence. En 2019, dernière année avant la pandémie de covid-19 qui a eu un impact sur le nombre de communications d'urgence, 76 millions d'appels ont été émis vers les centres de réception des communications d'urgence. En Europe, la moyenne est d'un appel par habitant et par an. Ces chiffres sont à comparer aux 72 milliards de minutes de communication en 2020 en France ou aux 207 milliards de SMS échangés en 2016, hors communications dites OTT par le biais d'applications comme WhatsApp . Ces chiffres permettent de relativiser la quantité d'appels d'urgence par rapport au volume global des communications électroniques.
L'essentiel des appels d'urgence est dirigé vers le 17 (22 millions d'appels) ainsi que vers le 15, le 115 et le 18 (environ 18 millions d'appels chacun, en incluant les appels reçus par le 112 qui sont ensuite réorientés vers le 18 ou vers le 15). Les autres numéros d'urgence ne reçoivent que quelques dizaines ou centaines de milliers d'appels. À noter que pendant la crise sanitaire, le 114 a été élargi aux violences conjugales et a vu ses appels multipliés par deux. 60 % des appels vers les numéros d'urgence sont émis à partir des mobiles et 40 % à partir de lignes fixes.
M. Patrick Chaize , rapporteur pour la commission des affaires économiques. - Vous n'avez pas évoqué dans vos propos liminaires la panne du 2 juin dernier. D'après les informations dont nous disposons aujourd'hui, cette panne semble liée à des problématiques de mise à jour de logiciel sur un équipement de transposition entre les deux technologies dont vous avez parlé, d'un côté le RTC et de l'autre la voix sur IP.
Quels sont vos moyens de contrôle des investigations sur l'organisation du réseau et son fonctionnement ? Avez-vous la possibilité d'apporter des conseils en matière de mise à jour ? En effet, celle-ci aurait été faite en même temps pour six équipements redondants, qui auraient pourtant dû se relayer en cas de panne. Nous pouvons nous interroger sur une mise à jour trop rapide. Par ailleurs, la panne a été détectée par le ministère de l'intérieur et non par l'opérateur. Quel est votre avis sur ce point ? Enfin, les plateformes de gestion des appels d'urgence sont hétérogènes, certaines sont modernisées, d'autres anciennes. La question d'une modernisation générale se pose, afin que toutes les plateformes disposent d'une technologie plus robuste. Le réseau mixe aujourd'hui le cuivre et la fibre optique. Peut-être faut-il envisager une accélération du basculement du réseau des numéros d'urgence vers la fibre ?
M. Jean Pierre Vogel , rapporteur pour la commission des finances . - Pouvez-vous nous indiquer quels sont les moyens matériels et juridiques dont vous disposez en matière de surveillance des opérateurs quant à leurs obligations en lien avec les numéros d'urgence et en matière de coordination et de gestion de crise. Comment vos fonctions s'articulent-elles avec celles de l'Autorité de régulation des communications électroniques et des postes (ARCEP) et de l'Agence nationale des fréquences (ANFR) ?
Quel regard portez-vous sur la défaillance intervenue le 2 juin dernier ? Quelles mesures préconisez-vous pour prévenir une nouvelle panne ?
Enfin, la mise en place d'un numéro unique d'urgence aurait-elle un effet positif ou négatif sur la fiabilité du système de gestion des appels, sur les centres de traitement de l'alerte (CTA) et sur la réception et la régulation des appels par le SAMU ?
M. Jean-Michel Houllegatte , rapporteur pour la commission de l'aménagement du territoire et du développement durable . - Les territoires les plus isolés, ruraux ou de montagne, sont les plus fragiles au regard de la réponse à une situation d'urgence. Portez-vous une attention particulière au renforcement de l'architecture des réseaux pour renforcer leur « résilience » dans les zones les plus éloignées des centres d'intervention ?
Comment fonctionne le dispositif de gestion de crise à la main des préfets ? Est-il sur le même réseau ? Les sites de défense utilisent-ils le réseau de l'opérateur historique Orange ou un réseau privé activé directement par le ministère ?
Mme Françoise Dumont , rapporteur pour la commission des lois . - Le texte que nous étudions sur la modernisation de la sécurité civile prévoyait à son origine l'instauration du 112 comme numéro unique en lieu et place des 13 numéros actuels.
Ma question rejoint celle de M. Vogel. La mise en place de ce numéro unique aurait-elle eu un effet négatif ou positif sur la crise du 2 juin ? Aurait-elle pu éviter les difficultés que nous avons rencontrées ?
Mme Marie-Pierre Richer , rapporteur pour la commission des affaires sociales . - Lors de son audition, Stéphane Richard a précisé qu'il s'agissait d'une opération de modernisation prévue de longue date, et que cet incident rare et grave n'était toutefois pas exceptionnel, le risque zéro n'existant pas dans les télécommunications. Or, un dysfonctionnement a déjà été constaté sur les plateformes de gestion des numéros d'urgence en 2018 et un autre, concentré sur certaines régions, en 2019. Nous avons pu constater quelles étaient les conséquences de ces dysfonctionnements pour les personnes qui n'ont pas pu entrer en contact avec les services d'urgence. Quels moyens peuvent être mis en place pour pallier les défaillances et pour que les usagers puissent contacter les services d'urgence par d'autres moyens de communication ?
M. Didier Vidal . - Le ministre a commandé un contrôle de sécurité et d'intégrité du réseau et des services d'Orange à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Le CCED, l'IGAS, l'IGA et le CGE y sont associés. L'ANSSI devrait remettre un rapport intermédiaire au ministre dans les prochains jours et le rapport définitif est prévu pour fin juillet. Je ne peux donc pas aujourd'hui me prononcer sur l'origine de la panne.
En revanche, nous pouvons partager avec Orange quelques constats. La panne est bien liée à la plateforme qui fait l'interface entre la voix sur le RTC et la voix sur IP. Elle a affecté l'ensemble du réseau puisqu'elle ne permettait plus aux centres de réception des appels, qui sont presque tous connectés sur le RTC, de recevoir des appels qui provenaient d'abonnés d'Orange ou d'un autre opérateur en RTC ou en voix sur IP.
Je ne peux pas vous en dire plus avant la publication du rapport de l'ANSSI à la fin du mois de juillet qui détaillera les causes précises de cette panne.
S'agissant de la modernisation des plateformes, plusieurs points doivent être mentionnés. Toute d'abord, les centres de réception d'appels disposent de vieilles installations sur le RTC. Celui-ci devrait disparaître puisque Orange a annoncé la fin du RTC en 2030 et celle du cuivre en 2035. Les administrations de tutelle des centres de réceptions des appels d'urgence ont conscience qu'ils doivent être modernisés. Par ailleurs, le standard ETSI NG112 est un standard de raccordement des centres d'appels en voix sur IP, qui existe depuis deux ans, et sur lequel le CCED commence à travailler.
Il y a des solutions qui semblent évidentes pour éviter ce type de panne. Ce sont des solutions qui relèvent strictement des télécommunications et qui consistent à rendre beaucoup plus résiliente l'interconnexion entre les centres d'appels et le réseau de l'opérateur, et à diversifier les accès opérateurs en ne limitant pas la connexion du centre à un seul opérateur et en le connectant avec les technologies de voix sur IP. Ces solutions ont un fort coût financier à la charge de l'ensemble des administrations qu'il ne faut pas négliger. Je rappelle que la France dispose de près de 500 centres d'appels avec des organisations très différentes. Ainsi, le financement des SDIS est assuré par les départements et celui des SAMU par les hôpitaux qui hébergent les centres de réception. Si chaque centre avait bénéficié d'une double adduction, c'est-à-dire de deux accès différents au réseau en technologie IP, l'impact de la panne du 2 juin aurait été limité.
Le CCED n'a pas pour rôle de mener des inspections techniques chez les opérateurs, ni ne dispose des moyens nécessaires pour cela. Il travaille à la préparation de l'avenir, au pilotage de projets et à la mise en oeuvre des obligations des opérateurs. C'est pourquoi le ministre a mandaté l'ANSSI pour conduire l'enquête sur la panne du 2 juin. Sur le plan juridique, le CCED est intégré à la DGE et s'appuie sur le service juridique de l'économie numérique et sur celui de la sous-direction des postes et des communications électroniques. Le CCED n'a pas d'expertise juridique propre. Il réunit des experts techniques qui s'assurent de la mise en place technique de leurs obligations par les opérateurs et qui conduisent des projets techniques sur l'évolution des dispositifs à la demande des départements ministériels.
S'agissant de la coordination du CCED avec l'ARCEP et l'ANFR, ces deux organismes siègent à la commission interministérielle des communications où sont également représentés la Fédération française des télécoms, le SGDSN et tous les ministères. Le CCED travaille de concert avec l'ARCEP et l'ANFR s'il doit exprimer des besoins auprès des opérateurs ou veiller au respect de leurs obligations légales. Si le CCED est informé du non-respect d'une obligation par un département ministériel, il s'assurera que l'opérateur mette rapidement en oeuvre des obligations et si celui-ci ne le fait pas, il saisira l'ARCEP qui engagera une procédure contre l'opérateur. Enfin le CCED travaille sur les sujets liés au brouillage avec l'ANFR.
Comme je l'ai déjà indiqué, le dysfonctionnement a touché la plateforme d'échanges entre l'ancienne technologie et la nouvelle technologie de communications électroniques, mais pas les outils qui permettent de transposer les numéros d'urgence courts en numéros longs. Par conséquent, un numéro d'urgence unique n'aurait rien changé à la panne. Le point essentiel pour éviter une nouvelle crise est la diversification de la connexion des centres d'appels en termes d'opérateurs.
Les opérateurs ont l'obligation de faire fonctionner les numéros d'urgence 24 heures sur 24, d'assurer l'aboutissement des appels, de géolocaliser l'appelant avec la position du mobile ou l'adresse de la ligne fixe. Par ailleurs, les appels doivent être gratuits, ne pas être inscrits sur la facture de l'abonné et démasqués pour que les centres de réception puissent rappeler les usagers.
À ce jour, une dizaine de pays européens a adopté le 112 comme numéro d'urgence unique. Les autres pays ont conservé plusieurs numéros. L'Espagne dispose de quatorze numéros mais 63 % des appels d'urgence arrivent sur le 112. La France dispose de treize numéros d'urgence mais seulement 9 % des appels arrivent sur le 112. Avant d'envisager la suppression de tous les numéros au profit du 112, la France doit communiquer plus largement sur ce numéro.
Plusieurs textes précisent les obligations des opérateurs au niveau des communications d'urgence. Le paragraphe 28 de l'article L. 32 du code des postes et des communications d'urgence (CPCE) définit ce qu'est une communication d'urgence : « ce sont les communications effectuées au moyen des services de communications interpersonnelles entre un utilisateur final et le centre de réception des communications d'urgence ». Il y a donc trois parties : l'utilisateur, le réseau de l'opérateur et le centre de réception. L'article L. 33-1 précise que l'opérateur doit respecter différentes règles parmi lesquelles :
- les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement ;
- l'acheminement gratuit des communications d'urgence.
L'article D. 98-5 détaille cette obligation : « dès qu'il en a connaissance, l'opérateur informe le ministre de l'Intérieur de toute atteinte à la sécurité ou perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux et services ».
L'article D. 98-8 énumère l'ensemble des obligations des opérateurs.
Un guide écrit en 2012 par le CCED en collaboration avec le HFDS de Bercy et revu début 2020 explique aux opérateurs comment déclarer les incidents. Il rappelle que « les incidents concernant les communications d'urgence lorsqu'ils provoquent l'indisponibilité totale d'au moins un numéro d'appel d'urgence, sur au moins un département, pour une durée dépassant 2 heures doivent être déclarés immédiatement au Centre opérationnel de gestion interministérielle des crises (COGIC) ». Le COGIC prévient à son tour le HFDS chargé des communications électroniques, qui informe le CCED pour qu'il puisse apporter son expertise technique pour résoudre la panne.
Lors de l'incident du 2 juin, le COGIC a reçu des alertes des centres d'appels qui ont détecté une baisse des appels et soupçonné des problèmes chez l'opérateur. Le guide prévoit ce cas de figure. Quand le COGIC est informé par les utilisateurs d'un incident majeur, il le relaie au centre de supervision de l'opérateur concerné.
Mme Françoise Dumont . - Savez-vous si le numéro unique en place dans dix pays européens aboutit à des plateformes communes, ou à des interservices, ou bien s'il est rerouté vers les différents services après un premier traitement ?
M. Didier Vidal . - Je ne suis pas en mesure de vous répondre.
M. Patrick Chaize . - L'opérateur historique a une obligation de service universel. C'est dans ce cadre qu'il traite les numéros d'urgence. Ce contrat de service universel est arrivé à son terme en octobre 2020. Pensez-vous que le gouvernement a pris un risque qui a conduit à cette situation de crise ? Quelles sont les perspectives de rétablissement d'un service universel digne de ce nom ? Aujourd'hui, la France dispose d'un réseau unique, en monopole, géré par un seul opérateur. Comment envisagez-vous la gestion du service universel quand le pays basculera sur des réseaux de fibres optiques opérés par des entreprises différentes ?
M. Jean-Michel Houllegatte . - Dans l'arrêté qui érige le CCED en service à compétence nationale, j'ai cru comprendre qu'il disposait d'une compétence d'injonction puisqu'il « traite des priorités d'établissement des communications ». Le confirmez-vous ?
Par ailleurs, dans vos missions, vous devez veiller à la satisfaction des besoins en prestations de communications électroniques liés à la défense et à la sécurité publique. Est-il envisageable que les communications de défense nationale et de sécurité publique soient affectées d'incidents du même ordre ?
M. Didier Vidal . - Le CCED traite des communications de défense nationale non militaires. Je ne suis pas en mesure de vous dire comment sont gérées les communications entre les centres opérationnels du ministère de l'intérieur qui ne font pas partie du périmètre du CCED.
Les priorités de rétablissement, par exemple si l'ensemble des communications électroniques sont tombées à la suite d'un ouragan ou d'une inondation, sont gérées au niveau des préfectures par le plan RETAP Réseaux, lui-même piloté par le ministère de l'Intérieur. Le CCED intervient dans la conception de ces plans qui doivent être remis à jour dans les prochaines années. Les infrastructures sont de plus en plus éparpillées et dans les priorités de rétablissement d'une liaison, nous devons prévoir l'essence pour alimenter le groupe électrogène d'un relais radio en cas de coupure de l'alimentation électrique. Ces plans ont été conçus à une époque où les communications électroniques étaient plus filaires que radios.
Le CCED n'est pas associé aux discussions sur le service universel, même si cette question est traitée au sein de la DGE.
Les réseaux de tous les opérateurs sont déjà utilisés. En effet, l'appel d'un utilisateur abonné chez un concurrent d'Orange est acheminé par le réseau de ce concurrent jusqu'à une plateforme d'interconnexion entre les deux opérateurs avant d'emprunter le réseau d'Orange jusqu'au centre de réception des appels d'urgence.
À l'issue de l'audit de l'ANSSI, le CCED préconisera une indispensable diversification des opérateurs permettant l'interconnexion des centres d'appels. Si chaque centre d'appels est relié au réseau par deux liens de communication de deux opérateurs différents, les risques de blocage seront considérablement réduits.
M. Patrick Chaize . - L'infrastructure de réseau est unique, même si plusieurs opérateurs l'utilisent pour apporter leurs services, sauf dans la centaine de grandes villes où il existe une concurrence par les réseaux. Les plateformes de réception des appels ne peuvent donc être connectées qu'à un seul réseau. En revanche, nous pouvons travailler sur les technologies pour que ces plateformes soient à la fois irriguées en hertzien et en fixe.
M. Didier Vidal . - La distribution finale est en effet liée à une seule infrastructure. Cependant, en communication IP, nous avons la possibilité de router les flux vers des plateformes et des réseaux différents. Si un utilisateur ne dispose que de la liaison offerte par son opérateur, les centres de réception des appels, qui sont généralement situés dans les grandes villes, ont la capacité de disposer de deux adductions, c'est-à-dire de deux liens physiques différents, pris chez deux opérateurs différents. Cette solution, qui a un coût, permettrait de sécuriser les centres d'appels.
Mme Anne-Catherine Loisier . - J'ai compris que la panne du 2 juin était liée à un bug de logiciel sur un équipement installé depuis 2016. Pouvez-vous le confirmer ? Si c'est bien cas, nous ne sommes pas à l'abri d'un nouvel incident car l'opérateur installe de nombreux logiciels.
Lors de son audition, le PDG d'Orange a proposé de ramener de 2 heures à 30 minutes la durée d'une panne déclenchant l'information du COGIC. Estimez-vous ce délai réaliste ? Par ailleurs, parmi les autres pistes évoquées, la mise en place de numéros provisoires avec une diffusion rapide de SMS vous semble-t-elle pertinente ? Peut-elle être rendue plus performante ?
Stéphane Richard a également évoqué la scission des activités d'Orange entre les services et les infrastructures. Cette piste est-elle explorée ?
Enfin, je m'interroge sur le numéro unique. Permettra-t-il de répondre véritablement à la question fondamentale du tri entre les vraies urgences et celle qui le sont moins ? Le personnel médical rappelle régulièrement que les vraies urgences doivent être traitées dans des délais très courts et regrettent que le 15 soit largement encombré. Seuls 5 % des appels au 15 sont relatifs à de vraies urgences. Y a-t-il une réflexion sur la création d'un numéro pour les urgences véritables et d'un numéro distinct pour les interventions rapides ?
M. Didier Vidal . - Sur le bug de logiciel, un audit est en cours et je refuse de me prononcer sur l'origine du problème.
Nous avons l'intention de mettre à jour le guide de déclarations des incidents pour les opérateurs et de réduire les délais. En effet, de nombreux dispositifs reposent sur les opérateurs de communications électroniques, y compris des dispositifs de sauvegarde. Le CCED travaille, en lien le ministère de l'Intérieur et comme le prévoient les directives européennes, à un dispositif d'alerte des populations concernant les problèmes de sécurité publique à travers la téléphonie. Des missions essentielles reposeront donc sur ces opérateurs et il nous faut accroître nos capacités à les contrôler, à les surveiller, et à mettre en place des procédures de détection de pannes pour y remédier dans les meilleurs délais.
Les numéros provisoires n'ont servi à rien puisque la panne n'était pas liée à la transformation des numéros courts en numéros longs mais à la plateforme d'échanges entre la vieille et la nouvelle téléphonie. En revanche, nous devons réfléchir à un système de secours si les dispositifs téléphoniques ne fonctionnent plus pour joindre un centre d'appels.
Ce n'est pas à moi de répondre à la question sur le numéro unique. Je ne sais pas si les urgences seront mieux ou moins bien traitées avec un tel numéro. C'est une question de métier des services de secours, qui doit être traitée avec les services départementaux d'incendie et de secours (SDIS), les SAMU, la police et la gendarmerie. Peut-être faudrait-il étudier comment fonctionnent les pays qui ont mis en place ce numéro unique ? Par ailleurs, la proposition de loi en cours d'examen prévoit une expérimentation de rapprochement de centres. Du point de vue des télécommunications, irriguer 500 centres en termes de communications d'urgence, avec des répartitions par départements, rend le dispositif particulièrement complexe. Or la complexité est source de pannes. Plus le nombre de centres de réception d'appels sera réduit, plus le nombre de pannes sera limité.
Par ailleurs, si les centres d'appels étaient équipés de matériel moderne de traitement des appels, ces derniers pourraient être renvoyés d'un centre à l'autre. En effet, tous les centres ne sont pas saturés en même temps et les appels à destination d'un centre en panne pourraient être reroutés vers un autre centre, à condition que ces centres soient reliés par des connexions modernes, donc de la voix sur IP, et qu'ils disposent de matériels récents.
Au-delà du numéro unique, nous devons réfléchir à des travaux de modernisation des outils et des accès des centres. Aujourd'hui, les tables qui sont données aux opérateurs pour leur permettre de router les appels sont construites avec les numéros INSEE des 36 000 communes à partir de treize numéros d'urgence et un à deux numéros par centre de réception des appels. Leur complexité est source d'erreurs régulières, notamment dans la transmission des numéros des centres aux opérateurs. Il y a donc un vrai travail à mener sur le nombre de centres d'appels.
M. François-Noël Buffet , président . - Je vous remercie pour toutes les précisons que vous nous avez apportées.
Audition de M. Stéphane Richard,
président-directeur
général d'Orange
(Mardi 5 octobre 2021)
M. François-Noël Buffet , président . - Mes chers collègues, comme vous le savez, le 2 juin dernier, une panne massive de plus de sept heures a rendu impossible l'acheminement de près de 12 000 appels vers les numéros d'urgence : le 15 pour le SAMU, le 17 pour la police, le 18 pour les sapeurs-pompiers et le 112, numéro européen d'urgence, dont on saura bientôt s'il deviendra le numéro unique.
L'enquête interne diligentée par la société Orange, dont nous recevons aujourd'hui le président-directeur général, Stéphane Richard, conclut à un dysfonctionnement logiciel, sans doute provoqué « par une opération de modernisation et d'augmentation capacitaire du réseau, débutée début mai, pour répondre à l'accroissement du trafic ».
Depuis la remise de ces conclusions, notre mission d'information a entendu Didier Vidal, administrateur interministériel des communications électroniques de défense, qui nous a fourni certains éclaircissements sur les obligations légales s'imposant aux opérateurs et à leur contrôle.
Nous avons également pu prendre connaissance des conclusions du rapport ad hoc commandé par le Premier ministre et remis le 19 juillet dernier, qui font notamment état d'un « dysfonctionnement de l'équipement causé par une manipulation de l'opérateur » et du caractère très tardif des échanges techniques entre l'opérateur et le fournisseur de ces équipements en vue de rétablir le service.
Devant les risques vitaux qu'une panne de réseau fait courir, le Sénat a souhaité prendre toute la mesure du dysfonctionnement survenu en instituant la présente mission d'information. Elle a pour rapporteurs Jean Pierre Vogel, désigné par la commission des finances, Patrick Chaize, désigné par la commission des affaires économiques, Marie-Pierre Richer, désignée par la commission des affaires sociales, Jean-Michel Houllegatte, désigné par la commission de l'aménagement du territoire et du développement durable, ainsi que Loïc Hervé, Patrick Kanner et Françoise Dumont, tous trois désignés par la commission des lois.
J'invite Stéphane Richard à partager son point de vue sur les circonstances de cette panne et sur les conclusions du rapport remis le 19 juillet dernier.
M. Stéphane Richard, président-directeur général d'Orange. - Les événements ayant provoqué le dysfonctionnement de la nuit du 2 au 3 juin dernier ont déjà été amplement présentés. Je suis prêt à les détailler de nouveau ; mes collègues Marc Blanchet, directeur technique et du système d'information, et Nicolas Guérin, secrétaire général, qui m'ont accompagné aujourd'hui, pourront également répondre à vos questions.
Pour corriger certaines informations qui ont été relayées, la panne qui nous a touchés n'a pas du tout consisté en une interruption totale des numéros d'urgence : 90 % des appels ont bien été acheminés ; seulement 10 000 appels n'ont pu aboutir. Ce n'est pas une panne totale qui s'est produite, mais un dysfonctionnement. Reste que nous sommes parfaitement conscients des conséquences que cet incident a pu entraîner.
La panne est survenue à la suite d'une opération de modernisation et d'extension d'un équipement critique. Elle n'a donc pas pour cause un mauvais entretien de certaines parties du réseau fibre ou l'obsolescence, bien au contraire. Ayant constaté une augmentation des trafics « voix » et « data » lors des confinements successifs en 2020, Orange a décidé d'accroître la capacité de l'équipement critique assurant l'interconnexion entre les appels dits « voix sur IP » (VoIP), c'est-à-dire ceux qui proviennent des « box », et le réseau téléphonique commuté (RTC), dont dépendent les numéros d'urgence. C'est donc à l'occasion d'une modernisation du réseau, via l'installation d'un quatrième équipement additionnel, que s'est produit l'incident.
Une anomalie logicielle, c'est-à-dire un bug, est survenue au cours des manipulations humaines requises lors la déconnexion et de la reconnexion de ce nouvel équipement. En conséquence, quatre serveurs sont tombés en panne. Malheureusement, les dispositifs de redondance qui permettent en principe de répondre à la défaillance d'un équipement n'ont pas fonctionné. Le bug ayant touché l'équipement dans son entier, tous les serveurs ont été affectés en même temps.
Depuis cette panne, plusieurs travaux ont été conduits. Pour ma part, j'ai demandé qu'il soit procédé sans délai à un audit interne. L'Agence nationale de la sécurité des systèmes d'information (Anssi), de son côté, a réalisé un rapport, qu'elle a remis en juillet dernier. Les conclusions de ces travaux sont cohérentes, tant sur l'aspect technique de l'incident que concernant les insuffisances pointées chez Orange. L'Anssi a ainsi souligné qu'une erreur de procédure avait été commise lors de la manipulation humaine. Elle a indiqué que nos équipes n'avaient pas suffisamment attendu entre la déconnexion et la reconnexion de chacun des équipements, ce qui n'a pas permis d'interrompre l'opération et d'épargner l'ensemble des serveurs.
À la décharge des équipes d'intervention, un tel incident n'était jamais survenu, a fortiori lors de telles opérations courantes. Le risque zéro n'existe pas. Nos équipes ont sans doute fait preuve d'une certaine imprudence. Aurions-nous évité la panne si un délai de quinze minutes avait été observé entre la déconnexion et la reconnexion de chacun des serveurs ? Rien n'est moins sûr. En ce qui concerne la réponse technique, il est certain que les procédures sont à revoir.
Dès que nous avons pris conscience de l'incident, la mobilisation de nos équipes a été immédiate. Plus de cent personnes se sont efforcées de comprendre l'origine de la panne et d'y remédier. Notre délai de réaction a été de sept heures. Cela peut paraître long, mais lorsqu'un problème de cette nature se pose, il faut un certain temps et beaucoup d'expertise pour en identifier les causes et définir le protocole propre à remettre en service les équipements concernés.
Ce genre d'incident fait partie de la vie des opérateurs. En témoigne la panne mondiale qui a touché hier l'équipement logiciel desservant les data centers de Facebook. Elle a d'ailleurs duré bien plus de sept heures et des millions d'usagers ont été privés de service. Le temps requis pour remédier à une panne importante est incompressible ; le délai de réaction d'Orange est donc tout à fait explicable.
Notre audit interne l'a bien démontré : au fond, ce n'est pas la mobilisation de nos équipes qui est en cause, mais la gestion de la crise et notre communication avec les services d'urgence et les pouvoirs publics. Forts de ce constat, nous avons pris, dès cet été, un certain nombre de décisions vouées à corriger en profondeur notre organisation de gestion de crise.
Il est prévu que la constitution des cellules de crise, avec une communication renforcée - diffusion dans les médias et remontée d'informations à destination des parties prenantes directement affectées -, s'opère dans un délai de trente minutes et non plus de deux heures. Cette mesure peut paraître simple, mais elle suppose une réorganisation en profondeur de nos processus.
Vous êtes les représentants de la Nation et nous sommes ceux d'une grande entreprise qui a des millions de clients et le sens de ses responsabilités ; nous devons tous réfléchir à des solutions. Il est impossible d'empêcher qu'un tel incident se reproduise ; en matière de communications électroniques, le risque zéro n'existe pas - même une proposition de loi n'y changera rien.
Au cours des trois dernières années, au moins vingt accidents notables ont affecté les numéros d'urgence presque partout dans le monde. Ils ont été, la plupart du temps, bien plus importants que la panne que notre entreprise a connue en juin dernier.
Ces incidents, qui durent parfois jusqu'à deux jours, touchent même les grands pays du monde, tels que les États-Unis, la Suisse ou l'Allemagne, et des opérateurs importants comme Deutsche Telekom, Vodafone, ou encore NTT. Ces incidents sont regrettables, mais ils font partie de la vie des opérateurs. Personne, ici, ne peut garantir qu'aucune panne ne se reproduira.
En revanche, nous pouvons travailler à la réaction qu'il convient d'adopter et à la communication de crise. Il conviendrait de s'attaquer aux problèmes sous-jacents d'architecture du réseau. La technologie RTC est encore utilisée par 90 % des services d'urgence en France. C'est une technologie ancienne, qui suppose de passer par la plateforme d'interconnexion en cause lors du dysfonctionnement de l'été dernier.
Dans les années à venir, assurer la migration de l'ensemble des services d'urgence vers le VoIP permettrait de réduire les risques techniques associés. Mais cela suppose un investissement. Plus de 10 % des services d'urgence français utilisent déjà cette technologie : ils n'ont rencontré aucun problème dans la nuit du 2 au 3 juin dernier.
La modernisation de l'architecture technique utilisée par les numéros d'urgence est absolument indispensable. Au-delà, cet incident pose la question des moyens de communication qui sont à notre disposition pour alerter le grand public. La panne que nous avons connue a affecté un type de communication en particulier, mais pas les autres : les appels réalisés depuis les téléphones mobiles vers les numéros d'urgence ont très bien fonctionné. Les appels réitérés plusieurs fois de suite, quant à eux, ont fini par aboutir.
La diffusion au grand public d'un message qui prévient d'un incident de réseau affectant les numéros d'urgence, et qui propose d'autres moyens pour les joindre, est une procédure à pérenniser. Nous pourrions réfléchir à mettre en place un numéro mobile d'urgence, comme l'ont déjà fait les préfectures. Les alertes SMS sont aussi une solution ; elles sont déjà utilisées en cas de menace terroriste ou pour prévenir la population des tremblements de terre et des raz-de-marée dans certains pays.
Beaucoup de questions se posent, tant pour la puissance publique que pour les opérateurs de téléphonie. Pour y répondre au mieux, l'entreprise Orange est totalement mobilisée.
En résumé, c'est un incident sérieux qui nous a touchés. Nous avons conscience qu'il a suscité beaucoup d'émotions ; il a peut-être occasionné quelques victimes. Un certain nombre de cas font encore l'objet d'investigations administratives ou judiciaires : laissons-les arriver à leur terme avant de tirer des conclusions.
Sur le plan technique et du point de vue de la gestion de crise, nous avons tiré des conséquences immédiates de cette panne et nous avons revu en profondeur nos procédures. Je le répète : les réseaux sont par nature faillibles. Il y a toujours eu des pannes et il en surviendra d'autres ; personne ne peut garantir qu'elles soient éliminées. Cependant, il nous faut les éviter ou les prévenir autant que possible et nous efforcer d'en réduire l'impact, en travaillant à la modernisation de l'architecture des services d'urgence et à la prévention du public.
Beaucoup de leçons sont à tirer du dysfonctionnement de juin dernier. Pour notre part, nous avons réagi immédiatement, avec beaucoup d'humilité.
M. Jean Pierre Vogel , rapporteur de la commission des finances. - En effet, il y aura toujours des pannes. En matière de technologie, rien n'est sûr à cent pour cent. Il conviendrait de créer un système de prévention à destination du public, comme l'ont fait les préfectures ou les réseaux sociaux. La technologie d' emergency broadcast , utilisée au Japon et aux États-Unis, n'a pas été choisie par la France, qui lui a préféré le système d'alerte et d'information des populations (SAIP) - il a d'ailleurs occasionné une vraie gabegie et a été depuis lors abandonné. Quelles sont vos préconisations concernant la mise en place de dispositifs de prévention ?
M. Jean-Michel Houllegatte , rapporteur de la commission de l'aménagement du territoire et du développement durable. - Les pannes nous rappellent la fragilité de nos infrastructures informatiques et de nos réseaux ; le bug de WhatsApp et Facebook l'a démontré hier. L'incident qui s'est produit en juin dernier consistait-il en une panne de logiciel ou d'équipement ?
La panne d'Orange a touché six centres nationaux : un à Reims, un à Aubervilliers, deux à Paris et deux à Lyon. Ces centres étaient-ils interconnectés ? Y avait-il redondance et, le cas échéant, était-elle suffisante ?
M. Patrick Chaize , rapporteur de la commission des affaires économiques. - Je vous remercie, monsieur Richard, pour la précision de vos propos et pour l'autocritique à laquelle vous vous êtes livré. Vous avez parlé d'imprudence. Pour ma part, je parlerais plutôt d'excès de confiance. Je le dis sans polémique : le réseau d'Orange est robuste et il n'avait pas connu de panne importante par le passé. Mais ce genre de panne fait mal quand elle survient, d'autant qu'elle a affecté des numéros d'urgence.
Le passage d'un monopole à un réseau multiopérateurs a rendu l'exercice plus complexe. Aujourd'hui, à qui doit-on confier la gestion des numéros d'urgence ? Est-ce aux opérateurs d'endosser cette responsabilité, ou est-ce aux pouvoirs publics de s'organiser en vue d'assurer une gestion de service public ?
Selon vous, la migration des numéros d'urgence vers le VoIP est nécessaire. Mais disposons-nous véritablement d'une perspective pour sortir du réseau cuivre ?
Mme Marie-Pierre Richer , rapporteure de la commission des affaires sociales . - Vous avez déclaré que l'on n'était pas à l'abri d'un nouvel incident similaire. À ma connaissance, de telles pannes avaient déjà eu lieu, à l'échelle régionale, en 2019 : une fois dans l'Indre, une autre en région lyonnaise. Ces pannes ont-elles donné lieu à un audit ?
Vous avez déclaré lors de votre audition à l'Assemblée nationale en juin dernier avoir décidé en tant que président de la GSMA, l'association mondiale des opérateurs de téléphonie mobile, la mise en place d'une cellule chargée de répertorier, analyser et partager les expériences de tous ces opérateurs sur ce type de dysfonctionnements. Qu'en est-il de cette initiative ?
Mme Françoise Dumont , rapporteure de la commission des lois . La mise en place du 112 comme numéro unique d'urgence pourrait-elle avoir un impact, positif ou négatif, sur la fiabilité du système d'appel ? Qu'en serait-il de la mutualisation des centres de traitement des appels entre services départementaux d'incendie et de secours (SDIS) et les services d'aide médicale urgente (SAMU) ?
M. Stéphane Richard. - Je laisserai M. Blanchet répondre précisément sur les aspects techniques de vos questions. Concernant les outils de prévention du public que l'on pourrait préconiser aujourd'hui, je ne suis pas sûr qu'il y ait une seule bonne réponse. Un travail est conduit par le ministère de l'intérieur, avec notre participation, sur le SAIP et l'éventuel déploiement d'un système de cell broadcast ; ce travail doit déboucher sur des décisions et des recommandations d'ici à l'été prochain.
Nos concitoyens vivent tous avec un téléphone dans leur poche ; ils ont l'habitude de l'utiliser sans encombre, et chaque problème suscite un désarroi bien plus grand que lors de dysfonctionnements équivalents dans les grands services publics de transport, par exemple. Un arrêt complet du service téléphonique est exceptionnel. Les gens n'y sont pas du tout préparés.
Il convient donc, sans doute, de faire preuve de pédagogie, mais aussi de mettre des instruments alternatifs à disposition de ceux qui ont un besoin critique d'appeler les urgences : ainsi, un appel vital pourrait aboutir même quand survient un dysfonctionnement technique. Mais le problème n'est pas toujours technique ; les installations des services d'urgence subissent régulièrement des défaillances, partout sur le territoire. Nombre de problèmes qui nous sont remontés après le 2 juin n'avaient rien à voir avec le réseau. L'opérateur, chargé d'acheminer les appels, ne peut pas résoudre toutes les causes de non-fonctionnement des numéros d'urgence.
En tout cas, la mise en place par les préfectures de numéros de dépannage qui pourraient être composés quand le 15 ou le 112 ne fonctionnent pas pourrait renforcer la résilience globale du système. Plus généralement, une plus grande variété dans les modes d'accès possibles de nos concitoyens aux services d'urgence est souhaitable : à l'heure actuelle, le système dépend trop largement de l'équipement qui a fait défaut le 2 juin. Le système RCP est voué à disparaître ; la transition générale du cuivre vers la fibre et le VoIP est engagée et ne saurait durer plus que quelques années. Trop peu de services d'urgences - treize SAMU seulement - ont pourtant accompli cette transition à l'heure actuelle.
L'accessibilité des numéros d'urgence à tout moment et en tout point du territoire est cruciale pour nos concitoyens. La modernisation technique de ce système devrait être une priorité nationale, plutôt que la mise en place d'un nouveau centre d'appel.
Ce qui s'est produit le 2 juin était une panne logicielle, le logiciel en question faisant fonctionner un équipement. Ce n'était pas une panne matérielle directe.
M. Marc Blanchet, directeur technique d'Orange. - Je ne peux pas vous donner beaucoup de détails sur les travaux menés autour du SAIP avec le ministère de l'intérieur. Plusieurs solutions efficaces existent ; il revient au ministère d'en choisir une et de l'implémenter.
Le 2 juin, il ne s'agissait effectivement pas d'une panne matérielle ; l'équipement en cause n'a d'ailleurs pas complètement cessé de fonctionner, ce qui a compliqué le diagnostic de la crise. La fonction de ces call servers est de traiter tous les appels provenant des réseaux mobiles et VoIP, ainsi que des autres opérateurs, pour les acheminer vers le réseau téléphonique commuté ; en somme, il traduit ces appels d'un code à l'autre. Six call servers différents assument ce rôle, avec une redondance : trois ou quatre suffisent en temps normal, cinq au pic du trafic.
Le dysfonctionnement logiciel s'est produit à la suite d'une opération de routine - on en effectue de telles cent à cent cinquante fois par an - en amont des call servers : la fermeture, puis l'ouverture d'une route ; ce caractère ordinaire des commandes effectuées pour en informer les call servers a peut-être contribué à un manque de vigilance et de prudence. C'est cet enchaînement de commandes qui, curieusement, a déclenché un bug, dont l'effet n'a pas été instantané : un tableau informatique a commencé à se remplir et a fini par saturer, quelques dizaines de minutes après la conclusion de ces opérations, dont on avait pu croire qu'elles s'étaient passées normalement. C'est seulement quand ces fichiers se sont trouvés saturés que les call servers ont commencé à moins bien fonctionner. Nous avons simplement vu baisser le trafic qu'ils traitaient, sans message d'erreur. Les équipes ont alors cherché à diagnostiquer le problème, mais les solutions courantes - retour arrière, réinitialisation des paramètres - n'ont pas suffi et il a fallu du temps pour comprendre que les commandes reçues avaient corrompu le logiciel.
La redondance offerte par les six call servers était, selon moi, suffisante. Comment se protéger davantage ? Ce bug précis ne se reproduira plus : il a été identifié dès le lendemain par le fournisseur, qui a rapidement livré un correctif. Pour autant, plus de prudence s'imposait : désormais, quand on envoie une commande à un call server , on attend quinze minutes dans tous les cas, même si c'est une commande très simple. Si la commande en question est employée pour la première fois, même si le changement est minime, on l'applique d'abord à une plateforme de test. Un durcissement de nos procédures nous a paru plus pertinent qu'une redondance accrue pour augmenter le niveau de sécurité.
Pendant toute cette crise, plus de 80 % des appels passés ont abouti ; on ne sait pas si une seule personne a été dans l'incapacité totale de joindre un service d'urgence, en passant par son mobile plutôt que par sa box, par exemple ; ces services ont reçu au total plus d'appels que la semaine précédente.
On n'aura jamais de risque zéro, mais les enseignements que nous tirons de ce dysfonctionnement nous permettent de rehausser le niveau de précaution.
M. Stéphane Richard. - Monsieur Chaize, plutôt que d'excès de confiance, je parlerais de routine et d'un petit déficit de vigilance. Nous en avons tiré beaucoup de conséquences.
L'organisation du secteur des télécoms a-t-elle joué un rôle dans cet incident ? De fait, l'équipement en cause est rendu indispensable moins par l'existence de plusieurs opérateurs que par celle de plusieurs technologies permettant d'acheminer des appels. La réponse à l'incident a surtout été rendue plus complexe par le fait que l'organisation du travail était alors encore fortement affectée par la crise sanitaire : beaucoup d'équipes étaient en télétravail.
Faudrait-il confier la gestion des numéros d'urgence au secteur public ? Cela dépend ce qu'on entend par cette gestion : les services qui gèrent les réponses aux appels d'urgence sont déjà publics ! Il est d'ailleurs souhaitable que ces opérateurs fassent les investissements nécessaires pour améliorer leur résilience : ce n'est pas de notre responsabilité. De fait, ce type d'incident touche tous les opérateurs, qu'ils soient publics ou privés : Swisscom, société à capitaux majoritairement publics, a connu trois pannes importantes en un an !
Cet incident peut avoir la vertu de faire réaliser à chacun combien il est vital d'assurer l'accessibilité la plus large et la plus permanente à ces numéros d'urgence. Notre responsabilité technique en la matière est majeure. C'est pourquoi nous avons modifié nos procédures. On essaie de corriger un autre problème encore : dans l'architecture du réseau téléphonique, rien ne permet un suivi spécifique des numéros d'urgence. Ainsi, l'incident du 2 juin a affecté 3 millions d'appels à toutes sortes de destinataires, bien au-delà des numéros d'urgence. On ne s'est donc pas rendu compte immédiatement que ceux-ci étaient affectés !
Nous devons mettre en place des systèmes de détection des problèmes techniques ayant des conséquences sur les numéros d'urgence ; en miroir, leurs opérateurs devraient également adapter leur infrastructure technique, notamment en basculant sur la technologie VoIP.
M. Nicolas Guérin, secrétaire général d'Orange. - Nous avons suggéré à la direction générale des entreprises du ministère de l'économie, des finances et de la relance de publier un livre blanc en matière de commande publique, afin d'encourager une harmonisation technique des prestations que les services d'urgence achètent aux opérateurs de télécommunication. Il y a aujourd'hui presque autant d'architectures que de services régionaux ! Nous sommes prêts à les aider dans cette standardisation.
M. Stéphane Richard. - Si je ne m'abuse, nous avons plus de 450 comptes clients différents pour les numéros d'urgence. Un groupement de treize SAMU s'est constitué pour une approche mutualisée, mais cela reste une exception.
M. Marc Blanchet. - Certains disposent de prestations centralisées semblables à celles de nos plus gros clients, d'autres se contentent d'abonnements simples, sans aucune visibilité. Dans cette crise, les opérateurs et les services de l'État ont eu beaucoup de mal à voir ce qui se passait et beaucoup d'informations erronées circulaient. Avec une meilleure visibilité, on aurait pu donner de meilleurs conseils pour joindre les services et l'impact de la panne aurait été bien moindre.
Cette panne aurait pu se produire même avec un opérateur unique : les appels depuis une box « Orange » passent également par l'équipement défaillant. En revanche, l'existence de plusieurs opérateurs nécessite une coordination supplémentaire. Cette fois-ci, chacun a opéré à tâtons pour trouver par où faire passer le trafic, de manière plus ou moins heureuse. Nous réfléchissons à renforcer les cellules de crise conjointes entre opérateurs, qui existent déjà, pour aboutir à des routages intelligents.
M. Stéphane Richard. - Madame Richer, j'ai effectivement présidé une réunion du conseil d'administration de la GSMA en juin dernier. Ma proposition de création d'une cellule d'étude des dysfonctionnements y a été adoptée à l'unanimité. On est en train de la mettre en place, par le biais des correspondants de la GSMA au sein des principaux opérateurs mondiaux dans un premier temps. Cela permettra au moins la création d'une base de données qui fait défaut aujourd'hui : c'est par les médias que nous nous informons en la matière ! Or les opérateurs qui subissent de tels problèmes ne sont pas toujours enclins à les exposer dans le détail, ce qui limite les informations disponibles ; j'espère que l'initiative de la GSMA fera évoluer les choses.
M. Marc Blanchet. - Les pannes locales ou régionales se produisent, hélas, assez fréquemment. Plusieurs fois par semaine, une défaillance ou une difficulté affecte un service d'urgence. En général, elle dure quelques heures. Cela peut résulter d'un câble arraché, d'une panne d'énergie, d'un téléphone non raccroché, ou encore d'un afflux d'appel trop important. C'est pourquoi la redondance des modes d'accès et le renvoi des appels d'un site à l'autre sont si importants. La fiabilisation des services d'urgence de demain passe par une telle approche.
M. Stéphane Richard. - Des incidents auront toujours lieu. Les événements climatiques en particulier affectent beaucoup les réseaux, comme ce fut le cas dans la vallée de la Roya l'an dernier. Il faut se préparer à de telles situations en développant des solutions innovantes. Ainsi, chacun des 450 services d'urgence pourrait être doté d'un téléphone satellitaire, pour éviter une catastrophe en cas de panne conjointe des réseaux fixe et mobile. Des solutions technologiques existent pour rendre plus joignables des services aussi critiques, même si cela suppose quelques efforts d'investissement.
L'instauration d'un numéro unique d'appel d'urgence ne constitue pas, en tant que telle, une réponse au risque de défaillance : la vraie solution est plutôt la migration vers une autre technologie - le passage du RTC à la technologie VoIP -, même s'il est clair que la création d'un numéro unique simplifierait cette migration. Plus qu'un numéro unique, l'essentiel est bien l'architecture technique globale du système.
M. Patrick Chaize , rapporteur . - Que pensez-vous de l'article 9 bis de la proposition de loi visant à consolider notre modèle de sécurité civile, qui a été adopté au Sénat à l'initiative du Gouvernement et qui crée une obligation d'acheminement ? Quelles mesures opérationnelles comptez-vous prendre ?
M. Loïc Hervé , rapporteur de la commission des lois . - Je voulais vous poser la même question !
M. Jean-Michel Houllegatte , rapporteur. - L'Anssi a publié, le 19 juillet dernier, un rapport relatif à l'évaluation de la gestion, par Orange, de la panne du 2 juin, dont les conclusions sont énergiques et pour le moins mitigées. Comment y répondez-vous ?
M. Marc Blanchet . - Monsieur Chaize, Orange ne peut qu'être favorable à toutes les propositions qui permettent d'améliorer le dispositif. Nous avons toutefois deux remarques à faire. Le dispositif prévu ne concerne que l'acheminement - le trafic -, tous opérateurs confondus, et non l'hébergement : cela n'empêcherait pas la panne de se reproduire. Ensuite, il ne faut pas confondre acheminement et accès. Il est impossible d'atteindre un taux d'acheminement de 100 %. En trafic normal, dans des conditions optimales, ce taux est de 97 %. L'essentiel est donc l'accès, la capacité à accéder aux services d'urgence après un ou deux, voire trois appels. La distinction peut paraître subtile, mais elle est techniquement fondamentale.
M. Stéphane Richard . - Nous avons évidemment eu communication du rapport de l'Anssi auquel nous n'avons pas apporté à ce stade de réponse formelle.
M. Nicolas Guérin . - Nous nous sommes néanmoins engagés à mettre en oeuvre ses 18 recommandations. Nous allons mener 78 actions, dont la plupart seront effectives dès le mois de mars prochain. Nous allons donc plus loin que l'Anssi. Certaines de ces actions dépassent Orange et sont menées en lien avec les services de l'État. Nous partageons, sinon la forme, du moins les analyses du rapport, qui rejoignent le diagnostic que nous avions nous-mêmes réalisé. Nous mettrons donc en oeuvre toutes les recommandations de l'Anssi. Cela n'évitera pas toutes les pannes, mais contribuera à élever le niveau de sûreté.
M. Stéphane Richard . - Je veux dire un mot sur la forme. Lorsqu'un problème de cette nature surgit, nous sommes évidemment responsables. L'Anssi a choisi de rédiger un rapport écrit. Je voudrais toutefois préciser que les échanges oraux que nous avons eus avec l'Anssi à l'occasion de la présentation de ce rapport ont été d'une tonalité très différente de celle du rapport lui-même. Nous travaillons quotidiennement avec cette agence et menons de nombreux projets ensemble. Le rapport ne doit pas faire oublier le fait que nos équipes se connaissent très bien et entretiennent des relations et un dialogue étroits.
Quant au fond, avec ses conclusions énergiques, l'Anssi a confirmé nos propres analyses, tant sur la détermination des origines de la panne que sur les défaillances. Elle a mis l'accent sur le volet technique de l'affaire, mais nos analyses convergent. J'ajoute que, dans le prolongement de ce rapport, nous avons décidé de procéder à des exercices de crise, que nous ne faisions pas régulièrement. Un test aura lieu au début de 2022. L'équipe dirigeante d'Orange s'y pliera aussi et a réalisé un premier exercice en septembre ; nous avons beaucoup appris.
M. Loïc Hervé , rapporteur. - Je veux revenir sur l'amendement du Gouvernement adopté par le Sénat : j'entends la distinction entre l'acheminement et l'accès, mais une autre question se pose, celle de la supervision technique. Orange nous a alertés sur les conséquences financières d'une telle supervision technique. Qu'en est-il ?
M. Marc Blanchet. - Quelle serait la finalité d'une supervision technique sur l'acheminement ? S'agirait-il de constater que le trafic aboutit ? Si l'on veut que la supervision soit efficace, elle devrait porter aussi sur les call servers , les services hébergés, etc. La proposition de loi pose en l'état une exigence de supervision, mais sans préciser sa nature ni son périmètre. Or le coût peut varier considérablement en fonction de la définition retenue. Le texte est très large, il ne renvoie pas à des textes d'application, on a l'impression qu'il crée, dans sa formulation, une obligation de résultat.
M. Loïc Hervé , rapporteur . - En avez-vous discuté avec le Gouvernement au préalable ?
M. Marc Blanchet . - Oui, nous discutons régulièrement avec le Gouvernement.
M. François-Noël Buffet , président . - Je vous remercie.
Audition de M. Guillaume Poupard, directeur général
de
l'Agence nationale de la sécurité des systèmes
d'information (Anssi)
(Mercredi 6 octobre 2021)
Mme Catherine Di Folco , présidente . - Le 2 juin dernier, une panne massive de plus de 7 heures a rendu impossible l'acheminement de près de 12 000 appels vers les numéros d'urgence : le 15 pour les SAMU, le 17 pour la police, le 18 pour les sapeurs-pompiers et le 112, numéro européen d'appel dont on saura bientôt s'il deviendra « unique ».
Les conclusions de l'enquête interne diligentée par la société Orange, dont nous avons reçu hier le PDG Stéphane Richard, concluent à un dysfonctionnement « logiciel » sans doute provoqué « par une opération de modernisation et d'augmentation capacitaire du réseau, débutée début mai, pour répondre à l'accroissement du trafic ».
Depuis la remise de ces conclusions, notre mission d'information a entendu Didier Vidal, administrateur interministériel des communications électroniques de défense qui nous a fourni certains éclaircissements sur les obligations légales s'imposant aux opérateurs et à leur contrôle.
Nous avons également pu prendre connaissance des conclusions du rapport du 19 juillet dernier commandé par le Premier ministre et piloté par l'Agence nationale de la sécurité des systèmes d'information (Anssi) dont nous recevons aujourd'hui le directeur général, Guillaume Poupard. Selon ces conclusions, un « dysfonctionnement de l'équipement a été causé par une manipulation de l'opérateur » et les échanges techniques entre l'opérateur et le fournisseur de ces équipements sont intervenus « très tard » dans le but de rétablir le service.
Devant les risques vitaux que font courir de telles pannes, le Sénat a souhaité prendre toute la mesure du dysfonctionnement survenu en instituant la présente mission d'information composée de Jean Pierre Vogel, Patrick Chaize et Jean-Michel Houllegatte, respectivement désignés par les commissions des finances, des affaires économiques et du développement durable. La commission des lois a nommé Françoise Dumont, Loïc Hervé et Patrick Kanner, tous trois rapporteurs de la proposition de loi visant à consolider notre modèle de sécurité civile dite « Matras » au sein de laquelle le Sénat a introduit un article 9 bis à l'initiative du Gouvernement afin de prévenir les pannes futures.
Je vous prie de bien vouloir excuser Marie-Pierre Richer, rapporteur pour la commission des affaires sociales, qui ne peut être parmi nous aujourd'hui.
Monsieur Poupard, nous vous remercions de nous faire partager votre point de vue sur les circonstances de cette panne et de nous apporter votre éclairage sur les conclusions du rapport précité.
M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - L'Anssi est chargée de la sécurité informatique : notre métier est de parer aux attaques informatiques. Or, les analyses dont nous disposons sur l'incident qui vous occupe montrent qu'il s'agit d'une panne, pas d'une attaque. Cependant, nous en avons été saisis par plusieurs canaux : d'abord l'Agence entretient des liens étroits avec les opérateurs télécoms, nous les régulons au titre de la cybersécurité ; nous avons des liens de partenariat opérationnels et, via la commission consultative chargée d'émettre un avis sur les matériels susceptibles de porter atteinte à l'intimité de la vie privée et au secret des correspondances, dite « commission R. 226 » en référence à l'article du code pénal qui porte sur le sujet, l'Agence autorise ou refuse la vente ou l'achat des équipements, selon qu'ils sont susceptibles de mettre à mal ce secret. Notre mission est d'assurer que le réseau soit robuste dans la durée, c'est-à-dire qu'il reste hors du contrôle par des tiers. Enfin, depuis 2015, l'Anssi participe à toute cellule interministérielle de crise, car toute crise oblige désormais à se poser la question de l'attaque informatique, que l'attaque ait provoqué la crise, ou bien que nos adversaires profitent de la crise pour nous attaquer sur le plan informatique, par opportunisme. Ce sont toutes ces raisons qui ont conduit le Gouvernement à nous confier ce travail d'enquête sur cet incident.
Nous avons conduit notre analyse avec l'inspection générale de l'administration (IGA), l'inspection générale des affaires sociales (IGAS), le Commissariat aux communications électroniques de défense (CCED) et le Conseil général de l'économie (CGE), avec l'objectif de comprendre ce qui s'est passé et comment ont fonctionné les mécanismes de détection des crises. Nous avons travaillé en toute confiance avec Orange. Les relations ont été très bonnes et la coopération de l'entreprise a été totale.
L'incident résulte, principalement, du dysfonctionnement d'un équipement. Il faut savoir que deux réseaux de télécommunications cohabitent : d'une part, le réseau téléphonique commuté (RTC), technologie historique utilisée pour fournir un service de téléphonie fixe et qui est en voie de disparition et, d'autre part, le réseau via internet ou IP, de nouvelle génération et sur lequel les opérateurs investissent. La transition sera nécessairement longue, car les réseaux sont massifs, ce qui oblige les équipements à faire la passerelle, via les call servers , entre les appareils utilisés pour distribuer les appels selon leurs points d'origine jusqu'à leur destination. Ce sont ces appareils qui ont dysfonctionné, à la suite d'une manoeuvre réalisée par Orange pour augmenter la capacité du réseau. Orange n'ayant pas jugé cette manoeuvre comme étant critique, elle ne l'a pas testée sur une plateforme de pré-production, mais a procédé directement sur le réseau et sur tous les équipements. Ce risque était apparu proportionné à l'entreprise dès lors qu'elle n'avait pas jugé l'opération critique.
Cette manoeuvre a révélé ensuite un défaut des équipements eux-mêmes, un défaut non connu et donc difficilement prévisible, comme cela se passe dans un bug informatique. L'opérateur a perdu le contrôle, que seul l'équipementier a pu reprendre, mais après un délai nécessairement plus long. D'un événement qui aurait pu ne durer que quelques minutes, et passer inaperçu, nous sommes passés à un incident qui a duré sept heures, avec des équipements qui ne répondaient plus, comme cela s'est d'ailleurs passé avec l'incident que Facebook a subi cette semaine. Il a fallu intervenir sur les équipements eux-mêmes, et passer par l'équipementier.
Nous comprenons donc parfaitement l'incident qui s'est produit : ce dysfonctionnement a commencé par une prise de risque de l'opérateur qui a révélé un défaut de l'équipement, lequel a dû être corrigé par l'équipementier.
Notre rapport examine également la gestion de crise. J'ai appris à cette occasion, avec étonnement, que les numéros d'urgence sont des numéros comme les autres, au sens où les numéros courts - par exemple le 18 - sont transcrits vers des numéros longs par l'opérateur, sans procédure particulière de sécurité, ni réseau dédié. Ces numéros d'urgence ne font pas non plus l'objet d'une supervision dédiée, ni par l'État ni par les opérateurs, ce qui explique qu'il ait fallu un certain temps avant de réaliser qu'ils étaient affectés. Les premiers signalements des défauts de service sont venus des entreprises, l'impact a été bien plus large que sur les seuls numéros d'urgence.
J'insiste sur la très bonne coopération avec Orange qui souhaite effectivement faire évoluer les choses. Nous en sommes tous convaincus, il faut renforcer les moyens d'exploitation et la procédure de gestion de crise, et il faut également prévoir une supervision des numéros d'urgence. Pendant la coupure, nous n'étions pas capables de circonscrire le problème, l'information remontait des préfectures, sans supervision d'ensemble. Il s'agit d'un point décisif à changer. Car, avant de pouvoir traiter la crise, il faut savoir précisément ce qui se passe.
M. Jean-Michel Houllegatte , rapporteur . - J'associe Patrick Chaize à mes questions. Nous vous avions auditionné en 2019 lors de l'examen de la proposition de loi visant à sécuriser le déploiement de la 5G. Vous nous aviez alors sensibilisés aux missions de l'Anssi. Vous paraissez déplorer aujourd'hui l'absence de culture de la gestion de crise. Vous dites que l'Agence se situe du côté de la sûreté plutôt que de la sécurité. Ne vous semblerait-il pas utile d'élargir ses missions ? L'incendie du serveur d'OVHCloud qui s'est produit le 9 mars dernier a fait des dégâts, y compris pour nos collectivités territoriales : n'est-ce pas une raison supplémentaire de vous intéresser à la robustesse des réseaux et des équipements ? Ne craignez-vous pas le risque que les opérateurs, qui se focalisent sur les fonctions commerciales, ne perdent toute compétence de gestion des équipements ? Comment faire pour que les opérateurs conservent leur culture technique ?
Enfin, comment assurer la prise en compte de vos recommandations, qui visent autant les pouvoirs publics que les opérateurs ? La culture du risque est peu diffusée dans les services, bien moins que dans l'industrie. Comment faire pour que votre mission ne se borne pas à ce rapport fait sous le feu de l'actualité ?
M. Guillaume Poupard. - Je ne dirai pas qu'Orange manque de culture de crise, parce qu'il y a toujours des problèmes à gérer dans les télécommunications. L'entreprise y est très bien rompue. Mais cette fois, le risque a été mésestimé, ce qui explique la procédure retenue. Cet incident nous démontre qu'il faut identifier les numéros d'urgence comme plus critiques, ce qui n'a pas été fait jusqu'ici. Des évolutions réglementaires sont donc nécessaires, à définir en partenariat avec les opérateurs, avec qui il faut travailler en confiance.
Les termes de sûreté et de sécurité sont une source de confusion, en partie parce qu'on ne leur donne pas le même sens selon les secteurs. Ce qui nous importe, à l'Anssi, c'est l'intentionnalité, qui distingue la panne de la malveillance ou de l'attaque. Je ne demande pas l'extension de nos missions à l'examen de la robustesse des équipements et des réseaux, même si le sujet est lié à la sûreté. D'autres acteurs s'y intéressent en particulier, nous sommes transverses, c'est notre avantage. La réglementation peut aider à mieux prévenir les difficultés, mais l'Anssi ne peut évidemment pas vérifier chaque système, il faut responsabiliser les acteurs pour qu'ils fassent cet effort de robustesse sur leurs systèmes.
L'évolution des compétences des opérateurs est un sujet majeur. Chez nombre de nos partenaires européens, les télécoms ont été considérés comme un secteur économique comme un autre, où l'intervention de l'État serait néfaste, ce qui explique que l'État s'en est désengagé, et qu'il n'entretient plus de lien de confiance avec les opérateurs. Or, avec la 5G, la question de la sécurité et de la sûreté passe par la maîtrise des réseaux. Nombre d'opérateurs en Europe ont investi seulement dans leurs forces commerciales et juridiques, ils ne savent quasiment plus opérer leurs réseaux ; c'est une catastrophe en cas de panne, car ils se trouvent alors parfaitement démunis. Notre situation est différente et plutôt vertueuse : grâce à la commission R. 226, nous avons toujours considéré comme importante cette question de la maîtrise technique et nous avons voulu assurer que les opérateurs maintiennent leurs compétences techniques. Cela nous distingue en Europe. Nos quatre opérateurs sont, à ce titre, exemplaires dans leur capacité à concevoir et opérer leurs réseaux. Il faut que cela perdure, mais c'est difficile, car tout se complexifie, les risques de panne sont plus nombreux. Cependant, il ne faut pas lâcher, les quatre opérateurs en sont conscients, l'État doit continuer à jouer son rôle. La situation est donc plutôt bonne, paradoxalement, et il faut poursuivre en ce sens.
Sur la mise en oeuvre de nos propositions, je me félicite que Didier Vidal, l'administrateur interministériel des communications électroniques de défense, s'en soit saisi et qu'il en ait profité pour réactiver la commission interministérielle dédiée. C'est le lieu idoine pour la mise en place. Une première réunion est programmée avec Cédric O, reste à définir les investissements nécessaires et leur répartition. En tout état de cause, l'Anssi sera en soutien sur ces questions techniques.
M. Jean-Michel Houllegatte , rapporteur. - Concernant le déploiement de la 5G, le Sénat a mis en avant cinq critères importants pour l'analyse de toute nouvelle technologie : ses apports économiques, son empreinte environnementale, son possible impact sanitaire, mais aussi les risques posés à la souveraineté et l'aspect territorial de son déploiement : il ne faut pas que les territoires ruraux soient délaissés. Les réseaux sont toujours plus vitaux pour nos activités économiques.
À la fin du XIX e siècle, confrontés à des explosions de chaudières à vapeur, puis à des incendies d'équipements électriques, des industriels ont constitué l'Association alsacienne des propriétaires d'appareils à vapeur, devenue aujourd'hui le groupe Apave. Faudrait-il une initiative semblable dans le domaine des télécommunications, afin qu'un organisme certificateur puisse tester la résilience des équipements et des réseaux, effectuer des audits et formuler des recommandations ? On a beaucoup appréhendé les risques industriels, plus visibles, mais on n'est pas à l'abri de désastres dans ce domaine-ci.
M. Guillaume Poupard. - Le groupe Apave est justement venu à notre rencontre, il y a quelques mois, dans la logique que vous décrivez. La raison d'être d'un tel groupe est bien de garantir la confiance dans les systèmes et l'extension de son domaine d'action au numérique apparaît indispensable à notre époque. Plus largement, on peut se demander comment la confiance dans les systèmes numériques peut être acquise. La confiance, non la sécurité, est une fin en soi ! Pour ce faire, l'outil de la certification peut être décliné sous diverses formes.
Il faut être en mesure de certifier la sécurité de produits et de systèmes. Nous imposons donc aux opérateurs régulés d'effectuer des audits réguliers de leurs systèmes d'information. L'Anssi porte en la matière un dispositif de qualification via lequel nous garantissons au nom de l'État que telle ou telle société privée est compétente pour réaliser des audits de sécurité numérique, mais aussi digne de confiance. Il y a des gens très compétents à qui l'on ne peut pas faire confiance ! L'inverse est tout aussi dangereux...
L'un de nos référentiels de qualification concerne la cinquantaine de prestataires d'audits de sécurité des systèmes d'information qui existe en France, c'est un marché considérable. L'Anssi réalise elle-même certains audits, dans des cas particuliers. La loi nous offre aussi la possibilité de réaliser des contrôles chez les opérateurs régulés et nous commençons seulement à le faire, après leur avoir laissé le temps de se mettre en conformité. L'Anssi a aussi une capacité d'inspection dans le secteur public. Par l'audit et le contrôle, on améliorera progressivement la confiance dans la sécurité des systèmes critiques.
Ces modes de régulation des opérateurs d'importance vitale dans le domaine numérique et notre capacité à réaliser des audits et de contrôle résultent des dispositions du code des postes et des communications électroniques concernant les opérateurs télécoms. Nous avons une longue expérience d'audit chez les opérateurs. Nous ne pouvons pas tout contrôler, mais nous examinons des systèmes critiques. J'avoue que nous ne nous étions pas penchés sur les numéros d'urgence, mais plutôt sur des fonctionnalités particulières, pour vérifier leur niveau de sécurité et formuler des recommandations.
Nous portons aujourd'hui cette approche fondée sur la certification à l'échelle européenne, qui est de plus en plus pertinente pour ce genre de systèmes. Un problème sur le réseau électrique à l'autre bout de l'Europe peut vite en causer un en France. Des schémas de certification reconnus à l'échelle européenne se mettent en place depuis le EU Cybersecurity Act de 2019.
On travaille de plus en plus en Europe sur des systèmes
très complexes, comme les services de
cloud
car il est
impératif de pouvoir estimer le degré de confiance qu'on peut
avoir en tel ou tel de ces services. La définition de la certification
européenne de niveau élevé pour ces services est
aujourd'hui un enjeu majeur et imposer que ces services soient soumis au droit
européen pour ce niveau de certification, comme la France le
défend, ne fait malheureusement pas consensus à l'échelle
européenne. L'Europe assumera-t-elle que, pour les systèmes les
plus critiques, le droit américain
- demain le droit
chinois - n'ait pas sa place ici ? D'autres États membres
n'acceptent pas cette logique de souveraineté.
Nous sommes parvenus bien loin des numéros d'urgence, mais il est toujours question de la confiance que l'on peut avoir dans les systèmes numériques critiques.
Mme Catherine Di Folco , présidente . - Que pensez-vous de la proposition de faire du 112 le numéro universel pour les appels d'urgence ? Cela aurait-il un impact positif ou négatif sur la fiabilité du système ?
M. Guillaume Poupard. - Ce sujet ne rentre pas du tout dans mes prérogatives, et je ne voudrais pas laisser ma santé dans cette controverse ! Ce que j'observe est que, techniquement parlant, beaucoup de centrales d'appel reposent sur des technologies très obsolètes. Cela ne pourra pas durer et il faut les moderniser. Chaque département achète aujourd'hui séparément sa solution, alors qu'ils ont tous des besoins similaires. Une mutualisation ne paraît pas absurde, mais le diable est dans les détails.
Là encore, il s'agit d'un sujet de souveraineté. En voulant bien faire, ne confions pas ces systèmes d'urgence à des acteurs qui ne mériteraient pas notre confiance ! Dans le numérique, les mieux-disants ne sont pas forcément les Français ou les Européens, alors qu'il faut garder une vraie maîtrise de ces systèmes.
Mme Catherine Di Folco , présidente . - Selon vous, l'article 9 bis de la proposition de loi « Matras » répond-il fidèlement aux préconisations du rapport ?
M. Guillaume Poupard. - Cet article, issu d'un amendement gouvernemental, va dans le bon sens. C'est un point de départ nécessaire, il faudra s'assurer d'une mise en oeuvre ambitieuse et bien financée de ces dispositions.
Mme Marie Mercier . - Vous avez déclaré que les représentants d'Orange s'étaient montrés très coopérants, mais avaient-ils le choix ? Ne sont-ils pas soumis à une obligation de coopération avec l'Anssi ?
M. Guillaume Poupard. - Bien sûr, cette obligation ne fait débat ni dans les textes ni dans les faits. Pour autant, j'ai immédiatement perçu qu'ils avaient été personnellement touchés par ce qui s'était produit. Les opérateurs veulent que leur réseau fonctionne, au-delà du simple aspect commercial. Ils auraient pu pinailler, prendre leur temps, mais ils ont plutôt fait preuve de beaucoup de bonne volonté, ils ont cherché à comprendre l'incident et à en tirer les conséquences en interne. Ils reconnaissent les erreurs commises. De fait, les réseaux iront toujours en se complexifiant et il y aura de plus en plus de risques d'erreur et de panne.
Mme Catherine Di Folco , présidente . - Des pannes de ce type surviennent ailleurs en Europe. Comment s'expliquent-elles ?
M. Guillaume Poupard. - Le premier problème est la complexification croissante des réseaux. Chaque génération de réseau mobile est plus compliquée que la précédente. On corrige des fragilités, mais on en crée de nouvelles. En outre, les générations précédentes ne disparaissent pas : elles s'empilent, de la 2G à la 5G, tandis que les réseaux doivent interagir entre eux, par des passerelles souvent très fragiles. Des équipements subsistent qui n'avaient pas vocation à perdurer, mais restent nécessaires. C'est le cas des call servers en cause le 2 juin. Il faut « bricoler » des architectures complexes. C'est la porte ouverte à des pannes, en dépit de la compétence et de la bonne volonté des opérateurs.
L'expertise technique reste indispensable. Quand les opérateurs se désengagent, le résultat est catastrophique. Il est arrivé, à l'étranger, que des réseaux tombent en panne sans que personne ne sache pourquoi ! Il faut garder la maîtrise de ces réseaux, même si cela coûte cher.
Mme Catherine Di Folco , présidente . - L'argent n'est rien à côté des vies mises en danger du fait de cette panne !
M. Guillaume Poupard. - On oublie trop souvent ce principe au moment de rendre des arbitrages budgétaires...
Mme Catherine Di Folco , présidente . - Il faut que ce qui s'est passé le 2 juin serve de leçon. Merci beaucoup d'avoir participé à cette audition ; votre éclairage était fort intéressant.
* 1 Article D. 98-8 du CPCE.
* 2 Extrait du compte rendu de l'audition.
* 3 Extrait du compte rendu de l'audition de Didier Vidal.
* 4 Ibidem .
* 5 Rapport Anssi/IGA/CGE/CCED/IGAS du 19 juillet 2021, page 8.
* 6 Compte rendu de la commission de l'aménagement du territoire et du développement durable du 17 novembre 2021, consultable à l'adresse suivante :
http://www.senat.fr/compte-rendu-commissions/20211115/atdd.html#toc6
* 7 Extrait du compte rendu de l'audition de Stéphane Richard.
* 8 Rapport de l'Anssi /IGA/CGE/CCED/IGAS du 19 juillet 2021, pages 11 et suivantes.
* 9 Ibidem .
* 10 Rapport de l'Anssi /IGA/CGE/CCED/IGAS du 19 juillet 2021, page 26.
* 11 Ibidem , page 27.
* 12 Ibidem , page 20.
* 13 Ibidem , page 12.
* 14 Ibidem .
* 15 Ibidem .
* 16 Extrait du compte rendu de l'audition.
* 17 Réponse de Gérald Darmanin à la question orale de Patrick Chaize lors de la séance du 9 juin 2021.
* 18 Proposition de loi visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels dite « loi Matras », du nom du député auteur et rapporteur de la proposition de loi à l'Assemblée nationale, Fabien Matras.
* 19 Extrait de l'objet de l'amendement de séance n° 135 du Gouvernement adopté par le Sénat, en première lecture.
* 20 Recommandation n° 4 du rapport n° 595 (2016-2017) de Jean Pierre Vogel sur le SAIP.
* 21 Rapport d'information n° 658 (2020-2021) de Jean Pierre Vogel, fait au nom de la commission des finances.
* 22 Rapport d'information n° 195 (2021-2020) de Françoise Dumont, fait au nom de la commission des lois.
* 23 Rapport n° 163 (2021-2022) de Jean Pierre Vogel, fait au nom de la commission des finances.
* 24 Ibidem , page 24.
* 25 Rapport d'information n° 195 (2021-2020) de Françoise Dumont, fait au nom de la commission des lois, page 13.