Archives du 28 avril 2018

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018 – Michel Canévet rapporteur spécial

28 avril 2018

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018

canevet1

Michel Canévet, rapporteur spécial

Michel Canévet : La dernière difficulté porte sur le niveau de sécurité des systèmes d’information de l’État et la peine qu’a l’agence à faire respecter ses préconisations par l’administration, ce qui me semble particulièrement préoccupant. Selon l’Anssi, le niveau de sécurité des systèmes d’information de l’État est inégal et souvent trop faible, malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques liés à l’espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements en cas d’attaque massive. Imaginez, par exemple, que les données relatives aux casiers judiciaires soient détruites ou volées, ou que le site impots.gouv.fr soit hors d’état de fonctionner pendant plusieurs semaines !

À l’issue de ma visite, je souhaite donc émettre quelques observations et recommandations. Il me semble d’abord utile de réfléchir au positionnement institutionnel de l’Anssi. Son rattachement au SGDSN limite son autonomie de gestion financière et en ressources humaines, ses moyens sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services. Si, de l’avis de l’agence elle-même, ce positionnement doit être conservé car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l’État, je réitère la proposition que j’avais faite en 2015 de créer un BOP propre à l’Anssi, qui lui permettrait de renforcer son autonomie de gestion. Cette proposition s’inscrit dans l’esprit du programme Action publique 2022, qui propose de donner aux managers publics davantage de liberté et de responsabilité en matière de gestion budgétaire et de ressources humaines.

La création d’un BOP spécifique offrirait, en outre, au Parlement un moyen d’assurer un meilleur suivi du budget, ce qui m’amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l’Anssi au profit d’une meilleure évaluation des actions menées. Les deux sous-indicateurs associés à l’agence, qui mesurent respectivement la maturité des systèmes d’information ministériels et le niveau d’avancement des projets interministériels en matière de sécurité des systèmes d’information, se concentrent sur l’État. De nouveaux indicateurs portant sur la capacité de réaction de l’Anssi en cas d’attaque et la mise en oeuvre de ses recommandations par les directions des systèmes d’information des ministères et les opérateurs d’importance vitale pourraient utilement être envisagés pour mesurer l’impact du travail réalisé, notamment par la quantification des attaques identifiées.

S’agissant de la gestion des ressources humaines, il me semble indispensable de mettre en oeuvre une politique indemnitaire volontariste pour attirer et, surtout, fidéliser les ingénieurs informatiques de l’Anssi, en créant notamment un régime attractif de prime en fonction du travail réalisé. À cet égard, je salue à nouveau l’effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, destiné à la revalorisation du régime indemnitaire des agents de l’Anssi. Je suivrai attentivement les travaux portés sur ce sujet par la direction interministérielle du numérique et du système d’information et de communication (Dinsic).

Enfin, si la croissance interne de l’Anssi semble progressivement arriver à son terme, son développement territorial est encore embryonnaire et doit être poursuivi afin d’installer un véritable service de proximité. Je vois pour cela deux moyens : d’une part, achever la désignation, lancée fin 2015, de référents dans chacune des treize régions métropolitaines et, surtout, en Outre-mer, où aucun référent n’a encore été identifié ; d’autre part, renforcer les relations de l’Anssi avec les services interministériels départementaux des systèmes d’information et de communication (Sidsic), placés sous l’autorité des préfectures. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui suscite une attente croissante des entreprises et des collectivités territoriales.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_3fc5760b8e4a6a4213b8abf8371b0006

Michel Canévet : Antoine Lefèvre, l’articulation entre l’Anssi et la loi de programmation militaire se trouve à l’article 19 de cette dernière, qui permettra à l’agence de s’appuyer sur les opérateurs de communications électroniques pour mieux détecter les cyber-attaques. L’enjeu, auquel le Sénat est attentif, réside dans l’utilisation et le stockage des données ainsi récupérées. L’Anssi dispose d’interlocuteurs dans les différents États membres de l’Union européenne et entretient des liens étroits avec l’instance européenne, qui coordonne les dispositifs nationaux de protection des systèmes d’information, plus ou moins efficaces en fonction des moyens dont ils sont dotés.

Je partage, Vincent Delahaye, votre souci de rigueur budgétaire : si nous devions accroître encore les moyens dévolus à l’Anssi, il conviendrait de réaliser ailleurs des économies pour poursuivre l’objectif du Gouvernement de réduction des dépenses publiques. S’agissant du salaire annuel moyen des agents de l’agence, les données dont je dispose permettent de l’estimer à environ 55 000 euros bruts.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_a5ce6f42d4397cd0d28f2331e4ece2cc

Michel Canévet : Ce niveau de rémunération pose effectivement problème au regard des compétences recherchées par l’Anssi. Les ingénieurs informatiques peuvent prétendre à des salaires annuels de 90 000 euros dans le privé ! On comprend dès lors le taux de mobilité à l’agence, même s’il présente un avantage en matière de diffusion des bonnes pratiques… L’Anssi doit disposer d’une plus grande latitude dans sa gestion des ressources humaines. Je partage également votre analyse quant à la nécessité de disposer d’un tableau de bord pour mesurer son activité.

Bernard Delcros, la finalité du BOP que je propose est à la fois la lisibilité et la souplesse de fonctionnement par rapport à la tutelle du SGDSN. Je suis, comme vous, favorable à une diminution de la dépense publique.

Enfin, Marc Laménie, les agents de l’Anssi exercent leur fonction dans l’un des deux sites parisiens, exception faite des treize représentants de l’agence dans les régions, qui oeuvrent notamment auprès des entreprises et des collectivités territoriales en matière de protection contre les cyber-attaques. La mobilité observée a essentiellement des origines financières, mais, heureusement, certains agents restent par sens du service public !

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_abaf91aa5e7ae1d54c5ff97722323b54

Contrôle budgétaire : Agence nationale de la sécurité des systèmes d’information anssi – communication – Intervention le 18 avril 2018

28 avril 2018

Michel Canevet, rapporteur spécial de la mission « Direction de l’action du Gouvernement »

canevet1

Michel Canévet : En ma qualité de rapporteur spécial de la mission « Direction de l’action du Gouvernement », j’ai effectué, le 22 février dernier, un déplacement à l’Anssi, à laquelle j’avais déjà consacré un rapport. Le contrôle de l’action du Gouvernement va, paraît-il, devenir une priorité du Parlement… J’ai considéré, en conséquence, utile de constater si nos préconisations étaient ou non suivies d’effet.

L’Anssi a été créée en 2009, à la suite des cyberattaques subies par l’Estonie en 2007, et placée sous la tutelle du secrétariat général de la défense et de la sécurité nationale (SGDSN). Sa création visait à répondre à un double objectif : assurer la protection des intérêts nationaux contre la cybercriminalité et renforcer la sécurité des systèmes d’information de l’État comme des opérateurs d’importance vitale (OIV).

Depuis, l’actualité n’a cessé de démontrer l’importance de ces enjeux ; je pense notamment aux milliers de sites piratés par des organisations islamistes radicales après les attentats de janvier 2015 et aux attaques massives contre les hôpitaux britanniques en mai 2017. Le coût de ces cyberattaques, qui se chiffre en milliards d’euros chaque année, justifie une veille particulière et explique l’importance prise par l’Anssi comme les moyens croissants qui lui sont consacrés.

Le budget de l’Anssi a plus que doublé depuis sa création, passant de 43 millions d’euros en 2010 à 83 millions en 2014, pour s’établir désormais à plus de 100 millions d’euros. Environ un tiers de ses ressources est consacré aux dépenses de personnel. La progression des crédits affectés au titre 2 a permis d’accompagner le renforcement de l’agence : alors qu’elle ne comptait que 128 ETP en 2009 et encore seulement 460 lorsque j’y ai effectué mon premier déplacement en 2015, l’Anssi a bénéficié d’un schéma d’emplois de plus 50 ETP, qui lui a permis d’atteindre 548 ETP à la fin de l’année 2017. L’objectif de 567 ETP, fixé par la loi de programmation des finances publiques pour la période 2015-2017, est donc quasiment atteint. La croissance du personnel est amenée à se poursuivre : pour les années 2018 à 2022, sous réserve que les arbitrages rendus soient respectés, ses effectifs devraient continuer de croître au rythme annuel de 25 ETP supplémentaires, pour atteindre 675 ETP en 2022. Cette épure me semble raisonnable au regard de la situation des agences étrangères chargées de missions équivalentes : environ 800 personnes travaillent sur les mêmes activités au Royaume-Uni, 600 en Allemagne.

La consolidation des moyens de l’Anssi permet d’accompagner l’extension continue de ses compétences. En particulier, son rôle va se trouver renforcé par l’article 19 la loi de programmation militaire 2019-2025, qui prévoit la mise en place d’un nouveau dispositif de détection permettant à l’Anssi de s’appuyer sur les opérateurs de communications électroniques pour détecter d’éventuelles attaques. La loi de programmation prévoit parallèlement la création de 1500 ETP dans les domaines de la cyber-défense et du numérique. Mais l’Anssi, se situant hors du périmètre budgétaire du ministère des armées, puisqu’elle relève des services du Premier ministre, ne pourra en bénéficier directement.

L’agence est, par ailleurs, directement concernée par la directive européenne Network and Information Security dite NIS de 2016, tout juste transposée, qui introduit la notion d’opérateur de services essentiels (OSE), plus large que celle d’OIV. Les OSE, qui entreront dans le champ de compétence de l’Anssi, sont ceux dont un dysfonctionnement causé par une cyberattaque mettrait en cause le fonctionnement normal de la société et de l’économie. L’agence est chargée, en collaboration avec les ministères concernés, de les identifier et d’en établir une liste publiée par décret d’ici le 9 novembre 2018. Selon les informations dont nous disposons, pourraient être inclus dans le champ des OSE les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile.

Malgré l’augmentation de ses moyens et l’élargissement de ses missions, l’Anssi fait cependant face à certaines difficultés, dont la principale tient à la gestion du personnel de l’agence, composé à 80 % de contractuels, principalement de catégorie A. Certes, avec plus de 8 000 candidatures reçues pour les 144 recrutements effectués en 2017 – soit, en moyenne, 56 candidats par poste -, l’attractivité de l’Anssi n’est plus à prouver, d’autant que les recrutements apparaissent de qualité : 80 % des agents sont diplômés d’écoles d’ingénieurs ou docteurs, parfois les deux. Le recours fréquent à des contractuels présente l’avantage, pour l’agence, de maîtriser sa masse salariale et de diffuser de bonnes pratiques dans les entreprises où ils poursuivront leur carrière. Mais le taux de départ est élevé : chaque année, environ 19 % des agents quittent l’Anssi, principalement pour rejoindre le secteur privé. La difficulté à retenir les contractuels tient moins à une crise des vocations qu’à des considérations financières : dans un secteur aussi concurrentiel que celui du numérique et des télécoms, l’administration ne peut souvent surenchérir aux propositions salariales des grandes entreprises. On touche là aux limites de la puissance publique en matière de dépenses de personnel : bien qu’il soit juridiquement possible pour l’Anssi d’accorder à ses contractuels une part variable de rémunération, les montants demeurent trop symboliques pour lui permettre de rivaliser avec le secteur privé et de fidéliser ses agents les plus qualifiés. Cette problématique, partagée par d’autres services numériques de l’État, rend nécessaire la définition d’un cadre d’emploi plus adapté pour les agents aux compétences recherchées.

La deuxième difficulté concerne les besoins immobiliers de l’Anssi, qui n’ont pas été budgétisés au-delà de 2018. En raison de la croissance des effectifs, les locaux situés aux Invalides, auprès du SGDSN, et dans la tour Mercure quai de Grenelle, arriveront à saturation en 2019. L’agence est donc à la recherche d’une nouvelle implantation pour ses effectifs installés dans la tour Mercure. Or, le budget quinquennal actuel ne prévoit aucune provision pour le nouveau bail, qui devrait être signé au plus tard début 2019. Le sujet devra faire l’objet de notre attention lors l’examen de la prochaine loi de finances.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_743bb480874fd68a748735069807262b

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018

28 avril 2018

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018

canevet1

Michel Canévet : Je constate que la situation est plus dégradée que ce qui était envisagé dans la loi de programmation des finances publiques : le niveau de prélèvements obligatoires est ainsi supérieur aux hypothèses, de même que le niveau des dépenses publiques. Le bilan négatif laissé par le précédent Gouvernement accentue l’effort à réaliser. Je partage ce qu’a dit Bernard Delcros, il faudra travailler sur des pistes d’économies, qui ne sont pas faciles à trouver. Pour ce qui concerne les effectifs, j’ai compris que ce n’est pas sur l’éducation nationale, les armées et l’intérieur, qui représentent 80 % des effectifs de l’État, que l’effort portera mais sur la part infime qui reste.

Je souhaiterais savoir si les intérêts du grand emprunt sont bien pris en compte dans le déficit maastrichtien et s’il existe d’autres dépenses significatives qui ne sont pas intégrées dans la trajectoire et qui risquent de peser sur la situation de nos finances publiques.

Pour suivre l’intervention cliquer sur le lien ci-dessous :
http://www.nossenateurs.fr/seance/17642#inter_7e1b0cdfd8f931db1713365207949380

Michel Canévet : Je remercie la Cour des comptes pour la qualité de son rapport, qui rappelle la nécessité d’éclairer le Parlement sur ce sujet. La CRE est-elle en mesure à ce jour d’apporter cet éclairage ? La programmation pluriannuelle ne saurait entrer dans le détail ni être susceptible de recours, mais il importe que le Parlement puisse se saisir pleinement de la question de la déclinaison par filière des objectifs de développement des EnR. Il en va de même en matière de fiscalité écologique, principale fiscalité en augmentation ces prochaines années, alors que le Gouvernement communique beaucoup sur la baisse des prélèvements obligatoires.

J’ai été surpris, à la lecture de ce rapport, par le fonctionnement en silo de la DGEC. Il me semble en effet important qu’il puisse y avoir une approche interministérielle de la politique de l’énergie, au regard de l’enjeu que représente le développement d’une filière industrielle.

Avec la délégation sénatoriale aux entreprises, nous avons visité en Saône-et-Loire une entreprise qui fabrique des mats pour les éoliennes, et une usine de fabrication de générateurs à Chambéry. Une attention particulière doit être portée à l’ambition maritime française et notamment à la production d’hydroliennes. Nous avons là aussi un certain nombre d’acteurs ; je ne voudrais pas que nous nous arrêtions à l’échec de DCNS et d’EDF. D’autres acteurs agissent dans ce domaine, je pense à Sabella en Bretagne, et nous devons prendre en compte la dimension énergétique de notre ambition maritime nationale.

Pour suivre l’intervention cliquer sur le lien ci-dessous :
http://www.nossenateurs.fr/seance/17643#inter_4bf350aac965a096d081987dc9f2db38