- Mardi 4 novembre 2025
- Mercredi 5 novembre 2025
- Projet de loi de finances pour 2026 - Audition du général d'armée aérienne Fabien Mandon, chef d'état-major des Armées (sera publié ultérieurement)
- Audition du général d'armée Pierre Schill, chef d'état-major de l'armée de terre (à huis clos) (sera publié ultérieurement
- Projet de loi n° 853 (2024-2025), adopté par l'Assemblée nationale après engagement de la procédure accélérée, autorisant la ratification de plusieurs conventions-cadres relatives aux bureaux à contrôles nationaux juxtaposés, aux contrôles en cours de route et aux gares communes ou d'échange - Désignation d'un rapporteur
- Audition de l'amiral Nicolas Vaujour, chef d'état-major de la marine (à huis clos) (sera publié ultérieurement)
Mardi 4 novembre 2025
- Présidence de M. Cédric Perrin, président -
La réunion est ouverte à 17 h 30.
Projet de loi de finances pour 2026 - Audition de MM. Nicolas Roche, secrétaire général du SGDSN, Vincent Strubel, directeur général de l'Anssi et Marc-Antoine Brillant, chef du service Viginum
M. Cédric Perrin, président. - Nous recevons cet après-midi M. Nicolas Roche, secrétaire général de la défense et de la sécurité nationale (SGDSN), dans le cadre des auditions plénières de la commission sur le projet de loi de finances (PLF) pour 2026.
Il s'agit de votre deuxième audition devant notre commission depuis votre nomination le 26 mars dernier, votre première s'étant déroulée à huis clos le 21 mai sur l'actualisation de la revue nationale stratégique (RNS) dont vous avez eu la charge dès votre prise de fonctions.
Nous souhaitons vous entendre sur les crédits du programme 129 relatifs à la coordination de la sécurité et de la défense, raison pour laquelle vous êtes accompagné de vos deux principaux responsables de services à compétence nationale que nous avons maintenant coutume de recevoir : M. Vincent Strubel, directeur général de l'Agence nationale de sécurité des systèmes d'information (Anssi), et M. Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum).
Plus largement, je rappelle que les crédits de ce programme visent à soutenir aussi d'autres actions telles que l'organisation des conseils de défense et de sécurité nationale, la coordination interministérielle pour prévenir les crises ainsi que la sécurisation des activités d'importance vitale, la protection du potentiel scientifique et technique de la nation et la sécurité des transmissions gouvernementales dont l'opérateur des systèmes d'information interministériels classifiés (Osiic) a la charge.
Ces crédits servent également à financer, d'une part, les fonds spéciaux consacrés par les services de renseignement aux diverses actions liées à la sécurité extérieure et intérieure, d'autre part, le groupement interministériel de contrôle (GIC) qui centralise et exploite les techniques de renseignement nécessaires au recueil de données auprès des opérateurs de téléphonie et fournisseurs de services de communication sur internet.
Le rôle du SGDSN est donc bien plus large que la seule sécurité des systèmes d'information et la protection contre les ingérences numériques étrangères, mais indiscutablement, les cyberattaques comme la guerre informationnelle sont devenues des sujets grand public qui touchent, voire menacent, tous les Français. C'est pourquoi nous nous étions émus l'an dernier de la baisse des crédits de paiement de l'action n°2 Coordination de la sécurité et de la défense qui étaient passés de 438 millions d'euros en 2024 à 406 millions d'euros pour 2025.
J'ai en mémoire de larges débats en commission comme en séance publique sur la nécessité de conforter les moyens de Viginum pour lutter contre les manipulations de l'information. Un amendement consensuel de crédits avait été adopté en ce sens dans le cours de la discussion. En revanche, les avis étaient plus partagés sur l'Anssi ; il était envisagé de faire évoluer ses missions en cohérence avec le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, texte qui est toujours bloqué à l'Assemblée nationale.
Enfin, les avis étaient moins consensuels sur le soutien que la plupart d'entre nous souhaitaient apporter à l'Institut des hautes études de la défense nationale (IHEDN) dont les effectifs avaient été revus à la baisse.
Finalement, ces discussions et initiatives parlementaires ont été balayées lors du vote du budget intervenu en février dernier, à la suite d'une commission mixte paritaire (CMP) qui n'a tenu aucun compte de nos positions. Comment vos services ont-ils fonctionné dans ce contexte budgétaire exceptionnellement contraint ?
Nous sommes tous intéressés par votre retour d'expérience sur l'exécution 2025, dans la mesure où cela pourrait se reproduire en 2026. Je ne l'espère évidemment pas, c'est pourquoi il est important que vous puissiez vous exprimer sur les difficultés, voire les dangers, que représenterait l'absence de budget avant la fin de l'année.
Quelles orientations pourrez-vous prendre en 2026 avec un budget qui devrait remonter de 406 millions d'euros à 431 millions d'euros l'an prochain ?
Cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat et ses réseaux sociaux, et consultable en vidéo à la demande.
M. Nicolas Roche, secrétaire général de la défense et de la sécurité nationale (SGDSN). - C'est un plaisir pour moi de revenir devant votre commission. J'avais eu l'honneur d'être parmi vous, alors que nous élaborions la RNS. Je vous remercie de vos propos et de votre soutien constant à l'égard des agents et des services du SGDSN.
Je présenterai l'exécution du budget 2025, en revenant en détail sur les décisions de gestion prises durant l'année, puis sur le budget 2026 et nos priorités. L'année 2026 est la première année de pleine mise en oeuvre des priorités définies dans la RNS.
Je n'étais pas en fonctions au SGDSN lorsque vous avez débattu du PLF 2025. Toutefois, je n'ignore pas que vous avez examiné avec la plus grande attention les moyens du SGDSN. Mon prédécesseur, Stéphane Bouillon, auquel je rends hommage, m'a informé de l'amendement de relèvement de crédits que vous aviez adopté. C'est une marque de confiance de la part de votre commission et de chacun d'entre vous à l'égard de la structure que j'ai l'honneur de diriger et de l'ensemble de ses agents. Je reprends à mon compte ce que Stéphane Bouillon avait coutume de dire. L'exigence de rigueur va de pair avec votre confiance dans l'accomplissement de nos missions et dans l'utilisation des crédits qui nous sont confiés.
Je reviens sur les mouvements budgétaires opérés durant l'exercice 2025 sur la partie du programme 129 dont nous avons la charge. Ils reflètent la mise en oeuvre, en cours d'année, des objectifs stratégiques du SGDSN qui ont été réaffirmés cet été par la RNS. Ils matérialisent un effort significatif réalisé durant l'année 2025 en direction des opérateurs - l'Anssi, l'Osiic, Viginum et le GIC - enclenchés dès cet été par des arbitrages du Premier ministre et qui se poursuivront, si vous décidez d'adopter ce budget, dans les arbitrages du Gouvernement rendus lors de la préparation du PLF 2026 et qui forment le cadre de notre réflexion sur nos priorités d'action pour 2026.
Je reviens d'abord sur les grandes masses. La loi de finances initiale (LFI) pour 2025, promulguée le 14 février, prévoyait 110,1 millions d'euros au titre des dépenses de personnel (titre 2) et en charges sociales, 228,3 millions d'euros en autorisations d'engagement (AE) et 229 millions d'euros en crédits de paiement (CP) sur les dépenses hors titre 2.
Il est très rapidement apparu, dans la gestion de 2025 et dans l'exécution de la loi de finances initiale, que la dotation en crédits de titre 2 était insuffisante pour assurer, sur l'année entière, la rémunération de l'ensemble des agents dans le périmètre du SGDSN. Nous avons tiré très tôt les conséquences de cette situation dans la gestion de 2025, en prenant un certain nombre de mesures d'économies afin de respecter l'enveloppe de crédits de titre 2 qui nous avait été allouée.
L'une de ces mesures a été d'augmenter la vacance frictionnelle, ce qui nous a permis de gagner un peu de masse salariale en allongeant la durée des vacances de poste entre deux recrutements, ce qui n'est pas sans effet opérationnel...
Comme nous avions structurellement des difficultés de gestion au regard de notre plafond d'emplois, le cabinet du Premier ministre et le Premier ministre lui-même ont décidé de nous allouer, dans le courant de l'été, une dotation complémentaire de crédits de titre 2 de 5 millions d'euros dans le cadre du schéma de fin de gestion, afin de boucler correctement notre budget pour 2025 pour ce qui concerne les dépenses de personnel et les emplois. Initialement, le schéma d'emploi pour 2025 prévoyait une baisse de 10 ETP.
L'année dernière, mon prédécesseur, Stéphane Bouillon, s'était engagé à ce que cette diminution des effectifs soit absorbée en minimisant les effets délétères sur l'accomplissement des missions opérationnelles du SGDSN. Début 2025, les grands opérateurs du ministère ont reçu plusieurs nouvelles missions opérationnelles. Le schéma d'emploi du SGDSN pouvait être légitimement augmenté à hauteur de 30 ETP, qui ont été notifiés dans la lettre plafond qui nous a été envoyée le 13 août 2025 par le Premier ministre. Les coûts de cette mesure sont très modérés en 2025, car les délais de recrutement sont tels que l'essentiel des dépenses intervient en fin de gestion et sera plutôt reporté en année pleine sur 2026. Je vous rassure, l'ensemble de ces mesures a bien été pris en compte dans l'élaboration du PLF 2026. Les crédits de titre 2 du SGDSN et son plafond d'emploi ont augmenté au cours de l'année 2025. Cela nous permet de consacrer nos moyens à un certain nombre de missions opérationnelles définies comme prioritaires dans la RNS, qui sont celles de Viginum, de l'Osiic, du GIC et de l'Anssi, le coeur historique des deux grandes directions centrales du SGDSN ayant été laissé largement à l'écart de ce renforcement.
Pour les autres crédits, certaines mesures sont intervenues en cours de gestion. En entrée de gestion, en plus de la LFI, deux mises en réserve obligatoires étaient intervenues pour un total de 8 % des crédits, c'est-à-dire 18 millions d'euros. En juillet, le cabinet du Premier ministre, dans la même logique que celle que j'ai rappelée sur les crédits de titre 2, a décidé un abondement global de 52 millions d'euros complémentaires en AE, intervenu en deux étapes : un premier dégel, en août, de 8 millions d'euros d'AE et 15 millions d'euros de CP ; puis en septembre, un décret d'ouverture de crédits a transféré 44 millions d'euros en AE et 12,4 millions d'euros en CP depuis l'action « Dépenses accidentelles et imprévisibles » vers les crédits du SGDSN, ce qui nous amènera à un simple report de 12,3 millions d'euros de crédits de CP de la fin de gestion 2025 sur la gestion 2026. Ce report est tout à fait gérable, et compréhensible au regard de la date des décisions complémentaires cet été et de la mise en oeuvre en août et septembre. De la même façon que pour les crédits de titre 2, ces crédits complémentaires ont été utilisés au financement exclusif d'opérations très spécifiques, qui portent sur le financement d'un certain nombre de programmes interministériels de renseignement technique.
Monsieur le président, nous n'avons pas la responsabilité des fonds spéciaux, qui relèvent du cabinet du Premier ministre. Je n'en dispose pas et je n'ai pas à en connaître. En revanche, un certain nombre de programmes de renseignement technique sont portés de façon interministérielle, en partie par les crédits du SGDSN par le programme 129 et en partie par les crédits du ministère des armées.
Une partie du renforcement des programmes interministériels de renseignement technique a donc été financée par l'abondement, en cours d'année, des crédits que j'ai mentionnés. Un certain nombre de programmes classifiés de communication au profit des services de renseignement ont également été financés de façon complémentaire. Nous avons aussi renforcé les capacités opérationnelles des systèmes d'information classifiés de l'Anssi et de l'Osiic. Vincent Strubel reviendra sur le financement d'un certain nombre de dispositifs d'amélioration de la cyberrésilience des territoires à travers ces crédits complémentaires exécutés en 2025.
Je peux vous confirmer que la totalité des crédits sera engagée d'ici à la fin de gestion 2025, exclusivement au bénéfice de nos priorités opérationnelles.
Je me permets plusieurs remarques sur le PLF 2026.
D'abord, les arbitrages du Premier ministre, qui figurent dans les documents qui vous ont été présentés, sont en parfaite cohérence avec les décisions de gestion 2025 que je viens d'évoquer. Il aurait été illogique et incohérent que les décisions tout à fait exorbitantes et exceptionnelles prises en 2025 sur l'ensemble des missions du SGDSN n'aient pas été traduites dans le PLF 2026.
Il vous est proposé un budget opérationnel du SGDSN, GIC compris, de 362,21 millions d'euros en AE et de 362,91 millions d'euros en crédits de paiement, hors titre 2. Pour le titre 2, la principale évolution à signaler est une hausse de 13,6 millions d'euros pour le SGDSN par rapport à la LFI 2025. Cette hausse est directement liée au rebasage auquel il est nécessaire de procéder à la suite des crédits complémentaires qui ont été apportés en 2025, ce qui portera l'ensemble des crédits du titre 2, charges sociales comprises, à 123,7 millions d'euros.
À ce rebasage s'ajoute, pour un montant faible - 1,7 million d'euros -, le transfert de huit emplois. Cela correspond, pour sept ETP, à la fin du processus de transfert des effectifs du Haut-commissariat à l'énergie atomique (HCEA), qui a rejoint le SGDSN le 1er janvier 2024. Le huitième emploi transféré concerne l'Osiic et un programme de téléphonie sécurisée.
Ces transferts sont la suite logique de la redéfinition du périmètre du SGDSN, en particulier le transfert du HCEA. Lorsque j'ai pris mes fonctions fin mars 2025, j'ai mesuré toute l'importance de ce transfert pour préparer, piloter et suivre l'exécution des décisions du Conseil de politique nucléaire présidé par le Président de la République.
Le schéma d'emploi prévoit dix-huit ETP supplémentaires en 2026 ; il s'élèvera donc à 1 329 ETP, hors emplois mis à disposition par les armées.
S'agissant des autres crédits, à savoir 239 millions d'euros de CP et sensiblement la même chose en AE, le SGDSN est compris dans l'effort qui a été défini par le Président de la République, le Premier ministre et le Gouvernement en faveur des politiques de défense et de sécurité. Nous prévoyons donc un relèvement des crédits destinés au programme de renseignement technique et, plus généralement, aux capacités interministérielles de renseignement technique et aux programmes de communication et réseaux classifiés dont bénéficient les services de renseignement. Pour des raisons évidentes, je n'entrerai pas beaucoup plus avant sur les détails techniques.
J'évoquerai ensuite un certain nombre de points sur lesquels mes deux collègues reviendront : la mise en oeuvre de la stratégie nationale de cybersécurité, d'une part, et la lutte contre les manipulations de l'information, d'autre part.
J'exerce mes nouvelles fonctions depuis six mois seulement, mais je vous garantis que l'ensemble des collaborateurs du SGDSN sont extrêmement conscients du réel effort qui est soumis à votre approbation par le Premier ministre et le Gouvernement : il nous permettra de faire plus, dans la droite ligne des orientations de la RNS. Cette confiance nous oblige en termes d'exigence de maîtrise de la dépense et de priorisation de la dépense à des fins strictement opérationnelles. Nous avons tout à fait conscience que, comme le ministère des armées, nous bénéficions d'une situation spécifique pour répondre aux enjeux que chacun connaît.
Nous avons cherché à évaluer nos besoins au plus juste et au plus près des stricts besoins opérationnels, après un travail approfondi, mené en interministériel et de façon collective, précise et documentée. J'espère que nous vous convaincrons que cet effort au plus juste nous donne les moyens d'assumer nos missions sur l'ensemble de l'année 2026, conformément à la RNS.
Pour exercer l'ensemble de ces missions, nous disposons de compétences humaines et juridiques pointues, mais tout cela n'a de sens que si nous nous plaçons dans un cadre stratégique plus large et qui fait sens collectivement.
L'alpha et l'oméga de l'action du SGDSN, c'est la RNS, publiée le 14 juillet. Je veux vous redire à quel point le SGDSN et les autres services de l'État ont apprécié votre contribution à nos travaux. En six mois, nous avons terminé un travail stratégique nous donnant un cadre d'action pour les prochaines années. Après les consultations du Sénat et de l'Assemblée nationale, nous avons pris le temps de consulter les associations d'élus, car la RNS comporte une déclinaison territoriale essentielle.
La RNS comprend une troisième partie sur les voies et moyens, c'est-à-dire notre cadre d'action au quotidien. Beaucoup de travaux sont en cours sur les aspects juridiques. Nous devrons peut-être passer par une actualisation de la loi de programmation militaire. Mais en tout cas, avec la RNS, chaque opérateur dispose, dans son champ de compétences, d'une feuille de route opérationnelle pour 2026 et pour les années suivantes.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). - Pour nous, le scénario central de la revue nationale stratégique est à la fois une réalité tangible au quotidien et un horizon auquel nous nous préparons.
Une réalité tangible, car il s'agit d'un état de fait dans le paysage de la menace que nous connaissons depuis plusieurs années : la superposition d'une menace étatique ciblée et d'une menace non étatique massive. Depuis déjà quelque temps, plus personne ne peut se considérer à l'abri. Cette superposition s'accompagne de liens, voire d'un alignement idéologique entre ces différents pans de la menace ; ces liens sont de plus en plus apparents et nous devrons nous interroger un jour sur la possibilité d'une coordination.
Par ailleurs, nous observons année après année une évolution de cette menace : elle est plus massive, plus véloce ; elle laisse moins de temps aux défenseurs pour réagir et elle est plus désinhibée en termes de conséquences des attaques menées. Cela va de l'espionnage - le coeur historique de la menace cyber - à des logiques de déstabilisation et de sabotage beaucoup plus décomplexées. Il peut donc exister des convergences avec d'autres types de menaces hybrides, par exemple des campagnes de déstabilisation plus larges, et cela nous amène à travailler de plus en plus régulièrement avec nos collègues de Viginum qui voient parfois un autre aspect de la même menace.
À partir de cette réalité tangible, l'horizon qui se présente devant nous est un défi. Nos vulnérabilités ne sont pas nouvelles, mais le contexte géopolitique se durcit. De ce fait, nous devons nous préparer à la « tempête parfaite » qui verrait se déchaîner toutes ces menaces de manière simultanée, à la fois de manière très ciblée dans une logique de sabotage sur nos infrastructures critiques et de manière beaucoup plus large dans une logique de déstabilisation ou de paralysie de notre société et de notre fonctionnement démocratique.
L'hiver arrive et nous devons nous y préparer ! Une autre manière de dire les choses est que le pire, qui est toujours possible, est plus que jamais une éventualité et que cela ne va malheureusement pas changer. Dans ce contexte, l'Anssi se prépare activement en menant deux actions, qui peuvent paraître contradictoires en apparence.
D'une part, nous élargissons notre champ d'action pour essayer de tirer l'ensemble de la société vers le haut, de développer une maturité et une résilience cyber dans toutes ses composantes.
D'autre part, nous approfondissons ce que nous faisons depuis toujours, c'est-à-dire la protection de ce qu'il y a de plus essentiel, et nous améliorons nos capacités opérationnelles pour répondre à une menace qui elle-même progresse.
Certes, nos moyens sont contraints, mais nous sommes conscients des efforts qui ont été consentis. Nous devons donc, encore plus aujourd'hui qu'hier, transformer en permanence nos modes d'action.
Par exemple, nous cherchons à mobiliser plus que jamais des relais dans les services de l'État, dans les territoires et dans le secteur privé afin que ces acteurs interviennent à notre place lorsque c'est possible. Il s'agit pour nous de renforcer ce tissu d'accompagnement au plus près de nos concitoyens, de nos entreprises, y compris les plus petites d'entre elles, et de nos collectivités. Cela passe par les Computer Security Incident Response Team (CSIRT) régionaux et par le groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma), mais aussi par le secteur privé, qui intervient quasi systématiquement en tant que premier répondant lorsqu'il faut traiter une attaque, quitte à ce que l'Anssi prenne la main ensuite, si la situation est suffisamment grave pour justifier son intervention.
Cette transformation permanente passe aussi par un nouveau cadre réglementaire qui doit notamment nous accorder une mission de supervision. Nous pourrons ainsi démultiplier notre action.
Enfin, nous travaillons à optimiser nos infrastructures numériques, qui sont un pan essentiel de notre action et qui consomment d'ailleurs une part significative de nos crédits. Au fond, l'Anssi est d'abord chargée de traiter des données de manière massive. Nous devons, dans ce cadre, améliorer notre capacité de supervision des systèmes d'information de l'État. Globalement, nous devons faire davantage au même coût, voire à moindre coût si cela est possible ; pour cela, nous devons travailler sur de nouvelles logiques techniques.
Au-delà de ces optimisations, nous devons procéder à des choix et parfois renoncer à certaines choses. Nous devons choisir les types de menaces que nous suivons et, au sein de nos missions, celles que nous déléguons. Par exemple, en matière de certification - une part importante de notre action -, nous avons fait le choix de nous positionner uniquement sur le niveau le plus élevé du spectre et de laisser tous les autres champs au secteur privé. Pour autant, nous assurons un encadrement minimum afin de jouer notre rôle de chef d'orchestre.
Nous ferons le même choix en ce qui concerne la mise en oeuvre du règlement européen sur la cyberrésilience (CRA), qui imposera des critères de conformité à tous les fournisseurs de produits numériques sur le marché intérieur. Sur ce sujet, nous allons assurer une coordination d'ensemble et un rôle d'expertise, mais pas la supervision de marché, qui sera portée par d'autres autorités dont c'est déjà le métier.
Vous le voyez, une logique d'ensemble se dessine. L'Anssi est évidemment chargée de prévenir et de traiter les cas de menace étatique extrêmement pointue, mais nous devons concentrer nos moyens sur les enjeux les plus forts, si bien que, pour le reste, nous cherchons autant que possible à faire faire par d'autres acteurs.
Quelques mots sur 2026, une année chargée à plusieurs titres.
Comme toujours lors d'un scrutin d'importance, nous devrons nous mobiliser pour sécuriser les élections municipales, tant pour le scrutin lui-même que pour accompagner, si besoin, les équipes de campagne.
La France accueillera par ailleurs le G7, un événement majeur sur lequel nous avons commencé à travailler.
Nous commencerons aussi à travailler sur les jeux Olympiques d'hiver de 2030. L'horizon est plus lointain, mais l'expérience des JO de Paris nous a montré qu'il fallait prendre ce type de dossier à bras-le-corps le plus tôt possible.
Un important travail juridique se poursuivra en 2026. J'espère que le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité pourra être adopté définitivement en début d'année, ce qui permettrait de rédiger les textes réglementaires et de rendre ainsi ses dispositions applicables pour la fin 2026. Nous sommes déjà mobilisés en ce sens et nous voyons très régulièrement les acteurs concernés - fédérations professionnelles, associations d'élus, etc. - à ce sujet.
Nous lancerons d'ailleurs prochainement la plateforme de pré-enregistrement, première étape de mise en oeuvre concrète de cette nouvelle réglementation qui amènera les entités assujetties à s'enregistrer auprès de l'Anssi. Rien ne nous empêche de commencer dès à présent à tester cette plateforme pour être en mesure de la mettre en place le plus rapidement possible le moment venu.
Nous devrons aussi travailler sur la mise en oeuvre du règlement CRA qui s'applique aux fournisseurs de services numériques. Pendant de la directive du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite NIS 2, que le projet de loi dont je viens de parler tend à transposer en droit français. Ce règlement a une très large portée puisqu'il englobe tous les produits numériques.
Nous devrons également travailler sur l'actualisation du règlement sur la cybersécurité (Cyber Security Act ou CSA), qui fixe notamment le cadre de la certification ou encore le mandat de notre homologue européen, l'Agence de l'Union européenne pour la cybersécurité, aussi appelée l'Enisa. Cette actualisation peut ouvrir un champ nouveau particulièrement important dans le débat actuel sur la souveraineté numérique et nos dépendances en la matière. Nous savons bien que nous avons là aussi des intérêts à défendre.
Cela s'inscrit dans le souci de simplification que nous devons nous imposer, non pas pour rogner sur le niveau d'exigence, mais pour mieux articuler entre eux les dispositifs adoptés ces dernières années par l'Union européenne et pour en clarifier certains points. J'ai déjà évoqué devant vous, par exemple, les clarifications qu'il faudrait apporter à la directive NIS 2.
Dernier point de cette année 2026, vous le voyez, chargée : la préparation et l'accompagnement de ruptures technologiques majeures. Nous avons ainsi engagé une stratégie de migration vers la cryptographie post-quantique pour préparer l'arrivée de l'ordinateur quantique. Le jour où cela se produira - nous ne savons pas quand -, cela cassera une grande partie de la cryptographie actuelle. Nous devons donc engager dès à présent une transition ; elle peut encore se faire dans la sérénité, mais attendre nous conduirait à nous retrouver au pied du mur. Nous travaillons sur cette question et avons déjà fixé quelques échéances : 2027 pour les fournisseurs, 2030 pour les utilisateurs.
Enfin, nous devons lancer, avec l'Institut national pour l'évaluation et la sécurité de l'intelligence artificielle (Inesia), des travaux sur l'intelligence artificielle. Dans le cadre du règlement européen sur l'IA, l'Anssi jouera un rôle non pas de régulateur, mais de centre de compétences mutualisées au profit des régulateurs.
Vous le voyez, nous avons du pain sur la planche. Je suis bien conscient des efforts significatifs qui ont déjà été faits et qui sont encore demandés à notre profit. Cela nous oblige. Dans ce cadre, nous nous concentrerons sur quelques priorités simples, qui sont celles de la RNS : la supervision et la régulation du marché et des opérateurs régulés ; les capacités opérationnelles ; le réseau de proximité qui permet de démultiplier notre action et de la projeter dans les territoires dans une logique de proximité.
M. Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum). - C'est ma troisième audition devant vous depuis 2023 et, sans surprise, je dois vous avouer que les nouvelles du front informationnel ne sont pas très bonnes. Malheureusement, à la faveur d'un contexte géopolitique fortement dégradé, la menace d'ingérence numérique étrangère s'est renouvelée ; elle s'est également accélérée du fait de la numérisation croissante des usages et des évolutions dans la consommation d'informations.
Grâce à l'intelligence artificielle, chacun peut aujourd'hui se targuer d'être lui-même un producteur d'informations. Cette menace s'est imposée comme un véritable défi pour nos sociétés démocratiques. D'une part, nous avons d'une certaine façon perdu le contrôle sur notre débat public numérique, qui est principalement hébergé sur des plateformes en ligne non européennes, lesquelles semblent souvent préférer le contentieux à la mise en conformité avec nos règles de droit. D'autre part, nous craignons tous de tomber dans le piège tendu par les acteurs étrangers de la manipulation de l'information, à savoir le risque d'être perçus par nos concitoyens comme des censeurs de la liberté d'expression.
Je vous propose de vous présenter un bref état de la menace, d'aborder ensuite la stratégie que nous avons mise en oeuvre pour y faire face et de dresser un rapide état des lieux de nos moyens, notamment pour 2026.
Sur l'état de la menace, la raison d'être de Viginum est la protection du débat public numérique français. Or ce débat public numérique est aujourd'hui soumis à trois facteurs de pression distincts.
Le premier facteur, qui est stratégique, résulte de l'activité persistante d'acteurs étrangers malveillants dans notre débat public numérique. Ces acteurs profitent de la conflictualité que nous connaissons, notamment depuis le 24 février 2022, et qui s'est accrue à la suite des événements de la fin de l'année 2023. Ils exploitent nos principes démocratiques d'ouverture et de transparence pour s'ingérer dans notre débat, au travers de ce que nous appelons chez Viginum des « modes opératoires informationnels », c'est-à-dire des procédés techniques qui leur permettent d'être persistants.
Les finalités de ces modes opératoires informationnels sont simples à comprendre : il s'agit de brouiller la distinction entre une information manipulée et l'opinion, et d'instrumentaliser de manière opportuniste des faits d'actualité, présents dans notre débat, pour in fine polariser l'opinion. Un cas concret que Viginum a dénoncé en mai 2025 est le mode opératoire prorusse « Storm-1516 », qui a la particularité de viser notamment les contextes électoraux, d'exploiter l'intelligence artificielle générative et parfois d'usurper l'identité de médias. Vous en avez sans doute entendu parler récemment avec les fameux sites d'information « locale ».
Le deuxième facteur est systémique. Il n'est pas lié à l'activité d'acteurs, mais aux mutations profondes du terrain numérique de notre espace informationnel. Ce deuxième facteur présente trois dynamiques propres.
La première dynamique, que l'on observe depuis environ deux ans, est l'émergence d'un nouvel écosystème informationnel. Celui-ci se caractérise par un rôle croissant des influenceurs dans la production d'informations, par l'apparition de réseaux sociaux que je qualifierai de partisans et, enfin, par la multiplication de médias alternatifs. Ces changements accentuent l'érosion de notre consommation de médias traditionnels et contribuent à brouiller la frontière entre ce que j'appelle l'information factuelle et l'opinion.
La deuxième dynamique est le développement de l'intelligence artificielle générative. Elle est préoccupante, parce qu'elle tend à transformer les usages numériques, à redéfinir l'économie de l'attention et à affecter la production, la distribution, la consommation, mais aussi la monétisation de l'information. L'accès aux technologies de l'intelligence artificielle, qui est relativement gratuit aujourd'hui, facilite la production à grande échelle de contenus réalistes et crédibles, souvent faux.
Enfin, dernière dynamique, il conviendra probablement de s'interroger à l'avenir sur la responsabilité des opérateurs de plateformes en ligne dans la propagation des ingérences numériques et transverses. Concrètement, au travers de leurs algorithmes, des fonctionnalités qu'elles proposent, des politiques de modération - ou plutôt de leur affaiblissement... - ou de leurs relations commerciales, ces plateformes sont aujourd'hui en capacité d'agir directement sur les débats publics numériques en France. Selon la vision de Viginum, ces opérateurs de plateformes ne doivent plus seulement être considérés comme des vecteurs, mais aussi comme des acteurs de la menace informationnelle.
Le troisième et dernier facteur de pression est discursif. Il est lié à l'arsenalisation croissante de thématiques puissantes dans notre débat public. Ainsi, à la fin des années 2010, l'accusation d'une France néocolonialiste s'est largement diffusée en Afrique, à la faveur de situations locales particulières, mais surtout sur l'initiative d'acteurs étrangers malveillants, soucieux de s'assurer de l'éviction durable de la France.
D'autres acteurs étrangers, observant le relatif succès de ces manoeuvres informationnelles, ont cherché à réemployer cette thématique dans nos territoires ultramarins, pour déstabiliser la France et attenter à son image auprès de nos concitoyens d'outre-mer. Aujourd'hui, il faut s'interroger sur l'instrumentalisation de la thématique de la liberté d'expression dans les débats publics européens, probablement pour nuire, à terme, à notre capacité collective à réguler certaines activités numériques.
Comment la France répond-elle à cette menace préoccupante et croissante ? La conviction du SGDSN, donc de Viginum, est celle de la nécessité d'une lutte résolue, déterminée et, surtout, dans le cadre de l'État de droit. En tant que chef de file, Viginum a déployé une stratégie de défense active au travers de trois grands axes au cours de l'année 2025.
Le premier est de renchérir les coûts pour nos adversaires. Comme vous le savez, Viginum assiste le secrétaire général dans sa mission d'animation des travaux interministériels de protection contre l'ingérence numérique étrangère. À ce titre, nous coordonnons le travail d'appréciation objective du niveau de menace et contribuons à élaborer des options de réponse. La plus visible de ces dernières est la dénonciation publique, action de communication stratégique du Quai d'Orsay, que nous appuyons au travers, notamment, de rapports publics. Depuis le 1er janvier 2025, nous en avons publié cinq.
Le deuxième axe est celui de l'assistance à nos partenaires. En effet, cette menace touche l'ensemble des sociétés démocratiques. Face à son intensification, le besoin est croissant de mettre en commun avec nos partenaires notre connaissance de la menace, nos techniques, nos procédés et nos méthodes. Nous avons donc multiplié, au cours de l'année 2025, les échanges dans les enceintes multilatérales, mais pas uniquement, aboutissant à des feuilles de route bilatérales, par exemple pour accompagner certains pays dans la montée en puissance de leurs propres structures.
Au-delà, il nous semble utile de disséminer l'approche française de la lutte contre les manipulations de l'information, opérationnelle et fondée sur un cadre éthique et juridique, afin que nous puissions tous, à terme, non seulement disposer d'une grammaire commune, mais aussi être interopérables face à la menace.
Nous avons aussi renforcé nos liens avec les autorités de régulation à l'échelle nationale, notamment l'Arcom, mais aussi avec la Commission européenne, en particulier la DG Connect, chargée de la mise en oeuvre du Digital Services Act (DSA), en contribuant au suivi de la mise en oeuvre des obligations de modération de contenus préjudiciables pesant sur les plateformes au titre du règlement DSA.
Enfin, notre dernier axe est celui du renforcement de la résilience démocratique de notre pays. Nous avons entamé, depuis l'été 2023, un rapprochement avec les acteurs de la société civile, notamment le monde académique et scientifique et les médias. L'idée était à la fois de les sensibiliser, d'accompagner la recherche dans la prise en compte de cette menace et, à terme, de former une digue, objectif qui m'a été fixé par le secrétaire général. Celle-ci doit dépasser Viginum et être collective. Voilà ce qu'est la résilience.
Nous avons agi dans la droite ligne des recommandations de la commission d'enquête du Sénat sur les politiques publiques face aux opérations d'influences étrangères, dont le rapporteur était Rachid Temal, ici présent, et qui a publié ses travaux en juillet 2024.
Viginum a multiplié les actions de sensibilisation à destination de nombreux publics, en particulier les plus jeunes, au profit desquels nous produisons des ressources pédagogiques. Nous le faisons également à destination des médias, notamment pour accompagner le renforcement de leurs capacités d'investigation. Nous avons récemment signé des conventions, notamment avec la direction générale de l'enseignement scolaire et France Télévisions. Ces actions, qu'ont à coeur de mener le secrétaire général et l'ensemble des agents de Viginum, seront appelées non seulement à se renforcer, mais aussi à se multiplier l'année prochaine.
J'en viens aux moyens de Viginum. Hors titre 2, nous disposons des crédits métiers, qui nous permettent de déployer notre infrastructure numérique et notre outillage, à hauteur de 2,4 millions d'euros. Le fonctionnement courant est quant à lui doté de 500 000 euros. S'agissant du titre 2, le service dispose d'une soixantaine d'agents, nombre qui devrait croître l'année prochaine.
Pour 2026, j'exprime à mon tour ma gratitude de bénéficier de moyens supplémentaires, qui devront nous permettre d'atteindre trois objectifs principaux.
Le premier objectif est la création d'une académie de la lutte contre les manipulations de l'information, qui permettra d'accompagner nos partenaires étrangers dans la structuration de leurs réponses, d'industrialiser la production de contenus et de ressources pédagogiques et de développer une première offre de formation au profit de partenaires choisis.
Le deuxième objectif est la montée en puissance d'un centre d'excellence sur l'intelligence artificielle et la désinformation, afin d'appuyer le monde de la recherche et de développer des outils adaptés. Ainsi, à l'image de ce que nous avons fait lors du sommet pour l'action sur l'intelligence artificielle de février 2025, il s'agit d'outiller la société civile pour qu'elle mène elle aussi son propre combat contre l'ingérence numérique étrangère.
Le dernier objectif est le renforcement du volet technico-opérationnel.
Je vous ai dressé un tableau relativement préoccupant de la menace informationnelle et de ses évolutions technologiques. Il convient pour nous d'y faire face, de monter en puissance, d'être capables de mieux la détecter, de mieux la caractériser et de mieux la faire connaître.
M. Olivier Cadic. - Votre action est centrale dans l'élaboration des stratégies nationales de défense et de sécurité de notre pays. Le grand public ne vous connaît pas assez. Pourtant, vos services jouent un rôle essentiel auprès de nos concitoyens contre les cyberattaques et les ingérences étrangères. Je pense, bien évidemment, à l'Anssi, pour la cybersécurité de l'ensemble des organismes d'intérêt vital - hôpitaux, services publics, tissu socio-économique, etc. - ainsi qu'au service Viginum, qui dévoile des menaces très concrètes orchestrées depuis l'étranger.
Pour 2026, les crédits de paiement de la coordination de la sécurité et de la défense seraient confortés, en hausse de 6 %, à 431 millions d'euros, contre 406 millions d'euros en 2025. Certes, l'on s'en réjouit, mais à titre de comparaison, le budget cyber de la seule banque JP Morgan s'élève à 1 milliard de dollars...
J'ai plusieurs questions sur l'utilisation de nos crédits.
En premier lieu, il y a un an, il avait été annoncé pour 2025 l'actualisation de la stratégie nationale de cybersécurité, suivie par l'élaboration d'une stratégie de lutte contre les manipulations de l'information. C'était une demande de notre collègue Rachid Temal, rapporteur de la commission d'enquête sur les politiques publiques face aux opérations d'influences étrangères. Quand ces stratégies seront-elles publiées ou, à tout le moins, communiquées au Parlement ?
Cette question fait écho à notre constat d'une organisation semblant anarchique et inutilement coûteuse, avec de nombreux points d'entrée et une multiplication des interlocuteurs institutionnels face aux cyberattaques : Anssi, cybermalveillance, CERT (Computer Emergency Response Teams) sectoriels et CSIRT (Computer Security Incident Response Teams) régionaux. À titre de comparaison, aux États-Unis, le bureau local du FBI est le seul point d'entrée. Ce pays a unifié l'ensemble du dispositif pour tracer les cyberattaquants. Ainsi, dès la plainte, le FBI bloque les transactions de paiement des rançons.
Nous pensions que la création du 17 Cyber et l'examen du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité allait conduire l'Anssi à mettre de l'ordre et à rendre lisible le rôle des différents acteurs. Cependant, bien au contraire, l'Anssi a lancé, à l'été 2025, un appel à manifestation d'intérêt (AMI) pour le renforcement de l'accompagnement local aux enjeux de cybersécurité, doté de quelque 7 millions d'euros. Ces fonds contribueraient donc au budget des CSIRT, alors même que le directeur de l'Anssi, auditionné par la commission spéciale de l'Assemblée nationale chargée d'examiner le projet de loi Résilience, disait que ces derniers ne seraient plus financés. Par contre, rien n'est prévu pour le GIP Acyma. Pourquoi ne nous avez-vous pas informés de ce dispositif, qui ne figurait pas au PLF 2025 ? Quels sont les résultats attendus qui justifient cette dépense et l'arrivée de nouveaux intervenants ?
Concernant la mise en oeuvre du projet de loi Résilience, pour lequel je préside la commission spéciale, le Sénat a rempli sa mission en adoptant un texte, dès mars dernier, lequel doit toujours être examiné par l'Assemblée nationale... Mais l'Anssi n'a toujours pas précisé les conséquences de la directive NIS 2 pour les entreprises françaises. Ne mettons-nous pas nos entreprises en retard ou en danger en faisant planer l'incertitude, voire en ne leur suggérant pas d'être certifiés ISO 27001 pour s'aligner sur nos voisins belges, puisque nous parlons d'une directive européenne ?
Pour nos banques, les attentes du régulateur américain sont supérieures à ce que prévoit le règlement européen Dora sur la résilience opérationnelle numérique du secteur financier. À titre d'exemple, pour le vulnerability and patch management (gestion des vulnérabilités et des correctifs), le délai de réponse exigé par la Réserve fédérale américaine (FED) est d'une semaine, contre trois mois chez nous. Comment justifier cette distorsion, qui fait courir un risque important à nos établissements financiers vis-à-vis des autorités américaines ?
Enfin, plusieurs des onze recommandations de la Cour des comptes, dans son rapport La réponse de l'État aux cybermenaces sur les systèmes d'information civils, font écho à nos préoccupations, notamment la création à court terme d'un observatoire national de la cybermenace centralisant à l'échelle nationale les données et analyses utiles. Or le vol de données massives chez France Travail, à la direction générale des finances publiques (DGFiP) ou dans le secteur de la santé nous inquiète et révèle des échecs cuisants pour nos systèmes, ce qui affecte des dizaines de millions de nos compatriotes. Quand disposerons-nous de cet observatoire pour suivre concrètement l'efficacité de notre réponse aux attaques cyber ?
Le filtre « anti-arnaque », qui existe dans de nombreux pays, est prévu dans la loi visant à sécuriser et à réguler l'espace numérique (loi SREN), promulguée il y a dix-huit mois. Or nous déplorons 50 800 dépôts de plainte sur la plateforme dédiée aux e-escroqueries en 2024. Quand ce filtre entrera-t-il en vigueur ?
M. Mickaël Vallet. - Notre assemblée est préoccupée par les questions de cybersécurité et d'ingérences étrangères. Ayant eu l'honneur de présider la commission d'enquête sur l'utilisation du réseau social TikTok, son exploitation des données, sa stratégie d'influence, je trouve très important que des personnes telles que vous insistent autant sur la responsabilité de ceux qui sont, en fait, des éditeurs.
Néanmoins, du point de vue démocratique, nous nous trouvons face à une aporie juridique sur un thème où nous ne pouvons pas décider seuls. Pourtant, s'il est bien une chose qui caractérise la culture européenne, c'est la liberté d'expression, la vraie, et non celle qui consiste à manipuler les autres avant qu'ils vous manipulent. Nous devrons bien nous mettre en ordre de bataille, car vous butez, dans votre quotidien, sur ce problème concret.
Le problème est le même que celui de la vente de poupées à caractère sexuel sur une plateforme en ligne. Par exemple, un restaurateur qui vend des produits avariés sera sanctionné par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). En revanche, face à des manipulations d'informations sur TikTok, les responsables, que l'on ne peut jamais contacter autrement qu'en rencontrant des chargés de relations publiques, répondent que ce n'est pas de leur faute. Ainsi, nous achoppons, au-delà des moyens budgétaires, des stratégies et de la bonne volonté de chacun, sur des problèmes extrêmement concrets. En outre, TikTok n'est pas un cas isolé. Les travaux de notre collègue Rachid Temal comme ceux de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ont montré la volonté du Sénat d'avancer sur ce point.
Vous avez également insisté sur la coordination. À ce sujet, le rapport de la Cour des comptes soulève des interrogations, qu'il faut lever, sur la coordination et l'organisation globale de l'écosystème en France. Nous aimons savoir - c'est un méchant jacobin qui vous le dit - que quelqu'un pilote et que les rôles sont bien répartis. Mais nous avions déjà souligné dans un rapport, il y a plusieurs années, la présence de doublons, mais aussi de lacunes, ce qui nous préoccupe.
L'exemple du financement quelque peu aléatoire des centres régionaux ou des centres sectoriels doit nous inciter à avoir une vision plus claire des choses, surtout alors que vous ne pourrez pas vous occuper vous-mêmes de chacun des opérateurs. Ainsi, en dépit du caractère rassurant de la préservation des moyens, qui est de toute façon à relativiser, nous n'échappons pas à la nécessité de rationaliser l'ensemble.
Par ailleurs, vous avez évoqué une digue de défense contre la manipulation de l'information. Dans ce cadre, il y a une nécessité de coordination avec le ministère des affaires étrangères, avec le ministère de l'intérieur, mais aussi avec les services de la ministre déléguée chargée de l'intelligence artificielle et du numérique. À ce sujet, dans un pays comme la France, peut-être cette question pourrait-elle relever du niveau primo-ministériel. Qu'en pensez-vous ? Quoi qu'il en soit, la ministre déléguée ne pourra rester dans son couloir et devra assurer une coordination interministérielle.
Nous sommes habitués aux cyberattaques sur les collectivités territoriales et les hôpitaux, ainsi qu'aux questions liées au ministère de l'intérieur, qui organise les élections. Cependant, pour construire cette digue, un ministère doit être totalement et prioritairement embarqué : l'éducation nationale. En effet, même si une bonne partie des parents est perdue, malheureusement, nous n'arriverons pas à nos fins si nous n'éduquons pas les futurs citoyens sur le sujet. Vous devez donc bien montrer comment vous fléchez vos moyens sur cet aspect, alors que votre action mérite d'être valorisée.
Je voudrais appuyer la question de mon collègue sur ce que j'appellerai l'hygiène numérique du quotidien, dont est chargé en partie le GIP Acyma. Le 17 Cyber, dispositif extrêmement concret, a été lancé l'année dernière. Malgré cela, beaucoup poussent la porte de nos permanences parlementaires pour se plaindre d'escroqueries bancaires ou à propos de ventes de voitures, par exemple. Voilà pourquoi nous nous interrogeons sur la question des moyens du GIP, alors que l'on reparle de redistribution de moyens vers les CSIRT régionaux. Ainsi, ce matin, aux assises de l'économie de la mer, dans mon département de la Charente-Maritime, j'ai découvert France Cyber Maritime... Il faut donc des moyens, mais aussi de l'organisation. Quid du GIP Acyma ?
Enfin, vous aviez parlé, lors de nos dernières auditions, du fait que les jeux Olympiques et Paralympiques avaient conduit à reporter l'affectation de moyens, notamment l'achat de matériel, car il avait fallu se concentrer sur cet événement, avec le réel succès que l'on sait. Avez-vous rattrapé l'effet de ce décalage ?
M. Nicolas Roche. - L'avantage d'être nouveau est que je ne peux pas faire référence à des propos que j'aurais tenus l'année dernière. En revanche, je peux vous faire part de mes convictions, six mois après avoir pris mes fonctions. Ainsi, dans le cadre de la mise en oeuvre de la RNS, j'ai décidé de passer très peu de temps à l'étranger pour me déplacer, à chaque fois que je le peux, dans nos territoires, afin de participer au travail de pédagogie et d'éducation. Je participe à tous les comités des zones de défense, ce qui me permet de voir l'ensemble des services de l'État, mais aussi, dès lors que j'en ai l'occasion, aux réunions publiques de présentation de la RNS.
Ma conviction est que le scénario central de la RNS est incroyablement exigeant. Selon lui, nous devons nous préparer à une situation dans laquelle nos forces armées seraient engagées dans une guerre, quelque part en Europe ou à sa périphérie, concomitamment à des agressions hybrides massives sur le territoire national, métropolitain ou d'outre-mer, qui viseraient à casser la continuité de la vie de la nation.
Par menace hybride, nous entendons attaques cyber, manipulation de l'information, sabotage, espionnage, instrumentalisation de troubles à l'ordre public à des fins stratégiques, rupture d'approvisionnements stratégiques ou encore mise en difficulté de la résilience, notamment économique, de la nation.
Étant le représentant d'un organe chargé de la coordination interministérielle des questions de défense et de sécurité nationale qui est le réceptacle d'un grand nombre d'informations, je suis frappé par l'ampleur des menaces qui pèsent sur notre pays. Ces dernières étant appelées à se massifier, nous devrons fournir un important effort d'anticipation.
La question qui nous est posée dans le cadre de la mise en oeuvre de la RNS n'est pas celle de notre niveau d'ambition, mais celle de notre mode d'organisation et de la manière de préparer la nation face à un niveau de menaces incroyablement plus élevé qu'il ne l'est aujourd'hui, notamment dans le domaine hybride. D'autres que moi, en particulier au sein du ministère des armées, seront infiniment plus qualifiés pour vous expliquer comment nous nous préparons collectivement au scénario de guerre.
S'agissant des menaces hybrides, nous devons repenser profondément le paradigme de la sécurité nationale et son organisation sur le territoire. En effet, si nous partons du principe que nous pourrons compter sur les seuls moyens de l'État pour faire face à la menace qui se profile, nous ne serons pas à la hauteur des défis liés à la protection de nos concitoyens.
Face auxdites menaces, il nous faut mettre sur pied une organisation de la détection, de la prévention, de la mise en oeuvre de la réponse et de la résilience de la nation qui sera radicalement différente de ce que nous avons connu jusqu'à présent. Cette nouvelle organisation s'appuiera sur des moyens renforcés de l'État, le Premier ministre ayant fait le choix d'augmenter, en 2025 comme en 2026, les moyens de l'ensemble du périmètre du SGDSN.
Cependant, quelle que soit l'ampleur de cette augmentation, il sera vital que l'ensemble des acteurs franchissent un seuil dans leur implication face à ces menaces : il s'agit des collectivités territoriales, des entreprises - pas uniquement les opérateurs d'importance vitale, mais l'ensemble du monde économique - et enfin de tous nos concitoyens. Chacun, à sa place, a une part de la responsabilité dans l'effort de préparation de la nation, confrontée à des menaces massives qui affectent la sécurité nationale. J'insiste sur ce point : le scénario central de la RNS concerne chacun de nos compatriotes, qu'ils soient acteurs économiques, acteurs des collectivités, membres des forces de réserve ou fonctionnaires de l'État.
Cette remarque générale sur l'environnement m'amène à des considérations bien plus précises. Dans le domaine cyber, qui est probablement le plus connu, ma conviction est que nous devrons composer avec un certain niveau de complexité et qu'il est exclu de tout centraliser dans un modèle reposant sur l'Anssi, à laquelle on demanderait d'assurer l'intégralité de la protection de la nation.
Je consacre ainsi une partie de mon temps à expliquer aux représentants des territoires et des acteurs économiques qu'il leur faudra faire davantage au regard de l'évolution de la menace cyber, même si nous serons à leurs côtés pour les accompagner et pour certifier les produits. Toute initiative permettant de développer une organisation, par territoire ou par secteur d'activité, me semble donc bienvenue.
Lors de mes déplacements auprès des CSIRT régionaux, des CERT et des entreprises, je demande systématiquement à mes interlocuteurs des précisions sur l'articulation de leur organisation avec l'Anssi. La plupart du temps, je recueille une réflexion similaire à celle que vous avez formulée : nous ne sommes pas confrontés à l'anarchie, mais à une situation dans laquelle nos compatriotes et nos acteurs économiques n'ont pas encore bien saisi l'état de la menace, ni l'ampleur des investissements qui seront nécessaires pour y faire face, étant donné qu'ils ne pourront pas tout attendre de l'État.
En effet, ce dernier, comme l'a souligné Vincent Strubel, se concentrera sur la protection du coeur régalien permettant d'assurer la continuité de la vie de la nation, ainsi que sur l'accompagnement d'un écosystème cyber - à la fois privé et public - qui devra monter en puissance, tant en termes de compétences que de moyens, dans les années qui viennent.
Notre engagement, pour lequel je me suis battu en 2025, comme au cours de la préparation du PLF pour 2026, consiste à consacrer une partie des moyens du SGDSN et de l'Anssi à l'accompagnement de cet écosystème.
Sur le plan de la coordination, la nature de la menace cyber doit être prise en compte : soit elle est trop sophistiquée pour être laissée à des acteurs territoriaux ou sectoriels, soit elle peut renseigner l'État central et l'Anssi sur la caractérisation d'un certain type de menaces. L'Agence est ainsi régulièrement amenée à mener un certain nombre d'actions et d'opérations de cybersécurité qui pourraient parfaitement être confiées, au regard de leur degré de sophistication, à des acteurs locaux ou sectoriels, mais qui viennent renforcer la connaissance de la menace.
Il semble donc essentiel de réfléchir à notre dispositif de coordination, et, une fois encore, il nous faudra assumer un certain degré de complexité dans l'organisation de la réponse. Je suis en particulier convaincu de la nécessité de mobiliser l'échelon territorial dans l'accompagnement de la montée en compétences de nos acteurs économiques et de nos concitoyens, en premier lieu face aux menaces cyber et aux manipulations de l'information, notamment dans les outre-mer.
J'en viens à NIS 2, en partageant vos inquiétudes relatives à l'incertitude entourant la transposition de ce texte, à la fois parce que le retard pris par la France l'expose à des amendes de la part de la Commission européenne, mais aussi parce qu'une série de mesures réglementaires doit également être prise. Je tiens à saluer l'action de l'Anssi, qui n'a pas attendu la fin du processus législatif et réglementaire pour anticiper tout ce qui pouvait l'être.
En tout état de cause, la mise en oeuvre de NIS 2 en 2026 est une priorité absolue pour nous, d'autant plus qu'elle s'inscrit dans la logique de gradation de la riposte et de la préparation. J'ajoute que tous ne sont pas égaux face aux menaces cyber : outre les opérateurs « essentiels », d'autres opérateurs ne seront pas qualifiés ainsi au titre de NIS 2, tout en étant pourtant des éléments importants de la continuité de la vie numérique de la nation.
Pour ce qui concerne les attaques cyber, j'ai le sentiment que l'entité étatique qui agrège, définit, synthétise et qualifie la menace est bien l'Anssi. Mais je prendrai connaissance des préconisations relatives à l'observatoire de la menace cyber, dont je n'étais pas informé, mais il me semble que l'Anssi remplit cette fonction. Si nous avons évidemment besoin de protéger les informations classifiées, il nous faut aussi faire un effort particulier de publication afin d'éduquer et d'éveiller à la réalité de la menace. C'est ce que fait l'Anssi. J'estime que nous avons besoin d'aller toujours plus loin dans la présentation publique des risques, et j'encouragerai en permanence l'Anssi à aller dans ce sens. Je crois, en effet, que nous devons accomplir ce travail d'explication de la nature de la menace auprès des secteurs économiques et plus largement auprès de l'ensemble de la population.
Par ailleurs, je partage les remarques des rapporteurs quant aux ingérences numériques étrangères et aux manipulations de l'information. Si des réflexions de nature juridique peuvent être menées pour améliorer notre dispositif, que ce soit sur le plan national ou européen, je tiens à souligner que nous n'avons pas besoin d'attendre l'évolution dudit dispositif pour agir résolument.
En effet, si l'on considère la compétence technologique dont nous disposons pour caractériser un certain nombre d'évolutions des plateformes et leurs biais systémiques, en particulier algorithmiques ; les instruments à la main du pouvoir judiciaire et les mesures administratives que peuvent employer y compris les autorités administratives indépendantes (AAI) ; les instruments politiques qui sont à notre disposition, en particulier en termes de prises de position publiques ; enfin, l'état du droit, dont le DSA européen, il me semble que nous avons entre nos mains un ensemble d'instruments qui ne demandent qu'à être utilisés.
Nous souhaitons reproduire dans le domaine des facteurs systémiques ce que nous avons accompli pour le « facteur stratégique » qu'a évoqué Marc-Antoine Brillant. Je ne doute pas que les autorités politiques nous donneront pour consigne de mobiliser tous ces instruments afin de faire face à l'évolution de la menace telle qu'il l'a décrite. J'ajoute que cette menace croissante s'accompagnera de problématiques bien plus complexes dans le cadre du cycle électoral de 2026 et de 2027.
Je partage également l'avis des rapporteurs quant à l'importance d'associer l'éducation nationale à l'effort d'éveil et d'explication de la menace cyber comme de la manipulation de l'information. Tel est déjà le cas, avec des travaux qui ont été engagés et des produits qui ont été mis en place et diffusés via l'ensemble de nos relais. Je consacre une partie de mon temps à évoquer, avec les recteurs, l'ensemble du scénario central de la RNS et la nécessité que tous les acteurs, y compris ceux qui sont éloignés du monde de la défense et de la sécurité nationale, s'en saisissent. J'ai d'ailleurs participé ce matin à une réunion au ministère de la justice : de nombreuses administrations sont demandeuses de produits, d'informations et d'un accompagnement dans la mise en oeuvre du scénario de la RNS.
J'en termine avec les différentes stratégies : la stratégie nationale cyber a été adoptée dans sa version classifiée et sa version déclassifiée devrait être publiée dans les semaines qui viennent. Ensuite, la stratégie de lutte contre les manipulations de l'information, qui a fait l'objet d'un travail interministériel extrêmement approfondi, doit encore être finalisée et formellement adoptée, et je souhaiterais que nous prenions le temps d'organiser une consultation large associant les parlementaires et l'ensemble de l'écosystème avant de la publier : in fine, elle devrait être rendue publique après la stratégie nationale cyber.
Je profite de l'occasion pour vous annoncer que nous sommes sur le point de finaliser une stratégie nationale spatiale qui devrait être rendue publique prochainement. J'espère donc que nous aurons terminé tout ce travail de publication dans les prochains mois et que nous pourrons nous consacrer pleinement à la mise en oeuvre opérationnelle de ces différentes stratégies.
M. Vincent Strubel. - Je vous remercie, monsieur Cadic, d'avoir mis en exergue les sommes que peuvent consacrer certaines grandes banques à la cybersécurité, ce qui me conforte dans l'idée que la responsabilité doit être partagée et que tous les acteurs doivent être mis à contribution. Parmi les chiffres à avoir en tête, je souligne que la cyberattaque qui a visé Jaguar Land Rover a conduit le gouvernement britannique à ouvrir une facilité de paiement à hauteur de plus d'un milliard de livres, ce qui donne une idée du coût de l'absence de préparation face aux cyberattaques, qui peut s'avérer démentiel pour un acteur industriel.
Concernant la complexité de l'organisation et la multiplicité des guichets, le quatrième objectif stratégique de la RNS consiste justement à densifier le réseau territorial. La Cour des comptes, dont vous avez fort justement évoqué le rapport, appelle de ses voeux une telle évolution, à laquelle nous croyons profondément. Je suis conforté en ce sens par les retours réguliers de mes équipes qui travaillent au contact de ces CSIRT - qu'ils soient régionaux, sectoriels ou autres -, qui permettent une coopération et une répartition des tâches : nous intervenons si une menace nécessite l'intervention exclusive de l'Anssi, mais la plupart du temps, les menaces sont traitées par les CSIRT, qui sont d'ailleurs en majorité privés. L'InterCERT France compte désormais plus de 120 membres, dont la majorité se situe dans les entreprises. Nous allons donc certes vers une complexité croissante, mais dans le cadre d'un protocole uniformisé entre CSIRT.
Les régions sont également parties prenantes sur ce sujet, et j'ai d'ailleurs participé ce matin aux premières assises des Régions de France consacrées à la cybersécurité et à l'IA, au cours desquelles le mécanisme des CSIRT régionaux a été une nouvelle fois plébiscité. L'AMI qui a été lancé en fin d'année a permis de soutenir un certain nombre de ces structures, qui n'étaient plus financées : le problème a été résolu à court terme, la RNS préconisant une logique de cofinancement à long terme de cette logique de proximité, qui fait pleinement sens.
En revanche, je ne m'inscris pas dans l'opposition entre le dispositif des CSIRT et le GIP Acyma, que j'ai l'honneur de présider : je vous remercie au passage de l'importance toute particulière que vous lui accordez. Je peux vous rassurer sur le fait que ce GIP est financé par le SGDSN et qu'il a vu son budget abonder pour des projets spécifiques, notamment pour la plateforme 17Cyber.gouv.fr, qui a bénéficié d'un financement du ministère de l'intérieur à hauteur de 700 000 euros et d'un abondement d'environ 300 000 euros de l'Anssi, afin de faciliter l'accès aux CSIRT. Selon moi, il s'agit d'un modèle adéquat, car le GIP Acyma, qui n'est pas présent dans les régions et les collectivités d'outre-mer, peut orienter nos concitoyens vers l'acteur le plus pertinent, en jouant le rôle non pas de guichet unique, mais de guichet naturel.
J'ajoute que le GIP Acyma a vocation à remplir d'autres missions inscrites dans la RNS et qu'il aura vocation à être financé plus abondamment à ce titre, notamment afin de déployer des campagnes de sensibilisation.
Pour faire écho à votre question, monsieur Vallet, sur les « trous dans la raquette » du dispositif, l'AMI que j'évoquais nous a permis d'avancer sur des points particulièrement importants, puisqu'il nous fournira la capacité de soutenir une action locale en région Auvergne-Rhône-Alpes, mais aussi à Mayotte, qui était jusqu'à présent un point aveugle du dispositif. Le fait que nous puissions y développer des compétences au profit de nos concitoyens sur place, avec toute la complexité d'une insularité qui ne fait qu'amplifier les conséquences d'une éventuelle cyberattaque, me semble être une très bonne nouvelle.
S'agissant de la directive NIS 2, je souhaite également que la transposition soit la plus rapide possible, car il faut fixer un cadre. Nous avons indiqué aux entreprises ce qu'elles devront faire, en leur communiquant les versions préliminaires des référentiels d'exigences, qui ne seront finalisés qu'une fois que la loi sera votée. La démarche semble être efficace et je me réjouis en particulier des résultats d'une étude publiée par le Club des experts de la sécurité de l'information et du numérique (Cesin), qui a mesuré par échantillonnage la maturité cyber dans les entreprises. Cette étude relève un décalage bien réel dans la maturité des entités qui seront assujetties à NIS 2, mais aussi le fait qu'elles ont d'ores et déjà pris le cap d'un renforcement de leur cybersécurité, sans attendre la loi.
Cela m'amène à faire le lien avec le sujet de l'observatoire de la menace cyber, l'une des obligations fondamentales de NIS 2 portant sur la notification des incidents de cybersécurité. Nous avons déjà un rôle de consolidation, mais celui-ci est très partiel et ne pourra être élargi qu'à partir du moment où les obligations de notification des incidents seront généralisées.
Le règlement CRA imposera, dès décembre 2026, la notification aux CSIRT nationaux de toutes les vulnérabilités dans les produits numériques, ce rôle étant attribué à l'Anssi. La directive NIS 2 imposera des notifications similaires pour les entités assujetties et cette obligation nous permettra de consolider notre vision de la menace, qui ne sera, pour autant, toujours pas exhaustive.
En matière d'achats de matériels, nous avons comblé le décalage, en partie grâce aux moyens supplémentaires obtenus à l'été 2025 pour sécuriser et pérenniser notre infrastructure la plus critique.
Enfin, pour ce qui concerne la directive Dora, je vous renvoie aux débats que nous avons eus dans le cadre de la commission spéciale sur le projet de loi Résilience : à trop vouloir unifier le traitement des notifications, les directives Dora et NIS 2 ont créé plus de problèmes qu'elles n'en ont réglés, et le calendrier spécifique de Dora - avec un rythme de notification bien plus lent - rend pertinente une double notification pour les entités qui sont concernées par les deux textes.
Plus précisément, il convient qu'elles notifient très vite à l'Anssi un incident cyber, car nous pouvons alors agir rapidement pour limiter les dégâts ; et qu'elles notifient, dans un temps plus long, les impacts financiers de cet incident aux autorités de contrôle désignées par la réglementation Dora. Il s'agit selon moi du bon équilibre, équilibre sur lequel nous nous fondons encore pour le projet de loi en cours d'examen.
M. Marc-Antoine Brillant. - Une campagne de manipulation de l'information ressemble de manière confondante à une campagne de publicité en ligne et se compose de trois blocs : les acteurs étrangers qui sont les opérateurs de la campagne, l'audience cible et les plateformes en ligne où se déroulent les manoeuvres. Pour chacun de ces trois blocs, l'objectif, au niveau du SGDSN, consiste à déployer des boîtes à outils de réponses.
S'agissant des opérateurs étrangers, la réponse relève de l'action interministérielle et de l'utilisation de différents leviers, dont la dénonciation publique dans le cadre d'une communication stratégique. De nombreux autres leviers sont à disposition, mais ils relèvent d'autres opérateurs ministériels.
À l'autre bout du spectre figure l'audience cible : l'ambition portée par Viginum est de répondre à la manipulation en s'adressant, au-delà du jeune public, à l'ensemble des tranches d'âge de l'opinion. Le partenariat que nous avons lancé avec la direction générale de l'enseignement scolaire (Dgesco) présente un grand intérêt pour nous, puisqu'il nous permet d'insérer, dans des programmes scolaires déjà très chargés, des éléments de sensibilisation à la manipulation de l'information au profit des élèves, mais aussi des enseignants.
Il s'agit d'une approche assez ludique et nous avons eu la chance, l'année dernière, de voir deux éditeurs insérer des éléments de ce type dans leurs manuels scolaires d'histoire-géographie pour la rentrée de septembre 2025. Nous avons en particulier travaillé avec le Centre de liaison de l'enseignement et des médias d'information (Clemi), opérateur du ministère dédié à l'éducation aux médias et à l'information, afin de produire des podcasts visant la tranche d'âge des collégiens et lycéens.
J'en viens aux médias : nous avons lancé une collaboration avec le magazine L'éléphant junior, qui vise le public des collégiens, une série de trois numéros comprenant des éléments relatifs à la menace informationnelle étant en cours de publication.
Le secrétaire général ayant évoqué son attachement aux territoires, nous prévoyons également des partenariats avec la presse quotidienne régionale (PQR) afin de toucher à la fois des territoires qui peuvent se trouver isolés de certaines informations nationales et des tranches d'âges moins aisément atteignables.
Les territoires d'outre-mer, quant à eux, ont été visés l'an dernier par des campagnes de déstabilisation instiguées par l'Azerbaïdjan : au-delà du leur dénonciation et de l'accompagnement des collectivités concernées, en lien avec le ministère de l'intérieur, nous avons élaboré un guide de sensibilisation utilisable par les autorités de tous ces territoires.
J'en termine avec les plateformes en ligne, où se déroulent les manoeuvres et manipulations. La relation avec ces plateformes étant asymétrique, il sera sans doute nécessaire d'aller bien plus loin, des actions ayant déjà été entreprises. La Commission européenne a ainsi ouvert des enquêtes concernant certaines plateformes, le parquet de Paris a fait de même et vous pouvez être assurés sur le fait que Viginum contribue, sous l'autorité du secrétaire général, à ces investigations.
M. Philippe Folliot. - Il faut noter que 70 % du marché de l'hébergement des données en France est maîtrisé par trois entreprises - Amazon, Google et Microsoft -, qui sont toutes américaines et soumises à l'extraterritorialité du droit américain.
La doctrine du « cloud au centre » et la qualification SecNumCloud de l'Anssi ont montré qu'il est possible d'être totalement autonome - les choix faits par la gendarmerie nationale en sont un bon exemple. À l'inverse, certains ministères, comme celui de la santé avec le Health Data Hub, n'ont pas tenu compte de cet objectif, et leurs données sont hébergées par des prestataires étrangers.
Une autre menace, peut-être un peu plus sournoise, se manifeste au travers de ce que l'on pourrait appeler les offres hybrides. Je pense notamment à l'offre Bleu de Microsoft, Orange et Capgemini ou à l'offre S3NS de Google et Thales.
L'Anssi s'apprête-t-elle à valider ce type d'offres ? Cela poserait une question de souveraineté et remettrait en question la perspective que des solutions alternatives, totalement nationales ou européennes, puissent voir le jour.
M. Jean-Marc Vayssouze-Faure. - Ma question porte sur la malheureuse affaire du cambriolage au musée du Louvre. La presse a révélé des documents, tels que des audits confidentiels portant sur la sûreté du musée, qui démontrent l'ampleur des brèches dans la sécurité informatique de l'établissement. L'obsolescence concerne les serveurs, la vidéosurveillance et les contrôles d'accès, qui sont tous des éléments déterminants pour la protection des oeuvres d'art. Nous avons été frappés d'apprendre que le mot de passe d'accès au système de surveillance était tout simplement « Louvre »...
En décembre 2014, l'Anssi avait testé le réseau de sûreté à la demande du musée et avait émis des signaux d'alerte. Pouvez-vous nous détailler ces signalements et le sort qui leur a été réservé ? Ces défaillances des systèmes d'information ont-elles pu simplifier la tâche des cambrioleurs ?
Enfin, cette douloureuse affaire n'est-elle pas symptomatique du manque de prise de conscience des administrations, et parfois des collectivités locales, quant à l'intensité de la cybermenace ?
M. Nicolas Roche. - Je n'ai rien à dire de particulier sur le cambriolage au Louvre. On ne compte plus le nombre d'exemples d'absence de prise en compte de la nature et de l'ampleur de la menace cyber aujourd'hui. Nous sommes face à un enjeu, assez vertigineux, de passage à l'échelle de l'ensemble de la cybersécurité de la nation.
Je formulerai deux remarques.
La première est que nous devons faire preuve de pédagogie pour expliquer que la souveraineté numérique et la cybersécurité sont deux notions qui ne se recoupent pas entièrement. Ainsi, des solutions peuvent être très sûres en termes de cybersécurité sans être totalement souveraines, et réciproquement. Nous devons donc prêter attention à notre angle d'attaque : est-ce la souveraineté numérique absolue ou la cybersécurité absolue ? Les solutions ne sont pas exactement les mêmes.
La seconde est que nous appliquons pour l'État, mais cela est vrai pour l'ensemble de l'écosystème numérique français, des stratégies de protection différenciées en fonction du niveau de sensibilité des données. C'est du simple bon sens ! Nous devons disposer d'une gamme de solutions de protection adaptées. Dans certains cas, ce sera du souverain cyber pur absolument maîtrisé ; dans d'autres, du commercial. Entre les deux, il y a une zone grise, qui relève du SecNumCloud. C'est la raison pour laquelle il est nécessaire que Viginum et l'Anssi développent leur rôle de prescripteur, de certificateur et d'accompagnateur de l'écosystème privé.
M. Vincent Strubel. - En ce qui concerne le Louvre, je regrette que le rapport d'audit conduit par l'Anssi, pourtant soumis à une diffusion restreinte, ait été publié. Ce rapport, qui a plus de dix ans, indiquait qu'en 2014 le mot de passe était « Louvre », et « Thales » pour les équipements de surveillance de Thales. Nous sommes malheureusement souvent confrontés à ce type de réalité.
Parmi les menaces qui nous ont inquiétés, je citerai les attaques contre des microbarrages hydroélectriques pendant les jeux Olympiques et Paralympiques en 2024 : le mot de passe, qui n'avait jamais été changé par les utilisateurs, parce qu'ils n'y étaient pas invités, était 1111...
J'ajouterai que rien ne laisse à penser que le vol des bijoux au Louvre soit lié à une cyberattaque. L'audit de 2014 avait été mené à la demande du musée, ce qui montre une prise de conscience de la nécessité de se faire accompagner dans le domaine de la cybersécurité.
En ce qui concerne la question de la souveraineté, je suis d'accord avec le secrétaire général : les notions de souveraineté numérique et de cybersécurité se rejoignent, mais elles ne se superposent pas.
Pour l'Anssi, la souveraineté numérique recouvre au moins trois aspects.
D'abord, il ne faut pas être une victime facile des cyberattaques : prétendre être souverain quand les hôpitaux peuvent être paralysés par des menaces qui ne sont même pas d'origine étatique, c'est faire preuve d'optimisme, ou plutôt être dans le déni de la réalité !
Ensuite, il faut pouvoir faire valoir ses propres lois, et ne pas être à la merci de lois édictées par d'autres ou de la loi du marché. Cet enjeu s'applique à toutes sortes de domaines d'action de l'État ; la directive NIS 2 et la loi visant à sécuriser et à réguler l'espace numérique sont des réponses. Ce combat permanent que nous menons s'inscrit dans un cadre européen qui nous permet également d'agir.
Il ne s'agit pas d'être en autarcie complète en ce qui concerne l'accès aux technologies ; cela n'est ni réaliste ni souhaitable. Il faut garder la liberté de choisir et d'utiliser les technologies qui sont indispensables aux missions les plus fondamentales de l'État. Nous y veillons autant que possible, en lien avec d'autres acteurs au sein de l'État : le secrétariat général pour l'investissement (SGPI) et la direction générale des entreprises (DGE). La direction interministérielle du numérique (Dinum), qui est chargée de coordonner le système d'information de l'État, a créé des alternatives là où elles manquaient.
J'y insiste, l'autarcie complète n'existe pas. Aucun acteur numérique ne peut se prévaloir de ne dépendre d'aucune technologie, ni américaine ni chinoise, notamment en ce qui concerne les microprocesseurs. Il n'existe pas d'acteur 100 % français dans le secteur numérique. Nous ne pouvons pas réduire à zéro nos dépendances : il s'agit plutôt de les mesurer et de les contourner, le cas échéant.
SecNumCloud est un référentiel de cybersécurité, qui vise à assurer la sécurité et pas seulement la souveraineté. Il ne relève pas d'une logique de protectionnisme ou de préférence européenne ; cela pourrait avoir un sens, mais il ne faudrait pas le cacher derrière des logiques de cybersécurité, qui sont d'une autre nature. Ce référentiel est, à la fois, technique, organisationnel et juridique : il compte 340 critères, avec 1 200 points de contrôle. L'affaire est donc complexe, et nous ne jugeons pas à la tête du client. La délivrance de la qualification est soumise à un processus très contrôlé, et nous sommes nous-mêmes assujettis à des normes ISO.
Les solutions hybrides seront-elles qualifiées ? Rien ne s'y oppose en termes de conformité a priori. Au demeurant, il ne me semble pas que ce soit une mauvaise chose. En effet, ces solutions nous permettent d'utiliser la technologie, en l'occurrence américaine, dans l'état de l'art, avec des protections supplémentaires et un ancrage européen, ce qui répond à l'objectif de cybersécurité. Elles ne permettent peut-être pas d'atteindre un objectif de politique industrielle, mais ce n'est pas le but de SecNumCloud.
Je ne peux que me réjouir de la diversité de choix. Il n'y aura pas que ces solutions ; d'autre sont déjà qualifiées SecNumCloud chez les offreurs de cloud traditionnels français - OVH en fait partie, parmi d'autres. La résilience à laquelle nous aspirons ne peut se bâtir qu'à partir de cette diversité, et non en créant des dépendances à certains acteurs, fussent-ils français ou européens. Aujourd'hui, aucune personne raisonnable n'utiliserait qu'un seul cloud ; ce n'est d'ailleurs pas ce que fait l'État.
M. Cédric Perrin, président. - Je vous remercie pour vos interventions riches et complètes. Vous avez évoqué les menaces et ingérences étrangères auxquelles nous sommes aujourd'hui confrontés. Il est important d'en faire état, car, tout comme vous, je constate une relative absence de prise de conscience.
Cette audition, qui était passionnante, permettra peut-être de mieux informer nos concitoyens sur les menaces auxquelles nous sommes quotidiennement confrontés. Cette situation est, vous l'avez dit, liée à notre forte consommation d'informations et à notre capacité à en créer, ce qui, pour certains, revient à créer de la désinformation.
Vous pouvez compter sur notre vigilance. Nous l'avons démontré l'an dernier lors du vote du budget, en soulignant la nécessité de consacrer des moyens suffisants à ce secteur éminemment régalien. Vous avez toutefois raison de souligner le besoin de coordination, et j'ajouterais même parfois de mutualisation, comme je l'ai dit au ministre des affaires étrangères la semaine dernière lors de son audition. Un travail doit certainement être fait pour optimiser les fonds publics consacrés à ces problématiques. Nous veillerons, lors de la discussion du projet de loi de finances pour 2026, aux moyens qui seront accordés au SGDSN et à ses ramifications, et plus largement au programme 129.
La réunion est close à 19 h 30.
Mercredi 5 novembre 2025
- Présidence de M. Cédric Perrin, président -
La réunion est ouverte à 9 h 00.
Projet de loi de finances pour 2026 - Audition du général d'armée aérienne Fabien Mandon, chef d'état-major des Armées (sera publié ultérieurement)
Le compte rendu sera publié ultérieurement.
Audition du général d'armée Pierre Schill, chef d'état-major de l'armée de terre (à huis clos) (sera publié ultérieurement
Le compte rendu sera publié ultérieurement.
Projet de loi n° 853 (2024-2025), adopté par l'Assemblée nationale après engagement de la procédure accélérée, autorisant la ratification de plusieurs conventions-cadres relatives aux bureaux à contrôles nationaux juxtaposés, aux contrôles en cours de route et aux gares communes ou d'échange - Désignation d'un rapporteur
La commission désigne M. Loïc Hervé, rapporteur sur le projet de loi n° 853 (2024-2025), adopté par l'Assemblée nationale après engagement de la procédure accélérée, autorisant la ratification de plusieurs conventions-cadres relatives aux bureaux à contrôles nationaux juxtaposés, aux contrôles en cours de route et aux gares communes ou d'échange.
La réunion est close à 12 h 35.
- Présidence de M. Cédric Perrin, président -
La réunion est ouverte à 16 h 30.
Audition de l'amiral Nicolas Vaujour, chef d'état-major de la marine (à huis clos) (sera publié ultérieurement)
Le compte rendu sera publié ultérieurement.
La réunion est close à 18 h 15.