Archives de Catégorie: Rapports au Sénat
Contrôle budgétaire : Agence nationale de la sécurité des systèmes d’information anssi – communication – Intervention le 18 avril 2018
28 avril 2018
Michel Canevet, rapporteur spécial de la mission « Direction de l’action du Gouvernement »
Michel Canévet : En ma qualité de rapporteur spécial de la mission « Direction de l’action du Gouvernement », j’ai effectué, le 22 février dernier, un déplacement à l’Anssi, à laquelle j’avais déjà consacré un rapport. Le contrôle de l’action du Gouvernement va, paraît-il, devenir une priorité du Parlement… J’ai considéré, en conséquence, utile de constater si nos préconisations étaient ou non suivies d’effet.
L’Anssi a été créée en 2009, à la suite des cyberattaques subies par l’Estonie en 2007, et placée sous la tutelle du secrétariat général de la défense et de la sécurité nationale (SGDSN). Sa création visait à répondre à un double objectif : assurer la protection des intérêts nationaux contre la cybercriminalité et renforcer la sécurité des systèmes d’information de l’État comme des opérateurs d’importance vitale (OIV).
Depuis, l’actualité n’a cessé de démontrer l’importance de ces enjeux ; je pense notamment aux milliers de sites piratés par des organisations islamistes radicales après les attentats de janvier 2015 et aux attaques massives contre les hôpitaux britanniques en mai 2017. Le coût de ces cyberattaques, qui se chiffre en milliards d’euros chaque année, justifie une veille particulière et explique l’importance prise par l’Anssi comme les moyens croissants qui lui sont consacrés.
Le budget de l’Anssi a plus que doublé depuis sa création, passant de 43 millions d’euros en 2010 à 83 millions en 2014, pour s’établir désormais à plus de 100 millions d’euros. Environ un tiers de ses ressources est consacré aux dépenses de personnel. La progression des crédits affectés au titre 2 a permis d’accompagner le renforcement de l’agence : alors qu’elle ne comptait que 128 ETP en 2009 et encore seulement 460 lorsque j’y ai effectué mon premier déplacement en 2015, l’Anssi a bénéficié d’un schéma d’emplois de plus 50 ETP, qui lui a permis d’atteindre 548 ETP à la fin de l’année 2017. L’objectif de 567 ETP, fixé par la loi de programmation des finances publiques pour la période 2015-2017, est donc quasiment atteint. La croissance du personnel est amenée à se poursuivre : pour les années 2018 à 2022, sous réserve que les arbitrages rendus soient respectés, ses effectifs devraient continuer de croître au rythme annuel de 25 ETP supplémentaires, pour atteindre 675 ETP en 2022. Cette épure me semble raisonnable au regard de la situation des agences étrangères chargées de missions équivalentes : environ 800 personnes travaillent sur les mêmes activités au Royaume-Uni, 600 en Allemagne.
La consolidation des moyens de l’Anssi permet d’accompagner l’extension continue de ses compétences. En particulier, son rôle va se trouver renforcé par l’article 19 la loi de programmation militaire 2019-2025, qui prévoit la mise en place d’un nouveau dispositif de détection permettant à l’Anssi de s’appuyer sur les opérateurs de communications électroniques pour détecter d’éventuelles attaques. La loi de programmation prévoit parallèlement la création de 1500 ETP dans les domaines de la cyber-défense et du numérique. Mais l’Anssi, se situant hors du périmètre budgétaire du ministère des armées, puisqu’elle relève des services du Premier ministre, ne pourra en bénéficier directement.
L’agence est, par ailleurs, directement concernée par la directive européenne Network and Information Security dite NIS de 2016, tout juste transposée, qui introduit la notion d’opérateur de services essentiels (OSE), plus large que celle d’OIV. Les OSE, qui entreront dans le champ de compétence de l’Anssi, sont ceux dont un dysfonctionnement causé par une cyberattaque mettrait en cause le fonctionnement normal de la société et de l’économie. L’agence est chargée, en collaboration avec les ministères concernés, de les identifier et d’en établir une liste publiée par décret d’ici le 9 novembre 2018. Selon les informations dont nous disposons, pourraient être inclus dans le champ des OSE les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile.
Malgré l’augmentation de ses moyens et l’élargissement de ses missions, l’Anssi fait cependant face à certaines difficultés, dont la principale tient à la gestion du personnel de l’agence, composé à 80 % de contractuels, principalement de catégorie A. Certes, avec plus de 8 000 candidatures reçues pour les 144 recrutements effectués en 2017 – soit, en moyenne, 56 candidats par poste -, l’attractivité de l’Anssi n’est plus à prouver, d’autant que les recrutements apparaissent de qualité : 80 % des agents sont diplômés d’écoles d’ingénieurs ou docteurs, parfois les deux. Le recours fréquent à des contractuels présente l’avantage, pour l’agence, de maîtriser sa masse salariale et de diffuser de bonnes pratiques dans les entreprises où ils poursuivront leur carrière. Mais le taux de départ est élevé : chaque année, environ 19 % des agents quittent l’Anssi, principalement pour rejoindre le secteur privé. La difficulté à retenir les contractuels tient moins à une crise des vocations qu’à des considérations financières : dans un secteur aussi concurrentiel que celui du numérique et des télécoms, l’administration ne peut souvent surenchérir aux propositions salariales des grandes entreprises. On touche là aux limites de la puissance publique en matière de dépenses de personnel : bien qu’il soit juridiquement possible pour l’Anssi d’accorder à ses contractuels une part variable de rémunération, les montants demeurent trop symboliques pour lui permettre de rivaliser avec le secteur privé et de fidéliser ses agents les plus qualifiés. Cette problématique, partagée par d’autres services numériques de l’État, rend nécessaire la définition d’un cadre d’emploi plus adapté pour les agents aux compétences recherchées.
La deuxième difficulté concerne les besoins immobiliers de l’Anssi, qui n’ont pas été budgétisés au-delà de 2018. En raison de la croissance des effectifs, les locaux situés aux Invalides, auprès du SGDSN, et dans la tour Mercure quai de Grenelle, arriveront à saturation en 2019. L’agence est donc à la recherche d’une nouvelle implantation pour ses effectifs installés dans la tour Mercure. Or, le budget quinquennal actuel ne prévoit aucune provision pour le nouveau bail, qui devrait être signé au plus tard début 2019. Le sujet devra faire l’objet de notre attention lors l’examen de la prochaine loi de finances.
Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_743bb480874fd68a748735069807262b
Présentation en commission des finances au Sénat de mon rapport de contrôle de l’agence nationale de sécurité des systèmes d’information (ANSSI)
23 avril 2018
SENAT
Michel CANEVET 