Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018 – Michel Canévet rapporteur spécial

28 avril 2018

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018

canevet1

Michel Canévet, rapporteur spécial

Michel Canévet : La dernière difficulté porte sur le niveau de sécurité des systèmes d’information de l’État et la peine qu’a l’agence à faire respecter ses préconisations par l’administration, ce qui me semble particulièrement préoccupant. Selon l’Anssi, le niveau de sécurité des systèmes d’information de l’État est inégal et souvent trop faible, malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques liés à l’espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements en cas d’attaque massive. Imaginez, par exemple, que les données relatives aux casiers judiciaires soient détruites ou volées, ou que le site impots.gouv.fr soit hors d’état de fonctionner pendant plusieurs semaines !

À l’issue de ma visite, je souhaite donc émettre quelques observations et recommandations. Il me semble d’abord utile de réfléchir au positionnement institutionnel de l’Anssi. Son rattachement au SGDSN limite son autonomie de gestion financière et en ressources humaines, ses moyens sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services. Si, de l’avis de l’agence elle-même, ce positionnement doit être conservé car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l’État, je réitère la proposition que j’avais faite en 2015 de créer un BOP propre à l’Anssi, qui lui permettrait de renforcer son autonomie de gestion. Cette proposition s’inscrit dans l’esprit du programme Action publique 2022, qui propose de donner aux managers publics davantage de liberté et de responsabilité en matière de gestion budgétaire et de ressources humaines.

La création d’un BOP spécifique offrirait, en outre, au Parlement un moyen d’assurer un meilleur suivi du budget, ce qui m’amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l’Anssi au profit d’une meilleure évaluation des actions menées. Les deux sous-indicateurs associés à l’agence, qui mesurent respectivement la maturité des systèmes d’information ministériels et le niveau d’avancement des projets interministériels en matière de sécurité des systèmes d’information, se concentrent sur l’État. De nouveaux indicateurs portant sur la capacité de réaction de l’Anssi en cas d’attaque et la mise en oeuvre de ses recommandations par les directions des systèmes d’information des ministères et les opérateurs d’importance vitale pourraient utilement être envisagés pour mesurer l’impact du travail réalisé, notamment par la quantification des attaques identifiées.

S’agissant de la gestion des ressources humaines, il me semble indispensable de mettre en oeuvre une politique indemnitaire volontariste pour attirer et, surtout, fidéliser les ingénieurs informatiques de l’Anssi, en créant notamment un régime attractif de prime en fonction du travail réalisé. À cet égard, je salue à nouveau l’effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, destiné à la revalorisation du régime indemnitaire des agents de l’Anssi. Je suivrai attentivement les travaux portés sur ce sujet par la direction interministérielle du numérique et du système d’information et de communication (Dinsic).

Enfin, si la croissance interne de l’Anssi semble progressivement arriver à son terme, son développement territorial est encore embryonnaire et doit être poursuivi afin d’installer un véritable service de proximité. Je vois pour cela deux moyens : d’une part, achever la désignation, lancée fin 2015, de référents dans chacune des treize régions métropolitaines et, surtout, en Outre-mer, où aucun référent n’a encore été identifié ; d’autre part, renforcer les relations de l’Anssi avec les services interministériels départementaux des systèmes d’information et de communication (Sidsic), placés sous l’autorité des préfectures. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui suscite une attente croissante des entreprises et des collectivités territoriales.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_3fc5760b8e4a6a4213b8abf8371b0006

Michel Canévet : Antoine Lefèvre, l’articulation entre l’Anssi et la loi de programmation militaire se trouve à l’article 19 de cette dernière, qui permettra à l’agence de s’appuyer sur les opérateurs de communications électroniques pour mieux détecter les cyber-attaques. L’enjeu, auquel le Sénat est attentif, réside dans l’utilisation et le stockage des données ainsi récupérées. L’Anssi dispose d’interlocuteurs dans les différents États membres de l’Union européenne et entretient des liens étroits avec l’instance européenne, qui coordonne les dispositifs nationaux de protection des systèmes d’information, plus ou moins efficaces en fonction des moyens dont ils sont dotés.

Je partage, Vincent Delahaye, votre souci de rigueur budgétaire : si nous devions accroître encore les moyens dévolus à l’Anssi, il conviendrait de réaliser ailleurs des économies pour poursuivre l’objectif du Gouvernement de réduction des dépenses publiques. S’agissant du salaire annuel moyen des agents de l’agence, les données dont je dispose permettent de l’estimer à environ 55 000 euros bruts.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_a5ce6f42d4397cd0d28f2331e4ece2cc

Michel Canévet : Ce niveau de rémunération pose effectivement problème au regard des compétences recherchées par l’Anssi. Les ingénieurs informatiques peuvent prétendre à des salaires annuels de 90 000 euros dans le privé ! On comprend dès lors le taux de mobilité à l’agence, même s’il présente un avantage en matière de diffusion des bonnes pratiques… L’Anssi doit disposer d’une plus grande latitude dans sa gestion des ressources humaines. Je partage également votre analyse quant à la nécessité de disposer d’un tableau de bord pour mesurer son activité.

Bernard Delcros, la finalité du BOP que je propose est à la fois la lisibilité et la souplesse de fonctionnement par rapport à la tutelle du SGDSN. Je suis, comme vous, favorable à une diminution de la dépense publique.

Enfin, Marc Laménie, les agents de l’Anssi exercent leur fonction dans l’un des deux sites parisiens, exception faite des treize représentants de l’agence dans les régions, qui oeuvrent notamment auprès des entreprises et des collectivités territoriales en matière de protection contre les cyber-attaques. La mobilité observée a essentiellement des origines financières, mais, heureusement, certains agents restent par sens du service public !

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_abaf91aa5e7ae1d54c5ff97722323b54

Publié le 28 avril 2018, dans Actualités, Commission des Finances, Interventions au Sénat, Sécurité, Sénat. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :