Archives du 18 avril 2018

Communiqué de presse : Intervention en commission sur l’Agence nationale de sécurité des systèmes d’information (ANSSI) Mercredi 18 avril 2018 – 14 h 30

Avr 18

Publié par

18 AVRIL 2018

compresse1

mcanssi

mcanssiint

Intervention en commission sur l’Agence nationale de sécurité des systèmes d’information (ANSSI)

Mercredi 18 avril – 14 h 30

Monsieur le Président,
Monsieur le rapporteur général,
Mes chers collègues,

En ma qualité de rapporteur spécial de la mission « Direction de l’action du Gouvernement », j’ai effectué le 22 février dernier un déplacement à l’Agence nationale de sécurité des systèmes d’information (ANSSI) afin de faire le point sur la montée en puissance de cette agence, à laquelle j’avais consacré un rapport en 2015.

L’ANSSI a été créée en 2009 à la suite des cyberattaques subies par l’Estonie en 2007, qui avaient duré plusieurs semaines. Il s’agit d’un service à compétence nationale, qui relève du Premier ministre et est placé sous la tutelle du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN).

La création de l’ANSSI visait à répondre à un double objectif : assurer la protection des intérêts nationaux contre la cybercriminalité d’une part, et renforcer la sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV) d’autre part.

L’enjeu est de taille et l’actualité n’a cessé de le démontrer. Souvenez- vous par exemple qu’en janvier 2015, dans la semaine qui a suivi les attentats, plus de 25 000 sites avaient été piratés par des organisations islamistes radicales. Autre exemple marquant : en mai 2017, le système de santé britannique s’était trouvé quasi-paralysé par des attaques contre ses hôpitaux.

Le coût de ces cyberattaques, qui se chiffre en milliards d’euros chaque année pour l’État et pour les entreprises, justifie l’importance prise par l’ANSSI et les moyens qui lui sont consacrés. Le budget de l’ANSSI est en effet particulièrement dynamique, ce qui contraste avec la situation actuelle de la plupart des administrations.

Dans ce contexte, j’ai donc voulu comprendre la manière dont avaient évolué les moyens de l’ANSSI au cours des dernières années, mais aussi les difficultés auxquelles cette agence récente fait face.

Je constate tout d’abord que l’ANSSI a poursuivi sa montée en puissance ces dernières années et arrive progressivement à maturité.

Le budget de l’ANSSI a plus que doublé depuis sa création : il est ainsi passé de 43 millions d’euros en 2010 à 83 millions en 2014, pour s’établir aujourd’hui à plus de 100 millions d’euros. Environ un tiers de ce budget correspond à des dépenses de personnel.

La progression des crédits affectés au titre 2 a logiquement permis d’accompagner le renforcement du personnel de l’agence. Alors qu’elle ne comptait que 128 ETP au moment de sa création en 2009 et encore seulement 460 lorsque j’y avais effectué mon premier déplacement en 2015, l’ANSSI a bénéficié en 2017 d’un schéma d’emplois de +50 ETP, ce qui lui a permis d’atteindre 548 ETP fin 2017. L’objectif de 567 ETP, qui avait été fixé par la loi de programmation des finances publiques 2015-2017, est donc quasiment atteint.

Cette croissance du personnel est amenée à se poursuivre. Pour les années 2018 à 2022, sous réserve que les derniers arbitrages rendus soient respectés, les effectifs de l’agence devraient continuer de croître au rythme de +25 ETP par an, pour atteindre 675 ETP en 2022.

Par rapport aux agences étrangères chargées de missions équivalentes à celles de l’ANSSI, cette taille me paraît raisonnable : environ 800 personnes travaillent sur ces questions au Royaume-Uni, 600 en Allemagne.

Cette consolidation des moyens de l’ANSSI permet d’accompagner l’extension continue de ses compétences, dans un contexte où les enjeux de cyber-sécurité prennent une importance croissante.

Le rôle de l’ANSSI va ainsi se trouver renforcé par la loi de programmation militaire 2019-2025, dont l’article 19 étend les compétences. Cet article prévoit notamment la mise en place d’un nouveau dispositif de détection, qui permettra à l’ANSSI de s’appuyer sur les opérateurs de communications électroniques afin de détecter de potentielles attaques. La loi de programmation prévoit parallèlement la création de 1500 ETP dans les domaines de la cyberdéfense et du numérique sur la période 2019-2025. L’intégralité des postes créés bénéficiera cependant au ministère des armées, l’ANSSI se situant en dehors du périmètre de la LPM en matière de crédits, puisqu’elle relève des services du Premier ministre.

L’ANSSI est par ailleurs directement concernée par la directive européenne Network and Information Security (dite NIS) de 2016, qui vient d’être transposée et qui introduit la notion d’opérateur de services essentiels (OSE), plus large que celle d’opérateur d’importance vitale (OIV). Ces OSE, qui entreront dans le champ de compétence de l’ANSSI, sont définis comme ceux dont un dysfonctionnement causé par une cyberattaque mettrait en cause le fonctionnement normal de la société et de l’économie. Dans un premier temps, l’ANSSI est ainsi chargée, en collaboration avec les ministères, d’identifier ces nouveaux opérateurs et d’en établir une première liste qui sera publiée par décret d’ici le 9 novembre 2018. Selon les informations communiquées à la commission des lois,  » pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile « .

Malgré l’accroissement de ses moyens et de ses missions, l’ANSSI continue cependant de faire face à quelques difficultés.

La principale difficulté tient à la gestion du personnel de l’agence, composé à 80 % de contractuels, principalement de catégorie A.

Je tiens d’abord à souligner un point très positif sur ce sujet : avec plus de 8000 candidatures reçues pour les 144 recrutements effectués en 2017 (soit en moyenne 56 CV pour un poste), l’attractivité de l’ANSSI n’est plus à prouver. Il s’agit en outre de candidatures de qualité : 80 % des agents recrutés sont diplômés d’écoles d’ingénieurs ou docteurs – parfois les deux. Ce recours important à des contractuels présente l’avantage pour l’ANSSI de pouvoir maîtriser sa masse salariale, tout en diffusant de bonnes pratiques dans les entreprises où ces personnels poursuivront leur carrière.

Mais c’est justement là le revers de la médaille : sans que l’on puisse encore parler d’hémorragie, l’ANSSI doit faire face, depuis sa création, à un taux de départ particulièrement élevé. Chaque année, ce sont ainsi environ 19 % des agents qui quittent l’ANSSI, principalement pour rejoindre le secteur privé.

Vous vous en doutez, cette difficulté de l’ANSSI à retenir ses contractuels tient moins à une crise des vocations qu’à des considérations financières : dans un secteur aussi concurrentiel que celui du numérique et des télécoms, l’administration ne peut faire le poids face à certaines propositions salariales faites par de grandes entreprises.

On touche là aux limites de l’administration publique en matière de dépenses de personnel : bien qu’il soit juridiquement possible pour l’ANSSI d’accorder à ses contractuels une part variable de rémunération, les montants demeurent, dans la pratique, bien trop symboliques pour permettre à l’ANSSI de rivaliser réellement avec le secteur privé et de fidéliser ses agents les plus qualifiés. Cette problématique se retrouve également dans d’autres services numériques de l’Etat, amenant à devoir à l’avenir définir un cadre d’emploi plus adaptés pour ces personnels aux compétences pointues et très recherchées sur le marché de l’emploi.

La seconde difficulté sur laquelle je voudrais revenir concerne les besoins immobiliers croissants de l’ANSSI, qui n’ont pas encore été budgétisés au-delà de 2018. Avec la croissance de ses effectifs, les locaux actuels de l’ANSSI, situés aux Invalides et dans la tour Mercure quai de Grenelle, arriveront à saturation en 2019. L’ANSSI est donc à la recherche d’une nouvelle implantation transitoire en 2019 et 2020 et d’une implantation définitive à compter de 2021. Or le budget quinquennal actuel ne prévoit aucune provision pour le nouveau bail qui devrait être signé au plus tard début 2019. C’est donc un sujet que je suivrai attentivement à l’occasion de l’examen de la prochaine loi de finances.

La dernière difficulté est davantage une difficulté de fond : elle concerne le niveau de sécurité des systèmes d’information de l’État et les difficultés de l’agence à faire respecter ses préconisations par l’administration, ce que je trouve particulièrement préoccupant.

Selon l’ANSSI, le niveau de sécurité réel des systèmes d’information de l’État est, je cite,  » inégal et souvent trop faible « , malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques habituels liés à l’espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements administratifs en cas d’attaque massive : que ferait-on si, par exemple, les données relatives aux casiers judiciaires étaient détruites ou volées, ou si le site impots.gouv.fr était mis hors d’état de fonctionner pendant plusieurs semaines ?

À l’issue de ma visite, je souhaite donc émettre quelques observations et recommandations.

Je voudrais tout d’abord revenir sur le positionnement institutionnel de l’ANSSI. Son rattachement au SGDSN a pour inconvénient une forte limitation de son autonomie de gestion. À l’heure actuelle, l’agence n’assure pas elle-même l’administration de ses moyens financiers et humains, qui sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services.

De l’avis de l’ANSSI elle-même, le positionnement de l’agence auprès du SGDSN doit néanmoins être conservé, car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l’État. Afin de donner une plus grande liberté de gestion à l’ANSSI sans pour autant en faire une agence totalement indépendante sur le plan juridique, je réitère donc la proposition que j’avais faite en 2015 de créer un budget opérationnel de programme (BOP) propre à l’ANSSI. Cela lui permettrait de renforcer son autonomie budgétaire ainsi que son autonomie de gestion vis-à-vis du SGDSN, notamment en matière de gestion du personnel. Cette proposition s’inscrit d’ailleurs parfaitement dans l’esprit du programme Action publique 2022, qui vise à donner aux managers publics une plus grande liberté mais aussi une plus grande responsabilité en matière de gestion du budget et des ressources humaines.

La création d’un BOP propre à l’ANSSI permettrait en outre au Parlement d’assurer un meilleur suivi du budget de l’ANSSI, ce qui m’amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l’ANSSI, afin de permettre une meilleure évaluation des actions menées. Les deux sous-indicateurs actuellement associés à l’ANSSI, qui mesurent la maturité globale des systèmes d’information ministériels et le niveau d’avancement des projets interministériels en matière de sécurité des systèmes d’information, se concentrent sur l’État et ne couvrent pas l’ensemble de l’activité de l’ANSSI, on peut d’ailleurs s’interroger sur leurs pertinences (exemple, classement de 0 à 5 de l’indicateur maturité). De nouveaux indicateurs mesurant la capacité de réaction de l’ANSSI en cas d’attaque et la mise en œuvre des recommandations de l’ANSSI par les directions des systèmes d’information des ministères et les OIV pourraient ainsi être envisagés. Il parait utile de pouvoir mesurer l’impact du travail notamment par la quantification des attaques identifiées.

S’agissant ensuite de la fidélisation des agents de l’ANSSI, il me semble indispensable -et là encore, je partage l’analyse de l’ANSSI – de mettre en place une politique indemnitaire volontariste pour attirer et surtout fidéliser les ingénieurs informatiques de l’ANSSI, en axant notamment la réflexion sur un régime attractif de prime pour le travail réalisé.

À cet égard, j’ai déjà eu l’occasion de saluer l’effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, qui est destiné à la revalorisation du régime indemnitaire des agents de l’ANSSI. Cette revalorisation s’inscrit dans l’esprit de la circulaire du Premier ministre du 21 mars 2017, qui invite les administrations à conduire  » une politique indemnitaire permettant de valoriser les métiers numériques pour fidéliser les compétences rares « .

En outre, je suivrai attentivement les travaux portés sur ce sujet par la Direction interministérielle du numérique et du système d’information et de communication (DINSIC), auxquels participe l’ANSSI, et qui devraient conduire à engager une action auprès de la Direction du budget pour lever certaines contraintes en matière salariale.

Enfin, je voudrais conclure mon propos par une dernière remarque. Si le développement interne de l’ANSSI semble progressivement arriver à son terme, le développement territorial de l’agence est encore embryonnaire et doit donc être poursuivi afin de créer un véritable service de proximité. Je vois pour cela deux moyens : d’une part, achever la désignation, lancée fin 2015, de référents ANSSI dans chacune des 13 régions métropolitaines et surtout en Outre-mer, où aucun référent n’a encore été identifié ; d’autre part, renforcer les relations de l’ANSSI avecles services interministériels départementaux des systèmes d’information et de communication (SIDSIC), placés sous l’autorité des

secrétaires généraux de préfecture. Les services déconcentrés gérant les systèmes d’information pourraient ainsi intervenir localement dans les services de l’Etat pour prévenir les attaques extérieures et assurer la cybersécurité. En Outre-Mer, les SIDSIC pourraient éventuellement assurer la représentation de l’ANSSI auprès des acteurs locaux. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui focalise de plus en plus d’attentes de la part des entreprises et des collectivités territoriales.

Je vous remercie.

Michel CANÉVET

Pour télécharger l’intervention, cliquer sur le lien ci-dessous

Intervention en commission anssi

Publié dans Actualités, Intervention en commissions, Sécurité

Poster un commentaire