- Mercredi 6
novembre 2024
- Audition du Général Pierre Schill, chef d'état-major de l'armée de Terre (à huis clos) (sera publié ultérieurement)
- Communication sur le contrôle des élections législatives en Géorgie
- Audition de MM. Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l'ANSSI et de Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)
- Projet de loi autorisant l'approbation de la convention n° 155 de l'Organisation internationale du travail (OIT) sur la sécurité et la santé des travailleurs - Désignation d'un rapporteur
- Audition de M. Rémy Rioux, Directeur général de l'Agence française de développement
Mercredi 6 novembre 2024
- Présidence de M. Cédric Perrin, président -
La réunion est ouverte à 9 heures.
Audition du Général Pierre Schill, chef d'état-major de l'armée de Terre (à huis clos) (sera publié ultérieurement)
Le compte rendu sera publié ultérieurement.
Communication sur le contrôle des élections législatives en Géorgie
M. Cédric Perrin, président. - Notre collègue Pascal Allizard va nous présenter ses impressions à son retour de Géorgie, où il a eu à observer les élections législatives.
M. Pascal Allizard. - La Géorgie est un petit pays du Caucase, il compte 3,5 millions d'habitants dont 1,2 million à Tbilissi, la capitale, le cinquième de son territoire est sous contrôle russe - c'est l'Ossétie du Sud et l'Abkhazie -, les deux-tiers de son PIB dépendent de la Russie, et il faut savoir aussi que Tbilissi peut être occupée par l'armée russe en moins d'une heure... Le processus d'intégration de la Géorgie à l'Union européenne a été suspendu il y a quelques années, de même que le rapprochement avec l'Otan et, dernière remarque préalable, la France a besoin de la Géorgie pour accéder à l'Arménie.
Quelques éléments d'information après notre mission d'observation des élections législatives qui viennent tout juste de se tenir, et d'abord des éléments positifs. Le premier, c'est qu'il y a eu 18 listes qui se sont constituées librement et qui ont pu faire campagne librement ; 90 % des bureaux de votes étaient pourvus de machines à voter, c'était nouveau et très intéressant parce que ces machines réduisent les risques de fraude. Il y avait de nombreux observateurs nationaux, ceux des partis politiques et des ONG géorgiennes, et des observateurs internationaux - j'ai eu l'honneur de diriger la mission d'observation internationale, au total quelque 500 observateurs, dont une centaine de parlementaires, je range cette mission internationale importante parmi les éléments positifs.
Des éléments négatifs, ensuite. Le premier, c'est l'asymétrie flagrante des moyens de propagande au profit de la majorité sortante, c'est-à-dire le Rêve géorgien. La ville de Tbilissi était couverte d'affiches, de taille très importante, qu'on n'imagine pas chez nous - et l'asymétrie était également flagrante dans les médias. Ensuite, une loi géorgienne sur la transparence et les influences extérieures, inspirée de son équivalent russe, a été adoptée récemment par le pouvoir en place. Il est certes légitime de se protéger contre les influences extérieures, mais quand on instaure des règles qui servent d'outil de censure et de politique intérieure, c'est plus discutable - et c'est ce que le pouvoir géorgien a fait, ce qui lui a valu la suspension du processus d'intégration à l'Union européenne.
Autre point, le pouvoir géorgien a choisi de passer à un scrutin proportionnel intégral. Pourquoi pas ? Sauf que la loi a supprimé à cette occasion l'obligation de parité des candidats, c'est une régression, d'autant que nous avons constaté que les personnes LGBT ne sont pas protégées en Géorgie et que nos interlocuteurs n'étaient pas du tout sur une ligne progressiste sur ce sujet ; c'est un problème.
Le jour de l'élection, nous avons observé de fortes tensions dans les bureaux de vote. Il y a eu des tentatives de bourrage d'urnes, la commission électorale va recompter à peu près 15 % des bureaux de vote, c'est important, et des résultats ont déjà été annulés. Le viol du secret du vote est un sport national, nous avons établi une proportion de 6 %. Nous avons aussi constaté la présence de caméras dans les bureaux de vote, focalisées sur les machines à voter - et personne n'a su nous dire qui en avait décidé l'installation, qui n'existe pas dans les protocoles. Il y a eu des tentatives d'achat de vote et des pressions à l'extérieur des bureaux de vote - en milieu rural, nous avons vu des groupes d'hommes qui restaient à l'entrée des bureaux de vote et exerçaient une pression, sans que nous ayons pu établir dans quel sens.
La campagne a donné lieu à une « guerre des narratifs » entre la majorité et l'opposition. Les candidats de la majorité disent qu'ils ne veulent pas des Russes, mais qu'ils veulent la paix, tandis que ceux de l'opposition disent qu'ils veulent rejoindre l'UE. L'élection s'est faite sur ce clivage. La présidente de Géorgie, qui a un rôle très honorifique et de garante des institutions, s'est mêlée des élections, en signant une charte avec les principaux partis d'opposition - cela a créé une tension aussi qui, nous a-t-il semblé, a été favorable à la majorité sortante et qui a un peu discrédité la présidente géorgienne. Il faut bien comprendre que les principaux partis d'opposition sont ceux qui étaient majoritaires avant 2012, une période d'oligarchie où la Géorgie comptait des prisonniers politiques, et où les ONG dénonçaient déjà la corruption et l'absence de transparence. Ce que nous ont dit nos interlocuteurs du parti majoritaire, c'est que s'ils étaient certes impopulaires, ceux de l'opposition l'étaient encore davantage pour la plupart d'entre eux. Cette élection s'est tenue dans un climat assez négatif.
L'observation que nous avons conduite conclut que les élections législatives en Géorgie se sont déroulées dans des conditions très éloignées des standards européens, ce qui est rédhibitoire pour un pays qui prétend à l'intégration. Le rapport que nous avons rédigé est à votre disposition.
La réunion est close à 11 heures.
Audition de MM. Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l'ANSSI et de Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)
M. Cédric Perrin, président. - M. Cédric Perrin, président. - Nous poursuivons nos auditions sur le projet de loi de finances pour 2025 en entendant ce matin M. Stéphane Bouillon, secrétaire général de la Défense et de la Sécurité nationale (SGDSN), sur les crédits du programme 129 relatifs à la coordination de la sécurité et de la défense.
Il s'agit ici d'un ensemble de moyens permettant au SGDSN d'assurer ses trois missions principales, à savoir l'organisation des conseils de défense et de sécurité nationale, la coordination interministérielle pour prévenir les crises et, enfin, la sécurité des systèmes d'information et la protection contre les ingérences numériques étrangères.
Vous disposez à cet effet de deux services à compétence nationale, dont les chefs vous accompagnent aujourd'hui. Il s'agit de M. Vincent Strubel, directeur général de l'Agence nationale de sécurité des systèmes d'information (ANSSI), qui est auditionné pour la première fois par notre commission depuis sa nomination en janvier 2023, et de M. Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum).
J'ajoute que vous assurez la tutelle de l'Institut des hautes études de défense nationale (IHEDN), bien connu de nos collègues. Je le précise car je ne doute pas que vous serez interrogé à son sujet en raison de la réduction brutale de ses moyens qui est envisagée pour les années à venir.
Nous attendons donc que vous nous présentiez votre budget pour 2025 en nous expliquant précisément les différences entre ce que vous escomptiez pour accompagner la croissance de Viginum et la réalité de l'enveloppe qui vous est allouée. Avec 425 millions d'euros au lieu de 438 millions d'euros, les crédits de paiement de l'action 2 « Coordination de la sécurité et de la défense » subiront en 2025 une baisse de 3 % par rapport à 2024. Vous nous direz quelles contraintes ou renoncements cette évolution impose.
Cette situation est paradoxale car nous savons combien l'année 2024 a mobilisé vos services, tant en matière de cybersécurité que de lutte contre les menaces informationnelles pour assurer le bon déroulement des élections européennes et législatives ainsi que des Jeux olympiques. Elle l'est d'autant plus que l'année 2025 devrait entraîner un accroissement de l'activité de l'ANSSI et de Viginum. Je pense au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, pour l'examen duquel le Sénat va créer une commission spéciale. Je pense aussi à la préparation d'une stratégie nationale de lutte contre les manipulations de l'information, que la commission d'enquête sénatoriale sur les politiques publiques face aux influences étrangères appelait de ses voeux. Je ne reviendrai évidemment pas sur les évènements de cette nuit aux États-Unis, qui ne devraient pas améliorer la situation en matière de lutte informationnelle et de coopération dans un certain nombre de domaines qui vous concernent plus particulièrement, mais peut-être nous en direz-vous quelques mots.
Mes collègues auront certainement beaucoup de questions à vous poser, à commencer par Olivier Cadic et Mickaël Vallet, rapporteurs pour avis du programme 129.
Je rappelle que cette audition fait l'objet d'une captation vidéo retransmise sur le site internet et les réseaux sociaux du Sénat, puis consultable en vidéo à la demande.
M. Stéphane Bouillon, secrétaire général de la Défense et de la Sécurité nationale. - C'est pour nous un devoir républicain que de venir vous présenter comme chaque année le bilan et les orientations du SGDSN dans son ensemble et dans ses composantes opérationnelles.
S'agissant du bilan, l'impeccable déroulement des Jeux olympiques et paralympiques de Paris a bien sûr constitué notre résultat le plus marquant en 2024. Il s'agissait de notre priorité. Nous y avons travaillé en lien étroit avec la délégation interministérielle aux Jeux olympiques et paralympiques (DIJOP) pendant plus de deux ans, à la fois en tant qu'opérateurs et au titre de la coordination interministérielle dans le champ de la défense et de la sécurité nationale.
Tout s'est bien passé - ou presque - dans notre champ d'action comme dans tous les autres et nous en sommes fiers. Le succès de la gestion de la sécurité et de la cybersécurité des Jeux a permis l'esprit de fête qui a régné à Paris et sur tous les sites de compétition cet été, l'engouement du public pendant les épreuves et le formidable bilan de nos athlètes, grâce à la mobilisation de tous, acteurs publics, acteurs privés et citoyens.
Heureusement, car certains incidents étaient inquiétants : les trois attentats qui ont été déjoués par la direction générale de la sécurité intérieure (DGSI) au printemps, directement en lien avec les Jeux olympiques ; l'individu d'origine russe qui s'est blessé en manipulant des explosifs dans un hôtel de Roissy-en-France le 3 juin ; les sabotages sur l'infrastructure des lignes à grande vitesse le 26 juillet, le jour même de l'ouverture des Jeux ; et le nombre de manoeuvres de désinformation pour dissuader les visiteurs et déstabiliser notre société, qui a largement crû depuis l'automne 2023.
Le rehaussement de nos boucliers cyber a été très utile car plusieurs attaques pour espionner ou saboter des infrastructures critiques ont été constatées. Tous ces dispositifs nous ont également été précieux pour les élections européennes et législatives. Ils étaient déjà en place lors des élections européennes, ce qui nous a permis d'être efficaces. Compte tenu de la surprise qu'a constitué pour beaucoup de monde, y compris pour nos adversaires, la dissolution de l'Assemblée nationale, les élections législatives ont été moins attaquées.
Au SGDSN, nous nous sommes particulièrement intéressés à l'organisation de la gouvernance de la sécurité des Jeux pour vérifier sa pertinence. Tout le champ devait être couvert. Chaque entité, dans le cadre de ses compétences, devait pouvoir disposer d'une structure d'information et de décision opérationnelle, mais il fallait aussi éviter les redondances et les concurrences entre les différents centres de commandement - il y en avait beaucoup - et, pire, une mauvaise coopération.
Dans cette perspective, nous avons monté au printemps un exercice qui a permis de valider le dispositif mis en oeuvre. De fait, ces centres, Paris 2024, les collectivités territoriales, les services publics et l'État ont travaillé ensemble de façon fluide, bien coordonnée, sous l'égide du délégué interministériel aux Jeux, du préfet de police, des préfets de Paris et des départements concernés et du Centre national de sécurité des Jeux au niveau ministériel. Ils ont été efficaces et cette leçon nous sera utile pour le futur. Mes services ont également élaboré un bilan des actions menées pour ce qui concerne le SGDSN en lui même.
S'agissant de la protection et de la sécurité de l'État, la direction en charge a conduit très en amont une politique de préparation des acteurs à la gestion de crise et à l'anticipation. Elle a conçu des outils d'aide à la décision avec une doctrine, des scénarii de crise et un mémento pour travailler efficacement en cas de crise, organisé des exercices pour les valider, géré la sécurisation des réseaux à tous les niveaux - réseaux électriques, de télécommunications, y compris par satellite, de distribution d'eau et de paiement électronique -, mené des expérimentations technologiques, notamment dans la détection de matières nucléaires, radiologiques, biologiques et chimiques (NRBC) et la surveillance des drones, surveillé la formation de centaines de chiens à la détection d'explosifs et assuré la veille pendant les Jeux, se tenant prête à contribuer, en cas de besoin, à une cellule interministérielle de crise au service du Premier ministre.
En tant que chef de file national pour la cybersécurité, l'ANSSI a mené un important travail de diagnostic et de prévention pour la protection des systèmes d'information des principaux acteurs des Jeux, très en amont. Les vulnérabilités des systèmes ont été testées - et c'est heureux, car il y avait du travail - et corrigées. Des sondes ont été placées aux bons endroits, tandis que des pare-feux ont permis d'entraver de nombreuses attaques à temps. Au total, le relèvement de nos défenses a permis d'éviter ou de limiter beaucoup d'attaques.
Pour cela, l'ANSSI a veillé à l'excellente coordination entre acteurs publics et privés nationaux, européens et internationaux. Peu d'entre eux se connaissaient avant d'entrer dans la préparation des Jeux et cette expérience va nous permettre, grâce à la collaboration et à la confiance établies à cette occasion, de faciliter, par exemple, l'application de la directive NIS 2, dont le projet de loi de transposition en droit français vous a été soumis.
Concernant la lutte contre les manipulations de l'information, Viginum a démontré au public que les acteurs étrangers habituels de la désinformation ont tenté de nuire à nos intérêts fondamentaux en présentant une France incapable d'assurer le bon déroulement des Jeux, car en proie à des émeutes, à l'insécurité et au terrorisme et envahie par les punaises de lit. Des autocraties ont aussi tenté d'instrumentaliser les Jeux pour obtenir des avantages géopolitiques dans le cadre des conflits en cours.
En juillet, l'ANSSI a réussi à bloquer une attaque qui visait à prendre le contrôle de l'ensemble des panneaux d'informations variables en France. Des actions ont aussi été conduites pour faire face aux systèmes autocratiques, beaucoup plus organisés et directifs, laissant moins de place à l'initiative privée que le nôtre.
Dans ce cadre, Viginum a su travailler étroitement avec d'autres services de l'État, dont la préfecture de police de Paris, la DGSI, le ministère de l'Europe et des affaires étrangères, le ministère des sports et le ministère des transports, ainsi qu'avec beaucoup de partenaires étrangers pour faire face à ces opérations. Nous avons, dans ce domaine, une excellente coopération avec les uns et les autres.
Je ne veux pas oublier le travail de l'opérateur des systèmes d'information interministériels classifiés (OSIIC), qui s'est employé à ce que toutes les autorités puissent à tout instant communiquer entre elles, en toute discrétion et où qu'elles soient.
L'excellent bilan sécuritaire des Jeux tient sans doute tant à cette préparation en amont qu'à la mobilisation exceptionnelle et historique de notre pays, avec le concours de ses alliés, non seulement pour la sécurité, mais aussi pour l'accueil et l'hébergement des athlètes et des spectateurs, leur transport et leur santé. Je mesure ce succès aux félicitations sincères reçues de nos amis britanniques, qui ont organisé les Jeux en 2012, et américains, qui les organiseront en 2028. Ces Jeux sont ainsi l'illustration de ce que notre pays, qui doute si souvent de lui-même, est capable de construire et de réaliser. En ces temps difficiles, cela peut donner confiance.
S'agissant de l'état de la menace, j'ai relu, pour préparer mon propos, le compte rendu de mon audition l'année dernière. Je n'ai hélas pas grand-chose à en retrancher. Au contraire, les menaces s'accroissent et nous sommes mobilisés face à elles. Bien sûr, l'élection de Donald Trump aux États-Unis cette nuit va rebattre toutes les cartes. La Russie impérialiste gagne des points dans sa guerre en Ukraine sur le plan militaire, sur le plan diplomatique - grâce aux BRICS, qui ont rompu son isolement - et sur le plan économique - grâce au contournement des sanctions et à sa résilience. Dans ce domaine, que va faire Trump ? Comment et quand cette guerre prendra-t-elle fin ? Quelles en seront les conséquences pour l'Europe ? Nous entrons évidemment dans une période très complexe.
J'ajoute qu'en Afrique, la Russie continue à acquérir de l'influence grâce à la manipulation de l'information et à sa présence militaire. Même si elle est inefficace contre le terrorisme, elle protège les juntes qui sont arrivées au pouvoir. Par ailleurs, il y a toujours un risque d'embrasement du Proche-Orient autour du conflit entre l'Iran et Israël. Outre le retour de Donald Trump, l'éviction hier du ministre israélien de la défense, Yoav Gallant, aura des conséquences. Tout ceci entraîne un risque de prolifération nucléaire dans bon nombre de pays et de multiplication des conflits régionaux, qui, évidemment, ne peut que nous inquiéter pour les années à venir.
La 29ème Conférence des parties (COP29) à Bakou se présente mal, alors que les manifestations du réchauffement de la planète s'aggravent : incendies, inondations, cyclones de plus en plus ravageurs, pénuries d'eau, etc. Nous en sommes et en serons victimes. Les pénuries d'eau actuelles en Guyane, après celles qui ont touché Mayotte l'an dernier, le démontrent amplement.
Nous travaillons donc plus ardemment sur la réforme de la planification de nos réactions aux crises et aux catastrophes pour la rendre plus lisible et opérante, ainsi que sur la stratégie nationale de résilience afin d'amener l'État, les collectivités territoriales, les entreprises et les citoyens à se préparer collectivement. Nous en parlerons évidemment dans le cadre de l'examen du projet de loi sur la résilience des entités critiques, en application de la directive européenne sur ce sujet.
Les résultats de l'élection présidentielle américaine vont changer la relation entre les États-Unis et le reste du monde autour de quelques déterminants. Ils sont engagés dans une compétition agressive avec la Chine pour conserver leur leadership mondial, économique et militaire. Dans ce contexte, si j'en crois ce que disait le candidat qui vient d'être élu, le sort des Européens ne constituera pas une priorité. Nous sommes même engagés dans une forme de rivalité économique, comme l'a souligné Donald Trump. L'adoption de l'Inflation Reduction Act par l'administration Biden en était déjà une première traduction. L'annonce par Trump de nouveaux droits de douane sur les importations européennes, sa méfiance envers l'Otan et notre dépendance vis-à-vis des États-Unis pour nos approvisionnements en énergie, en matières premières et en métaux rares nous laissent entrevoir, pour la France et pour l'Europe, des temps agités. Évidemment, le SGDSN est très engagé sur ces sujets de sécurité économique, en lien avec le ministère de l'économie et des finances.
L'Europe, elle, se partage entre ceux qui pensent qu'elle doit se renforcer et ceux qui considèrent qu'il n'y a point de salut en dehors de l'atlantisme. Le Parlement européen et la nouvelle Commission européenne vont être confrontés à la recherche d'un nouveau modèle économique, moins naïf et plus souverain, d'autant que l'économie européenne souffre des prises de position passées. Je pense, entre autres, à la fin des véhicules thermiques en 2035, au projet de traité avec le Mercosur et aux taxonomies, certes vertueuses, mais qui entravent nos entreprises.
Le rapport Draghi est un signal d'alarme et, en même temps, un signal d'espoir, dans la mesure où il évoque des pistes pour restaurer notre compétitivité. Mais pour l'instant, nous sommes bel et bien en train de perdre les batailles de l'innovation, de l'intelligence artificielle, du spatial, de l'autonomie alimentaire et de l'autonomie stratégique, alors que le monde se repolarise en blocs ; nous perdons donc progressivement notre souveraineté.
Dans ce contexte, les menaces hybrides se sont renforcées. Attaques cyber et désinformation constituent des armes pour que les autocraties gagnent la guerre sans avoir à combattre. En 2025, le SGDSN veillera encore à une solide coopération interministérielle pour nous en protéger. Les deux stratégies qui sont lancées, l'une en matière cyber, l'autre en matière de lutte contre les manipulations d'information, ont pour objectif de renforcer le travail de l'administration et l'organisation de notre gouvernance et de travailler sur les relations que nous pouvons avoir avec nos alliés pour être plus forts, coordonner nos efforts et renforcer notre protection et notre efficacité dans ce domaine, y compris en s'ouvrant vers le monde académique et l'éducation des citoyens à la cybersécurité ou à la compréhension de ce qu'ils lisent sur les réseaux sociaux, pour mieux se protéger de ces attaques. Évidemment, nous continuerons à travailler avec nos alliées, les démocraties, qui sont les cibles premières ; nous l'avons vu hier encore aux États-Unis.
Enfin, je ne saurais omettre le risque d'attentat. Même si nous avons levé, dans Vigipirate, un certain nombre de mesures de surveillance et de vigilance adaptées aux manifestations sportives et aux grands rassemblements de public après les Jeux olympiques, le Premier ministre a souhaité maintenir le niveau le plus élevé, urgence attentat, compte tenu de la situation internationale, qui peut catalyser la menace endogène.
Dans ce contexte durablement incertain, le SGDSN est plus que jamais concentré sur ses missions. Elles sont triples : celles qui relèvent du secrétariat des conseils présidés par le Président de la République, le conseil de défense et de sécurité nationale, le conseil des armements nucléaires ou le conseil de politique nucléaire, qui est désormais rattaché, aux termes de la loi que vous avez votée, au SGDSN ; celles qui relèvent de l'animation de politiques interministérielles - et donc du Premier ministre -, comme la planification de sécurité nationale ou l'anticipation des crises - et nous travaillons fortement sur ce qui peut se passer dans les prochains mois et années, la sécurité économique conjointement avec Bercy ou l'instruction des demandes d'exportation de matériels de guerre et de biens à double usage, le rapport qui vous indiquera ce qui a été décidé dans le cadre de la commission interministérielle que j'ai l'honneur de présider devant vous être présenté, je crois, le 26 novembre prochain ; enfin, les missions des opérateurs interministériels dont j'ai parlé.
Dans cette optique, nous avons beaucoup travaillé à la préparation du projet de loi qui vous est soumis et que j'ai cité devant vous à plusieurs reprises, qui transpose trois directives européennes, REC, NIS2 et DORA, et doit nous permettre de renforcer la protection de la Nation et notre résilience collective. La directive REC vise à assurer la continuité d'activité des quelque 300 opérateurs d'importance vitale, c'est-à-dire de ceux qui sont utiles à la maîtrise d'une crise, tandis que la directive NIS 2 porte sur la cybersécurité des 15 000 entités importantes ou essentielles dont l'interruption des systèmes informatiques bloquerait les services aux usagers et entraverait donc lourdement et durablement notre activité et que la directive DORA vise à améliorer la résistance des institutions financières, des banques et des compagnies d'assurance.
Ce projet de loi a été préparé en collant aux plus près aux directives et en évitant la surtransposition, qui est souvent le péché mignon de l'administration française - je ne suis pas sûr, d'ailleurs, qu'il soit mignon -, car elle créerait des inégalités entre nos voisins et nous. Pour autant, il nous dotera d'outils qui seront collectivement très utiles.
Cependant, afin de ne pas peser brutalement sur les opérateurs, la ministre, Mme Chappaz, qui défendra ce projet de loi devant vous, vous proposera que l'application des nouvelles règles de sécurité soit proportionnée et très progressive. En particulier, le Gouvernement souhaite exempter les collectivités territoriales de sanctions en cas de carence affirmée, puisque leur moteur n'est pas le profit, mais l'intérêt général. J'ajoute que les collectivités regroupant moins de 30 000 habitants seront exemptées d'obligations nouvelles.
Nous veillerons, en liaison avec vous, à mettre en avant la pédagogie et un travail de conviction. En effet, la résilience passe par l'adhésion du plus grand nombre et ne peut être fondée sur la seule contrainte, même si, à un moment, il faut bien imposer à certains de ne pas mettre en danger la sécurité de tous par leurs carences.
J'en terminerai, Monsieur le président, par un mot sur les moyens du SGDSN tels que prévus dans le PLF pour 2025. Comme vous le savez, le Gouvernement a placé la question des finances publiques au coeur de son action. Cela se traduit par des efforts demandés aux services de l'État et aux collectivités et, bien entendu, aux services du Premier ministre en premier chef. Dans ce cadre, les crédits de ces derniers baisseront légèrement en 2025. S'agissant du SGDSN, les moyens pour 2025 seront presque identiques à ceux de 2024. Nous devrons fonctionner avec 307,6 millions d'euros, soit 8 millions de moins qu'en 2024, dont, hors T2, 242 millions d'euros en autorisations d'engagement (AE) et 243 millions d'euros en crédits de paiement (CP). Cette baisse concernera surtout les crédits techniques d'investissement mutualisés (CTIM), qui soutiennent les investissements techniques que se partagent les services de renseignement. Nous compterons 1 284,7 équivalents temps plein (ETP) hors effectifs militaires - qui se montent à 305 - et notre schéma d'emploi pour 2025 ne prévoit pas la création de nouveaux postes.
Nous avons donc pris des mesures pour adapter notre organisation de façon à assurer la continuité des missions importantes. Nous priorisons nos missions et cherchons les économies, mais je peux vous assurer que nous ne serons pas empêchés dans notre coeur de métier.
En revanche, certains projets, notamment en soutien à des partenaires étrangers, devront être réduits ou retardés. Le renouvellement de certains matériels et investissements, notamment immobiliers, sera décalé, ce qui nous obligera sans doute à garder des locaux que nous louons actuellement. Mais dans tous les cas, le SGDSN sera au rendez-vous de 2025, comme il l'aura été en 2024.
Vous avez parlé, Monsieur le président, de l'IHEDN. Après avoir connu une réforme importante au début des années 2020, l'IHEDN fonctionne efficacement et avec beaucoup de succès, puisque les sessions accueillent de plus en plus d'auditeurs, et assure l'information de l'ensemble des corps de la Nation et le rayonnement de notre défense, non seulement en France, mais aussi à l'étranger. Les efforts qui lui sont demandés cette année devront être revus l'année prochaine, mais cela fera partie du débat que nous aurons avec l'IHEDN, le ministère des armées et les services du Premier ministre. En tout état de cause, le directeur de l'IHEDN m'a indiqué qu'il devrait parvenir à y faire face cette année.
M. Vincent Strubel, directeur général de l'Agence nationale de sécurité des systèmes d'information. - La menace en matière de cybersécurité évolue et s'intensifie, puisque le nombre d'incidents significatifs traités par l'ANSSI a augmenté de près de 30 % entre 2022 et 2023, passant de 832 à 1 112. Je me risque à prédire que l'évolution sera du même ordre, si ce n'est plus, en 2024.
Au-delà de ces chiffres bruts, la menace s'accroît dans notre coeur de métier historique, c'est-à-dire la réponse à la menace stratégique, doux euphémisme pour parler des attaques menées par des États contre nos intérêts les plus fondamentaux. L'espionnage reste ce qui nous occupe le plus, ciblant toujours des entités stratégiques, des administrations sensibles ou des entreprises innovantes ou stratégiques.
Cette menace d'espionnage est toujours aussi présente et se diversifie. Elle touche aussi de nouveaux types d'acteurs, comme les think tanks. Nous avons publié un état de la menace sur ces acteurs particuliers - sur les organes de normalisation par exemple. Elle s'étend aussi à toute la chaîne de valeur. Face à des acteurs stratégiques qui se protègent de mieux en mieux, les attaquants savent s'en prendre au maillon faible que sont les prestataires et les sous traitants. Nous devons donc couvrir une cible de plus en plus large.
L'autre composante de cette menace stratégique étatique, c'est le sabotage, que nous anticipions depuis des années, qui est devenu une réalité parfaitement tangible et qui constitue le quotidien de l'Ukraine depuis des années - sans doute plus que trois ans. Il correspond à la destruction des infrastructures, des opérateurs de l'énergie ou des télécommunications. Kyivstar, opérateur téléphonique majeur de l'Ukraine, a ainsi été totalement paralysé par une cyberattaque. Dans la partie occidentale de l'Europe, nous observons des manoeuvres de reconnaissance de la part d'acteurs qui cherchent à mieux cerner les contours de nos infrastructures critiques, voire du prépositionnement, c'est-à-dire une prise de contrôle de la part de ces acteurs, qui s'installent au sein des réseaux de nos opérateurs critiques, sans espionner, et dont nous supposons donc qu'ils sont là pour pouvoir tout éteindre ou tout casser le moment venu, quand on leur en donnera l'ordre.
S'il n'y avait que cette menace-là à traiter, la tâche serait déjà ambitieuse. Malheureusement, l'explosion de la menace systémique constitue l'autre évolution majeure de ces dernières années. Il s'agit d'une menace qui n'est pas ciblée, touche en premier lieu les victimes les plus faciles, est liée au crime organisé et cherche à faire de l'argent au travers du rançongiciel, c'est-à-dire de la paralysie d'infrastructures informatiques et de l'extorsion de rançons pour les libérer.
Ce crime organisé pratique depuis quelques années une pêche au chalut et attrape tout ce qu'il peut. Nos hôpitaux en ont été les victimes les plus visibles en 2021 et en 2022, avec des situations proprement catastrophiques. Sur ce plan, nous pouvons noter une certaine amélioration : même si nous sommes loin d'être sortis de la zone de vulnérabilité de nos hôpitaux, leur capacité à réagir efficacement face aux attaques s'est nettement améliorée. Nous n'avons recensé qu'un incident réellement grave au cours de l'année écoulée, celui d'Armentières, tandis que beaucoup d'incidents qui auraient pu l'être ont été évités.
Malheureusement, les hôpitaux ne sont pas les seules victimes. Les autres victimes récurrentes de ce type d'attaque restent sur un plateau haut de la menace. Je veux parler des collectivités, avec des catastrophes à Albi ou à Saint-Nazaire - et j'en passe -, et des entreprises de toute nature. Je note par exemple que les médias ne sont pas à l'abri, puisque Libération se débat depuis le week-end dernier avec une attaque de ce type, tandis que les éditions Bayard se sont vues très largement contraintes, y compris dans la publication du quotidien La Croix il y a quelques semaines.
En complément ou en alternative à la paralysie des infrastructures informatiques, ces acteurs du crime organisé se tournent de plus en plus vers le vol de données et l'exigence de rançons contre leur non-publication. La victimologie évolue donc et s'étend désormais aux acteurs du domaine social, qui détiennent des données sensibles dont la publication serait évidemment un évènement problématique que les acteurs concernés cherchent à éviter. Les opérateurs de tiers payant en ont fait les frais en février, au moment où un acteur équivalent du paiement des prestations de santé, Change Healthcare, connaissait une attaque équivalente, voire pire, aux États-Unis. Je pense d'ailleurs qu'il s'agit de la première attaque dont les conséquences financières dépassent le milliard de dollars, puisque le paiement des prestations de santé a été bloqué pendant plusieurs semaines. Cette menace se développe également dans le domaine de l'enseignement supérieur et de la recherche, avec l'exemple de l'université de Paris-Saclay, qui en a été la victime à la fin de l'été.
Nous voyons également de plus en plus d'acteurs revendicatifs du domaine activiste, qui ne font pas nécessairement des choses très graves, mais très visibles et tout de même gênantes au quotidien, notamment dans le contexte géopolitique que nous connaissons, paralyser certains sites web par des attaques de déni de service, c'est-à-dire de simple saturation, comme une opération escargot, et essayer de faire de plus en plus de choses de manière très désinhibée, y compris contre des infrastructures qui pourraient être critiques à grande échelle. Par exemple, certains de ces acteurs, comme la Cyber Army of Russia Reborn, s'en prennent à des micro-installations de production d'électricité ou à des éoliennes pour détruire physiquement ces équipements au travers d'attaques d'une technicité très faible, mais que nous surveillons évidemment de près. Cette évolution de la menace nous amène donc à nous pencher de nouveau sur la protection, avec le travail à venir sur la directive NIS 2 ainsi que d'autres textes réglementaires que j'évoquerai rapidement.
Nous avons été confrontés à cette menace dans la préparation et la mise en oeuvre des Jeux olympiques. En juillet 2022, l'ANSSI a été désignée chef de file de la cybersécurité des Jeux, ce qui a donné lieu à un travail en deux phases : un travail de chef d'orchestre de la préparation pendant deux ans, avec un travail de prévention, d'accompagnement de près de 500 entités jugées critiques pour l'organisation des Jeux, de test et d'amélioration de leur sécurité, d'entraînement ainsi que de communication auprès d'acteurs auxquels, jusque-là, l'ANSSI ne parlait pas : des fédérations sportives, des lieux de compétition, des stades, etc. ; puis, au-delà de ces deux ans de préparation, trois mois de gestion de crise - même s'il n'y a pas eu de crise majeure visible -, durant lesquels nous avons traité en horaires étendus tout ce qui pouvait se passer du 8 mai, date d'arrivée de la flamme olympique, au 8 septembre, date de clôture des Jeux paralympiques.
Tout cela avec des moyens spécifiques de l'ordre de 12 millions d'euros, qui nous ont permis d'industrialiser des prestations de services et des équipements en matière de cybersécurité, mais surtout l'utilisation de 30 % des capacités de l'ANSSI pour la préparation des Jeux pendant deux ans et de 100 %, voire 120 %, de ces capacités pendant les trois mois de la période olympique, puisque l'ensemble des agents de l'Agence, y compris ceux dont le métier n'est pas de gérer des crises cyber, ont été entraînés et mobilisés pendant cette période.
Le résultat fut une victoire sans ambiguïté, ce qui est suffisamment rare dans notre domaine pour le signaler. Aucune cyberattaque n'a perturbé le déroulement des Jeux ni entamé la confiance des délégations, des spectateurs et de nos partenaires internationaux, qui étaient préoccupés par la sécurité de l'évènement.
Pour autant, nous avons tout de même été confrontés à une vague significative d'attaques. L'ANSSI a dénombré 548 tentatives d'attaque, dont 83 ont réussi à produire des effets, la plupart du temps mineurs, mais non nuls, durant la période et sur le périmètre olympiques. Le comité d'organisation ayant compté 55 milliards d'attaques, je tiens à préciser que nous comptons la même chose, mais de manière différente : pour une attaque ou une tentative d'attaque comptée par l'ANSSI, les organisateurs - et c'est légitime de leur point de vue - comptent les milliers d'actions techniques individuelles qui conduisent à cette attaque ou à cette tentative d'attaque. Le volume d'attaques a donc bel et bien progressé de façon significative par rapport aux Jeux de Tokyo.
Pour autant, l'énorme majorité de ces attaques a été bloquée rapidement. L'établissement public de la Villette, qui hébergeait un certain nombre de délégations, et le village olympique, ou l'Accor Arena de Bercy, qui accueillait plusieurs épreuves, ont vu des attaques bloquées très tôt et sans qu'elles produisent d'effet, grâce à des mécanismes de détection mis en place par l'ANSSI. Nous avons également mené un travail spécifique sur l'assainissement de l'eau, qui a lui aussi constitué une cible pour un certain nombre d'acteurs et a réussi à tenir bon.
Le fait que les attaques soient bloquées très tôt ne nous permet pas toujours de connaître l'identité de l'attaquant ni son intention. Néanmoins, cela me donne à penser qu'à l'évidence, certains en voulaient au bon déroulement des Jeux, dans toutes les composantes de la menace, qu'il s'agisse d'États qui ont organisé des tentatives de sabotage ou d'espionnage, de criminels qui ont cherché à faire de l'argent avec du rançongiciel - le Grand Palais en a fait les frais mais, là encore, sans conséquence sur la compétition -, ou d'activistes de tous genres qui avaient annoncé vouloir s'en prendre à l'assainissement des eaux de la Seine - sans succès.
Au total, donc, les mesures de prévention que nous avons mises en place ont été efficaces. L'équipe de France de la cybersécurité a été d'une efficacité remarquable et c'est une vraie victoire collective. Nous avons aussi fait preuve d'une transparence assez nouvelle, qui a porté ses fruits dans le partage rapide de l'information avec nos partenaires étrangers, mais aussi avec les médias. Je tiens à souligner que nous n'avons pas vu pendant ces Jeux ce que nous avions pu voir précédemment, c'est-à-dire des reprises sans esprit critique de revendications parfois abracadabrantesques de certains groupes activistes, dont ceux qui prétendaient avoir pollué la Seine. C'est l'occasion de signaler une coopération étroite avec Viginum, qui montre toute la pertinence de notre positionnement commun au sein du SGDSN, parce que ces enjeux sont évidemment à la frontière entre la cyberattaque et la manipulation de l'information.
Tout cela est donc très riche en enseignements pour la suite, mais porte également un message d'humilité. En effet, nous avions finalement, dans la préparation des Jeux, une unité de temps et de lieu : nous savions où et quand les attaquants allaient chercher à nous faire du mal. Le problème plus général que nous avons à traiter est toutefois plus complexe.
Pour la suite, il nous faudra apporter des solutions à des petites victimes qui sortent de notre champ de compétences habituel. Nous avons aujourd'hui une capacité reconnue pour faire face à la menace étatique sur nos intérêts fondamentaux, c'est-à-dire les opérateurs critiques et les administrations sensibles.
Je signale au passage que nous le faisons de manière frugale, puisque nous sommes des petits parmi les grands. Nous assumons ces missions avec un peu plus de 600 agents et un budget de l'ordre de 25 millions d'euros, tandis que les Allemands sont trois plus nombreux -1 800 aujourd'hui - et que leur budget est dix fois plus important, de l'ordre de 240 millions d'euros. Il faut le mettre au crédit des agents de l'ANSSI, des pouvoirs dont vous avez bien voulu nous doter de par la loi et d'une organisation qui a fait ses preuves, en concentrant au-dessus de la mêlée, dans une agence unique, l'ensemble du champ d'intervention de la cybersécurité, même si nous travaillons toujours en étroite coopération avec le secteur privé, autant qu'avec les services de l'État.
Il va désormais nous falloir transformer cette excellence pour en faire bénéficier le plus grand nombre et répondre aux besoins, d'une nature un peu différente, de milliers d'acteurs confrontés à la menace systémique avec la directive NIS 2, dont je signale qu'elle n'est pas la suite logique de la directive NIS 1. Cette dernière, qui est relativement récente, était concentrée sur quelques centaines d'opérateurs absolument essentiels, quand NIS 2 couvre des milliers d'acteurs bien plus petits contre une menace de nature différente, la menace systémique non ciblée. Cela va nécessiter un changement dans le positionnement de l'ANSSI. Il nous faudra trouver le juste niveau d'exigence, pas trop élevé, car il n'est pas envisageable de traiter une PME comme EDF, mais pas trop faible non plus.
Cet enjeu va nous amener à mobiliser plus que jamais cette équipe de France de la cybersécurité qui a remporté la médaille d'or de la cybersécurité des Jeux pour accompagner collectivement ces milliers d'entités dont la maturité cyber reste à construire. Il nous faudra du temps : cela ne nécessitera pas moins de trois ans et nous le ferons dans la pédagogie et la co construction, comme nous le faisons depuis septembre, avec la consultation de 79 fédérations professionnelles - une première à cette échelle pour l'ANSSI - et de 13 associations d'élus.
Je signale dans le même champ réglementaire un autre objet, le Cyber Resilience Act (CRA), un règlement européen d'application directe qui sera le pendant de NIS 2 : là où NIS 2 va réguler les utilisateurs du numérique, le CRA imposera des exigences de base à tous les producteurs de produits numériques sur le marché intérieur européen et équilibrera les responsabilités entre ceux qui utilisent le numérique et portent certaines responsabilités et ceux qui produisent les briques de base du numérique, portent une responsabilité éminente dans les défauts de sécurité constatés et disposent d'une vraie marge de progression justifiant qu'ils soient régulés.
Tout cela se fera également avec la densification de cette équipe de France et des structures de l'écosystème cyber. L'ANSSI travaille par nature en réseau avec des prestataires privés, des services de l'État et de plus en plus de centres de réponse à incidents (CSIRT) dans les logiques sectorielles ou régionales - un modèle qui a bien fonctionné pendant les Jeux olympiques et qui, je l'espère, va se développer dans la préparation du passage à l'échelle.
Nous allons devoir le faire avec une contrainte budgétaire, puisque notre budget pour 2025, hors T2, sera peu ou prou équivalent à celui de 2024, à 27 millions d'euros contre 25 millions d'euros l'an dernier, et une stagnation des effectifs, là où nous estimions avoir besoin d'une soixantaine d'ETP pour prendre en compte l'évolution de la menace et préparer NIS 2.
Il sera donc nécessaire d'accepter quelques renoncements sur l'extension du périmètre de couverture, et notamment la supervision par l'ANSSI du système d'information de l'État, sur le développement de notre expertise dans des domaines émergents comme l'intelligence artificielle, qui sera certainement moins rapide, et sur certaines de nos missions, que nous devrons déprioriser au profit de l'essentiel, c'est-à-dire de notre capacité opérationnelle et de l'accompagnement de la mise en oeuvre de NIS 2.
M. Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères. - L'année dernière, j'avais eu le privilège d'évoquer devant vous la dégradation du contexte géopolitique auquel nous faisions face et qui était notamment caractérisé par une compétition stratégique désinhibée et l'usage décomplexé du rapport de force, avec pour instruments les actions de nature hybride dont la menace informationnelle est l'essence même.
Malheureusement, un an plus tard, le constat reste le même. Deux conflits armés régionaux dont les effets ont largement dépassé les frontières des seuls belligérants persistent, tandis que l'existence de zones de tension, notamment en Afrique et en région Indo-Pacifique, et la poursuite de la contestation du modèle démocratique offrent un terrain d'action très favorable aux acteurs de l'ingérence numérique étrangère. Par ailleurs, les enjeux économiques et technologiques font l'objet d'une véritable bagarre stratégique pour la conquête d'une position dominante ou le rattrapage d'un retard.
Dans ce panorama, qu'en est-il de la menace informationnelle ? Ou plutôt, quel usage nos compétiteurs stratégiques en font-ils ? Je vous parle avec une année supplémentaire de recul : cinq campagnes dévoilées, la fameuse affaire des étoiles de David, la campagne Olympia contre nos Jeux olympiques, le dispositif Portal Kombat, la dénonciation des manoeuvres informationnelles en Nouvelle-Calédonie de la part d'acteurs proazerbaïdjanais, la campagne Matriochka, deux élections et des Jeux olympiques ; et je peux affirmer aujourd'hui que la manipulation de l'information est proche de nous.
Pour être plus clair, je vous parlerai d'une menace que je qualifie d'intime, et ce pour plusieurs raisons. D'abord parce qu'elle connaît le fonctionnement de notre démocratie et de notre société et nos lignes de fracture. Il suffit d'observer les élections dans divers pays, y compris en France, pour s'en assurer.
Cette menace est intime parce qu'elle suit notre actualité, s'y intéresse et tente d'exploiter tout fait divers et tout évènement. La situation dans nos territoires ultramarins est parfaitement connue de certains acteurs étrangers qui n'hésitent pas à susciter et à attiser la contestation en trompant volontairement l'opinion publique.
Elle est intime parce qu'elle connaît aussi notre histoire et notre héritage. La tentative d'instrumentalisation de notre débat public sur le sujet des étoiles de David en est un parfait exemple, tout comme les accusations répétées de colonialisme envers notre politique étrangère.
Elle est encore intime parce qu'elle s'attache à nous accompagner dans la durée, avec des modes opératoires de plus en plus persistants. À ce titre, les campagnes RRN, dévoilées l'année dernière, mais aussi Portal Kombat ont démontré leur capacité d'adaptation à nos réponses.
Enfin, cette menace est intime parce qu'elle nous met à l'épreuve en nous imposant de l'humilité et, demain, probablement, des réponses qui ne relèveront pas uniquement du champ régalien, mais davantage de celui de l'éducation, de l'information et d'une meilleure collaboration avec la société civile. C'est d'ailleurs l'objet de la revue stratégique de la lutte contre les manipulations de l'information qui était souhaitée par votre commission d'enquête et dont le pilotage et la conduite ont été confiés au SGDSN.
Si la nature intime de cette menace informationnelle qu'est l'ingérence numérique étrangère est désormais bien connue, elle présente aujourd'hui plusieurs visages, au travers notamment de l'usurpation d'identités d'institutions officielles. Je pense à la DGSI et au SGDSN, mais également à la CIA ou à nos médias. Elle présente un autre visage, qui est celui, bien connu, de l'animation de réseaux de faux comptes pour massifier la diffusion de contenus et générer de faux contenus crédibles grâce à l'usage de l'intelligence artificielle générative, ainsi que celui de l'utilisation d'influenceurs ou de comptes à forte audience pour amplifier la visibilité de certains récits.
Face à ce constat, une question subsiste : celle de l'impact réel de la manipulation de l'information et de ces opérations ou campagnes d'ingérence numérique étrangère. À ce propos, la mesure de l'impact d'une campagne numérique de manipulation de l'information ne fait pas véritablement l'objet d'un consensus académique ou scientifique. Principalement empirique, l'analyse de ce qu'on appelle l'impact consiste bien souvent à relever des indicateurs quantitatifs de visibilité issus des principales plateformes de réseaux sociaux, avec le caractère relatif de ces indicateurs : le nombre de vues, de likes, de partages ou de commentaires. Ceux-ci ne fournissent toutefois qu'une vision parcellaire de l'exposition d'un lectorat ou d'un auditorat à une campagne, sans permettre d'en mesurer les effets sur le long terme. De fait, une approche simplement fondée sur des indicateurs issus de plateformes ne permet de mesurer que partiellement la visibilité de manoeuvres informationnelles, puisqu'elle écarte la nécessaire analyse de l'état sociologique d'une population donnée, exposée de manière répétée à un narratif sur un temps long, avec les biais qui peuvent en découler.
À Viginum, nous adoptons donc une posture de prudence s'agissant de la mesure de l'impact d'une campagne. Nous préférons évoquer un risque d'impact, en essayant de faire le lien avec un changement de comportement dans la population visée et de voir si une campagne numérique produit des effets dans le champ de la vie réelle.
S'agissant de notre action, je vous avais rendu compte l'an dernier d'une activité opérationnelle croissante, avec près de 40 % de détections supplémentaires par rapport à l'année 2022. Concrètement, en 2023, nous avions identifié 230 phénomènes inauthentiques de manipulation de l'information. Pour 2024, je peux vous dire que nous avons dépassé ce nombre au 1er octobre, à la faveur de dispositifs informationnels particulièrement persistants dans notre débat public numérique et très opportunistes. J'évoquais avec vous à ce propos l'instrumentalisation de tout fait d'actualité.
Face à cela, Viginum a directement participé, au cours de l'année écoulée, aux actions de communication stratégique du ministère de l'Europe et des affaires étrangères pour dénoncer cinq manoeuvres informationnelles sur la base de rapports réalisés par le service, qui ont été rendus publics.
J'ai mentionné le phénomène des étoiles de David en novembre 2023, mais aussi la campagne baptisée Olympia, qui impliquait des acteurs azerbaïdjanais et visait à dénigrer la capacité de la France à organiser les Jeux olympiques dans de bonnes conditions de sécurité. Je pense aussi au fameux réseau de portails d'information Portal Kombat, que nous avons dévoilé en février 2024. Il reliait 193 portails d'information multilingues ciblant plusieurs pays en Europe et avait finalement une visibilité relativement faible. Nous parlions tout à l'heure de la notion d'impact ; il est intéressant de noter, à cet égard, que 30 jours après nos révélations, les opérateurs de ce dispositif ont déposé de nouveaux noms de domaine pour cibler l'intégralité des pays de l'Union européenne, à deux mois des élections européennes. Le fait de dévoiler provoque donc des effets chez nos adversaires. J'ai également cité les manoeuvres informationnelles de l'Azerbaïdjan en Nouvelle-Calédonie au mois de mai 2024, dont l'objet était bien évidemment d'instrumentaliser les émeutes en cours pour décrédibiliser la politique conduite par l'État. Enfin, je n'oublie pas la fameuse campagne prorusse Matriochka, qui visait en particulier les Jeux olympiques. Nous avons, à ce titre, rendu compte au mois de septembre de notre action au travers d'un rapport sur les Jeux.
Par ailleurs, sur le plan de la collaboration, nous avons signé deux conventions avec des partenaires clés. Je pense à une convention avec la plateforme Pharos du ministère de l'Intérieur, qui a permis de nous identifier en tant que signaleur de confiance pour les contenus illicites. Je pense également à la convention que nous avons signée avec l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) au mois de juillet dernier afin de mettre à sa disposition notre capacité opérationnelle et notre expertise technique, au profit de sa nouvelle mission de coordonnateur national des services numériques découlant de la mise en oeuvre effective du Digital Services Act (DSA).
En outre, nous avons consolidé nos relations internationales et européennes auprès d'une vingtaine de pays, à la fois dans et en dehors de l'Union européenne, noué des échanges nourris avec l'OCDE et le G7 et concrétisé un engagement extrêmement fort avec les institutions de l'Union européenne. Je pense notamment aux services de la Commission européenne au titre du DSA, mais aussi au Service européen pour l'action extérieure (SEAE).
Enfin, notre souhait est de poursuivre notre ouverture vers la société civile, les médias, le monde académique et l'éducation nationale. En matière scientifique, nous avons publié trois articles de recherche qui ont été réalisés cette année par le service, et notamment par nos data scientists. Nous nous investissons avec beaucoup d'ambition dans le cadre du futur sommet sur l'intelligence artificielle, qui se tiendra à Paris en février prochain. Nous souhaitons pouvoir mieux outiller la société civile et le monde académique avec des outils qui permettent de détecter, par exemple, des phénomènes inauthentiques.
M. Olivier Cadic, rapporteur pour avis. - Je tiens tout d'abord à m'associer aux propos du président pour saluer votre action et celle de vos services au cours de l'année 2024. Vous avez relevé le défi des Jeux olympiques dans un contexte géopolitique extrêmement tendu et rendu encore plus complexe en politique intérieure par la succession des élections européennes et législatives. Je veux donc saluer l'action de l'ANSSI, de Viginum et, évidemment, de tout l'écosystème qui vous accompagnait en première ligne et qui a répondu à ces menaces. En fait, nous pourrions dire que le dôme cyber a tenu.
Je disais l'an dernier qu'il n'y aurait pas de médaille d'argent en cas de défaillance de nos systèmes d'information et de déstabilisation du déroulement des opérations électorales. Il n'en a rien été, malgré des attaques bien réelles, et il faut s'en féliciter. Je pense comme vous, Monsieur Strubel, que vos services méritent une médaille d'or. Il est donc important de leur témoigner toute notre reconnaissance. En tant que sénateur des Français établis hors de France, je souhaiterais en profiter pour exprimer notre gratitude à votre égard pour le bon fonctionnement du vote par internet, devenu incontournable pour organiser une élection réussie à l'étranger et qui s'est avéré très performant.
Ce satisfecit ne doit pas nous empêcher de penser à l'avenir. Or ce budget pour 2025 ne répond manifestement pas aux besoins qui étaient exprimés antérieurement par vos services. L'ANSSI escomptait une croissance de ses effectifs et de son budget afin d'assurer les missions supplémentaires qui lui seront confiées après l'examen à venir du projet de loi relatif à la résilience des activités d'importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Au lieu de réguler l'activité d'environ 500 entités, l'Agence devra changer d'échelle pour en gérer environ 15 000. Elle devait poursuivre sa croissance avec 65 ETP supplémentaires en 2025 ; ce ne sera pas le cas, ses effectifs n'évoluant pas.
Ces deux cas de figure posent la question des priorités et des ajustements que vous devrez assumer ainsi que celle du périmètre des missions de l'ANSSI. L'Agence pourra-t-elle continuer à mener de front ses activités de régulateur, mais aussi d'acteur et parfois de prestataire de sécurité ? Nous ne pouvons pas regarder 2025 sans se projeter dans la suite.
Lorsque nous avons échangé au sujet des attaquants, nous avions dit que le premier pays d'origine de ces derniers était la Chine, le deuxième la Russie et le troisième l'Iran. Viginum agit aujourd'hui comme une force de réaction rapide pour contrer la désinformation. Vous dénoncez et faites du name and shame. Il faut effectivement nommer ceux qui nous attaquent, mais cela n'est pas toujours le cas. J'aimerais donc savoir quelle procédure vous devez suivre pour pouvoir nommer un attaquant.
M. Mickaël Vallet, rapporteur pour avis. - Je m'associe évidemment aux félicitations s'agissant des Jeux olympiques. Nous avons mené plusieurs auditions avec des acteurs privés pour finir par conclure que la menace n'a pas été sous-estimée et que nous ne nous sommes pas fait peur pour le plaisir. Simplement, vous étiez prêts. Nos adversaires ont fait ce qu'ils ont pu avec leurs techniques et le résultat n'en a pas été l'absence d'attaque ou de pénétration, mais l'absence d'impact, comme vous dites, ou de conséquences.
Vous avez évoqué, Monsieur Brillant, le rôle de l'intelligence artificielle en matière de crédibilisation des faux comptes. Dans le même temps, vous avez annoncé, Monsieur Strubel, que les moyens que vous espériez et qui vous ne seront pas accordés ne seront donc pas consacrés à l'intelligence artificielle. Dans la mesure où 30 % de vos moyens sont affectés aux Jeux olympiques et paralympiques depuis plusieurs années et où les moyens attendus ne seront pas débloqués cette année, à quoi allez-vous devoir renoncer ?
Lors de votre audition l'an passé, Monsieur le secrétaire général, vous aviez déclaré : « L'ANSSI va également lancer une révision de la stratégie de lutte contre les cyberattaques : celle-ci a été adoptée en 2018 et nous souhaitons la mettre à jour pour tenir compte des évolutions en matière de cybercriminalité ou de cyberattaques et en particulier de l'arrivée de l'intelligence artificielle et du quantique. Tout cela va complètement bouleverser la donne et nous amènera à revoir notre position, encore une fois, en liaison avec les autres ministères, pour jouer un rôle plus offensif ». Cette révision de la stratégie de lutte contre les cyberattaques a-t-elle pu être engagée ou est-elle remise en cause du fait de ces considérations budgétaires ?
Durant les évènements qui ont eu lieu au printemps en Nouvelle-Calédonie, la décision d'y suspendre le réseau social TikTok - qui n'est pas anodine - a été prise, ce qui a suscité quelques interrogations de la part du Conseil d'État. Avez-vous été consultés avant cette suspension ?
Lorsqu'il y a un peu plus d'un an, nous nous préoccupions du cas de TikTok avec, concomitamment, la commission d'enquête du Sénat sur les ingérences étrangères et certaines décisions des institutions de l'Union européenne, la Première ministre a annoncé l'interdiction des applications récréatives sur un certain nombre de terminaux mobiles pour, notamment, les membres du Gouvernement et certains fonctionnaires. Cette interdiction est-elle opérationnelle ?
M. Stéphane Bouillon. - Sur l'interdiction des applications récréatives pour les communications à l'intérieur du Gouvernement, la messagerie Signal a remplacé les autres messageries utilisées auparavant.
Nous avons un temps mis à disposition des téléphones sécurisés, dits Mobius, avec des moyens extrêmement réduits puisqu'ils ne permettaient pas l'accès à internet, mais uniquement la téléphonie et les échanges de courriels. Ces téléphones, dont l'honnêteté m'oblige à dire qu'ils n'étaient pas très utilisés, ont été récupérés après le départ du dernier Gouvernement et nous allons les conserver cette année pour réaliser des économies.
Les ministres peuvent utiliser leur téléphone personnel pour un certain nombre d'activités, et notamment pour communiquer avec vous, le cas échéant, mais, à l'intérieur du Gouvernement, le Président de la République et le Premier ministre ont émis des instructions conjointes pour demander une réelle discipline et l'utilisation de Signal pour les échanges entre les membres du Gouvernement, leurs cabinets et les directions d'administrations centrales.
Nous n'avons pas été consultés en amont de la suspension de TikTok au printemps. Cette décision a été prise pour des motifs d'ordre public et l'a donc été assez rapidement. Nous en avons évidemment été immédiatement informés.
La stratégie de lutte contre les cyberattaques a été mise au point en interministériel. Il faut désormais que nous la fassions remonter vers le Président de la République et le Premier ministre pour l'approuver, la modifier ou l'encadrer. La situation budgétaire de cette année va bien sûr nous conduire à nous interroger sur un certain nombre de sujets. Il n'en reste pas moins qu'au travers de cette stratégie, toute une série d'actions concernant l'organisation, la gouvernance et d'autres domaines pourra être mise en oeuvre. Un certain nombre d'investissements devront toutefois être décalés, notamment lorsqu'il s'agit d'investissements de sécurité, de redondance ou de multiplication de centres à différents endroits.
Je vais laisser Vincent Strubel réagir sur l'écart entre ce sur quoi nous essayons de travailler en matière d'intelligence artificielle et les moyens que nous allons pouvoir y consacrer. Je peux simplement dire que le sujet de l'intelligence artificielle ne peut pas être traité par la seule ANSSI, mais doit être travaillé avec tous les ministères concernés - et tous vont l'être. Il s'agira d'un travail de long terme qui associera nos partenaires privés. En effet, nous devons rester humbles. La France a dû consacrer, je crois, 7 milliards d'euros à l'intelligence artificielle en quelques années. C'est une somme importante, mais Google y a dédié plusieurs centaines de milliards de dollars. De ce point de vue, il faut reconnaître que nous n'avons pas été capables d'organiser un groupe d'ampleur européenne en matière d'intelligence artificielle.
Concernant le name and shame, la question est traitée par le Comité de lutte contre les manipulations de l'information (Colmi) ou, pour ce qui concerne l'ANSSI, par le Centre de coordination des crises cyber (C4). Nous proposons toute une série de réponses, qui vont de l'attribution - si nous savons avec certitude de quel État il s'agit - à l'imputation - auquel cas nous expliquons que l'attaque a utilisé des modes d'action qui sont habituellement utilisés par des services chinois ou russes, par exemple, sachant que quelques États peuvent aussi se servir de ces modèles pour se cacher derrière une imputation autre. Nous faisons ensuite remonter l'affaire aux cabinets ministériels, puis au Président de la République et au Premier ministre, après quoi nous attendons des instructions.
Dans le cadre du jeu des relations internationales, avec, potentiellement, des visites de chefs d'État ou de gouvernement ou des conférences internationales à venir, il est intéressant de pouvoir se coordonner avec nos voisins européens pour pouvoir frapper plus lourdement. Le choix du calendrier dépend alors de considérations de politique intérieure ou étrangère et relève donc de l'autorité politique. En tout cas, le rapport que nous devons vous transmettre à la fin de l'année sur les actions que nous avons pu mener constitue un point d'arrivée qui permettra de mettre à jour toute la vérité.
Nous savons aussi travailler avec nos interlocuteurs de la presse et sommes capables de faire du off pour permettre à un média de signaler qu'une attaque a eu lieu. J'avoue d'ailleurs avec regret que l'information est parfois plus crédible quand elle provient d'un grand journal plutôt que d'un communiqué de presse, même si celui-ci émane du SGDSN.
Concernant les ajustements du périmètre d'action de l'ANSSI, nous avons souvent parlé avec Vincent Strubel de la place d'un opérateur au sein du SGDSN et donc auprès du Premier ministre, qui est plutôt un coordinateur et ne devrait pas disposer de services opérationnels. En réalité, les sujets de manipulation de l'information et les sujets cyber sont par nature interministériels : tout le monde est concerné et chaque ministère est compétent. Je ne suis pas sûr qu'à l'étranger, et en Allemagne en particulier, le débat autour de l'identité du ministère le mieux à même de suivre ces questions soit tranché, ce qui peut nuire à l'efficacité de l'action publique. Ma réponse est qu'il est important que le Premier ministre puisse disposer d'un outil sur ces sujets.
Cet instrument permet également au Premier ministre de vérifier que ses ministres assument leurs responsabilités en matière de cybersécurité au sein de leurs services. Tous les ans, une réunion a lieu entre le Premier ministre et les membres du Gouvernement ou entre leurs directeurs de cabinet pour établir le tableau d'honneur de ceux qui ont investi ou fait ce qu'ils devaient faire et le tableau d'horreur de ceux qui doivent encore mieux faire. Cette mission doit donc revenir au Premier ministre.
La régulation couvre toute une série de compétences, judiciaires, administratives ou financières. J'ai donc tendance là aussi à considérer qu'elle doit pouvoir demeurer à notre niveau.
Enfin, pour ce qui concerne la coordination avec les collectivités territoriales, il me paraît nécessaire que nous restions en charge, car il ne serait pas aisé autrement de déterminer si la responsabilité doit revenir au ministre de l'intérieur, à la ministre en charge des collectivités territoriales, au ministre de l'économie et des finances ou à la ministre en charge de la communication.
Chacun reconnaît l'aspect interministériel de notre mode de fonctionnement, y compris parce que nous organisons les conseils de défense, où tout le monde se retrouve sous l'autorité du SGDSN pour préparer un bilan de ce que nous faisons sur tel ou tel thème de sécurité - et des conseils sont régulièrement consacrés au cyber et à la lutte contre la manipulation de l'information - et pour proposer au Président de la République et au Premier ministre des orientations et des actions à mener.
J'ai la faiblesse de penser qu'il n'y pas de querelle de chapelle ou de compétence parce que nous essayons de bien faire notre travail. Tout le monde travaille efficacement et collectivement pour proposer des mesures qui seront admises par les décideurs et qui, par conséquent, passent facilement en conseil de défense.
M. Vincent Strubel. - Je souhaiterais partager avec vous ma conviction profonde, ancrée dans vingt années de parcours au sein de la cybersécurité : notre efficacité - le fait que nous arrivions à faire aussi bien que d'autres avec des moyens trois fois moindres - tient en grande partie à un modèle très intégré, avec une ANSSI placée sous l'autorité du SGDSN et, à travers lui, du Premier ministre, au-dessus de la mêlée interministérielle, qui intervient dans tous les champs et se porte garante de la cohérence des réponses de toute nature à la cybermenace.
L'ANSSI dispose en outre d'une force énorme, dans la mesure où les agents qui élaborent le cadre réglementaire, coordonnent les travaux européens ou font de la certification de produits ou de services travaillent main dans la main avec leurs collègues qui, au quotidien, regardent dans le blanc des yeux les meilleurs attaquants du monde et trouvent des réponses efficaces face à leurs attaques. Il en résulte que nous sommes écoutés - notre crédibilité est aussi l'une de nos forces - et que notre action est efficace face à la menace.
Ce modèle très intégré n'exclut pas la sous-traitance. Elle nous permet aujourd'hui de travailler avec un effectif réduit par rapport à nos voisins. Nous avons su déléguer une part énorme du traitement d'incidents au secteur privé ainsi qu'à de nouveaux acteurs, comme les CSIRT sectoriels ou régionaux. Pour autant, nous demeurons le chef d'orchestre ou la tour de contrôle, ancrés dans la réalité de la menace.
Par ailleurs, le name and shame n'est pas notre seul levier. Dénoncer publiquement constitue la réponse naturelle à une manipulation de l'information, parce qu'il s'agit de rétablir la vérité. Néanmoins, dans le domaine cyber, dire que tel ou tel pays nous attaque n'est pas forcément très dissuasif, car souvent de notoriété publique. Nous partageons donc quasi quotidiennement de l'information technique, quel que soit l'attaquant, sur les outils utilisés, les adresses IP ou les manières de repérer les attaquants qui mènent une campagne, et ce par le biais de mémos diffusés soit au sein de la communauté des sachants du cyber, soit publiquement, sur le site internet de l'ANSSI. Cette pratique permet de réduire les capacités de l'attaquant en les rendant détectables.
L'arbitrage est assez subtil, de même qu'en ce qui concerne le démantèlement d'infrastructures techniques d'attaquants, auquel nous recourons de plus en plus, en lien avec nos principaux alliés. L'opération End Game, menée sous pilotage américain avec la contribution de la France, de l'Allemagne et d'un certain nombre d'autres partenaires, consiste par exemple à détruire des infrastructures de l'attaquant. Le choix de recourir à ce procédé est toujours mûrement réfléchi car une fois ses infrastructures détruites, l'attaquant va revenir ailleurs et nous allons perdre le bénéfice de savoir où il se trouvait. En revanche, cette pratique présente une certaine utilité pour faire baisser la pression. Nous pouvons ainsi nous féliciter d'y avoir recouru contre certains attaquants avant les Jeux olympiques.
L'un des objectifs de la revue stratégique de cyberdéfense est d'ailleurs l'élaboration d'un inventaire des différents leviers dont nous disposons, la consolidation de notre algorithme d'utilisation de tel ou tel levier, si j'ose dire, et la détermination des niveaux de validation nécessaires.
Enfin, je tiens à vous dire que nous ne sommes pas désarmés face à l'intelligence artificielle. Nous entendons des discours très anxiogènes à ce sujet, qui donnent à penser que l'intelligence artificielle va révolutionner les pouvoirs des attaquants et que nous sommes totalement incapables d'apporter des garanties de sécurité dans ce domaine. Ça n'est pas vrai. L'ANSSI a publié cette année des lignes directrices et des recommandations sur la mise en oeuvre sécurisée de l'intelligence artificielle générative. Nous en avons publié d'autres très récemment avec nos amis de l'Office fédéral de la sécurité des technologies de l'information (BSI) allemand sur la génération de codes logiciels avec l'intelligence artificielle.
Pour autant, nous sommes conscients des limites de nos connaissances ou de nos modèles. Un travail important reste donc à mener sur la transposition ou nos dispositions de certification à l'intelligence artificielle, par exemple, ce qui nécessitera un investissement conséquent. Même si nous n'allons pas renoncer au traitement de l'intelligence artificielle, le projet de création d'un laboratoire dédié à ces questions au sein de l'ANSSI devra être reporté à plus tard compte tenu du contexte budgétaire, sans que nous soyons pour autant totalement désarmés sur ce sujet.
Mme Hélène Conway-Mouret. - Vous avez très justement rappelé que la menace croissait et que vous avez été en capacité d'accompagner de nombreux acteurs pendant les Jeux olympiques. Nous auditionnons avec mon co-rapporteur de nombreux industriels, et notamment ceux qui sont liés à l'industrie de défense, dont les innovations sont très sensibles. Il en ressort que beaucoup de PME et d'ETI n'ont pas les moyens de se défendre contre le piratage, qui va du chantage au racket pour la récupération de leurs données. Comment, dès lors, protéger nos PME, qui sont vitales à notre industrie de défense ?
M. Ludovic Haye. - Je me joins aux félicitations de mes collègues concernant les Jeux olympiques. Votre succès démontre que l'on peut agir sur de tels dossiers lorsque l'on s'en donne les moyens. En l'occurrence, la coordination entre vos trois organismes a fait la preuve de son efficacité.
Si nous avons manqué le train des Gafam et du début de l'intelligence artificielle générative, le sujet est peut-être aujourd'hui de s'intéresser à l'utilisation des données synthétiques produites par l'intelligence artificielle. Le code du stockage souverain reste très important à mes yeux.
Le général Watin-Augouard me disait hier encore que, dès qu'un projet est lancé en France, il demande ce qu'il en est de son volet cyber. Je le rejoins sur ce point. Alors que nous parlons beaucoup de privacy by design et de security by design, vos structures sont-elles correctement organisées pour répondre à ce besoin d'anticipation ? En effet, en période de restrictions budgétaires, le préventif a tendance à s'effacer devant le curatif...
M. Jean-Marc Vayssouze-Faure. - Je souhaiterais que vous puissiez revenir sur la capacité des collectivités territoriales à se protéger.
J'ai relevé que l'ANSSI avait constaté, entre janvier 2002 et juin 2023, 187 incidents cyber concernant 131 communes et établissements publics de coopération intercommunale (EPCI), 42 départements, 12 régions et 2 collectivités d'outre-mer et que le projet de loi transposant la directive européenne NIS 2 avait bien intégré la question des collectivités locales, alors que l'appréciation en était soumise à chaque État membre.
Comment ces collectivités peuvent-elles se protéger aujourd'hui, sachant qu'elles risquent de subir des coupes budgétaires alors qu'elles devront certainement s'engager dans des investissements importants et difficilement finançables et que, dans la plupart des cas, les petites communes ne disposent pas d'un responsable de la sécurité des systèmes d'information ?
Mme Gisèle Jourda. - Vous avez indiqué que le niveau urgence attentat avait été maintenu conformément à la volonté du Premier ministre. Nous avons été victimes, à Carcassonne et à Trèbes, d'un attentat qui a conduit au décès du colonel Beltrame.
Je souhaiterais savoir comment est maintenue la surveillance des personnes, qu'elles soient fichées S ou non, et comment est assurée la couverture de l'ensemble du territoire national, car nous n'aurions jamais imaginé être frappés dans des villes de cette importance.
On oublie bien souvent que, par-delà tous les moyens de surveillance et de protection face aux cyberattaques dont nous disposons, certains reviennent à des moyens beaucoup plus traditionnels. Il ne faut pas qu'ils passent à travers les mailles du filet.
M. Philippe Folliot. - Je m'associe aux propos qui ont été tenus par mes différents collègues pour vous féliciter collectivement pour l'excellence de votre travail à l'occasion des Jeux olympiques. En effet, les regards du monde entier étaient braqués sur nous et nous n'avions pas droit à l'erreur.
Au rugby, on dit souvent que l'attaque - ou la contre-attaque - est la meilleure des défenses. De quels moyens disposons-nous pour faire face à cette guerre informationnelle entre le bloc des démocraties d'un côté et le bloc des dictatures ou des régimes autoritaires de l'autre ?
Nous avons été particulièrement choqués de l'action de l'Azerbaïdjan lors des évènements du printemps dernier en Nouvelle-Calédonie. Ne disposons-nous pas d'éléments pour contre-attaquer et révéler un certain nombre de choses sur la situation réelle de ces régimes ?
M. Stéphane Bouillon. - Je reviendrai en premier lieu sur les sujets de sécurité économique et la protection des PME et des ETI pour la récupération des données.
Nous travaillons beaucoup avec le ministère de l'économie et des finances et l'ensemble des responsables de l'industrie de défense pour faire en sorte d'améliorer le niveau de connaissance de ces enjeux et nous nous appuyons sur les préfets dans les départements et les régions pour qu'ils restent vigilants concernant ce qui peut se passer dans les PME.
Vincent Strubel a l'habitude de dire que, quand un lion vous court après dans la jungle, l'enjeu n'est pas de courir plus vite que le lion, mais de courir plus vite que votre voisin. Il convient donc de disposer d'une protection qui permet d'échapper à une attaque. En outre, la cybersécurité d'une entreprise peut être assurée en y consacrant un investissement de l'ordre de 10 % du budget cyber de l'entreprise.
S'agissant des collectivités locales, j'ai eu l'occasion de dire au président d'Intercommunalités de France qu'il fallait essayer de travailler sur ces sujets au niveau intercommunal. Il serait illusoire de le faire dans une petite commune.
D'autre part, comme je l'ai évoqué avec le Gouvernement précédent et réévoqué avec le nouveau, je pense qu'il faudrait permettre à l'État de subventionner les collectivités au travers des dotations de soutien aux investissements, et notamment la dotation d'équipement des territoires ruraux (DETR) et la dotation de soutien à l'investissement local (DSIL), de la même manière que leurs investissements informatiques ont été subventionnés par le passé.
Concernant le risque d'attentat, les services de renseignement surveillent de très près ce qui se passe sur les réseaux sociaux. Les trois attentats qui ont été évités en début d'année l'ont été parce que leurs auteurs annonçaient sur les réseaux sociaux qu'ils allaient passer à l'acte.
Pour répondre à la question relative à la défense et à l'attaque, je dirais que nous sommes tous les trois des pompiers. Nous essayons de prévenir les attaques et nous protégeons d'elles. Nous ne sommes donc pas à l'offensive et ne souhaitons pas l'être. Si nous l'étions, nous perdrions sans doute beaucoup de notre crédibilité ou la confiance des médias, des acteurs et des opérateurs. Imaginez que l'ANSSI puisse conduire une attaque en matière cyber ; je ne suis pas certain que toutes les collectivités s'adresseraient spontanément à elle. Imaginez également que l'Agence puisse aspirer les données des acteurs qu'elle vient sauver ; plus personne ne ferait appel à elle, ce qui serait désastreux pour les entreprises. Nous tenons donc à conserver notre rôle dans ce domaine.
La difficulté en matière de manipulation de l'information est qu'il s'agit d'une menace totalement asymétrique. Nous sommes des démocraties. Essayer de faire de la manipulation de l'information en Chine, en Russie ou dans d'autres pays est absolument illusoire, d'abord parce qu'il n'y a pas de liberté de l'information et ensuite parce que le premier qui commencera se fera évidemment bloquer immédiatement.
Dans cette situation asymétrique, le name and shame est important non seulement pour porter atteinte à la réputation de ces pays - et certains y sont sensibles -, mais aussi pour permettre à l'ensemble de nos concitoyens de comprendre que telle information a été fabriquée non pas à Paris, à Marseille ou à Carpentras, mais à Pékin, à Saint-Pétersbourg ou à Ankara. En général, les pays concernés n'apprécient pas et se dépêchent de démentir, ce qui prouve que nous avons une certaine efficacité sur ce sujet.
Enfin, pour ce qui concerne les sujets de stockage souverain, l'enjeu, aujourd'hui, est précisément d'aider l'ensemble des acteurs à s'organiser, à prévenir et à intégrer les sujets de cybersécurité le plus tôt possible.
Pour terminer sur une note optimiste, je tiens à rappeler que, bien que la France soit en retard sur l'intelligence artificielle, nous sommes bons, voire très bons, sur le quantique. Les appels téléphoniques qui me venaient de la National Security Agency (NSA) des États-Unis pour me dire leur souhait de travailler avec nous en quantique me conduisent à penser que nous avons de l'avance. Il nous appartient de travailler sur ce sujet pour continuer à progresser.
M. Cédric Perrin, président. - Merci beaucoup pour le temps que vous nous avez consacré. Nous ne doutons pas que malgré la contrainte budgétaire, vous allez faire face avec toujours autant de brio. Vous pouvez en tout état de cause compter sur cette commission pour veiller au vote et à la bonne exécution du budget.
Nous traversons une période où chacun fait des efforts et où tous les services de l'État sont mis à contribution. Il est quelque peu surprenant de constater que les questions d'influence, d'ingérence et de défense face à ce nouveau type d'attaques en font les frais, mais c'est ainsi. À vous d'être bons avec des moyens qui ne sont pas forcément à la hauteur de nos ambitions.
Nous restons bien entendu à votre disposition pour vous aider, vous accompagner et continuer à porter ces sujets qui sont peut-être parfois mal compris du grand public, mais qui correspondent à une nouvelle forme de guerre commencée depuis un certain temps déjà et à laquelle nous sommes confrontés quotidiennement. Je ne pense pas, du reste, que les évènements de cette nuit aux États-Unis amélioreront la situation.
La réunion est close à 12 h 45.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Projet de loi autorisant l'approbation de la convention n° 155 de l'Organisation internationale du travail (OIT) sur la sécurité et la santé des travailleurs - Désignation d'un rapporteur
La commission désigne M. Bruno Sido, rapporteur sur le projet de loi autorisant l'approbation de la convention n° 155 de l'Organisation internationale (OIT) sur la sécurité et la santé des travailleurs.
La réunion est close à 12 h 35.
La réunion est ouverte à 16 h 45
Audition de M. Rémy Rioux, Directeur général de l'Agence française de développement
M. Cédric Perrin, président. - Mes chers collègues, nous avons le plaisir d'accueillir M. Rémy Rioux, directeur général de l'Agence française de développement (AFD) depuis 2016. Votre reconduction à ce poste a été validée à deux reprises par notre commission et par la commission des Affaires étrangères de l'Assemblée nationale, comme le prévoit l'article 13 de la Constitution.
Sous votre direction, le principal opérateur de la politique de solidarité internationale française a connu un nouvel essor. Ces dernières années ont été marquées par une hausse des crédits budgétaires et des prêts et par l'adoption de la loi du 4 août 2021 relative au développement solidaire et à la lutte contre les inégalités mondiales. L'AFD a diversifié et développé son portefeuille de projets. Les engagements annuels du Groupe sont passés de 8,3 à plus de 12 milliards d'euros. Ce montant se compose majoritairement de prêts, la France ayant opté pour une politique de développement basée principalement sur ce mécanisme plutôt que sur les subventions - contrairement au Royaume-Uni ou aux Etats-Unis, par exemple. Certains de ces prêts sont bonifiés par des crédits budgétaires bénéficiant aux pays à revenu très modeste.
L'AFD a connu une importante augmentation des crédits en dons versés par le budget de l'État, permettant de financer des services de base dans les pays les plus pauvres, essentiellement en Afrique, conformément aux demandes réitérées de notre commission. Par ces biais, l'AFD a développé des projets dans des secteurs variés tels que les infrastructures, la formation ou le soutien du secteur bancaire privé via Proparco. Grâce aux crédits en dons, l'Agence a également pu développer son soutien à l'éducation et à la santé dans les pays les plus en difficulté.
Ces dernières années, l'AFD a pris le virage du développement durable en finançant nombre de projets participant à la transition énergétique, et s'est impliquée dans des projets d'amélioration de la gouvernance et de lutte contre les discriminations. Enfin, le groupe a intégré de nouvelles capacités de coopération technique en absorbant Expertise France.
Vous pourrez revenir sur ces aspects, en insistant sur les dernières inflexions de l'activité de l'Agence. Vous pourrez également nous expliquer comment la politique de développement solidaire peut mobiliser les financements nécessaires.
À la demande de l'État et du Parlement, le chiffre d'affaires annuel de l'Agence s'est stabilisé autour de 12 milliards d'euros. Le projet de loi de finances pour 2025 prévoit une baisse de plus de 2,4 milliards d'euros des crédits de la mission « Aide publique au développement ». Nous aimerions connaître les conséquences de cette diminution sur l'activité du Groupe, les domaines et géographies les plus impactés et la manière dont l'Agence fixera ses priorités dans ce contexte.
Je rappelle que cette audition est diffusée sur le site et les réseaux sociaux du Sénat.
Monsieur le directeur général, je vous cède la parole pour un propos introductif.
M. Rémy Rioux, directeur général de l'Agence française de développement. - Je vous remercie. Nous sommes honorés de venir vous rendre compte, comme chaque année, du bilan annuel de notre agence, au service de la politique internationale de la France.
Je concentrerai mon propos sur les enjeux actuels. Le projet de loi de finances pour 2025 prévoit une baisse d'environ un tiers des ressources allouées à la politique de développement. Selon ma compréhension, les crédits délégués à l'AFD par les programmes budgétaires se réduiraient de 50 %.
En tant que directeur général, je me dois de défendre l'utilité de l'action de l'Agence pour les Français et d'expliquer comment nous ferons face à cette situation, dans un contexte géopolitique plus complexe aujourd'hui qu'hier.
Depuis huit ans, je me suis efforcé de rendre l'Agence plus politique, plus stratégique et plus influente. L'AFD est devenue le premier partenaire de la Banque mondiale, avec 25 milliards de dollars de co-financement enregistrés depuis mon arrivée.
Nous étions en Côte d'Ivoire le mois dernier, avec une délégation sénatoriale. Le Président Ouattara a fait part de son inquiétude quant au budget de politique de développement de la France et s'est félicité du travail de renouvellement des relations entre la France et l'Afrique. Le secrétaire d'Etat, M. Thani Mohamed Soilihi, était présent ; je l'en remercie.
J'étais au Maroc lors de la visite d'État du Président de la République. Nous y avons signé un accord important avec l'Agence Nationale des Ports, permettant d'investir dans deux provinces du sud du Sahara occidental, au bénéfice des populations et dans le respect du droit international. Je suis fier que nous ayons travaillé à la réconciliation de nos pays, comme nous l'avions fait avec le Rwanda entre 2019 et 2021. Nous restons actifs dans la région des Grands Lacs et en République démocratique du Congo.
Je pars ce soir en Afrique du Sud avec la sénatrice Sophie Briante Guillemont pour célébrer les 30 ans d'activité de l'AFD. Nous devrions signer un prêt important pour accompagner la transition énergétique liée à la fermeture des mines. Nous dialoguerons également avec la future présidence du G20. Dans un paysage géopolitique nouveau, il est important que la France noue ce type de dialogue au travers de l'AFD.
S'agissant du voisinage européen, je me rendrai prochainement en Serbie. Nous finançons en Arménie l'irrigation agricole et la convergence des réseaux ferroviaires et énergétiques du pays avec ceux de l'Union européenne.
J'ai une pensée pour nos 50 collaborateurs en Ukraine et nos équipes au Liban, qui travaillent dans des conditions difficiles. Je veux leur rendre hommage devant vous.
L'AFD sert le Gouvernement partout où il le souhaite. Nous servons les priorités internationales de la France de manière précise, active et dynamique. Je peux témoigner du crédit dont bénéficie l'action de développement de la France dans de très nombreux pays.
Notre rôle est de créer des alliances et d'accroître notre influence en bâtissant des intérêts mutuels. Nous préparons, complétons, approfondissons le travail diplomatique. Ces démarches sont une condition de notre prospérité et de notre sécurité.
La plateforme, composée de l'AFD, d'Expertise France et de Proparco, a été construite par la loi de programmation du 4 août 2021. Elle compte aujourd'hui 5 000 collaborateurs, dont 2 500 sur le terrain, dans plus de 100 pays et territoires d'outre-mer. Nous enregistrons 12 milliards d'euros de financements et 1 000 projets chaque année.
La loi fixe à l'AFD trois grands objectifs : l'accès aux services essentiels - prioritairement dans les pays les moins avancés -, le financement du développement dans les territoires d'outre-mer et la gestion des biens publics mondiaux - notamment la lutte contre le changement climatique - dans l'ensemble du monde émergent. Nous nous efforçons d'assurer une pondération cohérente entre ces trois volets.
En 2023, les financements de la France via l'AFD ont permis d'améliorer l'accès aux soins de 64 millions de personnes, de conserver ou restaurer 35 millions d'hectares et de scolariser 14 millions de jeunes filles. L'efficacité de notre action est saluée par l'OCDE et les agences de notation, sur nos performances financières comme extra-financières.
Nous menons nos activités en toute transparence. Quelque 400 rapports et projets sont disponibles sur notre site Internet. La moitié de nos projets sont évalués par un tiers indépendant. Ces contenus sont autant de matière alimentant le débat public pour améliorer et innover, sans cesse.
Les entreprises françaises remportent 50 % des appels d'offres internationaux financés par l'AFD - ce taux est encore plus élevé si nous considérons uniquement les appels d'offres sur lesquels les entreprises françaises se positionnent.
Depuis le milieu des années 2010, nous avons créé environ 15 000 emplois pour les jeunes Françaises et Français dans les organisations de la société civile. Chaque année, l'AFD confie 600 millions d'euros à la société française.
La plateforme construite par la loi est ainsi agile et polyvalente. Nous craignons toutefois que la loi de finances 2025 ne l'affaiblisse. En tant que magistrat à la Cour des comptes, je suis attaché à la bonne gestion des comptes publics. Il est aussi essentiel que la notation de la France reste forte et crédible, y compris pour l'AFD qui émet environ dix milliards d'euros d'obligations sur les marchés financiers.
Le groupe AFD est économe de moyens publics. L'AFD perçoit un tiers des six milliards d'euros de la mission publique au développement. Avec ces deux milliards d'euros, nous parvenons à mobiliser dix milliards sur les marchés financiers, générant douze à treize milliards d'activité annuelle. En ajoutant les cofinancements, nous atteignons environ 25 milliards d'euros de financements par an. Chaque euro du contribuable français est démultiplié par douze. La productivité de l'AFD a progressé de 23 % depuis 2020. Nous procédons toujours en maîtrisant nos risques.
Nous nous préparons à un plan d'économie dans l'hypothèse où le budget serait confirmé après l'examen du Parlement. Une baisse de 50 % des crédits de l'AFD aurait des conséquences sur notre stratégie et déformerait notre activité. L'impact se ferait sentir sur le dimensionnement de l'Agence et sur nos priorités d'action. Il devra être assumé politiquement. L'effet serait double. Avec un moindre contenu budgétaire, nous nous orienterions davantage vers les pays plus riches et émergents et les sujets d'atténuation du changement climatique. Avec plus de moyens, nous pourrions agir sur les secteurs sociaux et les pays les plus vulnérables. Ces deux raisonnements peuvent se tenir. Il est toutefois crucial d'avoir un mandat cohérent avec les moyens alloués.
Au cours des dernières années, j'ai soumis au Gouvernement des propositions sur les sujets de migrations. Ce type d'action se finance avec de la subvention davantage qu'avec des prêts. La réduction des moyens budgétaires limitera notre capacité à contribuer au débat stratégique sur ces questions.
Nous sommes comptables de divers engagements internationaux pris par la France, notamment en matière d'aide publique au développement et de finance climat. En la matière, l'année 2025 sera dense, marquée notamment, par la conférence décennale sur le financement du développement à Séville. Nous anticipons une forte pression internationale sur le respect de nos engagements. Nous devons aussi chercher à attirer d'autres contributeurs. La France a pris un rôle de leader sur ces questions, et il serait souhaitable de maintenir cette position.
Pour la première fois depuis 2018-2019, la Chine s'est engagée à apporter 50 milliards de dollars à l'Afrique sur trois ans. Aux Etats-Unis, le président Trump est le premier depuis le président Kennedy à avoir réformé le dispositif de financement international en créant l'US DFC, une banque active dans nombre de pays, privilégiant l'investissement à l'aide traditionnelle.
M. Cédric Perrin, président. - Ces crédits sont-ils nouveaux ou reventilés ?
M. Rémy Rioux. - Cette nouvelle banque regroupe les instruments existants.
La compétition s'intensifie dans les domaines du développement et de la décarbonation, impliquant des acteurs chinois, américains, européens et africains. Je pense que la tectonique de ce système devrait connaître des changements significatifs en 2025.
Une solution doit être trouvée pour éviter une telle baisse des moyens tout en maîtrisant les déficits. L'alignement du taux de la taxe sur les transactions financières sur celui de Londres et Francfort (0,5 %) pourrait être un levier. Cette mesure rapporterait environ 1,5 milliard d'euros, sans créer de distorsion de concurrence.
M. Cédric Perrin, président. - Je vous remercie. Nous reviendrons probablement sur la question de la taxe. Il serait pertinent d'obtenir plus d'informations à ce sujet.
Je cède la parole à nos deux rapporteurs.
M. Christian Cambon. - Je tiens à saluer le positionnement de l'AFD à travers le monde, qui vous doit beaucoup, et dire notre reconnaissance à l'ensemble de vos collaborateurs. Nous constatons lors de nos déplacements à l'étranger que l'AFD est parfaitement positionnée. Lors de la visite d'Etat au Maroc, le Président de la République a souligné le rôle crucial de l'Agence dans divers investissements, notamment dans les « provinces du Sud ».
La compression des budgets est significative. L'AFD contribue neuf fois plus qu'elle ne pèse dans les budgets de l'État. Vous supportez une grande partie de l'effort demandé au ministère des Affaires étrangères. Il ne revient pas aux rapporteurs de suggérer une position ; chacun, dans son groupe, se positionnera lors du vote du budget sur cette politique de redressement des finances publiques.
Historiquement, la vocation de l'AFD est double : être une banque de développement économique et de soutien aux pays émergents et être le bras exécutif de l'Etat pour l'aide aux pays les plus pauvres.
Le CICID a remplacé la liste des 19 pays les plus pauvres par une liste des 50 pays les moins avancés. Pour autant, nous ne devons pas perdre de vue votre mission principale : aider les pays les plus pauvres sur trois axes fondamentaux - se nourrir, se soigner et se former - tout en promouvant la bonne gouvernance et la protection de l'environnement. Nous pouvons mesurer les conséquences de ces insuffisances qui génèrent d'importantes vagues migratoires causant des drames en Méditerranée et en Manche, notamment.
En tant que contrôleurs des dépenses publiques, nous nous intéressons à l'avenir de votre futur siège, qui se construit près de la gare d'Austerlitz. Il semble que de nouveaux acteurs pourraient occuper les 8 000 mètres carrés d'espaces excédentaires. Pouvez-vous nous fournir des précisions à ce sujet ? Dans les temps actuels, les grandes agences de l'Etat doivent gérer leurs dépenses de manière responsable, notamment en matière immobilière.
Il y a quelques années, nous avions pu acter l'augmentation de 500 millions d'euros des fonds propres de l'Agence. Le ratio de solvabilité de l'AFD s'est depuis dégradé, aboutissant à un nouveau besoin d'augmentation des fonds propres. Au-delà des mesures exceptionnelles prises pour assurer un budget à l'équilibre en 2025, quelles solutions envisagez-vous pour permettre à l'AFD de poursuivre son activité de prêt, qui nécessite des fonds propres suffisants ?
Pourriez-vous évoquer le bureau récemment ouvert en Ukraine ? Dans le contexte géopolitique actuel et le possible changement de position des États-Unis concernant l'aide à l'Ukraine, comment l'AFD et Expertise France comptent-elle développer leur présence sur place ?
Je tiens à souligner l'importance de la mise en place de la commission d'évaluation. Le Sénat y est particulièrement attaché. Le projet de décret est prêt et n'attend plus que les dernières signatures. La commission n'a pas vocation à punir, mais à soutenir votre action en permettant au Parlement d'évaluer a posteriori et dans le respect des textes, l'utilité des projets de l'AFD et leur bonne mise en oeuvre. Les sommes en jeu légitiment cette évaluation.
J'ai oeuvré par le passé pour développer les moyens de l'AFD. Nous devons néanmoins reconnaître les contraintes financières actuelles. Je soutiendrai donc l'action du Gouvernement, malgré la sévérité des mesures prises. Nous espérons que les populations les plus vulnérables ne pâtiront pas trop de cette restriction de moyens. Face à ces choix difficiles, nous vous demandons de respecter les critères et orientations définis par la loi, ainsi que les observations formulées par le Parlement.
M. Patrice Joly. - Je vous remercie, monsieur le directeur, pour cette présentation et pour votre approche globale des orientations de l'Agence dans le cadre des engagements pris par l'État.
Avez-vous identifié les impacts de la baisse des crédits de l'aide publique au développement sur les perspectives du contrat d'objectifs et de moyens ? Un report de la date de signature est-il envisagé ? Le cas échéant, et comme le précédent, ce contrat pourrait être majoritairement mis en oeuvre avant d'avoir été signé.
Parmi les 38 pays africains à faibles revenus, plus aucun n'est classé en risque « faible » de surendettement - 17 sont classés en risque modéré, treize sont à risque élevé et huit sont en situation de surendettement. Comment l'AFD peut-elle intervenir tout en respectant la doctrine de l'endettement souverain soutenable ? Quel est l'impact de cette situation sur la capacité de l'État à atteindre l'objectif fixé par le dernier CICID d'un effort financier d'au moins 50 % pour les pays les moins avancés ?
Le dernier rapport de l'OCDE sur l'aide au développement française critique le fait que la lutte contre la pauvreté passe souvent au second plan, derrière les objectifs environnementaux et le soutien à l'activité privée. Quelle est votre position sur ce point ?
Je reviens d'une mission en Afrique. La fermeture de l'antenne de l'AFD en Afrique du Sud est perçue comme un signe de désengagement français. Je retiens également de ce voyage que les conditionnalités des montages de projets et de financement paraissent très lourdes comparativement à ce qu'exigent d'autres financeurs, dont la Chine. Comment rester compétitifs face à ces acteurs aux approches moins exigeantes, tout en maintenant nos valeurs ?
J'aimerai également connaître votre point de vue sur le concept de « Sud global ».
L'OCDE critique également le manque d'optimisation des impacts en matière de développement et une déliaison insuffisante entre les projets et les attributaires des appels d'offres, qui favoriserait les entreprises françaises. Quel est votre avis ?
Enfin, concernant la taxe sur les transactions financières, la Cour des comptes a relevé des problèmes de recouvrement et d'identification du fait générateur. L'organisme chargé du recouvrement ne semble pas mettre en oeuvre tous les moyens nécessaires pour optimiser le rendement de cette taxe. Pouvez-vous nous éclairer sur cette situation ?
M. Rémy Rioux. - Je suis conscient de la responsabilité rattachée à la capacité financière de l'Agence, fortement revalorisée par les gouvernements successifs depuis 2015. Au-delà de la bonne gestion, les projets doivent avoir un impact sur les populations et les territoires ciblés.
Concernant le nouveau siège, je vous renvoie vers les éléments complémentaires communiqués aux membres de cette commission. Je vous invite également à visiter le chantier si vous le souhaitez. Nous sommes en avance de trois à quatre mois sur le calendrier initial. Les coûts et les délais sont maîtrisés. Le Comité Social et Economique de l'AFD a approuvé la baisse de la superficie occupée, de 56 000 à 40 000 mètres carrés, ainsi que le regroupement des trois entités du Groupe. Nous conservons ainsi une capacité d'accueil pour travailler l'attractivité de Paris et de la France avec des acteurs souhaitant s'installer dans la capitale. Des discussions progressent avec plusieurs organisations internationales en vue de rejoindre nos locaux. Je précise que cette acquisition est un investissement immobilier de l'Agence, sans aucun coût pour le contribuable.
Depuis le Covid, les modes de travail ont évolué. In fine, nous nous resserrons davantage que nous nous étendons.
Notre ratio de solvabilité est confortable, à environ 15 %, pour un seuil réglementaire de 9,25 %. Nous n'avons pas besoin de fonds propres supplémentaires dans l'immédiat. La situation à plus long terme dépendra de l'évolution souhaitée pour l'Agence. Je rappelle que le ratio des grands risques interdit d'engager plus d'un quart des fonds propres sur une même contrepartie. Nous présenterons en décembre au Conseil d'administration un plan d'action expliquant la manière dont nous prévoyons de gérer cette contrainte avec nos principaux clients.
Trois premiers projets devraient être approuvés d'ici la fin de l'année en Ukraine. Un accord d'établissement a par ailleurs été signé hier avec le Kazakhstan. Dans le contexte géopolitique actuel, il sera intéressant que nos ambassadeurs disposent de ces outils de développement.
Le précédent contrat d'objectifs et de moyens, arrivé à échéance fin 2022, a été prolongé d'un an et devrait l'être à nouveau. Un contrat avait été préparé, mais la perspective d'une réduction budgétaire de 50 % a interrompu ces travaux ; je ne pourrai pas m'engager sur toutes les cibles souhaitées, notamment auprès des pays les moins avancés. Nous devrons gérer cette tension entre engagements et contraintes, opérationnellement pour ce qui me concerne, et politiquement pour ce qui vous concerne.
Les gouvernements africains s'emploient pour éviter le défaut. Certains sont revenus sur les marchés financiers, détendant légèrement la situation. Cela s'effectue toutefois au détriment des dépenses sociales et d'investissement. Il est donc crucial de maintenir des prêts concessionnels et des subventions pour soutenir ces pays.
Je recommande la lecture du rapport 2024 de l'OCDE, qui analyse finement nos actions. Le rapport salue les actions de la France et souligne l'intérêt que nous avons éveillé dans la communauté internationale du financement du développement grâce à nos innovations.
Grâce à son avis de développement durable, l'AFD a acquis, depuis dix ans, une expérience significative dans la conciliation entre lutte contre la pauvreté et protection de l'environnement. Cette approche se reflète dans nos obligations durables, qui cherchent à maximiser l'impact environnemental, social et économique de chaque projet.
Le CAD nous rappelle l'importance de laisser le choix au pays bénéficiaire et de s'assurer qu'il bénéficie des meilleures conditions. Nous nous réjouissons néanmoins lorsqu'une entreprise française remporte un marché.
Comme la Banque mondiale, nous suivons attentivement les indicateurs d'accélération du cycle des projets. Par exemple, les délais entre l'autorisation et la signature sont passés de sept à cinq mois depuis 2021. Nous ne cessons de nous améliorer. Les projets de développement vont en moyenne deux fois plus vite que les projets équivalents conduits en France.
- Présidence de M. André Guiol, vice-président -
M. Rémy Rioux. - Le Sud global existe. Notre politique de développement vise à maintenir des liens pour éviter la fragmentation du monde.
Plusieurs aspects de la taxe sur les transactions financières sont à considérer (le recouvrement, l'assiette fiscale, etc.). La TTF est une taxe sur les actions, mais d'autres instruments financiers, moins taxés, se développent. Son extension aux cryptomonnaies ou aux « exchange traded funds » (ETF) mériterait d'être étudiée. Une analyse approfondie permettrait d'évaluer le potentiel de cette fiscalité et d'assurer une base équitable pour tous les investisseurs.
M. Christian Cambon. - Nous disposons d'informations contradictoires sur vos fonds propres. Je comprends les enjeux de confidentialité. Pouvez-vous nous confirmer l'absence de besoins spécifiques de l'AFD en la matière ?
M. Rémy Rioux. - Je vous confirme que la solvabilité financière et la solidité des fonds propres de l'AFD ne sont pas des sujets d'inquiétude. Le ratio tient compte des sommes décaissées, et non de toutes les autorisations, ce qui peut expliquer une vision erronée de la situation.
M. Olivier Cadic. - Je suis ravi de participer au Conseil d'administration de l'AFD pour représenter le Sénat et observer le travail de vos équipes sur le terrain.
Depuis des années, l'AFD tente d'accompagner le Liban face aux chocs successifs auquel il est confronté. L'Agence a mobilisé 1,5 milliard d'euros pour ce pays depuis 1999, dont 362 millions depuis 2019. Lors d'échanges sur place, des spécialistes ont suggéré de procéder à une analyse indépendante de l'impact de ces actions et de leur perception par la population libanaise. Êtes-vous en capacité de mesurer ces éléments, qui pourraient aussi permettre de valoriser le travail de vos équipes ?
Lors du Conseil d'administration du 17 octobre, nous avons débattu d'un projet de financement d'un parc éolien en Egypte au profit d'un constructeur chinois. Les autorités de tutelle avaient exprimé des réserves quant au risque réputationnel lié à une société susceptible d'utiliser le travail forcé. Le respect des droits humains l'a emporté sur le sujet environnemental, et le Conseil d'administration a finalement rejeté le projet. Vous aviez alors demandé l'établissement d'une doctrine concernant ces sociétés. Cette demande semble légitime. Des actions ont-elles été conduites en ce sens ?
M. Rémy Rioux. - Je vous remercie ainsi que mesdames les sénatrices Briquet et Briante Guillemont et monsieur le sénateur Joyandet, de représenter la haute assemblée au Conseil d'administration de l'AFD. Votre présence est précieuse.
La situation financière du Liban ne lui permet plus de se financer par des prêts. Notre capacité est limitée à une cinquantaine de millions d'euros par an, ce qui nous oblige à nous concentrer sur des objectifs précis. Nous avons oeuvré pour la mise à niveau de l'hôpital universitaire Rafic Hariri. Nous avons également engagé des fonds dans l'agriculture et l'accueil des réfugiés syriens. Ces projets sont évalués.
J'encourage le débat autour de l'évaluation. Une approche nuancée dans la manière d'évaluer l'action de développement me paraît nécessaire pour tenir compte de la complexité de notre travail. L'AFD intervient dans des endroits difficiles - preuve en est, nous sommes souvent les derniers présents. Les évaluations sont des outils précieux, car elles fournissent des informations explicites.
Nos administrateurs ont un accès direct à toutes les données d'impact via un outil permettant de suivre en temps réel les résultats escomptés et les résultats obtenus par projet, par pays et par région. J'ai demandé une analyse précise pour comparer les résultats de l'AFD avec les objectifs initiaux. Cette étude nous permettra d'identifier les écarts et d'en comprendre les causes.
Le sujet des droits humains a été soulevé en Conseil d'administration de l'AFD, comme dans celui d'autres banques de développement. J'ai effectivement demandé une doctrine claire en la matière, bien que diverses règles existent déjà.
Sur la période 2019-2023, 4 % des marchés financés par l'AFD ont été remportés par des entreprises chinoises, contre 50 % par des entreprises françaises, 35 % par des entreprises locales et environ 10 % par des entreprises européennes. Au regard de la position de la Chine dans les différents secteurs, ces ordres de grandeur sont tout à fait singuliers comparativement à nos pairs internationaux.
La question de la réciprocité est cruciale. Lors de ma prochaine visite en Chine, dans quinze jours, j'aborderai l'ouverture des financements chinois aux entreprises françaises. Nous y sommes parvenus pour un projet au Sénégal.
M. Akli Mellouli. - Je salue votre respect du droit européen ainsi que votre approche de réciprocité et de coopération, y compris avec la Chine. Malgré quelques imperfections, nous reconnaissons le travail de l'AFD.
Les restrictions budgétaires envisagées risquent de faire disparaître des leviers importants. L'accès à l'éducation des jeunes filles ou encore l'urgence climatique pourraient être compromis. L'aide au développement est aussi un levier diplomatique crucial, notamment en Afrique, où nous perdons du terrain. Face aux crises politiques sans précédent, réduire notre engagement financier me semble contre-productif. Cette trajectoire ne va-t-elle pas à l'encontre de notre travail de coopération et de solidarité entre les peuples ? Avons-nous pris conscience des mutations du monde et des enjeux de l'aide au développement ? L'Afrique paie le plus lourd tribut, en subissant guerres, urgence climatique et dysfonctionnements environnementaux ; réduire notre aide serait injuste au vu de ce que nous devons à ce continent.
Nous soutenons l'idée d'une nouvelle fiscalité des transactions et de nouveaux impôts. Face aux difficultés budgétaires, ceux qui ont le plus doivent contribuer au développement de ceux qui ont le moins.
M. Rémy Rioux. - J'ai essayé de vous convaincre des services rendus par l'AFD au nom de la France. Souvent, le Parlement exprime une préférence pour les relations bilatérales, mais lors des ajustements budgétaires, nos engagements internationaux multilatéraux sont tellement forts, que le bilatéral porte l'essentiel de l'effort de réduction. Je n'oppose pas le multilatéral et le bilatéral, car je pense qu'ils peuvent collaborer efficacement. Le résultat final s'avère toutefois contraire à la volonté politique initiale. Cette perspective m'inquiète et impliquera des décisions difficiles qu'il ne revient pas au directeur général de prendre. L'État, le Conseil d'administration et le contrat d'objectifs et de moyens expliciteront ces choix, sur lesquels chacun devra se prononcer en toute responsabilité.
L'AFD est la dernière à partir d'un pays. Nos liens avec les acteurs locaux sont forts. Dans certains pays, nous cessons de travailler avec le gouvernement pour des raisons politiques, sans pour autant rompre nos liens avec les autres parties prenantes. Environ la moitié de notre activité s'effectue avec les gouvernements. En Turquie, nous travaillons avec toutes les grandes villes et municipalités.
Nous sommes aussi les premiers à revenir. Je me suis rendu au Rwanda en 2019, deux ans avant la venue du Président de la République et la nomination d'un nouvel ambassadeur - qui effectue par ailleurs un travail remarquable.
Notre force ne réside pas dans une supériorité intrinsèque, mais dans notre rôle au sein de « l'équipe France ». Nous devons maximiser les intérêts de notre équipe dans l'espace qui nous est imparti.
Mme Vivette Lopez. - Vous avez évoqué l'aide à l'Ukraine. J'ignore les domaines concernés, mais j'espère que vos projets ne portent pas uniquement sur la construction. Il serait en effet regrettable d'investir dans des bâtiments voués à être détruits par la poursuite de la guerre.
M. Rémy Rioux. - Nous devons investir pour apporter de l'eau, de l'électricité et porter secours, dans l'espoir que la situation se rétablisse. De la même manière, nous avons investi dans des infrastructures à Gaza dont il ne reste vraisemblablement rien aujourd'hui.
M. André Guiol. - M. le directeur général, au nom de la commission, je vous remercie. Notre mission commune est d'optimiser nos efforts. Je suis convaincu que la Commission d'évaluation peut vous apporter un éclairage précieux en vue de vos décisions futures.
La réunion est close à 18 h 15.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.