E. L'ÉLARGISSEMENT DU PÉRIMÈTRE D'ACTION DE L'ANSSI, AU-DELÀ DES ADMINISTRATIONS
1. Une assistance aux opérateurs d'importance vitale soutenue par un dispositif réglementaire
Pour la réussite de ses missions auprès des opérateurs d'importance vitale, qui appartiennent au secteur privé (environ 130 acteurs), la loi de programmation militaire 2014-2019, par un dispositif réglementaire, a permis d'engager une dynamique qui devrait permettre d'ici quelques années d'atteindre un niveau acceptable de sécurité des systèmes d'information pour ces opérateurs.
Comme l'indiquait le directeur général de l'ANSSI lors de son audition par la commission : « La loi de programmation militaire 2014-2019 nous donne les moyens d'imposer à ses opérateurs des obligations dans le domaine de la cybersécurité, au-delà du simple conseil. Nous avons été les premiers au monde à faire ce choix, mais beaucoup d'Etats se rallient à cette méthode désormais. Le conseil n'est pas suffisant, si l'on veut pouvoir mobiliser les acteurs avant qu'ils soient attaqués, il faut passer par une politique réglementaire intelligente. C'est ainsi que la loi a été adoptée en décembre 2013, que les décrets d'application ont été publiés en mars 2015 et que les arrêtés qui fixent, secteur par secteur, les règles de sécurité imposées aux opérateurs le sont depuis l'été 2016. Ce délai s'explique par notre volonté de coécrire des règles avec les opérateurs, pour mettre en place une réglementation efficace, soutenable financièrement et humainement, et adaptée à chaque secteur. Nous avons voulu coller au mieux à la réalité du terrain, aux contraintes et à la nature des menaces qui sont celles de chaque domaine. »
Dans le cadre de la mise en oeuvre de l'article 22 de la loi, une concertation avec les OIV, par secteur d'activité d'importance vitale et par famille des métiers, a été engagée début 2015 au travers de dix-huit groupes de travail destinés à étudier la liste des types de systèmes d'information concernés, les mesures techniques à appliquer et leur délai de mise en oeuvre. En 2016, neuf arrêtés sectoriels ont été publiés par les ministères compétents. Ces arrêtés déclinent la nouvelle réglementation par domaine d'activité.
Vos rapporteurs demandent qu'un indicateur de performance puisse mesurer de façon synthétique les progrès réalisés dans la protection des systèmes d'informations des OIV en fonction de cibles à atteindre et que soient publiés, chaque année, des tableaux de bord sur les infractions constatées.
Cet élargissement conduira à renforcer les structures de coordination, de conseil mais également de contrôle et d'assistance opérationnelle 47 ( * ) . Il est important pour l'ANSSI de se positionner à la fois sur des dispositifs réglementaires et de contrôle et sur des dispositifs de conseils et d'assistance.
2. Une sensibilisation et une assistance en direction des autres secteurs d'activités
S'agissant des entreprises qui ne sont pas opérateurs d'importance vitale, des collectivités territoriales et des particuliers, et comme l'ont confirmé les suites cybernétiques des attaques terroristes menées contre la France en janvier 2015, il manque aujourd'hui un dispositif de proximité permettant de porter assistance aux victimes et de rendre visible l'offre existante en matière de suites judiciaires.
Dans le cadre de la stratégie numérique, un travail est engagé aux fins de combler cette lacune, sous le pilotage conjoint de l'ANSSI et du ministère de l'intérieur, en association avec les autres ministères concernés (économie, justice, secrétariat d'État chargé du numérique).
L'ANSSI pilote la mise en place d'une plateforme numérique accessible via internet, notamment destinée à mettre en relation les victimes d'actes de cybermalveillance avec des acteurs du secteur privé susceptibles de les accompagner dans le traitement des incidents de sécurité informatique. Le ministère de l'intérieur est étroitement associé à cette démarche qui devrait également permettre de faciliter le dépôt de plainte. Les administrations compétentes du ministère de l'économie et des finances devraient également apporter leurs compétences lors de la mise en place du dispositif. La forme juridique qui sera retenue pour ce dispositif permettra d'y associer, outre les administrations concernées, les consommateurs, les prestataires de sécurité informatique, les opérateurs de communications électroniques et les éditeurs. Des contenus de sensibilisations aux bonnes pratiques en matière de comportements numériques seront intégrés dans la plate-forme qui sera également un outil d'alerte informatique et un observatoire « en temps réel » de la menace. Le lancement expérimental de la plate-forme devrait avoir lieu en janvier 2017. Sous réserve d'une évaluation positive, la plate-forme devrait être étendue à l'ensemble du territoire métropolitain avant l'été 2017. |
Pour les autres victimes que les opérateurs d'importance vitale et pour répondre notamment aux problématiques des PME, très nombreuses et très vulnérables aux actions de cybermalveillance, l'ANSSI conduit une démarche originale qui consiste à incuber un dispositif d'assistance. Ce dispositif est aujourd'hui élaboré au sein de l'ANSSI en collaboration avec le ministère de l'intérieur avec vocation, d'ici deux à trois ans de devenir autonome, en lien avec l'industrie privée qui a tout intérêt à l'élévation du niveau de sécurité globale.
En parallèle, l'ANSSI a développé une politique de sensibilisation et de communication.
Pour l'ANSSI, cela se traduira notamment par la nécessité de disposer de relais dans ces secteurs d'activités jusque-là éloignés des sujets numériques, ainsi qu'en région auprès des services déconcentrés de l'État, des collectivités territoriales et des entreprises. Elle va ainsi déployer un réseau de correspondants dans les régions afin de développer ses actions d'information et de conseil.
3. La mise en place de l'identité numérique
Le règlement européen n° 910/2014 -- dit eIDAS-- dont le champ d'application est « l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur », entré en vigueur le 1 er juillet 2016 a une portée éminemment politique. Il concerne la manière dont les États membres appréhendent les questions de l'identité. Ainsi, le règlement instaure la fin du monopole des États membres dans la délivrance de documents d'identités, notamment ceux à valeur probante.
Le règlement introduit trois niveaux de confiance dans les identités électroniques que pourront fournir les usagers pour l'authentification à une téléprocédure (faible, substantiel, élevé). Seule l'identité numérique de niveau élevé a pour objectif non plus une réduction de risque, mais d'empêcher toute usurpation ou altération d'identité (art. 8 du règlement). Le règlement impose aux États membres la reconnaissance mutuelle des identités numériques publiques ou privées notifiées aux niveaux substantiel ou élevé. Visant exclusivement les conditions dans lesquelles les usagers européens pourront accéder aux téléprocédures administratives mises en place par les États membres, ce règlement deviendra obligatoire dans sa partie identification en septembre 2018. Il aura une incidence sur l'ensemble des modes d'identification aux services publics et privés accessibles via les réseaux de communications électroniques. La stratégie nationale pour la sécurité du numérique prévoit que chaque Français dispose à terme d'une identité numérique de niveau élevé. |
Depuis décembre 2015, le ministère de l'intérieur et le secrétariat d'État au numérique pilotent un groupe de travail auquel ont été associées plusieurs administrations, ainsi que le secrétariat général de la modernisation de l'action publique (SGMAP) et l'ANSSI. Plusieurs arbitrages du Premier ministre restent nécessaires pour préciser la stratégie de l'État dans ce domaine et le mode de pilotage de la conception et du déploiement des identités numériques publiques en application du règlement européen n° 910/2014. Une réunion interministérielle doit avoir lieu à l'automne.
* 47 Par ailleurs, un centre d'assistance aux victimes de cyber malveillance, ciblant les entreprises de toutes tailles ainsi que les particuliers, est mis en place à compter de 2016.