Archives de Catégorie: Sécurité

Sainte Barbe du centre de secours de Plozévet avec notamment la remise d’une médaille pour services rendus au chef de centre le lieutenant André Le Floc’h

8 décembre 2018

PLOZÉVET

mcsbploz

Sainte Barbe du centre de secours de Plozévet avec notamment la remise d’une médaille pour services rendus au chef de centre le lieutenant André Le Floc’h.

Ce soir en séance, examen du budget de la direction de l’action du Gouvernement

4 décembre 2018

SÉNAT

mcexam

Ce soir en séance, examen du budget de la direction de l’action du Gouvernement.

Nassimah Dindar, Sénatrice Centriste de la Réunion interpelle le Gouvernement sur la situation de la Réunion

22 novembre 2018

SÉNAT

mcdinar

Nassimah Dindar, Sénatrice Centriste de la Réunion interpelle le Gouvernement sur la situation de la Réunion, objet de nombreuses manifestations du fait du chômage touchant près de 25% de la population de l’île et et la pauvreté qui s’accroît pour une part de la population

Denise Saint Pé, Sénatrice Centriste des Pyrénées-Atlantiques a interrogé le Gouvernement sur les flux migratoires arrivant des Pyrénées

8 novembre 2018

SÉNAT

mcsp

Denise Saint Pé, Sénatrice Centriste des Pyrénées-Atlantiques a interrogé le Gouvernement sur les flux migratoires arrivant des Pyrénées. Le ministre de l’intérieur a répondu avoir renforcé les moyens de police aux frontières espagnoles et se rendra au Maroc dans quelques jours.

Cérémonie de baptême de la 91ème promotion de l’école de gendarmerie de Dinéault Châteaulin

23 août 2018

DINÉAULT

mcdineault

Cérémonie de baptême de la 91ème promotion de l’école de gendarmerie de Dinéault Châteaulin en présence du colonel Saulnier, commandant l’école, Didier Le Gac député du Finistère et Philippe Bittel Maire de Dinéault

Le groupe de l’Union Centriste du Sénat échange avec Gérard Collomb et Jacqueline Gourault, Ministres de l’intérieur, sur la politique française de l’immigration

7 juin 2018

SÉNAT

mccollomb

Le groupe de l’Union Centriste du Sénat échange avec Gérard Collomb et Jacqueline Gourault, Ministres de l’intérieur, sur la politique française de l’immigration.

Au palais du Luxembourg ce mardi, je vote le projet de loi de programmation militaire 2019-2025

29 mai 2018

SÉNAT

mcvotemil

Au palais du Luxembourg ce mardi, je vote le projet de loi de programmation militaire 2019-2025 prévoyant un accroissement des moyens dévolus à nos armées, notamment pour la cyber-défense. Françoise Gatel  (UC 35) tient le bureau de vote.

Visite de Gérard Larcher à Brest

24 mai 2018

BREST

mcvislar

Le vendredi 18 mai 2018, le Président du Sénat, Monsieur Gérard Larcher, s’est rendu à Brest pour rencontrer les acteurs de la Défense et de la sécurité dans le cadre de la préparation de la prochaine loi de programmation militaire.

Après un entretien avec le vice-amiral d’escadre Emmanuel de Oliveira portant sur les opérations aéro-maritimes, Monsieur Larcher s’est rendu au Centre Opérationnel de la Marine (COM) centre névralgique des opérations dans la zone maritime Atlantique.

Au cours de son passage sur le site de l’Ile Longue qui a suivi, lui ont été détaillés par le nouvel ALFOST, le vice-amiral d’escadre Bernard-Antoine Morio de l’Isle les enjeux de la dissuasion nucléaire à travers sa composante océanique. Au cours de ce déplacement le Président du Sénat a également visité un SNLE (sous-marin nucléaire lanceur d’engins) et rencontré le commandant et les membres d’équipage.

mcppbre

Intervention en hémicycle le 23/05/2018 : Programmation militaire pour les années 2019 à 2025

23 mai 2018

SÉNAT

canevet1

Michel CANÉVET : J’apporte mon soutien à cet amendement, qui tend à illustrer l’ambition maritime que doit avoir la France, dont l’espace maritime est particulièrement important. Il est légitime que nous ayons des moyens militaires dignes des dimensions de notre pays. Et se déclarer favorable à cet amendement n’empêche pas de ne pas traduire cette ambition en actes : il s’agit simplement d’affirmer davantage notre dimension maritime.

Madame la ministre, je profite de la discussion de cet amendement pour évoquer la question du déplacement de l’ONERA, l’Office national d’études et de recherches aérospatiales, de Meudon et Châtillon vers Palaiseau.

Cela fait trente ans que ce dossier est sur la table, et nous ne voyons toujours rien venir. Or il me semblait que l’examen de ce projet de loi de programmation militaire était le moment idoine pour avancer sur ce sujet. Il est important que vous puissiez nous donner des indications sur l’avancement et les perspectives de ce dossier extrêmement important pour bon nombre de membres de la Haute Assemblée.

Pour suivre le débat cliquer sur le lien ci-dessous :
http://www.nossenateurs.fr/seance/17738#inter_3b8044261418bcf1288056978c719d08

Michel CANÉVET : J’interviens de nouveau pour obtenir des informations sur le déménagement de l’ONERA, comprendre pourquoi rien ne figure dans ce projet de loi de programmation militaire et savoir quelles pourraient être les perspectives à cet égard.

Monsieur le président de la commission, je souhaite que nous obtenions des éclaircissements sur ce sujet.

Pour suivre le débat cliquer sur le lien ci-dessous :
http://www.nossenateurs.fr/seance/17738#inter_1d2eaac020aeeb0f2e18852e89e3f021

 

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018 – Michel Canévet rapporteur spécial

28 avril 2018

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation – Intervention le 18/04/2018

canevet1

Michel Canévet, rapporteur spécial

Michel Canévet : La dernière difficulté porte sur le niveau de sécurité des systèmes d’information de l’État et la peine qu’a l’agence à faire respecter ses préconisations par l’administration, ce qui me semble particulièrement préoccupant. Selon l’Anssi, le niveau de sécurité des systèmes d’information de l’État est inégal et souvent trop faible, malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques liés à l’espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements en cas d’attaque massive. Imaginez, par exemple, que les données relatives aux casiers judiciaires soient détruites ou volées, ou que le site impots.gouv.fr soit hors d’état de fonctionner pendant plusieurs semaines !

À l’issue de ma visite, je souhaite donc émettre quelques observations et recommandations. Il me semble d’abord utile de réfléchir au positionnement institutionnel de l’Anssi. Son rattachement au SGDSN limite son autonomie de gestion financière et en ressources humaines, ses moyens sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services. Si, de l’avis de l’agence elle-même, ce positionnement doit être conservé car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l’État, je réitère la proposition que j’avais faite en 2015 de créer un BOP propre à l’Anssi, qui lui permettrait de renforcer son autonomie de gestion. Cette proposition s’inscrit dans l’esprit du programme Action publique 2022, qui propose de donner aux managers publics davantage de liberté et de responsabilité en matière de gestion budgétaire et de ressources humaines.

La création d’un BOP spécifique offrirait, en outre, au Parlement un moyen d’assurer un meilleur suivi du budget, ce qui m’amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l’Anssi au profit d’une meilleure évaluation des actions menées. Les deux sous-indicateurs associés à l’agence, qui mesurent respectivement la maturité des systèmes d’information ministériels et le niveau d’avancement des projets interministériels en matière de sécurité des systèmes d’information, se concentrent sur l’État. De nouveaux indicateurs portant sur la capacité de réaction de l’Anssi en cas d’attaque et la mise en oeuvre de ses recommandations par les directions des systèmes d’information des ministères et les opérateurs d’importance vitale pourraient utilement être envisagés pour mesurer l’impact du travail réalisé, notamment par la quantification des attaques identifiées.

S’agissant de la gestion des ressources humaines, il me semble indispensable de mettre en oeuvre une politique indemnitaire volontariste pour attirer et, surtout, fidéliser les ingénieurs informatiques de l’Anssi, en créant notamment un régime attractif de prime en fonction du travail réalisé. À cet égard, je salue à nouveau l’effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, destiné à la revalorisation du régime indemnitaire des agents de l’Anssi. Je suivrai attentivement les travaux portés sur ce sujet par la direction interministérielle du numérique et du système d’information et de communication (Dinsic).

Enfin, si la croissance interne de l’Anssi semble progressivement arriver à son terme, son développement territorial est encore embryonnaire et doit être poursuivi afin d’installer un véritable service de proximité. Je vois pour cela deux moyens : d’une part, achever la désignation, lancée fin 2015, de référents dans chacune des treize régions métropolitaines et, surtout, en Outre-mer, où aucun référent n’a encore été identifié ; d’autre part, renforcer les relations de l’Anssi avec les services interministériels départementaux des systèmes d’information et de communication (Sidsic), placés sous l’autorité des préfectures. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui suscite une attente croissante des entreprises et des collectivités territoriales.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_3fc5760b8e4a6a4213b8abf8371b0006

Michel Canévet : Antoine Lefèvre, l’articulation entre l’Anssi et la loi de programmation militaire se trouve à l’article 19 de cette dernière, qui permettra à l’agence de s’appuyer sur les opérateurs de communications électroniques pour mieux détecter les cyber-attaques. L’enjeu, auquel le Sénat est attentif, réside dans l’utilisation et le stockage des données ainsi récupérées. L’Anssi dispose d’interlocuteurs dans les différents États membres de l’Union européenne et entretient des liens étroits avec l’instance européenne, qui coordonne les dispositifs nationaux de protection des systèmes d’information, plus ou moins efficaces en fonction des moyens dont ils sont dotés.

Je partage, Vincent Delahaye, votre souci de rigueur budgétaire : si nous devions accroître encore les moyens dévolus à l’Anssi, il conviendrait de réaliser ailleurs des économies pour poursuivre l’objectif du Gouvernement de réduction des dépenses publiques. S’agissant du salaire annuel moyen des agents de l’agence, les données dont je dispose permettent de l’estimer à environ 55 000 euros bruts.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_a5ce6f42d4397cd0d28f2331e4ece2cc

Michel Canévet : Ce niveau de rémunération pose effectivement problème au regard des compétences recherchées par l’Anssi. Les ingénieurs informatiques peuvent prétendre à des salaires annuels de 90 000 euros dans le privé ! On comprend dès lors le taux de mobilité à l’agence, même s’il présente un avantage en matière de diffusion des bonnes pratiques… L’Anssi doit disposer d’une plus grande latitude dans sa gestion des ressources humaines. Je partage également votre analyse quant à la nécessité de disposer d’un tableau de bord pour mesurer son activité.

Bernard Delcros, la finalité du BOP que je propose est à la fois la lisibilité et la souplesse de fonctionnement par rapport à la tutelle du SGDSN. Je suis, comme vous, favorable à une diminution de la dépense publique.

Enfin, Marc Laménie, les agents de l’Anssi exercent leur fonction dans l’un des deux sites parisiens, exception faite des treize représentants de l’agence dans les régions, qui oeuvrent notamment auprès des entreprises et des collectivités territoriales en matière de protection contre les cyber-attaques. La mobilité observée a essentiellement des origines financières, mais, heureusement, certains agents restent par sens du service public !

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_abaf91aa5e7ae1d54c5ff97722323b54

Contrôle budgétaire : Agence nationale de la sécurité des systèmes d’information anssi – communication – Intervention le 18 avril 2018

28 avril 2018

Michel Canevet, rapporteur spécial de la mission « Direction de l’action du Gouvernement »

canevet1

Michel Canévet : En ma qualité de rapporteur spécial de la mission « Direction de l’action du Gouvernement », j’ai effectué, le 22 février dernier, un déplacement à l’Anssi, à laquelle j’avais déjà consacré un rapport. Le contrôle de l’action du Gouvernement va, paraît-il, devenir une priorité du Parlement… J’ai considéré, en conséquence, utile de constater si nos préconisations étaient ou non suivies d’effet.

L’Anssi a été créée en 2009, à la suite des cyberattaques subies par l’Estonie en 2007, et placée sous la tutelle du secrétariat général de la défense et de la sécurité nationale (SGDSN). Sa création visait à répondre à un double objectif : assurer la protection des intérêts nationaux contre la cybercriminalité et renforcer la sécurité des systèmes d’information de l’État comme des opérateurs d’importance vitale (OIV).

Depuis, l’actualité n’a cessé de démontrer l’importance de ces enjeux ; je pense notamment aux milliers de sites piratés par des organisations islamistes radicales après les attentats de janvier 2015 et aux attaques massives contre les hôpitaux britanniques en mai 2017. Le coût de ces cyberattaques, qui se chiffre en milliards d’euros chaque année, justifie une veille particulière et explique l’importance prise par l’Anssi comme les moyens croissants qui lui sont consacrés.

Le budget de l’Anssi a plus que doublé depuis sa création, passant de 43 millions d’euros en 2010 à 83 millions en 2014, pour s’établir désormais à plus de 100 millions d’euros. Environ un tiers de ses ressources est consacré aux dépenses de personnel. La progression des crédits affectés au titre 2 a permis d’accompagner le renforcement de l’agence : alors qu’elle ne comptait que 128 ETP en 2009 et encore seulement 460 lorsque j’y ai effectué mon premier déplacement en 2015, l’Anssi a bénéficié d’un schéma d’emplois de plus 50 ETP, qui lui a permis d’atteindre 548 ETP à la fin de l’année 2017. L’objectif de 567 ETP, fixé par la loi de programmation des finances publiques pour la période 2015-2017, est donc quasiment atteint. La croissance du personnel est amenée à se poursuivre : pour les années 2018 à 2022, sous réserve que les arbitrages rendus soient respectés, ses effectifs devraient continuer de croître au rythme annuel de 25 ETP supplémentaires, pour atteindre 675 ETP en 2022. Cette épure me semble raisonnable au regard de la situation des agences étrangères chargées de missions équivalentes : environ 800 personnes travaillent sur les mêmes activités au Royaume-Uni, 600 en Allemagne.

La consolidation des moyens de l’Anssi permet d’accompagner l’extension continue de ses compétences. En particulier, son rôle va se trouver renforcé par l’article 19 la loi de programmation militaire 2019-2025, qui prévoit la mise en place d’un nouveau dispositif de détection permettant à l’Anssi de s’appuyer sur les opérateurs de communications électroniques pour détecter d’éventuelles attaques. La loi de programmation prévoit parallèlement la création de 1500 ETP dans les domaines de la cyber-défense et du numérique. Mais l’Anssi, se situant hors du périmètre budgétaire du ministère des armées, puisqu’elle relève des services du Premier ministre, ne pourra en bénéficier directement.

L’agence est, par ailleurs, directement concernée par la directive européenne Network and Information Security dite NIS de 2016, tout juste transposée, qui introduit la notion d’opérateur de services essentiels (OSE), plus large que celle d’OIV. Les OSE, qui entreront dans le champ de compétence de l’Anssi, sont ceux dont un dysfonctionnement causé par une cyberattaque mettrait en cause le fonctionnement normal de la société et de l’économie. L’agence est chargée, en collaboration avec les ministères concernés, de les identifier et d’en établir une liste publiée par décret d’ici le 9 novembre 2018. Selon les informations dont nous disposons, pourraient être inclus dans le champ des OSE les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile.

Malgré l’augmentation de ses moyens et l’élargissement de ses missions, l’Anssi fait cependant face à certaines difficultés, dont la principale tient à la gestion du personnel de l’agence, composé à 80 % de contractuels, principalement de catégorie A. Certes, avec plus de 8 000 candidatures reçues pour les 144 recrutements effectués en 2017 – soit, en moyenne, 56 candidats par poste -, l’attractivité de l’Anssi n’est plus à prouver, d’autant que les recrutements apparaissent de qualité : 80 % des agents sont diplômés d’écoles d’ingénieurs ou docteurs, parfois les deux. Le recours fréquent à des contractuels présente l’avantage, pour l’agence, de maîtriser sa masse salariale et de diffuser de bonnes pratiques dans les entreprises où ils poursuivront leur carrière. Mais le taux de départ est élevé : chaque année, environ 19 % des agents quittent l’Anssi, principalement pour rejoindre le secteur privé. La difficulté à retenir les contractuels tient moins à une crise des vocations qu’à des considérations financières : dans un secteur aussi concurrentiel que celui du numérique et des télécoms, l’administration ne peut souvent surenchérir aux propositions salariales des grandes entreprises. On touche là aux limites de la puissance publique en matière de dépenses de personnel : bien qu’il soit juridiquement possible pour l’Anssi d’accorder à ses contractuels une part variable de rémunération, les montants demeurent trop symboliques pour lui permettre de rivaliser avec le secteur privé et de fidéliser ses agents les plus qualifiés. Cette problématique, partagée par d’autres services numériques de l’État, rend nécessaire la définition d’un cadre d’emploi plus adapté pour les agents aux compétences recherchées.

La deuxième difficulté concerne les besoins immobiliers de l’Anssi, qui n’ont pas été budgétisés au-delà de 2018. En raison de la croissance des effectifs, les locaux situés aux Invalides, auprès du SGDSN, et dans la tour Mercure quai de Grenelle, arriveront à saturation en 2019. L’agence est donc à la recherche d’une nouvelle implantation pour ses effectifs installés dans la tour Mercure. Or, le budget quinquennal actuel ne prévoit aucune provision pour le nouveau bail, qui devrait être signé au plus tard début 2019. Le sujet devra faire l’objet de notre attention lors l’examen de la prochaine loi de finances.

Pour suivre l’intervention cliquer ci-dessous :
http://www.nossenateurs.fr/seance/17644#inter_743bb480874fd68a748735069807262b

Présentation en commission des finances au Sénat de mon rapport de contrôle de l’agence nationale de sécurité des systèmes d’information (ANSSI)

23 avril 2018

SENAT

mcpresrapp

Présentation en commission des finances au Sénat de mon rapport de contrôle de l’agence nationale de sécurité des systèmes d’information  (ANSSI). J’y préconise la création du budget opérationnel de programme afin de mieux suivre les 100 millions € de budget de l’agence, qui dépend du secrétariat général à la défense et à la sécurité nationale. Je propose également de modifier les indicateurs de performance.

Réunion de travail à l’hôtel de Brienne avec les Ministres Florence Parly et Geneviève Darrieussecq afin de préparer l’examen de la loi de programmation militaire 2019-2023, au Sénat

23 avril 2018

SENAT

mcparly

Réunion de travail à l’hôtel de Brienne avec les Ministres Florence Parly et Geneviève Darrieussecq afin de préparer l’examen de la loi de programmation militaire 2019-2023, au Sénat.

Communiqué de presse : Intervention en commission sur l’Agence nationale de sécurité des systèmes d’information (ANSSI) Mercredi 18 avril 2018 – 14 h 30

18 AVRIL 2018

compresse1

mcanssi

mcanssiint

Intervention en commission sur l’Agence nationale de sécurité des systèmes d’information (ANSSI)

Mercredi 18 avril – 14 h 30

Monsieur le Président,
Monsieur le rapporteur général,
Mes chers collègues,

En ma qualité de rapporteur spécial de la mission « Direction de l’action du Gouvernement », j’ai effectué le 22 février dernier un déplacement à l’Agence nationale de sécurité des systèmes d’information (ANSSI) afin de faire le point sur la montée en puissance de cette agence, à laquelle j’avais consacré un rapport en 2015.

L’ANSSI a été créée en 2009 à la suite des cyberattaques subies par l’Estonie en 2007, qui avaient duré plusieurs semaines. Il s’agit d’un service à compétence nationale, qui relève du Premier ministre et est placé sous la tutelle du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN).

La création de l’ANSSI visait à répondre à un double objectif : assurer la protection des intérêts nationaux contre la cybercriminalité d’une part, et renforcer la sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV) d’autre part.

L’enjeu est de taille et l’actualité n’a cessé de le démontrer. Souvenez- vous par exemple qu’en janvier 2015, dans la semaine qui a suivi les attentats, plus de 25 000 sites avaient été piratés par des organisations islamistes radicales. Autre exemple marquant : en mai 2017, le système de santé britannique s’était trouvé quasi-paralysé par des attaques contre ses hôpitaux.

Le coût de ces cyberattaques, qui se chiffre en milliards d’euros chaque année pour l’État et pour les entreprises, justifie l’importance prise par l’ANSSI et les moyens qui lui sont consacrés. Le budget de l’ANSSI est en effet particulièrement dynamique, ce qui contraste avec la situation actuelle de la plupart des administrations.

Dans ce contexte, j’ai donc voulu comprendre la manière dont avaient évolué les moyens de l’ANSSI au cours des dernières années, mais aussi les difficultés auxquelles cette agence récente fait face.

Je constate tout d’abord que l’ANSSI a poursuivi sa montée en puissance ces dernières années et arrive progressivement à maturité.

Le budget de l’ANSSI a plus que doublé depuis sa création : il est ainsi passé de 43 millions d’euros en 2010 à 83 millions en 2014, pour s’établir aujourd’hui à plus de 100 millions d’euros. Environ un tiers de ce budget correspond à des dépenses de personnel.

La progression des crédits affectés au titre 2 a logiquement permis d’accompagner le renforcement du personnel de l’agence. Alors qu’elle ne comptait que 128 ETP au moment de sa création en 2009 et encore seulement 460 lorsque j’y avais effectué mon premier déplacement en 2015, l’ANSSI a bénéficié en 2017 d’un schéma d’emplois de +50 ETP, ce qui lui a permis d’atteindre 548 ETP fin 2017. L’objectif de 567 ETP, qui avait été fixé par la loi de programmation des finances publiques 2015-2017, est donc quasiment atteint.

Cette croissance du personnel est amenée à se poursuivre. Pour les années 2018 à 2022, sous réserve que les derniers arbitrages rendus soient respectés, les effectifs de l’agence devraient continuer de croître au rythme de +25 ETP par an, pour atteindre 675 ETP en 2022.

Par rapport aux agences étrangères chargées de missions équivalentes à celles de l’ANSSI, cette taille me paraît raisonnable : environ 800 personnes travaillent sur ces questions au Royaume-Uni, 600 en Allemagne.

Cette consolidation des moyens de l’ANSSI permet d’accompagner l’extension continue de ses compétences, dans un contexte où les enjeux de cyber-sécurité prennent une importance croissante.

Le rôle de l’ANSSI va ainsi se trouver renforcé par la loi de programmation militaire 2019-2025, dont l’article 19 étend les compétences. Cet article prévoit notamment la mise en place d’un nouveau dispositif de détection, qui permettra à l’ANSSI de s’appuyer sur les opérateurs de communications électroniques afin de détecter de potentielles attaques. La loi de programmation prévoit parallèlement la création de 1500 ETP dans les domaines de la cyberdéfense et du numérique sur la période 2019-2025. L’intégralité des postes créés bénéficiera cependant au ministère des armées, l’ANSSI se situant en dehors du périmètre de la LPM en matière de crédits, puisqu’elle relève des services du Premier ministre.

L’ANSSI est par ailleurs directement concernée par la directive européenne Network and Information Security (dite NIS) de 2016, qui vient d’être transposée et qui introduit la notion d’opérateur de services essentiels (OSE), plus large que celle d’opérateur d’importance vitale (OIV). Ces OSE, qui entreront dans le champ de compétence de l’ANSSI, sont définis comme ceux dont un dysfonctionnement causé par une cyberattaque mettrait en cause le fonctionnement normal de la société et de l’économie. Dans un premier temps, l’ANSSI est ainsi chargée, en collaboration avec les ministères, d’identifier ces nouveaux opérateurs et d’en établir une première liste qui sera publiée par décret d’ici le 9 novembre 2018. Selon les informations communiquées à la commission des lois,  » pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile « .

Malgré l’accroissement de ses moyens et de ses missions, l’ANSSI continue cependant de faire face à quelques difficultés.

La principale difficulté tient à la gestion du personnel de l’agence, composé à 80 % de contractuels, principalement de catégorie A.

Je tiens d’abord à souligner un point très positif sur ce sujet : avec plus de 8000 candidatures reçues pour les 144 recrutements effectués en 2017 (soit en moyenne 56 CV pour un poste), l’attractivité de l’ANSSI n’est plus à prouver. Il s’agit en outre de candidatures de qualité : 80 % des agents recrutés sont diplômés d’écoles d’ingénieurs ou docteurs – parfois les deux. Ce recours important à des contractuels présente l’avantage pour l’ANSSI de pouvoir maîtriser sa masse salariale, tout en diffusant de bonnes pratiques dans les entreprises où ces personnels poursuivront leur carrière.

Mais c’est justement là le revers de la médaille : sans que l’on puisse encore parler d’hémorragie, l’ANSSI doit faire face, depuis sa création, à un taux de départ particulièrement élevé. Chaque année, ce sont ainsi environ 19 % des agents qui quittent l’ANSSI, principalement pour rejoindre le secteur privé.

Vous vous en doutez, cette difficulté de l’ANSSI à retenir ses contractuels tient moins à une crise des vocations qu’à des considérations financières : dans un secteur aussi concurrentiel que celui du numérique et des télécoms, l’administration ne peut faire le poids face à certaines propositions salariales faites par de grandes entreprises.

On touche là aux limites de l’administration publique en matière de dépenses de personnel : bien qu’il soit juridiquement possible pour l’ANSSI d’accorder à ses contractuels une part variable de rémunération, les montants demeurent, dans la pratique, bien trop symboliques pour permettre à l’ANSSI de rivaliser réellement avec le secteur privé et de fidéliser ses agents les plus qualifiés. Cette problématique se retrouve également dans d’autres services numériques de l’Etat, amenant à devoir à l’avenir définir un cadre d’emploi plus adaptés pour ces personnels aux compétences pointues et très recherchées sur le marché de l’emploi.

La seconde difficulté sur laquelle je voudrais revenir concerne les besoins immobiliers croissants de l’ANSSI, qui n’ont pas encore été budgétisés au-delà de 2018. Avec la croissance de ses effectifs, les locaux actuels de l’ANSSI, situés aux Invalides et dans la tour Mercure quai de Grenelle, arriveront à saturation en 2019. L’ANSSI est donc à la recherche d’une nouvelle implantation transitoire en 2019 et 2020 et d’une implantation définitive à compter de 2021. Or le budget quinquennal actuel ne prévoit aucune provision pour le nouveau bail qui devrait être signé au plus tard début 2019. C’est donc un sujet que je suivrai attentivement à l’occasion de l’examen de la prochaine loi de finances.

La dernière difficulté est davantage une difficulté de fond : elle concerne le niveau de sécurité des systèmes d’information de l’État et les difficultés de l’agence à faire respecter ses préconisations par l’administration, ce que je trouve particulièrement préoccupant.

Selon l’ANSSI, le niveau de sécurité réel des systèmes d’information de l’État est, je cite,  » inégal et souvent trop faible « , malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics. Au-delà des risques habituels liés à l’espionnage, ces lacunes sont susceptibles de causer de graves dysfonctionnements administratifs en cas d’attaque massive : que ferait-on si, par exemple, les données relatives aux casiers judiciaires étaient détruites ou volées, ou si le site impots.gouv.fr était mis hors d’état de fonctionner pendant plusieurs semaines ?

À l’issue de ma visite, je souhaite donc émettre quelques observations et recommandations.

Je voudrais tout d’abord revenir sur le positionnement institutionnel de l’ANSSI. Son rattachement au SGDSN a pour inconvénient une forte limitation de son autonomie de gestion. À l’heure actuelle, l’agence n’assure pas elle-même l’administration de ses moyens financiers et humains, qui sont intégrés au sein du budget opérationnel de programme (BOP) du SGDSN, sans être distingués des autres directions et services.

De l’avis de l’ANSSI elle-même, le positionnement de l’agence auprès du SGDSN doit néanmoins être conservé, car il permet de faire valoir les enjeux de cyber-sécurité au plus haut niveau de l’État. Afin de donner une plus grande liberté de gestion à l’ANSSI sans pour autant en faire une agence totalement indépendante sur le plan juridique, je réitère donc la proposition que j’avais faite en 2015 de créer un budget opérationnel de programme (BOP) propre à l’ANSSI. Cela lui permettrait de renforcer son autonomie budgétaire ainsi que son autonomie de gestion vis-à-vis du SGDSN, notamment en matière de gestion du personnel. Cette proposition s’inscrit d’ailleurs parfaitement dans l’esprit du programme Action publique 2022, qui vise à donner aux managers publics une plus grande liberté mais aussi une plus grande responsabilité en matière de gestion du budget et des ressources humaines.

La création d’un BOP propre à l’ANSSI permettrait en outre au Parlement d’assurer un meilleur suivi du budget de l’ANSSI, ce qui m’amène à ma seconde recommandation : développer et affiner les indicateurs de performance associés à l’ANSSI, afin de permettre une meilleure évaluation des actions menées. Les deux sous-indicateurs actuellement associés à l’ANSSI, qui mesurent la maturité globale des systèmes d’information ministériels et le niveau d’avancement des projets interministériels en matière de sécurité des systèmes d’information, se concentrent sur l’État et ne couvrent pas l’ensemble de l’activité de l’ANSSI, on peut d’ailleurs s’interroger sur leurs pertinences (exemple, classement de 0 à 5 de l’indicateur maturité). De nouveaux indicateurs mesurant la capacité de réaction de l’ANSSI en cas d’attaque et la mise en œuvre des recommandations de l’ANSSI par les directions des systèmes d’information des ministères et les OIV pourraient ainsi être envisagés. Il parait utile de pouvoir mesurer l’impact du travail notamment par la quantification des attaques identifiées.

S’agissant ensuite de la fidélisation des agents de l’ANSSI, il me semble indispensable -et là encore, je partage l’analyse de l’ANSSI – de mettre en place une politique indemnitaire volontariste pour attirer et surtout fidéliser les ingénieurs informatiques de l’ANSSI, en axant notamment la réflexion sur un régime attractif de prime pour le travail réalisé.

À cet égard, j’ai déjà eu l’occasion de saluer l’effort de 460 000 euros inscrit dans la loi de finances pour 2018 au titre des mesures catégorielles, qui est destiné à la revalorisation du régime indemnitaire des agents de l’ANSSI. Cette revalorisation s’inscrit dans l’esprit de la circulaire du Premier ministre du 21 mars 2017, qui invite les administrations à conduire  » une politique indemnitaire permettant de valoriser les métiers numériques pour fidéliser les compétences rares « .

En outre, je suivrai attentivement les travaux portés sur ce sujet par la Direction interministérielle du numérique et du système d’information et de communication (DINSIC), auxquels participe l’ANSSI, et qui devraient conduire à engager une action auprès de la Direction du budget pour lever certaines contraintes en matière salariale.

Enfin, je voudrais conclure mon propos par une dernière remarque. Si le développement interne de l’ANSSI semble progressivement arriver à son terme, le développement territorial de l’agence est encore embryonnaire et doit donc être poursuivi afin de créer un véritable service de proximité. Je vois pour cela deux moyens : d’une part, achever la désignation, lancée fin 2015, de référents ANSSI dans chacune des 13 régions métropolitaines et surtout en Outre-mer, où aucun référent n’a encore été identifié ; d’autre part, renforcer les relations de l’ANSSI avecles services interministériels départementaux des systèmes d’information et de communication (SIDSIC), placés sous l’autorité des

secrétaires généraux de préfecture. Les services déconcentrés gérant les systèmes d’information pourraient ainsi intervenir localement dans les services de l’Etat pour prévenir les attaques extérieures et assurer la cybersécurité. En Outre-Mer, les SIDSIC pourraient éventuellement assurer la représentation de l’ANSSI auprès des acteurs locaux. Telle est, à mon sens, la direction que doit suivre cette jeune agence, qui focalise de plus en plus d’attentes de la part des entreprises et des collectivités territoriales.

Je vous remercie.

Michel CANÉVET


Pour télécharger l’intervention, cliquer sur le lien ci-dessous

Intervention en commission anssi