- Mercredi 19 novembre 2025
- Mission d'information sur le plateau des Guyanes - Examen du rapport (sera publié ultérieurement)
- Projet de loi de finances pour 2026 - Mission « Direction de l'action du Gouvernement » - Programme 129 - Coordination du travail gouvernemental (action 2 Coordination de la sécurité et de la défense, SGDSN, Cyberdéfense) - Examen du rapport pour avis
Mercredi 19 novembre 2025
- Présidence de M. Cédric Perrin, président -
La réunion est ouverte à 9 h 35.
Mission d'information sur le plateau des Guyanes - Examen du rapport (sera publié ultérieurement)
Le compte rendu sera publié ultérieurement.
Projet de loi de finances pour 2026 - Mission « Direction de l'action du Gouvernement » - Programme 129 - Coordination du travail gouvernemental (action 2 Coordination de la sécurité et de la défense, SGDSN, Cyberdéfense) - Examen du rapport pour avis
M. Olivier Cadic, rapporteur pour avis. - Le documentaire de France Télévisions que vous venez de voir illustre un vol massif de données de l'Urssaf qui a eu lieu très récemment, et nos concitoyens nous demandent ce que nous faisons pour éviter cela : voilà l'objet du programme 129, que je présente depuis neuf ans. Et nous en sommes toujours là...
Le budget pour 2026 s'inscrit dans le prolongement de 2025, avec une augmentation de 6 %, soit 431 millions d'euros. En réalité, ce montant est inférieur à celui prévu dans le projet de loi de finances pour 2024, qui était de 438 millions d'euros.
Cette revalorisation vise à remplir les objectifs de la revue nationale stratégique 2025 (RNS 2025), laquelle prévoit que l'ambition 2030 « passera par une augmentation des budgets pour accélérer le réarmement de la France et pivoter résolument vers une Nation plus résiliente, prête à faire face à une guerre de haute intensité ».
La part du programme 129 dans cet effort de défense et de sécurité nationale, qui justifie son examen pour avis par la commission, repose sur trois des objectifs stratégiques définis par la RNS 2025 : une résilience cyber de premier rang - j'ai demandé comment mesurer l'évolution de la résilience et j'attends encore la réponse -, une autonomie d'appréciation et une souveraineté décisionnelle garanties, ainsi qu'une capacité à agir dans les champs hybrides. L'atteinte de ces trois objectifs se traduit par un effort budgétaire vers les fonctions de cybersécurité, de protection contre les ingérences numériques étrangères et de soutien aux services de renseignement, selon la répartition suivante pour 2026.
Les crédits du secrétariat général de la défense et de la sécurité nationale (SGDSN) représentent 318 millions d'euros, soit une hausse significative de 23 millions d'euros. Le SGDSN est chargé notamment de l'Agence nationale de la sécurité des systèmes d'information (Anssi), de l'Opérateur des systèmes d'information interministériels classifiés (Osiic) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum).
Les moyens du groupement interministériel de contrôle (GIC), qui met en oeuvre les techniques de renseignement au profit des services habilités, sont de 46 millions d'euros, en hausse de 2 millions d'euros. Cette progression s'inscrit dans l'extension des finalités du renseignement aux ingérences étrangères depuis 2024 et à la criminalité organisée depuis la loi visant à sortir la France du piège du narcotrafic.
Sont prévus 67 millions d'euros de fonds spéciaux pour le financement des actions couvertes par le secret de la défense nationale des services de renseignement liés à la sécurité intérieure et extérieure. Cette dotation initiale, essentiellement destinée à la direction générale des services extérieurs (DGSE), demeure stable par rapport à l'exercice 2025, mais elle reste sous-évaluée par rapport à la consommation effective de crédits - plus de 100 millions d'euros -, au regard de la dégradation du contexte sécuritaire et géopolitique.
Voilà pour le volet budgétaire sur la base duquel nous proposerons l'adoption des crédits de la mission.
L'Anssi a dépensé 7 millions d'euros pour renforcer l'accompagnement local aux enjeux de cybersécurité et financer les CSIRT (Computer Security Incident Response Team) régionaux. J'avais insisté sur ce point, qui n'était pas prévu dans le budget de l'Agence ; cela montre que les services sont capables de trouver des financements quand la nécessité s'en fait sentir.
Lors de l'audition du SGDSN et de ses chefs de service, j'ai posé des questions qui sont restées sans réponse, ce qui constitue des points d'alerte.
Nous n'avons pas eu de réponse précise sur la publication des stratégies nationales de cybersécurité ou de lutte contre les manipulations de l'information, alors qu'elles avaient été annoncées l'an dernier. Le SGDSN a bien dit que cela dépendait de lui et que les dossiers étaient sur son bureau. Nous attendons donc qu'il veuille bien nous communiquer ces stratégies...
Nous n'avons pas eu plus de réponse sur la recommandation de la Cour des comptes de créer un observatoire public des menaces, qu'elles soient cyber ou informationnelles. Quels sont les retours d'expériences de l'Anssi sur les attaques massives d'institutions telles que France Travail, la DGFiP (direction générale des finances publiques) ou encore l'Urssaf ? Le silence radio de l'Anssi sur les suites à donner est inquiétant. L'Anssi semble se concentrer sur une poignée d'événements de sécurité : dans les statistiques, à peine cinq attaques ont été qualifiées de notables pour toute l'année 2024, alors que les demandes d'assistance du grand public auprès de la plateforme cybermalveillance.gouv.fr, maintenant le 17 cyber, devrait atteindre le demi-million !
Je souhaiterais que l'on puisse faire une mission flash sur le vol massif de données à l'Urssaf, à l'instar du rapport que nous avions rédigé à la suite de la cyberattaque contre la plateforme Ariane du ministère des affaires étrangères. Nous devons montrer que nous réagissons à ce qui s'est passé, en examinant ce que l'Anssi a fait. Pourquoi France Travail est-il attaqué en permanence ? Il n'y a jamais de responsable pour assumer ce qui s'est passé.
Se pose aussi le problème des points d'entrée dans le dispositif de lutte contre les cyberattaques. Mickaël Vallet y reviendra plus en détail, mais, pour ma part, je voudrais savoir sur la base de quels indicateurs et selon quelles justifications seront employés les moyens supplémentaires demandés par l'ANSSI.
Nous allons mettre en oeuvre la directive NIS 2 (Network and Information Security), qui vise à élever le niveau de résilience. L'Italie l'a déjà fait : les entreprises ont dû s'enregistrer. Le véritable problème, comme me l'ont dit les Italiens, est de savoir comment mesurer la résilience. En quoi les obligations imposées aux entreprises leur permettent-elles d'être mieux protégées ?
Le retard du projet de loi de transposition des directives relatives à la résilience des entités critiques expose la France à une sanction de 50 millions d'euros. Cela dure depuis plus d'un an ! Cette amende potentielle représente le double de l'augmentation du budget de SGDSN cette année.
D'autres États de l'Union ont transposé plus simplement les directives en appliquant la norme ISO 27000, un système d'assurance qualité. Vendredi dernier, j'ai rencontré le SGDSN du Luxembourg : leur ministère de la défense passe à la norme ISO 27000. Je ne cesse de demander que nos administrations fonctionnent avec un service qualité, ce qui n'est pas le cas jusqu'à présent.
Avec Viginum, nous sommes capables d'aller voir la paille dans l'oeil du voisin. Nous pouvons démontrer comment, grâce à TikTok, un candidat à l'élection présidentielle en Roumanie est passé de 1,5 % à 24 % en quelques semaines. Qui se pose la même question s'agissant d'un candidat du Rassemblement national (RN) dont la notoriété est montée en flèche sur TikTok en quelques semaines au moment des élections européennes ?
M. Stéphane Ravier. - C'est lunaire !
M. Olivier Cadic, rapporteur pour avis. - La France serait-elle capable d'arrêter une élection si nous étions dans la même situation ? Qui analyse ce qui se passe dans notre pays ?
M. Stéphane Ravier. - Je suis scandalisé par ce qui vient d'être dit ! La démarche du candidat du RN était démocratique. Qu'insinuez-vous ?
M. Cédric Perrin, président. - Mon cher collègue, vous pourrez prendre la parole après les interventions des rapporteurs.
M. Mickaël Vallet, rapporteur pour avis. - Olivier Cadic a présenté le cadre budgétaire et propose d'adopter les crédits pour 2026 - je ne reviendrai pas sur ce point. Je partage un certain nombre de ses interrogations sur la cohérence d'ensemble du dispositif de lutte contre les cyberattaques, mais j'aurai quelques nuances sur l'opposition qui peut être faite entre la notion de guichet unique et le message, certes peu clair de l'Anssi, sur le foisonnement de l'offre de cybersécurité. Je le rejoins néanmoins sur le fait que les missions et les financements de cet écosystème ne sont pas suffisamment clairs.
Je ferai certains constats avant de proposer quelques sujets d'attention.
La configuration actuelle de l'Anssi reste encore largement à redéfinir, ce qui dépendra du périmètre d'application de la directive NIS 2 qui sera adopté dans le cadre du projet de loi relatif à la résilience des infrastructures critiques, actuellement en cours d'examen à l'Assemblée nationale.
À ce stade, ni les ministres de tutelle successifs ni l'Anssi n'ont présenté de schéma global sur les contours de ce qui relèvera de la compétence directe de l'Agence et de ce qui sera partagé ou confié à d'autres entités institutionnelles, lesquelles sont très variées en nombre et en compétences : le GIP Acyma - cybermalveillance.gouv.fr -, les CERT (Computer Emergency Response Team) sectoriels, les CSIRT régionaux, et les nouveaux opérateurs qui sont retenus par l'Anssi dans le cadre de l'appel à manifestation d'intérêt pour le renforcement de l'accompagnement local aux enjeux de cybersécurité, doté de 7 millions d'euros sur trois ans.
Cette nouvelle enveloppe temporaire vient s'ajouter au précédent dispositif de CSIRT régionaux, dont le financement reste à la charge des régions, ce qui n'assure aucune garantie de pérennité. Les financements pourraient s'arrêter du jour au lendemain, par une simple délibération de la région, alors même que l'écosystème global de cybersécurité nous interdit tout trou dans la raquette. La clarification de l'organisation et du financement de cet écosystème est une recommandation que nous reformulons tous les ans.
À cet égard, la Cour des comptes a publié un rapport intitulé La réponse de l'État aux cybermenaces sur les systèmes d'information civils. Plusieurs des onze recommandations de ce rapport rejoignent nos sujets de préoccupation : je pense notamment à la nécessité de définir l'articulation entre les CSIRT ministériels, sectoriels et territoriaux et de s'assurer de la pérennité de leur financement, et de prévoir une programmation pluriannuelle des moyens de l'Anssi cohérente avec la stratégie nationale de cybersécurité, laquelle n'est toujours pas publiée.
La réponse qui nous était apportée en audition était assez légère : nous sommes pourtant en droit de connaître le calendrier prévu. Nous sommes également préoccupés par le changement d'échelle et l'évolution des missions de l'Agence, en cohérence avec le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
La Cour s'interroge également sur le modèle économique de fonctionnement du GIP Acyma et du Campus Cyber, ainsi que sur la simplification des critères de labellisation des solutions de cybersécurité pour les PME et les collectivités territoriales. Tout le monde ne peut pas en permanence faire appel à l'Anssi. Un organisme de petite taille ou de taille moyenne ou la moindre commune de nos départements doit savoir quels logiciels peuvent être utilisés : une labellisation est nécessaire.
Nous partageons donc un certain nombre de constats. Je reviendrai sur deux d'entre eux : le Campus Cyber et le GIP Acyma.
Le Campus Cyber, qui a été créé en 2022, semble être arrivé en fin de cycle d'une mission qui reposait davantage sur la sous-location de surface de bureaux que sur l'animation d'un réseau. L'enjeu de la nouvelle gouvernance du Campus sera de « transformer la colocation en écosystème ». Une feuille de route reste donc à tracer en l'ouvrant plus largement aux futures entreprises et collectivités concernées par la directive NIS 2.
De nombreuses initiatives, notamment régionales, visaient à se doter de campus cyber. Mais s'il s'agit simplement de mettre dans un même immeuble des entreprises spécialisées sur ce sujet, cela ne produit pas d'émulation ! Même si nos organismes, comme l'Anssi et Viginum, sont reconnus mondialement, on constate que de nombreux pays étrangers ont de meilleurs résultats.
Olivier Cadic a rappelé les différentes approches de quantification de la cybermenace : 4 386 saisines de l'Anssi, contre 420 000 demandes d'assistance auprès du GIP Acyma. Derrière la disproportion entre le champ d'action de l'Agence et les besoins de l'ensemble de la population, se pose la question de la protection du grand public. Les personnes victimes d'une cyberattaque sont démunies : elles cherchent une porte d'entrée. Elles peuvent la trouver avec le GIP Acyma, mais seulement si celui-ci fonctionne correctement, avec les budgets afférents.
Or la subvention de 845 000 euros accordée par l'Anssi au GIP Acyma n'a pas varié depuis 2017 : cela équivaut à une réduction tendancielle des moyens. Le directeur général de l'Anssi, qui est également le président du GIP, nous a dit de ne pas nous inquiéter pour la pérennité de la plateforme 17 Cyber qu'il considère non comme un point d'entrée unique, mais plutôt comme un « point d'entrée naturel » relié aux autres. Ce n'est pas un jardin à la française, mais cela correspond à la notion de foisonnement de l'offre de cybersécurité. Il reste néanmoins des angles morts, comme le filtre anti-arnaques prévu par la loi de 2024 visant à sécuriser et à réguler l'espace numérique, dite loi SREN, laquelle n'est toujours pas appliquée dans ce domaine.
Je veux également évoquer la lutte contre les manipulations de l'information, dont la stratégie nationale n'est toujours pas adoptée. Cette stratégie était une demande de notre collègue Rachid Temal, rapporteur de la commission d'enquête sur les politiques publiques face aux opérations d'influences étrangères, qui a rendu ses conclusions en juillet 2024.
Il y a quelques motifs de satisfaction : les ajustements en cours d'exercice ont permis à Viginum de poursuivre sa croissance - 60 personnels en 2025 -, ce qui répond à notre amendement de l'an dernier ; et il est passé d'une posture de défense passive à une posture de défense active, comme l'a montré l'audition par notre commission du chef de ce service le mois dernier.
Il était également question de la création d'une académie de lutte contre les manipulations de l'information et d'un pilotage stratégique contre les ingérences étrangères numériques. Cette montée en puissance de Viginum pose la question de la coordination interministérielle, notamment avec le ministère des affaires étrangères, qui a lancé en septembre 2025 le dispositif French Response, pour fournir une riposte en ligne sur les réseaux internationaux lorsque la France est attaquée.
Là aussi, il reste à structurer une gamme d'outils de détection et de réponse contre les manipulations non seulement de l'information, mais également des élections, avec l'échéance des prochaines municipales. Des entreprises privées françaises ont pris conscience du problème depuis deux ou trois ans ; sans attendre des commandes d'État, elles ont proposé des offres et elles poursuivent actuellement leurs efforts d'innovation.
Au bénéfice de ces observations, nous vous proposons l'adoption des crédits, tout en restant vigilants sur les points d'alerte que nous avons évoqués.
M. Stéphane Ravier. - Monsieur le « petit » rapporteur Cadic, vous avez le droit de ne pas être d'accord avec un adversaire politique, et de faire porter la responsabilité de votre échec électoral sur ses méthodes de communication. Mais faites-le ailleurs qu'en commission ! Ayez le courage d'exprimer vos analyses dans l'hémicycle, pour permettre à vos opposants de s'exprimer tout aussi publiquement.
Nous ne sommes pas réunis en commission pour vous entendre étaler vos états d'âme et nous faire part de votre mélancolie électorale. Contentez-vous de faire ce que vous faites depuis neuf ans, c'est-à-dire de présenter le programme 129, et tout ira pour le mieux !
M. Alain Joyandet. - Sur la sécurité numérique, la question n'est pas de savoir quels moyens doivent être donnés à l'Anssi ou quel retard nous avons en matière de publication de documents ou de transposition de directives.
Depuis quelques dizaines d'années, notre pays et l'Europe ont raté l'entrée dans le monde de la communication. Tant que des milliards de données françaises et européennes, publiques et privées, seront stockées hors de l'Union européenne, nous n'en sortirons pas. Le reste, comme on dit chez moi, c'est un cautère sur une jambe de bois !
La véritable question est donc de savoir si l'Europe, et la France, se saisissent de cet énorme enjeu de sécurité. L'intelligence artificielle se développe à une rapidité exponentielle. Pour rattraper le retard, il faut commencer à agir tout de suite, et le Sénat a son rôle à jouer. Je me souviens que, en 1997, une mission commune d'information de notre assemblée avait commis un rapport, auquel j'avais participé, sur l'entrée dans la société de l'information. Qu'a-t-on fait depuis ? Rien !
Nous avons regardé l'évolution du phénomène numérique, qui vient des États-Unis, lesquels ont investi des milliards de dollars pour se constituer des entreprises dont la performance est incroyable. L'Europe ferait mieux de s'occuper de ce sujet plutôt que de l'emballage des camemberts ! La France doit, quant à elle, alerter impérativement sur l'importance de cet enjeu stratégique.
Dans notre pays, un certain nombre d'entités publiques et privées ont arrêté d'utiliser Microsoft, et ont mis en place des stratégies « en circuit court » ; des start-up françaises particulièrement performantes proposent des solutions de stockage et des moteurs de recherche très puissants. Il faut développer des solutions en dehors des États-Unis - on ne peut pas toujours accuser les Russes et les Chinois. Le transfert des données dans les tuyaux internationaux rend vulnérables nos millions d'informations qui y circulent. Si nous avions une véritable stratégie européenne, française, nous serions davantage en sécurité.
Quant à l'Agence, elle fait pour le mieux avec les moyens qu'on lui donne, mais, j'y insiste, ce n'est pas vraiment le sujet. Il faut reprendre en main notre sécurité. L'Europe a été capable de faire de grandes choses - je pense à Arianespace -, mais nous ne sommes pas capables d'avoir un cloud indépendant des États-Unis.
À l'heure actuelle, ce sont les petites institutions, publiques et privées, qui donnent l'exemple à l'État de ce qu'il faudrait faire. La région Île-de-France, par exemple, cherche des solutions avec des start-up régionales pour accroître son indépendance et sa sécurité. Le recours à ces entreprises augmentera la production française, et donc notre croissance !
M. Cédric Perrin, président. - Nous devons commencer par agir à notre niveau. Pour ma part, j'ai une adresse électronique de La Poste, et pas une boîte Gmail : les données ne sont pas hébergées au même endroit.
M. Olivier Cadic, rapporteur pour avis. - Je souhaite répondre à mon collègue Stéphane Ravier, qui n'a pas tout à fait compris mon propos. J'ai dit que Viginum étudiait les manipulations extérieures et qu'il avait suivi l'élection présidentielle en Roumanie. Je rappelle que cette élection a été arrêtée après le premier tour, ce qui est une décision grave.
Je me demande si la France serait capable d'arrêter une élection présidentielle à l'issue du premier tour si l'on se rendait compte qu'une manipulation étrangère avait favorisé de façon excessive un candidat. Quelques mois avant la Roumanie, il y avait eu à Taïwan une tentative de manipulation du même type, qui avait été détectée et contrecarrée grâce à l'intelligence artificielle.
Viginum ne s'occupe que de la désinformation venant de l'étranger. Aucune analyse n'est faite sur l'évolution de l'explosion de la popularité sur TikTok de certains candidats dans notre pays. Par naïveté peut-être, cette soudaine popularité est associée au charme et au talent du candidat. Je le répète, qui serait capable d'arrêter une élection présidentielle en France si une attaque informationnelle réussie venait changer le cours de notre histoire ? Sommes-nous protégés contre ce risque ? Je dis simplement qu'il s'agit d'un point d'alerte.
Pour répondre à Alain Joyandet, dont je comprends tout à fait la préoccupation, je signale que le Cloud Act européen est en cours d'examen. Le Cloud Cyber Security Scheme vise à garantir que les données hébergées dans le cloud au sein de l'Union européenne restent protégées contre l'accès illégal de pays tiers, notamment en imposant des exigences strictes de souveraineté et de sécurité. Il cherche également à favoriser des fournisseurs européens ou soumis au droit européen pour éviter les risques liés aux lois extraterritoriales étrangères, comme le Cloud Act américain.
Mme Hélène Conway-Mouret. - L'ampleur des problématiques mises en évidence par le rapport est considérable, puisqu'il y a à la fois un aspect économique, avec le racket et le vol des données, et un aspect politique, qui, lui, doit nous intéresser fortement.
Vous avez exposé l'ensemble des problèmes auxquels nous devons faire face ; nous devrions nous donner l'ambition de pouvoir y répondre. Le ministère de l'Europe et des affaires étrangères a enfin créé une cellule de riposte, qui emploie quelques dizaines d'agents, quand les services turcs en ont plusieurs milliers, les Russes des dizaines de milliers, et les Chinois encore plus. La création de cette cellule est une bonne chose, mais pourquoi ne pas nous donner dès le départ les moyens de faire mieux ? Pourquoi produire des communiqués de presse une semaine ou quinze jours après un événement, quand tout le monde l'a oublié, au lieu d'utiliser les réseaux sociaux ?
Je suis d'accord avec notre collègue Joyandet. En sous-traitant, nous avons volontairement créé nos propres dépendances vis-à-vis de l'extérieur, qui posent aujourd'hui des questions de souveraineté. Nous avons fait preuve de passivité, on pourrait même dire de lâcheté. Nous aurons beau acheter tous les chars et les avions du monde pour défendre notre pays, nous ne pourrons pas résister à des ingérences étrangères coordonnées à un niveau étatique. Comment faire prendre conscience à nos concitoyens de ces enjeux, notamment dans le cadre des prochaines élections ? La presse a déjà fait état d'attaques coordonnées venant de l'étranger. Qu'attendons-nous donc ?
M. Mickaël Vallet, rapporteur pour avis. - Il est difficile de se comparer avec des pays qui n'ont pas les mêmes standards démocratiques et les mêmes exigences éthiques que les nôtres. Nous ne voulons pas créer des bots dans des fermes à trolls pour répondre à de fausses affirmations de manière masquée.
En revanche, avec une cellule de riposte, un nouveau champ d'action s'ouvre. S'il faut toujours des communiqués de presse, des déclarations pesées au trébuchet, des moyens de communication classiques, il faut aussi, pour qu'il n'y ait pas de trou dans la raquette, investir les réseaux sociaux, ces endroits où le message passe par l'ironie et par l'humour, c'est-à-dire en trouvant la bonne tonalité pour démonter une fausse information.
Comme nous l'a expliqué le ministère, cette cellule de l'administration centrale vient en appui aux nouveaux métiers que sont obligés d'investir les chargés de communication ou les porte-parole des ambassades. Ces derniers assurent une vigilance locale, sur des sujets qui concernent la France. Ainsi, en Afrique du Sud il y a quelques semaines, ils ont vu monter une rumeur malveillante, et se sont organisés pour y répondre. Ils parviennent parfois à désamorcer les choses, tout simplement en intervenant sur les réseaux sociaux de manière officielle, mais avec les bons codes. C'est bien à cela que servent les services de riposte.
Ensuite, comment rétablir la vérité en cas de mésinformation massive ? On est là face à une aporie. Continuons-nous à respecter nos libertés publiques ou bien faisons-nous comme nos adversaires, quitte à être décrédibilisés lorsque nous serons démasqués ? Il est probablement préférable de continuer à respecter nos principes.
J'entends ce qui a été dit sur notre naïveté, sur notre retard par rapport à d'autres grands pays... Je ne suis pas un européiste de la première heure, mais il faut reconnaître que l'échelon européen a fait ce qu'on attend de lui, c'est-à-dire produire de la norme efficace. Je pense au règlement général sur la protection des données (RGPD), qui est repris par d'autres pays, et à la modération des contenus.
Le problème vient de l'équation politique. Que faire quand un pays se comporte de manière impérialiste et promet un retour de bâton, notamment par des mesures tarifaires, si l'on applique nos propres règles ? Les propos que nous entendons aujourd'hui au sein de notre commission sur l'absence de naïveté à avoir vis-à-vis des États-Unis, cela fait bien longtemps que nous aurions dû les entendre ! Car les États-Unis n'ont pas attendu Trump pour se comporter de cette façon. Il faut faire preuve de courage politique.
D'un point de vue technique, les outils existent, mais il faut mesurer ce qu'ils représentent en termes d'investissements. Pour être complètement indépendant, c'est absolument phénoménal ! Il est donc important de distinguer ce qui est important de ce qui ne l'est pas. Une personne cible peut avoir une adresse Gmail, à condition de se contenter de l'utiliser pour faire des commandes sur Amazon, et pas pour échanger des données sensibles.
M. Olivier Cadic, rapporteur pour avis. - À Taïwan, on compare une fausse information à un cancer : il faut y répondre très vite, sinon c'est trop tard. La technique consiste à répondre en 200 mots en deux heures, avec de l'humour, en associant l'administration et des membres de la société civile.
M. Philippe Folliot. - Je voulais aller dans le droit fil du propos d'Alain Joyandet sur la naïveté qui a été assurément la nôtre. Une partie de nos données est hébergée aux États-Unis, mais se pose surtout la question du régime juridique, c'est-à-dire des enjeux relatifs à l'extraterritorialité des lois américaines. Une donnée française adressée à un interlocuteur français qui passe par un tuyau américain, même si cela ne passe jamais physiquement par les États-Unis, peut être récupérée par les autorités américaines. Et l'intelligence artificielle complexifie encore les enjeux.
Ma question sera très technique. Des solutions hybrides sont proposées par un certain nombre d'opérateurs, notamment « Bleu Cloud », de Microsoft, d'Orange et de Capgemini ou S3NS de Google et Thales. Derrière une façade tricolore, ces solutions permettent-elles réellement d'accéder à une souveraineté numérique ? Dans ces conditions, l'Anssi doit-elle accorder sa qualification à ces offres ?
M. Mickaël Vallet, rapporteur pour avis. - Cet exemple est tout à fait pertinent. J'ai interrogé deux fois le Gouvernement sur la question de l'hébergement sur le cloud d'Amazon de l'outil prédictif utilisé par EDF pour la gestion des données de maintenance des centrales nucléaires ?
À chaque fois, les réponses ont été assez dilatoires. La première fois, on m'a répondu qu'il s'agissait d'une expérimentation ; la seconde fois, que l'expérimentation avait pris fin, mais qu'aucune donnée sensible n'avait été fournie. Cela montre que de très grandes entreprises peuvent faire preuve de naïveté en considérant qu'Amazon est une bonne solution.
L'Anssi doit-il donner son label ? Nous ne sommes pas des techniciens, mais ce qui est certain, c'est que si l'on garantissait que ces solutions ne tomberont pas sous le coup de l'extraterritorialité du droit américain et qu'il finissait par y avoir un problème, la confiance accordée à la parole de l'Anssi, qui est un élément fondamental dans ce domaine, s'effondrerait. Il faut faire confiance aux techniciens qui ont le sens de l'intérêt national, mais il faut que nous, politiques, puissions fixer comme objectif de ne pas se soumettre à l'extraterritorialité du droit américain.
De ce domaine, on constate tout de même une évolution. Il y a quelques années, le Health Data Hub était utilisé par le ministère de la santé, et un contrat avait été passé entre le ministère de l'éducation nationale et Microsoft. Cela n'est plus tolérable aujourd'hui.
M. Olivier Cadic, rapporteur pour avis. - Le SGDSN a indiqué qu'un cloud sécurisé peut être labellisé SecNumCloud, même s'il n'est pas souverain. L'Anssi considère que la souveraineté est un sujet différent de la cybersécurité.
Quarante-huit heures avant l'invasion de l'Ukraine, les parlementaires de la Rada ont voté à l'unanimité l'autorisation de transfert des données nécessaires au fonctionnement de l'administration en dehors de l'Ukraine. Ces données ont été confiées à Amazon et cela a fonctionné !
M. Pascal Allizard. - Je voudrais revenir sur la problématique du monitoring des élections. Dans le cadre de mes responsabilités à l'AP-OSCE, l'assemblée parlementaire de l'Organisation pour la sécurité et la coopération en Europe, j'ai participé à de très nombreuses missions d'observation électorale. Il faut faire la distinction entre les tentatives d'influencer les électeurs et la manipulation du résultat.
En ce qui concerne la manipulation du résultat, se pose de plus en plus la problématique du vote électronique. Pour prendre un exemple, les dernières élections législatives en Géorgie, il y a un an, ont donné lieu à de nombreuses polémiques, en lien avec l'usage massif du vote électronique. Le gouvernement géorgien sortant avait confié toute la gestion du système de vote électronique à un prestataire américain, ce qui était censé apporter une garantie de qualité.
La mission de court terme observe un process électoral sans entrer dans des commentaires sur les résultats. Nous faisons savoir si nous avons constaté des dysfonctionnements ou des influences extérieures. La mission d'observation est composée généralement de parlementaires de l'AP-OSCE, de l'assemblée parlementaire du Conseil de l'Europe (APCE), de l'Otan, de l'Union européenne et d'observateurs de la société civile. Avec l'évolution des technologies et l'émergence de nouvelles formes d'influence, il est impossible de prétendre que les phénomènes qui ont été évoqués sont inexistants.
Je suis d'accord avec l'analyse d'Olivier Cadic sur la situation française. Parmi les membres fondateurs de la Commission de Venise, la France est pratiquement le seul pays à refuser les missions d'observation. Les États-Unis, la Grande-Bretagne et l'Italie, par exemple, les acceptent. Lors des dernières élections législatives et présidentielles de 2022, les autorités françaises ont mis un veto net et clair à toute observation sur notre territoire. Même si nous sommes de moins en moins naïfs, il est probable que nous soyons confrontés à des compétiteurs privés qui évoluent à une vitesse supérieure à la nôtre.
M. Cédric Perrin, président. - Je remercie les rapporteurs. Je vous invite, mes chers collègues, à être présents en séance pour défendre les crédits de ce programme comme nous l'avions fait l'an dernier sans être malheureusement entendus en CMP.
La commission émet un avis favorable à l'adoption des crédits du programme 129 « Coordination du travail gouvernemental » de la mission « Direction de l'action du Gouvernement ».
La réunion est close à 11 h 40.